安全 : Cisco ASA 5500 系列自适应安全设备

有CLI和ASDM配置示例的ASA数据包捕获

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何配置思科可适应安全工具(ASA)下一代防火墙为了获取有Cisco Adaptive Security Device Manager (ASDM)或CLI的所需的信息包。

由思科 TAC 工程师撰稿。

先决条件

要求

本文假设, ASA是完全能操作的和配置为了允许思科ASDM或CLI做配置更改。

使用的组件

本文没有限制对特定的硬件或软件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置也可用于以下 Cisco 产品:

  • Cisco ASA版本9.1(5)和以上

  • Cisco ASDM版本7.2.1

背景信息

当您排除故障连接问题或监控可疑活动时,数据包捕获进程是有用的。另外,您能创建多次捕获为了分析在多个接口的不同类型的流量。

配置

此部分提供您能使用为了配置数据包捕获功能在本文描述的信息。

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

配置

注意:在此配置方面使用的IP寻址机制不是合法可路由的在互联网。他们是在实验室环境使用的RFC 1918地址。

配置有ASDM的数据包捕获

注意:此配置示例用于为了获取传送在从User1的数据包(网络内部)的一ping期间对Router1 (外部网络)。

完成这些步骤为了配置在ASA的数据包捕获功能与ASDM :

  1. 导航到向导>数据包捕获向导为了开始数据包捕获配置,如显示:



  2. 将打开捕获向导。单击 Next



  3. 在新窗口,请提供使用为了捕获入口流量的参数。选择入口接口的里面并且提供来源和与他们的子网掩码一起将捕获的,数据包的目的地IP地址,在提供的各自空间。并且,请选择ASA将捕获的数据包类型(IP是选择的数据包类型此处),如显示:



    单击 Next

  4. 选择出口接口的外部并且与他们的子网掩码一起提供来源和目的地IP地址,在提供的各自空间。如果网络地址转换(NAT)在防火墙执行,请考虑到此。



    单击 Next

  5. 输入适当的数据包大小缓冲区大小在提供的各自空间,此数据要求为了捕获能发生。此外,如果要使用循环缓冲区选项,请记住选中 Use circular buffer 复选框。圆的缓冲区从未得填满。因为缓冲区到达其最大大小,更旧的数据丢弃,并且捕获继续。在本例中,没有使用圆的缓冲区,因此复选框没有被检查。



    单击 Next

  6. 此窗口表示在ASA必须配置的访问列表,以便所需的信息包捕获,并且显示将捕获的数据包种类(IP信息包在本例中捕获)。单击 Next



  7. 点击开始为了开始数据包捕获,如显示此处:



  8. 数据包捕获开始,请尝试ping从网络内部的外部网络,以便流在来源和目的地IP地址之间的数据包由ASA捕获缓冲区捕获。

  9. 单击获得捕获缓冲区为了显示由ASA捕获缓冲区捕获的数据包。



  10. 获取数据包在入口出口流量的此窗口显示。点击保存捕获为了保存捕获信息。



  11. 保存捕获窗口,请选择捕获缓冲区将保存的需要的格式。可以是 ASCII 或 PCAP。单击格式名称旁边的单选按钮。然后,根据需要单击 Save ingress capture 或 Save egress capture。PCAP文件可以用捕获分析器打开,例如Wireshark,并且它是首选方法。



  12. 保存捕获文件窗口,请提供文件名和捕获文件将保存的位置给。单击 Save



  13. 单击 完成



    这便完成了数据包捕获过程。

配置有CLI的数据包捕获

完成这些步骤为了配置在ASA的数据包捕获功能与CLI :

  1. 配置内部和外部接口如网络图所示,与正确IP地址和安全等级。

  2. 开始数据包捕获进程用capture命令在特权EXEC模式。在此配置示例中,将定义名为 capin 的捕获。绑定它对内部接口,并且指定与匹配关键字匹配流量利益仅的数据包捕获:

    ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255
  3. 同样地,定义名为 capout 的捕获。绑定它对外部接口,并且指定与匹配关键字匹配流量利益仅的数据包捕获:

    ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

    ASA当前开始捕获在接口之间的通信流。为了在任何时间终止捕获,请输入捕获名称跟随的没有capture命令

    示例如下:

    no capture capin interface inside
    no capture capout interface outside

在ASA的可用的捕获类型

此部分描述是可用的在ASA的不同种类的捕获。

  • asa_dataplane -获取通过在ASA和一个模块之间使用背板,例如ASA CX或IPS模块在ASA背板的数据包。

    ASA# cap asa_dataplace interface asa_dataplane
    ASA# show capture
    capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]
  • asp丢弃丢弃代码-获取由加速的安全路径丢弃的数据包。丢弃代码指定由加速的安全路径丢弃的流量类型。

    ASA# capture asp-drop type asp-drop acl-drop
    ASA# show cap
    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown

    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown
  • 以太网类型类型-选择以太网类型捕获。支持的以太网类型包括8021Q、ARP、IP、IP6、IPX、LACP、PPPOED、PPPOES、RARP和VLAN。

    此示例显示如何捕获ARP流量

    ASA# cap arp ethernet-type ?

    exec mode commands/options:
      802.1Q
      <0-65535>  Ethernet type
      arp
      ip
      ip6
      ipx
      pppoed
      pppoes
      rarp
      vlan

    cap arp ethernet-type arp interface inside


    ASA# show cap arp

    22 packets captured

    1: 05:32:52.119485 arp who-has 10.10.3.13 tell 10.10.3.12
    2: 05:32:52.481862 arp who-has 192.168.10.123 tell 192.168.100.100
    3: 05:32:52.481878 arp who-has 192.168.10.50 tell 192.168.100.10

