Для того чтобы успешно снять дамп траффика с NSX-V Edge необходимо:
1. Зайдите в раздел Networking, пункт Edge Gateways. Выберите Edge, с которого вам необходимо снять траффик и перейдите в пункт меню Services. После этого перейдите на вкладку Edge Settings.
Здесь вам необходимо включить SSH (Enable SSH Status), если ранее он не был включен, задать пароль для пользователя и сохранить изменения. Во всех иных случаях, для безопасности, рекомендуется выключать доступ по SSH до Edge.
2. В меню Services на вкладке Firewall добавьте новое правило (если его нет) до любого доступного из вашей сети интерфейса Edge по порту 22. IP-адреса доступных интерфейсов можно посмотреть в разделе Network – Edges – перейти в нужный Edge – IPUsage.
3. Подключитесь к Edge по SSH с логином и паролем, заданным в пункте 1.
4. Произведите обзор интерфейсов. Регистр имеет значение!
sh interface vNic_0
sh interface vNic_1
sh interface vNic_2
sh interface vNic_3
5. Выберите нужный интерфейс, с которого планируется «запись» трафика.
Включить запись tcp дампа можно командой:
debug packet capture interface интерфейс
6. Остановить запись tcp дампа можно командой:
no debug packet capture interface интерфейс
7. Проверить наличие файлов дампа можно командой:
debug show files
В данном примере создался файл с именем tcpdump_vNic_0.0
8. Далее необходимо отправить файлы с дампом на FTP сервер. Выполнить это можно командой:
debug copy ftp edgegw@0.0.0.0:/ tcpdump_vNic_0.0
где,
edgegw – имя пользователя на FTP сервере
0.0.0.0 – адрес FTP сервера
tcpdump_vNic_0.0 – имя файла дампа, полученного на предыдущем шаге.
9. После выполнения всех операций, рекомендуется удалять файлы дампов, для этого в консоли введите:
debug remove all | dump_filename
где,
all – удалить все имеющиеся файлы дампов
dump_filename – удалить конкретный экземпляр дампа (см. п.7)
10. Скачать файл(ы) дампа с FTP сервера (для скачивания можно воспользоваться программами Cyberduck, WinSCP или FileZilla) и проанализировать их самостоятельно, например, с помощью программы Wireshark