pktcap-uw pour la capture de paquets sur esxi

Posted on by maxime

Utilisez l’utilitaire pktcap-uw pour inspecter le contenu des paquets pendant qu’ils traversent la pile réseau sur un hôte ESXi.

La syntaxe de la commande pktcap-uw pour la capture des paquets à un emplacement spécifique de la pile réseau est la suivante :

      pktcap-uw
        switch_port_arguments
        capture_point_options
        filter_options
        output_control_options
Note :Certaines options de l’utilitaire pktcap-uw sont prévues pour une utilisation interne de VMware uniquement et vous ne pouvez les utiliser que sous la supervision du support technique de VMware. Ces options ne sont pas décrites dans le guide Mise en réseau vSphere.
Arguments pktcap-uw pour la capture de paquets
Groupe d’arguments Argument Description
switch_port_arguments --uplink vmnicX

Capture de paquets associés à un adaptateur physique.

Vous pouvez combiner les options –uplink et –capture afin de surveiller les paquets à un emplacement spécifique du chemin entre l’adaptateur physique et le commutateur virtuel.

Reportez-vous à Capturer les paquets reçus sur un adaptateur physique.
--vmk vmkX

Capture de paquets associés à un adaptateur VMKernel.

Vous pouvez combiner les options vmk et –capture afin de surveiller les paquets à un emplacement spécifique du chemin entre l’adaptateur VMkernel et le commutateur virtuel.

Reportez-vous à Capturer des paquets pour un adaptateur VMkernel.
--switchport {vmxnet3_port_ID | vmkernel_adapter_port_ID}

Capture de paquets associés à un adaptateur de machine virtuelle VMXNET3 ou à un adaptateur VMkernel connecté à un port du commutateur virtuel spécifique. Vous pouvez afficher l’ID du port sur le panneau Mise en réseau de l’utilitaire esxtop.

Vous pouvez combiner les options switchport et capture afin de surveiller les paquets à un emplacement spécifique du chemin entre l’adaptateur VMXNET3 ou VMkernel et le commutateur virtuel.

Reportez-vous à Capturer des paquets pour un adaptateur de machine virtuelle VMXNET3.
--lifID lif_ID

Capture de paquets associés à l’interface logique d’un routeur distribué. Voir la documentation VMware NSX.
capture_point_options --capture capture_point Capture de paquets à un emplacement spécifique de la pile réseau. Par exemple, vous pouvez surveiller des paquets à leur arrivée en provenance d’un adaptateur physique.
–dir {0|1}

Capture de paquets selon la direction du flux applicable au commutateur virtuel.

0 représente le trafic entrant et 1 le trafic sortant.

Par défaut, l’utilitaire pktcap-uw capture le trafic d’entrée.

Utilisez l’option –dir en même temps que l’option –uplink–vmk ou –switchport.
–stage {0|1}

Capture du paquet le plus proche de sa source ou de sa destination. Utilisez cette option pour vérifier le changement d’un module à mesure qu’il traverse les points de la pile.

0 représente le trafic le plus proche de la source et 1 le trafic le plus proche de la destination.

Utilisez l’option –stage en même temps que l’option –uplink–vmk–switchport ou –dvfilter.
--dvfilter filter_name --capture PreDVFilter|PostDVFilter Capture de paquets avant ou après leur interception par un vSphere Network Appliance (DVFilter). Reportez-vous à Capturer des paquets au niveau de DVFilter.
-A | –availpoints Afficher tous les points de capture pris en charge par l’utilitaire pktcap-uw.

Pour plus d’informations sur les points de capture de l’utilitaire pktcap-uw, voir Points de capture de l’utilitaire pktcap-uw.
filter_options Filtrer les paquets capturés en fonction de l’adresse source ou de destination, de l’ID VLAN, de l’ID VXLAN, du protocole de couche 3 et du port TCP. Reportez-vous à Options de pktcap-uw pour le filtrage de paquets.
output_control_options Enregistrement du contenu d’un paquet dans un fichier, capture uniquement un certain nombre de paquets, capture d’un certain nombre d’octets au début du paquet, etc. Reportez-vous à Options de pktcap-uw pour le contrôle de sortie.

Les barres verticales | représentent des valeurs alternatives et les accolades {} utilisées avec les barres verticales permettent de spécifier une liste de choix pour un argument ou une option.

 

Capturer des paquets pour un adaptateur de machine virtuelle VMXNET3

Surveillez le trafic transmis entre un commutateur virtuel et un adaptateur de machine virtuelle VMXNET3 à l’aide de l’utilitaire pktcap-uw.

Vous pouvez spécifier un point de capture spécifique dans le chemin d’accès de données entre un commutateur virtuel et un adaptateur de machine virtuelle. Vous pouvez également déterminer un point de capture par direction du trafic en fonction du commutateur et de la proximité de la source ou de la destination du paquet. Pour plus d’informations sur les points de capture pris en charge, consultez Points de capture de l’utilitaire pktcap-uw.

