مشاهده ترافیک در کارت شبکه های مجازی VMware ESXi از طریق ابزار tcpdump

در این راهنما روش آسانی را برای مانیتور ترافیکی که از هر کارت شبکه مجازی در زیرساخت VMware سازمان شما ( زیرساخت مجازی ) عبور می کند ، آموزش خواهیم داد. مشاهده دقیق ترافیک بر روی هر کارت شبکه به ما کمک می کند در زمان Troubleshooting سریع تر به علت به وجود آمدن مشکلات شبکه ای پی ببریم. ( در اینجا منظور از مانیتور این است که ببینیم در درون هر Packet چه اِلِمان هایی وجود دارد )

مشاهده ترافیک در کارت شبکه های مجازی VMware ESXi از طریق ابزار tcpdump

قبل از این که روش استفاده از ابزار tcpdump را آموزش دهیم ، توجه شما را به این نکته جلب می کنیم که این ابزار تنها برای مشاهده پکت هایی کاربرد دارد که ترافیک آن ها بر روی آداپتورهای VMkernel قرار دارد.

به منظور بهره وری از tcpdump ابتدا می بایست مشخص کنیم که قصد مشاهده ترافیک را در کدام اینترفیس VMkernel داریم؟ همان طور که می دانید ، این امکان وجود دارد که با استفاده از دستور esxcfg-vmnix –l لیست اینترفیس های VMkernel را مشاهده کنیم. برای مثال در تصویر زیر خروجی این دستور بر روی محیط تست آزمایشگاه تک تیک نمایش داده شده است :

در این راهنما من قصد مشاهده ترافیک بر روی اینترفیس vMotion را دارم. همان طور که در تصویر بالا مشخص شده است ترافیک vMotion از روی اینترفیس با نام vmk3 در این سناریو عبور می کند. دستور مورد استفاده برای مشاهده ترافیک بر روی این اینترفیس می تواند چیزی شبیه tcpdump-uw باشد. اما uw به چه معناست؟ uw در واقع سرنام عبارت user world است. لازم به ذکر است که اعمال دستور به صورت tcpdump-uw vmk3 کافی است. اما در اینجا به شما سوئیچ هایی را آموزش خواهیم داد تا از این طریق نتیجه نمایش داده شده کوتاه و خلاصه نشود. به این منظور توصیه می شود که حتما از سوئیچ –s 0 استفاده نمایید. همچنین سوئیچ پیشنهادی دیگر –nn می باشد که مشخص کننده این موضوع خواهد بود که به جای عددهای آدرس آی پی Computer Name نمایش داده نشود و به جای شماره پورت نیز نام سرویس نمایش داده نشود. حال اگر کلید Enter را بفشارید فرآیند نمایش ترافیک و محتوای بسته ها آغاز می شود.

در اینجا به دلیل اینکه محیط ما یک محیط آزمایشگاهی می باشد هیچ ترافیکی بر روی اینترفیس vMotion وجود ندارد. در نتیجه در حالت عادی ترافیکی نمایش داده نشده است. اکنون برای اینکه بتوانیم نحوه نمایش محتویات بسته ها را در زمان استفاده از tcpdump به شما نمایش دهیم ، به صورت امتحانی از یک سرور دیگر اینترفیس مذکور را Ping کردم و نتایج مانند تصویر زیر بود :

اکنون آموختیم که روش مشاهده محتویات بسته ها بسیار آسان است. اگر چه شما می توانید فیلترهای بسیاری را بر روی آن ها مانند سوئیچ هایی که به شما آموختیم اعمال نمایید. برای مثال به عنوان یک تکلیف می توانید به دنبال این موضوع باشید که با چه دستوری تنها می توانید پکت هایی را نمایش دهید که از پورت ۸۰ استفاده می کنند. یا اینکه با افزودن کدام سوئیچ MAC Address مبدا و مقصد به نتایج اجرای دستور افزوده خواهد شد؟