패킷이 vSphere Network Appliance(DVFilter)를 통과할 때 패킷이 어떻게 변하는지 검토합니다.

DVFilter는 가상 시스템 어댑터와 가상 스위치 간의 스트림에 상주하는 에이전트입니다. 패킷을 가로채어 보안 공격 및 원하지 않는 트래픽으로부터 가상 시스템을 보호합니다.

프로시저

  1. (선택 사항) 모니터링할 DVFilter 이름을 찾으려면 ESXi Shell에서 summarize-dvfilter 명령을 실행합니다.
    명령 출력에는 호스트에 배포된 DVFilter의 빠른 경로 에이전트와 느린 경로 에이전트가 포함되어 있습니다.
  2. pktcap-uw 유틸리티를 --dvfilter dvfilter_name 인수 및 특정 시점의 패킷을 모니터링하는 옵션과 함께 실행하고, 캡처한 패킷을 필터링하고, 결과를 파일에 저장합니다. 
    pktcap-uw --dvFilter dvfilter_name --capture PreDVFilter|PostDVFilter [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    여기서 대괄호([])는 pktcap-uw --dvFilter vmnicX 명령의 옵션 항목을 묶고 세로 막대(|)는 대체 값을 나타냅니다.

    1. DVFilter가 패킷을 가로채기 이전 및 이후의 패킷을 모니터링하려면 --capture 옵션을 사용합니다.
      pktcap-uw 명령 옵션 목표
      --capture PreDVFilter 패킷이 DVFilter에 들어가기 이전에 패킷을 캡처합니다.
      --capture PostDVFilter 패킷이 DVFilter를 나간 이후에 패킷을 캡처합니다.
    2. filter_options를 사용하여 소스 및 대상 주소, VLAN ID, VXLAN ID, 계층 3 프로토콜 및 TCP 포트에 따라 패킷을 필터링합니다.
      예를 들어 IP 주소가 192.168.25.113인 소스 시스템에서 패킷을 모니터링하려면 --srcip 192.168.25.113 필터 옵션을 사용합니다.
    3. 각 패킷의 컨텐츠 또는 제한된 패킷 수의 컨텐츠를 .pcap 또는 .pcapng 파일에 저장하는 옵션을 사용합니다.
      • 패킷을 .pcap 파일에 저장하려면 --outfile 옵션을 사용합니다.
      • 패킷을 .pcapng 파일에 저장하려면 --ng--outfile 옵션을 사용합니다.

      파일을 Wireshark와 같은 네트워크 분석기 도구에서 열 수 있습니다.

      기본적으로 pktcap-uw 유틸리티는 패킷 파일을 ESXi 파일 시스템의 루트 폴더에 저장합니다.

    4. 패킷 수만 모니터링하려면 --count 옵션을 사용합니다.
  3. --count 옵션을 사용하여 패킷 수를 제한하지 않은 경우 Ctrl+C를 눌러 패킷 캡처 또는 추적을 중지합니다.

다음에 수행할 작업

패킷의 컨텐츠가 파일에 저장된 경우 해당 파일을 ESXi 호스트에서 Wireshark와 같은 그래픽 분석기 도구를 실행하는 시스템으로 복사하고 해당 도구에서 열어 패킷 세부 정보를 검토합니다.