セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

CLI および ASDM 設定例の ASA パケットキャプチャ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco Adaptive Security Device Manager (ASDM)または CLI の望ましいパケットをキャプチャ するために Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)次世代ファイアウォールを設定する方法を記述されています。

著者:Cisco TAC エンジニア。

前提条件

要件

この資料は ASA が完全に機能して、Cisco ASDM か CLI がコンフィギュレーション変更を行なうように設定されると仮定します。

使用するコンポーネント

この資料は特定のハードウェアかソフトウェア バージョンに制限 されません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、次のシスコ製品にも使用できます。

  • Cisco ASA バージョン 9.1(5) および それ 以降

  • Cisco ASDM バージョン 7.2.1

背景説明

パケットキャプチャ プロセスは接続に関する問題を解決するか、または不審 な 行動を監視するとき役立ちます。 さらに、マルチプルインターフェイスのトラフィックの異なる型を分析するために複数のキャプチャを作成できます。

設定

このセクションはこの資料に説明があるパケットキャプチャ 機能を設定するために使用できる情報を提供します。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

設定

: この設定で使用する IP アドレッシング方式はインターネットで合法的にルーティング可能ではないです。 ラボ 環境で使用されるそれらは RFC 1918 アドレスです。

ASDM でパケットキャプチャを設定して下さい

: この設定例は User1 (内部ネットワーク)からの PING の間に Router1 (外部ネットワーク)に送信されるパケットをキャプチャ するために使用されます。

ASDM で ASA のパケットキャプチャ 機能を設定するためにこれらのステップを完了して下さい:

  1. ウィザード > パケットキャプチャ ウィザードにパケットキャプチャ 設定を、示されているように開始するためにナビゲート して下さい:



  2. キャプチャ ウィザードが表示されます。 [Next] をクリックします。



  3. New ウィンドウでは、入トラフィックをキャプチャ するために使用するパラメータを提供して下さい。 入力 インターフェイス選択し、提供されるそれぞれ領域のサブネット マスクと共に、キャプチャ されるべきパケットのソースおよび宛先 IP アドレスを提供して下さい。 また、示されているように ASA が(IP はここに選択されるパケットタイプです)、キャプチャ される パケットタイプを選択して下さい:



    [Next] をクリックします。

  4. 出力 インターフェイスのために『outside』 を選択 し、提供されるそれぞれ領域のサブネット マスクと共に、ソースおよび宛先 IP アドレスを提供して下さい。 ネットワーク アドレス変換(NAT)がファイアウォールで実行された場合、考慮事項にこれを同様に運んで下さい。



    [Next] をクリックします。

  5. キャプチャが起こることができるようにこのデータが必要となるように提供されるそれぞれ領域で適切なパケットサイズおよびバッファサイズを入力して下さい。 また、循環バッファ オプションを使用する場合は、[User circular bugger] チェック ボックスにチェックマークを付けます。 円バッファは決して充満しません。 バッファが最大サイズに達するので、より古いデータは廃棄され、キャプチャは続けます。 この例では、円バッファは使用されません、従ってチェックボックスはチェックされません。



    [Next] をクリックします。

  6. このウィンドウは望ましいパケットがキャプチャ される、キャプチャ されるべきパケットの種類を示しますように ASA で設定する必要がある Access-list を表示し(IP パケットはこの例でキャプチャ されます)。 [Next] をクリックします。



  7. ここに示されているようにパケットキャプチャを、開始するために『Start』 をクリック して下さい:



  8. パケットキャプチャが開始するように、ソースと宛先 IP アドレスの間でフローするパケットが ASA キャプチャ バッファによってキャプチャ されるために内部ネットワークから外部ネットワークを ping するように試みて下さい。

  9. ASA キャプチャ バッファによってキャプチャ されるパケットを表示するために得ますキャプチャ バッファをクリックして下さい。



  10. キャプチャされるパケットは入力および出トラフィック両方のためのこのウィンドウで示されています。 キャプチャ情報を保存するためにキャプチャを『SAVE』 をクリック して下さい。



  11. 保存キャプチャ ウィンドウから、キャプチャ バッファが保存される必要な書式を選択して下さい。 選択可能な形式は、ASCII または PCAP のどちらかです。 形式名の横にあるオプション ボタンをクリックします。 さらに、必要に応じて、[Save ingress capture] または [Save egress capture] をクリックします。 PCAP ファイルはキャプチャ アナライザによって、Wireshark のような開くことができそれは好まれる方法です。



  12. 保存キャプチャ ファイル ウィンドウから、ファイル名およびにキャプチャ ファイルが保存される位置を提供して下さい。 [Save] をクリックします。



  13. [Finish] をクリックします。



    パケット キャプチャの手順は、これで終わりです。

CLI でパケットキャプチャを設定して下さい

CLI で ASA のパケットキャプチャ 機能を設定するためにこれらのステップを完了して下さい:

