Surveillez le trafic hôte associé au réseau externe en capturant des paquets à certains points du chemin entre un commutateur vSphere standard ou un vSphere Distributed Switch et un adaptateur physique.

Vous pouvez spécifier un certain point de capture sur le chemin de données entre un commutateur virtuel et un adaptateur physique, ou déterminer un point de capture par direction du trafic en fonction du commutateur et de la proximité de la source ou de la destination du paquet. Pour plus d'informations sur les points de capture pris en charge, consultez Points de capture de l'utilitaire pktcap-uw.

Procédure

  1. (Facultatif) Recherchez le nom de l'adaptateur physique à surveiller dans la liste des adaptateurs de l'hôte.
    • Dans vSphere Client, dans l'onglet Configurer de l'hôte, développez la section Mise en réseau et sélectionnez Adaptateurs physiques.
    • Dans ESXi Shell sur l'hôte, pour afficher la liste des adaptateurs physiques et examiner leur état, exécutez la commande ESXCLI suivante :
      esxcli network nic list
      
    Chaque adaptateur physique est représenté par vmnicX. X est le numéro attribué par ESXi au port de l'adaptateur physique.
  2. Dans ESXi Shell, sur l'hôte, exécutez la commande pktcap-uw avec l'argument --uplink vmnicX avec des options permettant de surveiller les paquets à un point spécifique, de filtrer les paquets capturés et d'enregistrer les résultats dans un fichier.
    pktcap-uw --uplink vmnicX [--capture capture_point|--dir 0|1]  [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    où les options de la commande se trouvent entre crochets [] pktcap-uw --uplink vmnicX et où les barres verticales | représentent les autres valeurs possibles.

    Si vous exécutez la commande pktcap-uw --uplink vmnicX sans options, vous obtenez le contenu des paquets entrants sur le commutateur standard ou distribué à la sortie de la console, au point où ils sont commutés.

    1. Utilisez l'option --capture pour vérifier les paquets sur un autre point de capture ou l'option --dir pour une autre direction du trafic.
      Option de commande pktcap-uw Objectif
      --capture UplinkSnd Surveiller les paquets immédiatement avant leur entrée dans l'adaptateur physique.
      --capture UplinkRcv Surveiller les paquets immédiatement après leur réception dans la pile réseau à partir de l'adaptateur physique.
      --dir 1 Surveiller les paquets qui quittent le commutateur virtuel.
      --dir 0 Surveiller les paquets qui entrent dans le commutateur virtuel.
    2. Utilisez filter_options pour filtrer les paquets en fonction de l'adresse source et de destination, de l'ID VLAN, de l'ID VXLAN, du protocole de couche 3 et du port TCP.
      Par exemple, pour surveiller les paquets en provenance d'un système source portant l'adresse IP 192.168.25.113, utilisez l'option de filtrage --srcip 192.168.25.113.
    3. Utilisez des options permettant d'enregistrer le contenu de chaque paquet ou le contenu d'un nombre limité de paquets dans un fichier .pcap ou .pcapng.
      • Pour enregistrer les paquets dans un fichier .pcap, utilisez l'option --outfile.
      • Pour enregistrer les paquets dans un fichier .pcapng, utilisez les options --ng et --outfile.

      Vous pouvez ouvrir le fichier dans un outil d'analyse de paquets réseau tel que Wireshark.

      Par défaut, l'utilitaire pktcap-uw enregistre les fichiers de paquets dans le dossier racine du système de fichiers ESXi.

    4. Utilisez l'option --count pour surveiller uniquement un certain nombre de paquets.
  3. Si vous n'avez pas limité le nombre de paquets à l'aide de l'option --count, appuyez sur Ctrl+C pour arrêter la capture ou le suivi de paquets.

Exemple : Capturer les paquets reçus sur vmnic0 à partir de l'adresse IP 192.168.25.113

Pour capturer les 60 premiers paquets d'un système source auquel l'adresse IP 192.168.25.113 est attribuée sur vmnic0 et les sauvegarder dans un fichier nommé vmnic0_rcv_srcip.pcap, exécutez la commande pktcap-uw suivante :

 pktcap-uw --uplink vmnic0 --capture UplinkRcv --srcip 192.168.25.113 --outfile vmnic0_rcv_srcip.pcap --count 60

Que faire ensuite

Si le contenu du paquet est enregistré dans un fichier, copiez le fichier à partir de l'hôte ESXi dans le système qui exécute l'outil d'analyse graphique, tel que Wireshark, et ouvrez-le dans l'outil pour examiner les détails des paquets.