封包監視器 (Pktmon) 是適用於 Windows 的隨附跨元件網路診斷工具。 它可用於封包擷取、封包捨棄偵測、封包篩選和計數。 此工具在虛擬化案例中特別有用,例如容器網路和 SDN,因為它可在網路堆疊內提供可見度。 它可透過 pktmon.exe 命令以及 Windows Admin Center 擴充功能內建提供。
概觀
透過網路通訊的任何機器至少有一張網路介面卡。 此介面卡與應用程式之間的所有元件都會形成網路堆疊:一組處理和移動網路流量的網路元件。 在傳統案例中,網路堆疊很小,而且所有封包路由和切換都會在外部裝置中發生。
不過,隨著網路虛擬化的出現,網路堆疊的大小已加乘數倍。 此延伸的網路堆疊現在包含負責封包處理和切換的虛擬交換器等元件。 這種彈性的環境可提供更好的資源使用率和安全性隔離,但也為難以診斷的設定錯誤留下更多空間。 封包監視器可在網路堆疊中提供增強的可見度,通常會需要這些可見度來找出這些錯誤。
封包監視器會攔截整個網路堆疊中多個位置的封包,並公開封包路由。 如果網路堆疊中支援的元件丟棄封包,封包監視器會報告該封包的丟棄情況。 這可讓使用者區分為封包預定目的地的元件,以及干擾封包的元件。 此外,封包監控器報告封包丟棄原因:例如,MTU 不符或已篩選的 VLAN 等等。這些丟棄原因提供問題的根本原因,而不需要耗盡所有可能性。 封包監視器還會為每個攔截點提供封包計數器,讓您能夠在不需要耗時進行日誌分析的情況下,進行高層次的封包流量檢查。
最佳做法
使用這些最佳做法來簡化您的網路分析。
- 檢查命令列說明中的參數和功能 (
pktmon /?)。 - 設定符合您案例的封包篩選條件 (pktmon 篩選新增)。
- 在實驗期間,檢查封包計數器以進行高階檢視 (pktmon 計數器)。
- 查看記錄以取得詳細分析 (pktmon 格式 pktmon.etl)。
功能
封包監視器提供下列功能:
- 在網路堆疊的多個位置進行封包監視和計數
- 在多個堆疊位置的封包捨棄偵測
- 具有封裝支援的彈性運行時封包篩選
- 一般記錄和追蹤支援 (ETW 和 WPP 事件)
- 以 TcpDump 封包剖析為基礎的 TXT 記錄分析
- 多種記錄模式:即時、大容量記憶體、多檔案、循環
- 乙太網路、Wi-Fi 和行動寬頻媒體類型支援
- PCAPNG 格式支援
開始使用封包監視器
下列資源可協助您開始使用封包監視器。
Pktmon 命令語法和格式
封包監視器是內建的,可在 Vibranium OS 上透過 pktmon.exe 命令 (組建 19041) 使用。
Windows Admin Center 中的封包監視擴充功能
封包監視延伸模組可讓您透過 Windows Admin Center 操作和使用封包監視器。 延伸模組可協助您診斷網路,透過網路堆疊擷取和顯示網路流量,並以易於檢視和編輯的記錄檔顯示。
Windows Admin Center 中的 SDN 資料路徑診斷擴充功能
SDN 資料路徑診斷是 Windows Admin Center SDN 監視延伸模組內的工具。 此工具會根據各種 SDN 案例自動執行基於封包監視器的封包擷取,並以便於遵循和操作的單一視圖呈現輸出。
Microsoft 網路監視器 (Netmon) 支援
封包監視器會以 ETL 格式產生記錄。 您可以使用 Microsoft 網路監視器 (Netmon) 透過特殊的剖析器分析這些記錄。
Wireshark (pcapng 格式) 支援
封包監視器可以將記錄轉換成 pcapng 格式。 您可以使用 Wireshark (或任何 pcapng 分析器) 來分析這些記錄。
提供意見反應給工程小組
使用下列步驟,透過意見反應中樞回報任何錯誤或提供意見反應:
從 [開始] 功能表中啟動 [意見反應中樞]。
選取 [回報問題] 按鈕或 [建議功能] 按鈕。
在 [摘要您的問題] 方塊中提供有意義的意見反應標題。
在 [提供更多詳細資訊] 方塊中提供重現問題的詳細資訊和步驟。
選取 [網路和網際網路] 作為頂端類別,然後選取 [封包監視器r (pktmon.exe)] 作為子類別。
為了協助我們更快識別並修正錯誤,請擷取螢幕截圖、附加 pktmon 的輸出記錄,以及/或重新建立問題。
選取 提交。