  1. 正しい IP アドレスおよびセキュリティレベルが付いているネットワークダイアグラムに示すように inside および outside インターフェイスを、設定して下さい。

  2. 特権EXECモードのキャプチャ コマンドでパケットキャプチャ プロセスを開始して下さい。 この設定例では、capin という名前のキャプチャが定義されています。 対象のトラフィックを一致するパケットだけキャプチャ されることそれを内部インターフェイスに結合 し、一致キーワードと規定 して下さい:

    ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255
  3. 同様に、capout という名前のキャプチャが定義されています。 対象のトラフィックを一致するパケットだけキャプチャ されることそれを outside インターフェイスに結合 し、一致キーワードと規定 して下さい:

    ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

    ASA は今インターフェイス間のトラフィックフローをキャプチャ し始めます。 キャプチャをいつでも停止するために、キャプチャ名前によって従われるキャプチャ コマンドを入力しないで下さい。

    次に例を示します。

    no capture capin interface inside
    no capture capout interface outside

ASA の利用可能 なキャプチャ型

このセクションは ASA で利用可能であるキャプチャの異なる型を記述します。

  • asa_dataplane - ASA CX または IPS モジュールのような ASA とバックプレーンを使用するモジュールの間で通る ASA バックプレーンのパケットをキャプチャ します。

    ASA# cap asa_dataplace interface asa_dataplane
    ASA# show capture
    capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]
  • 非対称多重処理システム ドロップするドロップするコード-加速されたセキュリティ パスによって廃棄されるパケットをキャプチャ します。 ドロップするコードは加速されたセキュリティ パスによって廃棄されるトラフィック の 種類を規定 します。

    ASA# capture asp-drop type asp-drop acl-drop
    ASA# show cap
    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown

    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown
  • イーサネット タイプ-イーサネット タイプをキャプチャ するために選択します。 サポートされたイーサネット タイプは 8021Q、ARP、IP、IP6、IPX、LACP、PPPOED、PPPOES、RARP および VLAN が含まれています。

    この例に ARPトラフィックをキャプチャ する方法を示されています:

    ASA# cap arp ethernet-type ?

    exec mode commands/options:
      802.1Q
      <0-65535>  Ethernet type
      arp
      ip
      ip6
      ipx
      pppoed
      pppoes
      rarp
      vlan

    cap arp ethernet-type arp interface inside


    ASA# show cap arp

    22 packets captured

    1: 05:32:52.119485 arp who-has 10.10.3.13 tell 10.10.3.12
    2: 05:32:52.481862 arp who-has 192.168.10.123 tell 192.168.100.100
    3: 05:32:52.481878 arp who-has 192.168.10.50 tell 192.168.100.10

    4: 05:32:53.409723 arp who-has 10.106.44.135 tell 10.106.44.244
    5: 05:32:53.772085 arp who-has 10.106.44.108 tell 10.106.44.248
    6: 05:32:54.782429 arp who-has 10.106.44.135 tell 10.106.44.244
    7: 05:32:54.784695 arp who-has 10.106.44.1 tell 11.11.11.112:
  • 実時間 ディスプレイ リアルタイムの絶えずキャプチャされるパケット。 リアルタイム パケットキャプチャを終えるために、Ctrl-C を押して下さい。 キャプチャを永久削除にするために、このコマンドの no 形式を使用して下さい。 このオプションはクラスタ exec キャプチャ コマンドを使用するときサポートされません。

    ASA# cap capin interface inside real-time

    Warning: using this option with a slow console connection may
    result in an excessive amount of non-displayed packets
    due to performance limitations.


    Use ctrl-c to terminate real-time capture
  • トレース- ASA パケット トレーサー機能と同じようなキャプチャされるパケットをある意味ではトレースします。

    ASA#cap in interface Webserver trace match tcp any any eq 80

    // Initiate Traffic

    1: 07:11:54.670299 192.168.10.10.49498 > 198.51.100.88.80: S
    2322784363:2322784363(0) win 8192
    <mss 1460,nop,wscale 2,nop,nop,sackOK>

    Phase: 1
    Type: CAPTURE
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    MAC Access list

    Phase: 2
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 3
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in 0.0.0.0 0.0.0.0 outside

    Phase: 4
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group any in interface inside
    access-list any extended permit ip any4 any4 log
    Additional Information:

    Phase: 5
    Type: NAT
    Subtype:
    Result: ALLOW
    Config:
    object network obj-10.0.0.0
    nat (inside,outside) dynamic interface
    Additional Information:
    Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498

