Untersuchen Sie, wie Pakete sich ändern, wenn sie durch eine vSphere Network Appliance (DVFilter) geleitet werden.

DVFilter sind Agenten, die sich im Datenstrom zwischen einem VM-Adapter und einem virtuellen Switch befinden. Sie fangen Pakete ab, um virtuelle Maschinen vor Angriffen auf die Sicherheit und unerwünschtem Datenverkehr zu schützen.

Prozedur

  1. (Optional) Um den Namen des DVFilter zu finden, den Sie überwachten möchten, führen Sie in der ESXi Shell den Befehl summarize-dvfilter aus.
    Die Ausgabe des Befehls enthält den Fast-Path- und den Slow-Path-Agent der auf dem Host bereitgestellten DVFilter.
  2. Führen Sie das Dienstprogramm pktcap-uw mit dem Argument --dvfilter dvfilter_name und mit Optionen zum Überwachen von Paketen an bestimmten Punkten, zum Filtern erfasster Pakete und zum Speichern des Ergebnisses in einer Datei aus. 
    pktcap-uw --dvFilter dvfilter_name --capture PreDVFilter|PostDVFilter [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    wobei die optionalen Elemente des Befehls pktcap-uw --dvFilter vmnicX in eckigen Klammern [ ] angegeben sind und die vertikale Linien | für alternative Werte stehen.

    1. Verwenden Sie die Option --capture zum Überwachen von Paketen, bevor oder nachdem sie vom DVFilter abgefangen werden.
      Befehlsoption pktcap-uw Ziel
      --capture PreDVFilter Erfasst Pakete, bevor sie den DVFilter durchlaufen.
      --capture PostDVFilter Erfasst Pakete, nachdem sie den DVFilter verlassen.
    2. Verwenden Sie Filteroptionen, um Pakete nach Quell- und Zieladresse, VLAN ID, VXLAN ID, Schicht 3-Protokoll und TCP-Port zu filtern.
      Zum Überwachen der Pakete von einem Quellsystem – beispielsweise mit der IP-Adresse 192.168.25.113 – verwenden Sie z. B. die Filteroption --srcip 192.168.25.113.
    3. Verwenden Sie Optionen zum Speichern der Inhalte jedes Pakets oder einer bestimmten Anzahl von Paketen in eine .pcap- oder .pcapng-Datei.
      • Um Pakete in eine .pcap-Datei zu speichern, verwenden Sie die Option --outfile.
      • Um Pakete in eine .pcapng-Datei zu speichern, verwenden Sie die Optionen --ng und --outfile.

      Sie können die Datei in einem Netzwerkanalysetool wie Wireshark öffnen.

      Standardmäßig speichert das Dienstprogramm pktcap-uw die Paketdateien im Root-Ordner des ESXi-Dateisystems.

    4. Verwenden Sie die Option --count, um nur eine bestimmte Anzahl von Paketen zu überwachen.
  3. Wenn Sie die Anzahl der Pakete nicht mit der Option --count beschränkt haben, drücken Sie STRG+C, um die Erfassung oder Nachverfolgung von Paketen zu beenden.

Nächste Maßnahme

Wenn der Inhalt des Pakets in eine Datei gespeichert wird, kopieren Sie die Datei vom ESXi-Host auf das System, auf dem ein grafisches Analysetool wie Wireshark ausgeführt wird, und öffnen Sie es in diesem Tool, um die Paketdetails zu untersuchen.