Überwachung des Datenverkehrs, zwischen einem virtuellen Switch und einem VMXNET3 Adapter der virtuellen Maschine durch Verwendung des Dienstprogramms pktcap-uw.

Warum und wann dieser Vorgang ausgeführt wird

Sie können einen bestimmten Erfassungspunkt im Datenpfad zwischen einem virtuellen Switch und einem Adapter der virtuellen Maschine festlegen. Außerdem können Sie einen Erfassungspunkt durch die Richtung des Datenverkehrs im Hinblick auf den Switch und die Nähe zur Paketquelle oder zum Paketziel festlegen. Informationen zu unterstützten Erfassungspunkten finden Sie unter Erfassungspunkte des Dienstprogramms pktcap-uw.

Voraussetzungen

Vergewissern Sie sich, dass es sich um einen Adapter der virtuellen Maschine des Typs VMXNET3 handelt.

Prozedur

  1. Finden Sie auf dem Host die Port-ID des Adapters der virtuellen Maschine mithilfe des Dienstprogramms esxtop heraus.
    1. Starten Sie das Dienstprogramm im ESXi Shell an den Host mithilfe von esxtop.
    2. Um zum Netzwerkfenster des Dienstprogramms zu wechseln, drücken Sie N.
    3. Suchen Sie in der Spalte VERWENDET VON den Adapter der virtuellen Maschine und schreiben Sie den PORT-ID-Wert dafür auf.

      Das Feld VERWENDET VON enthält den Namen der virtuellen Maschine und den Port, mit dem der Adapter der virtuellen Maschine verbunden ist.

    4. Zum Verlassen von esxtop klicken Sie auf Q.
  2. Führen Sie in der ESXi Shell den Befehl pktcap-uw --switchport port_ID aus.

    port_ID ist die ID, die das Dienstprogramm esxtop für den Adapter der virtuellen Maschine in der Spalte PORT-ID anzeigt.

  3. Führen Sie in der ESXi Shell den Befehl pktcap-uw mit dem Argument --switchport port_ID und mit Optionen aus, um Pakete an einem bestimmten Punkt zu überwachen, erfasste Pakete zu filtern und das Ergebnis in einer Datei zu speichern.
    pktcap-uw --switchport port_ID [--capture capture_point|--dir 0|1 --stage 0|1]  [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    Die Optionen des Befehls pktcap-uw --switchport port_ID stehen in eckigen Klammern [], und die vertikalen Balken | stellen die alternativen Werte dar.

    Wenn Sie den Befehl pktcap-uw --switchport port_ID ohne Optionen ausführen, erhalten Sie den Inhalt von Paketen, die am Standard-Switch oder Distributed Switch in der Konsolenausgabe eingehen, an der Stelle, an der sie umgeschaltet werden.

    1. Um die Pakete an einem anderen Erfassungspunkt oder in einer anderen Richtung des Pfades zwischen dem Gastbetriebssystem und dem virtuellen Switch zu überprüfen, verwenden Sie die Option --capture oder verbinden Sie die Werte der Optionen --dir und --stage.

      pktcap-uw Befehlsoptionen

      Ziel

      --capture Vmxnet3Tx

      Überwachen Sie Pakete, wenn Sie von der virtuellen Maschine an den Switch weitergegeben werden.

      --capture Vmxnet3Rx

      Überwachen Sie Pakete, wenn sie in der virtuellen Maschine eingehen.

      --dir 1 --stage 0

      Überwacht Pakete, unmittelbar nachdem sie den virtuellen Switch verlassen.

      --dir 1

      Überwachen Sie Pakete, unmittelbar bevor sie in der virtuellen Maschine eingehen.

      --dir 0 --stage 1

      Überwachen Sie Pakete, unmittelbar nachdem sie in der virtuellen Maschine eingegangen sind.

    2. Verwenden Sie Filteroptionen, um Pakete nach Quell- und Zieladresse, VLAN ID, VXLAN ID, Schicht 3-Protokoll und TCP-Port zu filtern.

      Zum Überwachen der Pakete von einem Quellsystem – beispielsweise mit der IP-Adresse 192.168.25.113 – verwenden Sie z. B. die Filteroption --srcip 192.168.25.113.

    3. Verwenden Sie Optionen zum Speichern der Inhalte jedes Pakets oder einer bestimmten Anzahl von Paketen in eine .pcap- oder .pcapng-Datei.
      • Um Pakete in eine .pcap-Datei zu speichern, verwenden Sie die Option --outfile.

      • Um Pakete in eine .pcapng-Datei zu speichern, verwenden Sie die Optionen --ng und --outfile.

      Sie können die Datei in einem Netzwerkanalysetool wie Wireshark öffnen.

      Standardmäßig speichert das Dienstprogramm pktcap-uw die Paketdateien im Root-Ordner des ESXi-Dateisystems.

    4. Verwenden Sie die Option --count, um nur eine bestimmte Anzahl von Paketen zu überwachen.
  4. Wenn Sie die Anzahl der Pakete nicht mit der Option --count beschränkt haben, drücken Sie STRG+C, um die Erfassung oder Nachverfolgung von Paketen zu beenden.

Erfassen Sie Pakete, die bei einer virtuellen Maschine von einer IP-Adresse 192.168.25.113 eingehen

Um die ersten 60 Pakete von einer Quelle zu erfassen, der die IP-Adresse 192.168.25.113 zugewiesen ist, wenn sie bei einem Adapter einer virtuellen Maschine mit der Port-ID 33554481 eingehen und sie in einer Datei mit der Bezeichnung vmxnet3_rcv_srcip.pcap zu speichern, starten Sie den folgenden pktcap-uw-Befehl:

 pktcap-uw --switchport 33554481 --capture Vmxnet3Rx --srcip 192.168.25.113 --outfile vmxnet3_rcv_srcip.pcap --count 60

Nächste Maßnahme

Wenn der Inhalt des Pakets in eine Datei gespeichert wird, kopieren Sie die Datei vom ESXi-Host auf das System, auf dem ein grafisches Analysetool wie Wireshark ausgeführt wird, und öffnen Sie es in diesem Tool, um die Paketdetails zu untersuchen.