透過擷取 vSphere Standard Switch 或 vSphere Distributed Switch 與實體介面卡之間路徑中的特定點處的封包,來監控與外部網路相關的主機流量。

執行這項作業的原因和時機

您可以在虛擬交換器和實體介面卡之間的資料路徑中指定特定擷取點,或依與交換器相關的流量方向和與封包來源或目的地的接近度來判定擷取點。如需受支援的擷取點的相關資訊,請參閱 pktcap-uw 公用程式的擷取點

程序

  1. (選擇性) ︰ 在主機介面卡清單中尋找要監控的實體介面卡的名稱。
    • vSphere Web Client 中,在主機的設定索引標籤上,展開網路,然後選取實體介面卡

    • 在主機相對應的 ESXi Shell 中,若要檢視實體介面卡清單並檢查其狀態,請執行下列 ESXCLI 命令:

      esxcli network nic list
      

    每個實體介面卡表示為 vmnicXXESXi 指派給實體介面卡連接埠的編號。

  2. 在主機相對應的 ESXi Shell 中,執行具有 --uplink vmnicX 引數和選項的 pktcap-uw 命令,來監控特定點的封包、篩選擷取的封包並將結果儲存到檔案。
    pktcap-uw --uplink vmnicX [--capture capture_point|--dir 0|1]  [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    其中方括弧 [] 會括住 pktcap-uw --uplink vmnicX 命令的選項,分隔號 | 表示備用值。

    如果執行沒有選項的 pktcap-uw --uplink vmnicX 命令,您將在封包交換點處,於主控台輸出中取得傳入標準交換器或分散式交換器的封包內容。

    1. 使用 --capture 選項檢查其他擷取點處的封包,或使用 --dir 選項檢查其他流量方向的封包。

      pktcap-uw 命令選項

      目標

      --capture UplinkSnd

      在封包即將進入實體介面卡裝置時進行監控。

      --capture UplinkRcv

      在封包從實體介面卡進入網路堆疊後立即進行監控。

      --dir 1

      監控離開虛擬交換器的封包。

      --dir 0

      監控進入虛擬交換器的封包。

    2. 使用 filter_options,根據來源位址和目的地位址、VLAN 識別碼、VXLAN 識別碼、第 3 層通訊協定和 TCP 連接埠對封包進行篩選。

      例如,若要監控來源系統 (其 IP 位址為 192.168.25.113) 中的封包,請使用 --srcip 192.168.25.113 篩選器選項。

    3. 使用這些選項將每個封包的內容或限制數量之封包的內容儲存到 .pcap.pcapng 檔案中。
      • 若要將封包儲存到 .pcap 檔案,請使用 --outfile 選項。

      • 若要將封包儲存到 .pcapng 檔案,請使用 --ng--outfile 選項。

      可以透過網路分析器工具 (例如 Wireshark) 開啟檔案。

      依預設,pktcap-uw 公用程式會將封包檔案儲存到 ESXi 檔案系統的根資料夾中。

    4. 使用 --count 選項將僅監控一些封包。
  3. 如果您尚未透過使用 --count 選項限制封包的數目,請按 Ctrl+C 來停止擷取或追蹤封包。

擷取從 IP 位址 192.168.25.113 到達 vmnic0 的封包

若要擷取從已指派 IP 位址 192.168.25.113 的來源系統到達 vmnic0 的前 60 個封包,並將其儲存到名為 vmnic0_rcv_srcip.pcap 的檔案,請執行下列 pktcap-uw 命令:

 pktcap-uw --uplink vmnic0 --capture UplinkRcv --srcip 192.168.25.113 --outfile vmnic0_rcv_srcip.pcap --count 60

下一步

如果封包內容已儲存至檔案,則將該檔案從 ESXi 主機複製到執行圖形分析器工具 (例如 Wireshark) 的系統,然後透過此工具開啟檔案,以檢查封包詳細資料。