Vérifiez les changements des paquets lorsque ceux-ci traversent vSphere Network Appliance (DVFilter).

Pourquoi et quand exécuter cette tâche

Les DVFilters sont des agents qui résident dans le flux entre un adaptateur de machine virtuelle et un commutateur virtuel. Ils interceptent des paquets afin de protéger les machines virtuelles contre les attaques de sécurité et le trafic indésirable.

Procédure

  1. (Facultatif) : Pour rechercher le nom du DVFilter à surveiller, exécutez la commande summarize-dvfilter dans ESXi Shell.

    Le résultat de la commande contient les agents à chemin rapide et à chemin lent des DVFilters qui sont déployés sur l'hôte.

  2. Exécutez l'utilitaire pktcap-uw avec l'argument --dvfilter dvfilter_name et avec des options permettant de surveiller les paquets à un point spécifique, de filtrer les paquets capturés et d'enregistrer les résultats dans un fichier.
    pktcap-uw --dvFilter dvfilter_name --capture PreDVFilter|PostDVFilter [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    où les options de la commande pktcap-uw --dvFilter vmnicX se trouvent entre crochets [] et où les barres verticales | représentent des valeurs alternatives.

    1. Utilisez l'option --capture pour surveiller les paquets avant ou après leur interception par le DVFilter.

      Option de commande pktcap-uw

      Objectif

      --capture PreDVFilter

      Capture de paquets avant leur entrée dans le DVFilter.

      --capture PostDVFilter

      Capture de paquets avant leur sortie du DVFilter.

    2. Utilisez filter_options pour filtrer les paquets en fonction de l'adresse source et de destination, de l'ID VLAN, de l'ID VXLAN, du protocole de couche 3 et du port TCP.

      Par exemple, pour surveiller les paquets en provenance d'un système source portant l'adresse IP 192.168.25.113, utilisez l'option de filtrage --srcip 192.168.25.113.

    3. Utilisez des options permettant d'enregistrer le contenu de chaque paquet ou le contenu d'un nombre limité de paquets dans un fichier .pcap ou .pcapng.
      • Pour enregistrer les paquets dans un fichier .pcap, utilisez l'option --outfile.

      • Pour enregistrer les paquets dans un fichier .pcapng, utilisez les options --ng et --outfile.

      Vous pouvez ouvrir le fichier dans un outil d'analyse de paquets réseau tel que Wireshark.

      Par défaut, l'utilitaire pktcap-uw enregistre les fichiers de paquets dans le dossier racine du système de fichiers ESXi.

    4. Utilisez l'option --count pour surveiller uniquement un certain nombre de paquets.
  3. Si vous n'avez pas limité le nombre de paquets à l'aide de l'option --count, appuyez sur Ctrl+C pour arrêter la capture ou le suivi de paquets.

Que faire ensuite

Si le contenu du paquet est enregistré dans un fichier, copiez le fichier à partir de l'hôte ESXi dans le système qui exécute l'outil d'analyse graphique, tel que Wireshark, et ouvrez-le dans l'outil pour examiner les détails des paquets.