Conditions préalables

Vérifiez que l’adaptateur de machine virtuelle est de type VMXNET3.

Procédure

  1. Sur l’hôte, découvrez l’ID de port de l’adaptateur de machine virtuelle à l’aide de l’utilitaire esxtop.
    1. Dans ESXi Shell sur l’hôte, pour démarrer l’utilitaire, exécutez esxtop.
    2. Appuyez sur N pour passer au panneau de réseau de l’utilitaire.
    3. Dans la colonne USED-BY, recherchez l’adaptateur de la machine virtuelle et notez la valeur PORT-ID correspondante.
      Le champ USED-BY contient le nom de la machine virtuelle et le port auquel l’adaptateur de machine virtuelle est connecté.
    4. Appuyez sur Q pour quitter esxtop.
  2. Dans ESXi Shell sur l’hôte, exécutez pktcap-uw--switchportport_ID.
    port_ID est l’ID que l’utilitaire esxtop affiche pour l’adaptateur de machine virtuelle dans la colonne PORT-ID.
  3. Dans ESXi Shell sur l’hôte, exécutez la commande pktcap-uw avec l’argument --switchport port_ID avec des options permettant de surveiller les paquets à un point spécifique, de filtrer les paquets capturés et d’enregistrer les résultats dans un fichier.
    pktcap-uw –switchport port_ID [–capturecapture_point|–dir 0|1 –stage 0|1] [filter_options] [–outfile pcap_file_path [–ng]] [–countnumber_of_packets]

    où les options de la commande pktcap-uw--switchportport_ID se trouvent entre crochets [] et où les barres verticales | représentent des valeurs alternatives.

    Si vous exécutez la commande pktcap-uw--switchportport_ID sans option, vous obtenez le contenu des paquets entrants sur le commutateur standard ou distribué dans la sortie de la console au point auquel ils sont commutés.

    1. Pour vérifier les paquets à un autre point de capture ou dans une autre direction sur le chemin d’accès entre le système d’exploitation invité et le commutateur virtuel, utilisez l’option –capture ou combinez les valeurs des options –dir et –stage.
      Options de commande pktcap-uw Objectif
      --capture Vmxnet3Tx Surveillez les paquets lorsqu’ils passent de la machine virtuelle au commutateur.
      --capture Vmxnet3Rx Surveillez les paquets lorsqu’ils arrivent à la machine virtuelle.
      –dir 1 –stage 0 Surveiller les paquets immédiatement après leur sortie du commutateur virtuel.
      –dir 1 Surveillez les paquets immédiatement avant leur entrée dans la machine virtuelle.
      –dir 0 –stage 1 Surveillez les paquets immédiatement après leur entrée dans le commutateur virtuel.
    2. Utilisez filter_options pour filtrer les paquets en fonction de l’adresse source et de destination, de l’ID VLAN, de l’ID VXLAN, du protocole de couche 3 et du port TCP.
      Par exemple, pour surveiller les paquets en provenance d’un système source portant l’adresse IP 192.168.25.113, utilisez l’option de filtrage --srcip 192.168.25.113.
    3. Utilisez des options permettant d’enregistrer le contenu de chaque paquet ou le contenu d’un nombre limité de paquets dans un fichier .pcap ou .pcapng.
      • Pour enregistrer les paquets dans un fichier .pcap, utilisez l’option –outfile.
      • Pour enregistrer les paquets dans un fichier .pcapng, utilisez les options –ng et –outfile.

      Vous pouvez ouvrir le fichier dans un outil d’analyse de paquets réseau tel que Wireshark.

      Par défaut, l’utilitaire pktcap-uw enregistre les fichiers de paquets dans le dossier racine du système de fichiers ESXi.

    4. Utilisez l’option –count pour surveiller uniquement un certain nombre de paquets.
  4. Si vous n’avez pas limité le nombre de paquets à l’aide de l’option –count, appuyez sur Ctrl+C pour arrêter la capture ou le suivi de paquets.

Capturer les paquets reçus par une machine virtuelle en provenance d’une adresse IP 192.168.25.113

Pour capturer les 60 premiers paquets d’une source à laquelle l’adresse IP 192.168.25.113 est attribuée lorsqu’ils arrivent à l’adaptateur de machine virtuelle avec l’ID de port 33554481 et les enregistrer dans un fichier appelé vmxnet3_rcv_srcip.pcap, exécutez la commande pktcap-uw suivante :

pktcap-uw –switchport 33554481 –capture Vmxnet3Rx –srcip 192.168.25.113 –outfile vmxnet3_rcv_srcip.pcap –count 60

Que faire ensuite

Si le contenu du paquet est enregistré dans un fichier, copiez le fichier à partir de l’hôte ESXi dans le système qui exécute l’outil d’analyse graphique, tel que Wireshark, et ouvrez-le dans l’outil pour examiner les détails des paquets.

Source

Source