    Phase: 6
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 7
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: ESTABLISHED
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 10
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 11
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 12
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 13
    Type: FLOW-CREATION
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 41134, packet dispatched to next module

    Phase: 14
    Type: ROUTE-LOOKUP
    Subtype: output and adjacency
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 203.0.113.1 using egress ifc outside
    adjacency Active
    next-hop mac address 0007.7d54.1300 hits 3170

    Result:
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: allow
  • ikev1/ikev2 -キャプチャ インターネット鍵交換バージョンだけ 1 (IKEv1)または IKEv2 プロトコル情報。

  • isakmp - VPN 接続のためのキャプチャ Internet Security Association and Key Management Protocol(ISAKMP) トラフィック。 ISAKMP サブシステムに上位層プロトコルにアクセスできません。 キャプチャは PCAP パーサーを満たすために統合されて物理的 な、IP および UDP 層が擬似キャプチャ、です。 ピアアドレスは SA 交換から得られ、IPレイヤで保存されます。

  • lacp -キャプチャ Link Aggregation Control Protocol (LACP) トラフィック。 もし設定するなら、インターフェイス名は物理インターフェイス名前です。 これは LACP の現在動作を確認するために EtherChannel を使用するとき役立つかもしれません。

  • TLS プロキシ-キャプチャは 1つ以上のインターフェイスの Transport Layer Security (TLS)プロキシからの受信および送信 データを復号化しました。

  • webvpn - WebVPN 特定の接続のキャプチャ WebVPN データ。

    注意: WebVPN キャプチャを有効に するとき、それはセキュリティ アプライアンス モデルのパフォーマンスに影響を及ぼします。 解決するため必要であるキャプチャ ファイルを生成した後キャプチャをディセーブルにするようにして下さい。

デフォルト設定

これらは ASA システムデフォルト値です:

  • デフォルトタイプは未加工のデータです。
  • 既定のバッファー サイズは 512 KB です。
  • デフォルト イーサネット タイプは IP パケットです。
  • デフォルト パケット 長は 1,518 バイトです。

キャプチャされるパケットを表示して下さい

ASA 上で次を実行します。

キャプチャされるパケットを表示するために、キャプチャ名前によって従われた提示キャプチャ コマンドを入力します。 このセクションはキャプチャ バッファ コンテンツの showコマンド出力を提供します。 提示キャプチャ capin コマンドは capin と指名されるキャプチャ バッファのコンテンツを示したものです:

ASA# show cap capin

8 packets captured

1: 03:24:35.526812 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527224 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528247 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528582 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529345 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529681 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:57.440162 192.168.10.10 > 203.0.113.3: icmp: echo request
8: 03:24:57.440757 203.0.113.3 > 192.168.10.10: icmp: echo reply

提示キャプチャ capout コマンドは capout と指名されるキャプチャ バッファのコンテンツを示したものです:

ASA# show cap capout

8 packets captured

1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request
8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply

オフ・ライン分析のための ASA からのダウンロード

分析のためのパケットキャプチャをオフ・ラインでダウンロードする幾つかの方法があります:

  1. ブラウザの https:// <ip_of_asa>/admin/capture/<capture_name>/pcap へのナビゲート。

    ヒントpcap キーワードをそのままにしておく場合、提示キャプチャ <cap_name> コマンド 出力の等量だけ提供されます。

  2. キャプチャをダウンロードするためにコピー キャプチャ コマンドおよび優先 する ファイル 転送 プロトコルを入力して下さい:

    copy /pcap capture:<capture-name> tftp://<server-ip-address>

ヒント: パケットキャプチャの使用で問題を解決するとき、Cisco はオフ・ライン分析のためのキャプチャをダウンロードすることを推奨します。

キャプチャをクリアして下さい

キャプチャ バッファをクリアするために、クリア キャプチャ <capture-name> コマンドを入力して下さい:

ASA# show capture
capture capin type raw-data interface inside [Capturing - 8190 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 11440 bytes]
match icmp any any

ASA# clear cap capin
ASA# clear cap capout

ASA# show capture
capture capin type raw-data interface inside [Capturing - 0 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 0 bytes]
match icmp any any

すべてのキャプチャのためのバッファをクリアするためにキャプチャ /all クリア コマンドを入力して下さい:

ASA# clear capture /all

キャプチャを停止して下さい

ASA のキャプチャを停止する唯一の方法はそれをこのコマンドで完全にディセーブルにすることです:

no capture <capture-name>

Cisco バグ ID CSCuv74549 はキャプチャを完全にそれをディセーブルにしないで停止しキャプチャがトラフィックをキャプチャ し始めるとき、制御する機能を追加するためにファイルされました。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118097