檢查封包傳遞 vSphere Network Appliance (DVFilter) 時如何變更。

執行這項作業的原因和時機

DVFilter 是位於虛擬機器介面卡和虛擬交換器之間的串流內的代理程式。它們攔截封包,以避免虛擬機器遭受安全性攻擊和進入有害流量。

程序

  1. (選擇性) ︰ 若要尋找要監控的 DVFilter 的名稱,請在 ESXi Shell 中執行 summarize-dvfilter 命令。

    命令輸出包含主機上部署的 DVFilter 的快速路徑和慢速路徑代理程式。

  2. 執行具有 --dvfilter dvfilter_name 引數和選項的 pktcap-uw 公用程式,來監控特定點的封包、篩選擷取的封包並將結果儲存到檔案。
    pktcap-uw
    						--dvFilter
    						dvfilter_name
    						--capture PreDVFilter|PostDVFilter [filter_options] [--outfile
    						pcap_file_path [--ng]] [--count
    						number_of_packets]

    其中方括弧 [] 會括住 pktcap-uw --dvFilter vmnicX 命令的選用項目,分隔號 | 表示備用值。

    1. 使用 --capture 選項在 DVFilter 攔截封包之前或之後監控封包。

      pktcap-uw 命令選項

      目標

      --capture PreDVFilter

      在封包進入 DVFilter 之前擷取封包。

      --capture PostDVFilter

      在封包離開 DVFilter 之後擷取封包。

    2. 使用 filter_options,根據來源位址和目的地位址、VLAN 識別碼、VXLAN 識別碼、第 3 層通訊協定和 TCP 連接埠對封包進行篩選。

      例如,若要監控來源系統 (其 IP 位址為 192.168.25.113) 中的封包,請使用 --srcip 192.168.25.113 篩選器選項。

    3. 使用這些選項將每個封包的內容或限制數量之封包的內容儲存到 .pcap.pcapng 檔案中。
      • 若要將封包儲存到 .pcap 檔案,請使用 --outfile 選項。

      • 若要將封包儲存到 .pcapng 檔案,請使用 --ng--outfile 選項。

      可以透過網路分析器工具 (例如 Wireshark) 開啟檔案。

      依預設,pktcap-uw 公用程式會將封包檔案儲存到 ESXi 檔案系統的根資料夾中。

    4. 使用 --count 選項將僅監控一些封包。
  3. 如果您尚未透過使用 --count 選項限制封包的數目,請按 Ctrl+C 來停止擷取或追蹤封包。

下一步

如果封包內容已儲存至檔案,則將該檔案從 ESXi 主機複製到執行圖形分析器工具 (例如 Wireshark) 的系統,然後透過此工具開啟檔案,以檢查封包詳細資料。