Esaminare come cambiano i pacchetti quando passano attraverso vSphere Network Appliance (DVFilter).

I DVFilter sono agenti che si trovano nel flusso tra una scheda di macchina virtuale e un commutatore virtuale. Intercettano i pacchetti per proteggere le macchine virtuali da attacchi alla sicurezza e traffico indesiderato.

Procedura

  1. (Facoltativo) Per trovare il nome del DVFilter che si desidera monitorare, in ESXi Shell eseguire il comando summarize-dvfilter.
    L'output del comando contiene gli agenti fast-path e slow-path dei DVFilter distribuiti nell'host.
  2. Eseguire l'utilità pktcap-uw con l'argomento --dvfilter dvfilter_name e con le opzioni per monitorare i pacchetti in un punto specifico, filtrare i pacchetti acquisiti e salvare il risultato in un file. 
    pktcap-uw --dvFilter dvfilter_name --capture PreDVFilter|PostDVFilter [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    dove le parentesi quadre [] racchiudono gli elementi opzionali del comando pktcap-uw --dvFilter vmnicX e le barre verticali | rappresentano valori alternativi.

    1. Utilizzare l'opzione --capture per monitorare i pacchetti prima o dopo che vengano intercettati da DVFilter.
      Opzione del comando pktcap-uw Obiettivo
      --capture PreDVFilter Acquisire i pacchetti prima dell'ingresso in DVFilter.
      --capture PostDVFilter Acquisire i pacchetti dopo l'uscita da DVFilter.
    2. Utilizzare una filter_options per filtrare i pacchetti in base all'indirizzo di origine e destinazione, all'ID VLAN, all'ID VXLAN, al protocollo di livello 3 e alla porta TCP.
      Ad esempio, per monitorare i pacchetti da un sistema di origine con indirizzo IP 192.168.25.113, utilizzare l'opzione del filtro --srcip 192.168.25.113.
    3. Utilizzare le opzioni per salvare il contenuto di ogni pacchetto o il contenuto di un numero limitato di pacchetti in un file .pcap o .pcapng.
      • Per salvare i pacchetti in un file .pcap, utilizzare l'opzione --outfile.
      • Per salvare i pacchetti in un file .pcapng, utilizzare le opzioni --ng e --outfile.

      È possibile aprire il file in uno strumento di analisi di rete come Wireshark.

      Per impostazione predefinita, l'utilità pktcap-uw salva i file dei pacchetti nella cartella root del file system di ESXi.

    4. Utilizzare l'opzione --count per monitorare solo un numero di pacchetti.
  3. Se non è stato limitato il numero di pacchetti utilizzando l'opzione --count, premere CTRL+C per interrompere l'acquisizione o il monitoraggio dei pacchetti.

Operazioni successive

Se i contenuti del pacchetto vengono salvati in un file, copiare il file dall'host ESXi al sistema che esegue uno strumento di analisi grafica, ad esempio Wireshark e aprirlo nello strumento per esaminare i dettagli del pacchetto.