vSphere 표준 스위치 또는 vSphere Distributed Switch와 물리적 어댑터 간 경로의 특정 시점에서 패킷을 캡처하여 외부 네트워크와 관련된 호스트 트래픽을 모니터링합니다.

이 태스크 정보

가상 스위치와 물리적 어댑터 간 데이터 경로에서 특정 캡처 시점을 지정하거나 패킷 소스 또는 대상에 대한 근접성 및 스위치와 관련한 트래픽 방향으로 캡처 시점을 결정할 수 있습니다. 지원되는 캡처 시점에 대한 자세한 내용은 pktcap-uw 유틸리티의 캡처 시점을 참조하십시오.

프로시저

  1. (선택 사항) : 호스트 어댑터 목록에서 모니터링하려는 물리적 어댑터의 이름을 찾습니다.
    • vSphere Web Client에서, 호스트의 구성 탭으로 이동한 후 네트워킹을 확장하고 물리적 어댑터를 선택합니다.

    • 호스트에 대한 ESXi Shell에서 다음 ESXCLI 명령을 실행하여 물리적 어댑터의 목록을 확인하고 해당 상태를 검토합니다.

      esxcli network nic list
      

    각 물리적 어댑터는 vmnicX로 표시됩니다. 여기서 XESXi가 물리적 어댑터 포트에 할당한 번호입니다.

  2. 호스트에 대한 ESXi Shell에서 pktcap-uw 명령을 --uplink vmnicX 인수 및 특정 시점의 패킷을 모니터링하는 옵션과 함께 실행하고, 캡처한 패킷을 필터링하고, 결과를 파일에 저장합니다.
    pktcap-uw --uplink vmnicX [--capture capture_point|--dir 0|1]  [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    여기서 대괄호([])는 pktcap-uw --uplink vmnicX 명령의 옵션을 묶고 세로 막대(|)는 대체 값을 나타냅니다.

    옵션 없이 pktcap-uw --uplink vmnicX 명령을 실행하는 경우에는 콘솔 출력의 표준 스위치 또는 Distributed Switch로 들어오는 패킷 내용을 전환 시점에 가져옵니다.

    1. --capture 옵션을 사용하여 다른 캡처 시점에서 패킷을 검사하거나 --dir 옵션을 사용하여 다른 트래픽 방향에서 패킷을 검사합니다.

      pktcap-uw 명령 옵션

      목표

      --capture UplinkSnd

      물리적 어댑터 디바이스로 들어가기 직전에 패킷을 모니터링합니다.

      --capture UplinkRcv

      물리적 어댑터에서 네트워크 스택에 수신된 직후에 패킷을 모니터링합니다.

      --dir 1

      가상 스위치를 떠나는 패킷을 모니터링합니다.

      --dir 0

      가상 스위치로 들어가는 패킷을 모니터링합니다.

    2. filter_options를 사용하여 소스 및 대상 주소, VLAN ID, VXLAN ID, 계층 3 프로토콜 및 TCP 포트에 따라 패킷을 필터링합니다.

      예를 들어 IP 주소가 192.168.25.113인 소스 시스템에서 패킷을 모니터링하려면 --srcip 192.168.25.113 필터 옵션을 사용합니다.

    3. 각 패킷의 컨텐츠 또는 제한된 패킷 수의 컨텐츠를 .pcap 또는 .pcapng 파일에 저장하는 옵션을 사용합니다.
      • 패킷을 .pcap 파일에 저장하려면 --outfile 옵션을 사용합니다.

      • 패킷을 .pcapng 파일에 저장하려면 --ng--outfile 옵션을 사용합니다.

      파일을 Wireshark와 같은 네트워크 분석기 도구에서 열 수 있습니다.

      기본적으로 pktcap-uw 유틸리티는 패킷 파일을 ESXi 파일 시스템의 루트 폴더에 저장합니다.

    4. 패킷 수만 모니터링하려면 --count 옵션을 사용합니다.
  3. --count 옵션을 사용하여 패킷 수를 제한하지 않은 경우 Ctrl+C를 눌러 패킷 캡처 또는 추적을 중지합니다.

vmnic0이 IP 주소 192.168.25.113에서 수신한 패킷 캡처

vmnic0에서 IP 주소 192.168.25.113이 할당된 소스 시스템으로부터 처음 60개 패킷을 캡처하고 vmnic0_rcv_srcip.pcap라는 파일에 저장하려면 다음 pktcap-uw 명령을 실행합니다.

 pktcap-uw --uplink vmnic0 --capture UplinkRcv --srcip 192.168.25.113 --outfile vmnic0_rcv_srcip.pcap --count 60

다음에 수행할 작업

패킷의 컨텐츠가 파일에 저장된 경우 해당 파일을 ESXi 호스트에서 Wireshark와 같은 그래픽 분석기 도구를 실행하는 시스템으로 복사하고 해당 도구에서 열어 패킷 세부 정보를 검토합니다.