转载请在文首保留原文出处：EMC中文支持论坛https://community.emc.com/go/chinese

Pktcap-uw是一款增强型数据包捕获和分析工具，它用于替代传统的tcpdump-uw工具。该工具功能非常强大，可以用于监控流经物理网络适配器、VMkernel 适配器和虚拟机适配器的流量。默认包含在vSphere 5.5系统中，本文将介绍pktcap-uw工具的一些常用使用技巧。

• VMware vSphere 5.5常用排错技巧 （一）：日志收集
• VMware vSphere 5.5常用排错技巧 （二）：常用命令集
• VMware vSphere 5.5常用排错技巧 （三）：抓包分析工具PKTCAP-UX常用技巧

传统的vSphere虚拟机抓包工具tcpdump-uw只能捕获VMkernel适配器上的包和帧，无法抓取虚拟交换机、上行链路或虚拟端口上的数据。新pktcap-uw工具可以捕捉虚拟机上更大范围的数据包，提高故障排除的机率。

本文将实例演示通过pktcap-uw工具捕捉VMNIC端口、VNIC端口和VMKNIC端口的数据包。

演示准备工作

1、在通过命令行登录到vSphere虚拟机之前，先确保虚拟机SSH的Daemon选项正常运行。在VMware vSphere Web Client点击：vSphere主机 > Manage > Settings > Security Profile > Services，点击Edit，在弹出窗口确认SSH的Daemon是否处于running状态。如果该选项状态为Stopped，可以通过点击start启动虚拟机远程登录功能。具体操作请参考下图：

2、通过命令pktcap-uw 杊elp，可以查看pktcap-uw工具的具体语法。

通过pktcap-uw工具捕获vmnic端口数据包演示

下图演示了如何通过pktcap-uw工具捕获vmnic0端口的60个数据包，并生成pcap文件用于故障分析的步骤。

通过pktcap-uw工具捕获VNIC端口数据包演示

在抓取VNIC端口数据包前，需要先通过命令ESXTOP查看VNIC端口ID号。具体演示见下图，红框部分为端口ID号。

在获取到VNIC端口ID号后，下图演示了如何通过pktcap-uw工具捕获VNIC端口的25个数据包，并生成pcap文件用于故障分析的步骤。

通过pktcap-uw工具捕获VMKNIC端口数据包演示

下图演示了如何通过pktcap-uw工具捕获VMKNIC端口的25个数据包，并生成pcap文件用于故障分析的步骤。

在完成以上操作后，可以通过WINSCP工具将已经生成的抓包文件拷贝到本地磁盘进行分析。

通过pktcap-uw工具捕捉VMNIC端口、VNIC端口和VMKNIC端口的数据包。