Monitorare il traffico dell'host correlato alla rete esterna acquisendo pacchetti in determinati punti del percorso tra vSphere Standard Switch o vSphere Distributed Switch e una scheda fisica.

È possibile specificare un determinato punto di acquisizione nel percorso dei dati tra un commutatore virtuale e una scheda fisica oppure determinare un punto di acquisizione in base alla direzione del traffico rispetto al commutatore e alla vicinanza dell'origine o della destinazione del pacchetto. Per informazioni sui punti di acquisizione supportati, vedere Punti di acquisizione dell'utilità pktcap-uw.

Procedura

  1. (Facoltativo) Nell'elenco delle schede dell'host individuare il nome della scheda fisica che si desidera monitorare.
    • In vSphere Client, nella scheda Configura dell'host, espandere Rete e selezionare Schede fisiche.
    • In ESXi Shell per l'host, per visualizzare un elenco delle schede fisiche ed esaminarne lo stato, eseguire il comando ESXCLI seguente: 
      esxcli network nic list
    Ogni scheda fisica è rappresentata come vmnicX. X è il numero che ESXi ha assegnato alla porta della scheda fisica.
  2. In ESXi Shell per l'host, eseguire il comando pktcap-uw con l'argomento --uplink vmnicX e con le opzioni per monitorare i pacchetti in un determinato punto, filtrare i pacchetti acquisiti e salvare il risultato in un file. 
    pktcap-uw --uplink vmnicX [--capture capture_point|--dir 0|1]  [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    dove le parentesi quadre [] racchiudono le opzioni del comando pktcap-uw --uplink vmnicX e le barre verticali | rappresentano valori alternativi.

    Se si esegue il comando pktcap-uw --uplink vmnicX senza opzioni, si ottiene il contenuto dei pacchetti che sono in arrivo nel commutatore standard o distribuito nell'output della console nel punto in cui vengono commutati.

    1. Utilizzare l'opzione --capture per controllare i pacchetti in un altro punto di acquisizione o l'opzione --dir in un'altra direzione del traffico.
      Opzione del comando pktcap-uw Obiettivo
      --capture UplinkSnd Monitorare i pacchetti immediatamente prima dell'ingresso nel dispositivo della scheda fisica.
      --capture UplinkRcv Monitorare i pacchetti immediatamente dopo che sono stati ricevuti nello stack di rete dalla scheda fisica.
      --dir 1 Monitorare i pacchetti che lasciano il commutatore virtuale.
      --dir 0 Monitorare i pacchetti che entrano nel commutatore virtuale.
    2. Utilizzare una filter_options per filtrare i pacchetti in base all'indirizzo di origine e destinazione, all'ID VLAN, all'ID VXLAN, al protocollo di livello 3 e alla porta TCP.
      Ad esempio, per monitorare i pacchetti da un sistema di origine con indirizzo IP 192.168.25.113, utilizzare l'opzione del filtro --srcip 192.168.25.113.
    3. Utilizzare le opzioni per salvare il contenuto di ogni pacchetto o il contenuto di un numero limitato di pacchetti in un file .pcap o .pcapng.
      • Per salvare i pacchetti in un file .pcap, utilizzare l'opzione --outfile.
      • Per salvare i pacchetti in un file .pcapng, utilizzare le opzioni --ng e --outfile.

      È possibile aprire il file in uno strumento di analisi di rete come Wireshark.

      Per impostazione predefinita, l'utilità pktcap-uw salva i file dei pacchetti nella cartella root del file system di ESXi.

    4. Utilizzare l'opzione --count per monitorare solo un numero di pacchetti.
  3. Se non è stato limitato il numero di pacchetti utilizzando l'opzione --count, premere CTRL+C per interrompere l'acquisizione o il monitoraggio dei pacchetti.

Esempio: Acquisizione dei pacchetti ricevuti in vmnic0 dall'indirizzo IP 192.168.25.113

Per acquisire i primi 60 pacchetti da un sistema di origine a cui è stato assegnato l'indirizzo IP 192.168.25.113 in vmnic0 e salvarli in un file denominato vmnic0_rcv_srcip.pcap, eseguire il comando pktcap-uw seguente: 

 pktcap-uw --uplink vmnic0 --capture UplinkRcv --srcip 192.168.25.113 --outfile vmnic0_rcv_srcip.pcap --count 60

Operazioni successive

Se i contenuti del pacchetto vengono salvati in un file, copiare il file dall'host ESXi al sistema che esegue uno strumento di analisi grafica, ad esempio Wireshark e aprirlo nello strumento per esaminare i dettagli del pacchetto.