    4: 05:32:53.409723 arp who-has 10.106.44.135 tell 10.106.44.244
    5: 05:32:53.772085 arp who-has 10.106.44.108 tell 10.106.44.248
    6: 05:32:54.782429 arp who-has 10.106.44.135 tell 10.106.44.244
    7: 05:32:54.784695 arp who-has 10.106.44.1 tell 11.11.11.112:
  • 实时显示持续获取数据包在实时。为了终止一实时数据包捕获,请按ctrl-c。为了永久性删除捕获,请使用此命令no表示。此选项,当您使用capture命令时,集群的exec不支持。

    ASA# cap capin interface inside real-time

    Warning: using this option with a slow console connection may
    result in an excessive amount of non-displayed packets
    due to performance limitations.


    Use ctrl-c to terminate real-time capture
  • Trace -跟踪获取数据包有些类似于ASA数据包跟踪程序功能。

    ASA#cap in interface Webserver trace match tcp any any eq 80

    // Initiate Traffic

    1: 07:11:54.670299 192.168.10.10.49498 > 198.51.100.88.80: S
    2322784363:2322784363(0) win 8192
    <mss 1460,nop,wscale 2,nop,nop,sackOK>

    Phase: 1
    Type: CAPTURE
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    MAC Access list

    Phase: 2
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 3
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in 0.0.0.0 0.0.0.0 outside

    Phase: 4
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group any in interface inside
    access-list any extended permit ip any4 any4 log
    Additional Information:

    Phase: 5
    Type: NAT
    Subtype:
    Result: ALLOW
    Config:
    object network obj-10.0.0.0
    nat (inside,outside) dynamic interface
    Additional Information:
    Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498

    Phase: 6
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 7
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: ESTABLISHED
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 10
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 11
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 12
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 13
    Type: FLOW-CREATION
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 41134, packet dispatched to next module

    Phase: 14
    Type: ROUTE-LOOKUP
    Subtype: output and adjacency
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 203.0.113.1 using egress ifc outside
    adjacency Active
    next-hop mac address 0007.7d54.1300 hits 3170

    Result:
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: allow
  • ikev1/ikev2 -捕获仅互联网密钥交换版本1 (IKEv1)或IKEv2协议信息。

  • isakmp-捕获VPN连接的互联网安全协会和密钥管理协议(ISAKMP)流量。ISAKMP子系统不访问上层协议。捕获是一个假捕获,当物理, IP和UDP层联合起来为了满足PCAP分析程序。对等地址从SA交换在IP层得到和存储。

  • lacp -捕获链路汇聚控制协议(LACP)流量。若被设定,接口名称是物理接口名称。当您与EtherChannel一起使用为了识别LACP时,当前工作情况这也许是有用的。

  • tls代理-捕获解密从传输层安全(TLS)代理的入站和出站通信一个或更多接口的。

  • WebVPN -捕获WebVPN数据为一特定WebVPN连接。

    警告:当您启用WebVPN捕获时,影响安全工具的性能。保证您禁用捕获,在您生成是需要的为了排除故障的捕获文件后。

默认设置

这些是ASA系统默认默认值:

  • 默认类型是原始数据
  • 默认缓冲区大小512 KB
  • 默认以太网类型IP信息包
  • 默认数据包长度1,518个字节

显示获取数据包

在ASA

为了显示获取数据包,输入捕获名称跟随的显示capture命令。此部分提供捕获缓冲区内容的show命令输出显示捕获capin命令显示名为capin的捕获缓冲区的内容:

ASA# show cap capin

8 packets captured

1: 03:24:35.526812 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527224 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528247 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528582 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529345 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529681 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:57.440162 192.168.10.10 > 203.0.113.3: icmp: echo request
8: 03:24:57.440757 203.0.113.3 > 192.168.10.10: icmp: echo reply

显示捕获capout命令显示名为capout的捕获缓冲区的内容:

ASA# show cap capout

8 packets captured

1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request
8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply

从ASA的下载脱机分析的

有两三个方式下载脱机的分析的数据包捕获:

  1. 导航对在所有浏览器的https:// <ip_of_asa>/admin/capture/<capture_name>/pcap

    提示:如果留下pcap关键字,则提供显示捕获<cap_name>命令输出的仅等同。

  2. 输入copy capture命令和您的首选的文件传输协议为了下载捕获:

    copy /pcap capture:<capture-name> tftp://<server-ip-address>

提示:当您排除故障与使用的一个问题数据包捕获时,思科建议您下载脱机分析的捕获。

清除捕获

为了清楚捕获缓冲区,请输入clear capture <capture-name>命令:

ASA# show capture
capture capin type raw-data interface inside [Capturing - 8190 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 11440 bytes]
match icmp any any

ASA# clear cap capin
ASA# clear cap capout

ASA# show capture
capture capin type raw-data interface inside [Capturing - 0 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 0 bytes]
match icmp any any

输入clear capture /all命令为了清楚所有捕获的缓冲区:

ASA# clear capture /all

终止捕获

终止在ASA的一个捕获的唯一方法是禁用它完全用此命令:

no capture <capture-name>

Cisco Bug ID CSCuv74549是被归档的添加能力终止捕获没有完全禁用它和控制,当捕获开始捕获流量时。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。



Document ID: 118097