المقدمة
يصف هذا وثيقة كيف أن يشكل ويجمع ربط على ال cisco بريد إلكتروني أمن تطبيق (ESA) ل شبكة يتحرى.
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المخاطر والشروط الأساسية الهامة
- يمكن أن تتسبب أوامر التقاط الحزمة في تعبئة مساحة قرص ESA ويمكن أن تتسبب في انخفاض الأداء.
- cisco يوصي أن يستعمل أنت فقط هذا أمر مع المساعدة من cisco TAC مهندس.
- تأكد من إمكانية الوصول الإداري إلى واجهة سطر الأوامر (CLI) أو واجهة المستخدم الرسومية (GUI) الخاصة بالإيسا.
معلومات أساسية
يمكن أن يطلب منك دعم Cisco الفني توفير رؤية حول نشاط الشبكة الصادرة والواردة ل ESA. يوفر الجهاز القدرة على اعتراض وعرض TCP و IP والحزم الأخرى التي يتم إرسالها أو استقبالها عبر الشبكة المتصلة بها الجهاز. قم بتشغيل التقاط حزمة لتصحيح إعداد الشبكة أو التحقق من حركة مرور الشبكة التي تصل إلى الجهاز أو تتركه.
تكوين التقاط الحزم على AsyncOS
يصف هذا القسم عملية التقاط الحزمة.
بدء التقاط حزمة أو إيقافه
- لبدء التقاط حزمة من واجهة المستخدم الرسومية، انتقل إلى قائمة المساعدة والدعم في أعلى اليمين، واختر التقاط الحزمة، ثم انقر فوق بدء التقاط.
- بدلا من ذلك، انقر فوق تحرير الإعدادات لتحديد عنوان (عناوين) IP والمنفذ (المنافذ) التي تريد التقاطها، ثم انقر فوق إرسال.
- يمكن إدخال أرقام المنافذ وعناوين IP باستخدام تنسيق CSV (على سبيل المثال: 80 و 443). لالتقاط أي منفذ أو IP، أترك الحقل (الحقول) فارغة.
- لإيقاف عملية التقاط الحزمة، انقر على إيقاف التقاط.
- يتم الاحتفاظ بالالتقاط الذي يبدأ في واجهة المستخدم الرسومية بين الجلسات.
- لبدء التقاط حزمة من واجهة سطر الأوامر (CLI)، أدخل الأمر packetCapture > start.
- بدلا من ذلك، أستخدم الأمر setup لتحديد عنوان (عناوين) IP والمنفذ (المنافذ) الذي تريد التقاطه.
- لإيقاف عملية التقاط الحزمة، أدخل الأمر packetCapture > stop.
- يوقف ال ESA الربط التقاط عندما ينتهي الجلسة.
إدارة التقاط الحزم
لإدارة ملفاتك، انتقل إلى التعليمات والدعم > التقاط الحزمة في واجهة المستخدم الرسومية. من هذه الصفحة، يمكنك:
- مراقبة التقدم:عرض إحصائيات الوقت الفعلي لالتقاط نشط، بما في ذلك حجم الملف الحالي والوقت المنقضي.
- تنزيل الملفات:حدد التقاط مكتمل وانقر فوق تنزيل الملف لحفظه على الجهاز المحلي.
- حذف الملفات:لتحرير مساحة، حدد ملف واحد أو أكثر وانقر فوق حذف الملفات المحددة.
قيود التقاط الحزمة
- مثيل واحد: يمكن تشغيل التقاط حزمة واحد فقط في كل مرة.
- إستقلالية الواجهة: تعمل واجهة المستخدم الرسومية (GUI) وواجهة سطر الأوامر (CLI) بشكل مستقل فيما يتعلق بعمليات التقاط الحزم. تقوم واجهة المستخدم الرسومية (GUI) فقط بعرض وإدارة عمليات الالتقاط التي تم بدؤها من خلال واجهة الويب، بينما تعرض واجهة سطر الأوامر (CLI) فقط حالة عمليات الالتقاط التي تم بدؤها من خلال سطر الأوامر.
دعم إضافي لالتقاط الحزم
للحصول على إرشادات أكثر تفصيلا، يمكنك الوصول إلى تعليمات AsyncOS عبر الإنترنت:
- انتقل إلى التعليمات والدعم > التعليمات عبر الإنترنت.
- البحث عن التقاط الحزمة.
- تحديد تشغيل التقاط حزمة.
إستخدام عوامل تصفية التقاط الحزم المخصصة
يوفر هذا القسم معلومات حول عوامل تصفية الالتقاط المخصصة ويوفر أمثلة.
هذه هي عوامل التصفية القياسية المستخدمة:
- IP - عوامل التصفية لجميع حركة مرور بروتوكول IP
- TCP - عوامل التصفية لجميع حركة مرور بروتوكول TCP
- مضيف IP - عوامل التصفية لمصدر أو وجهة عنوان IP محدد
هذا مثال من المرشحات قيد الاستخدام:
- ip host 10.1.1.1 - يلتقط هذا المرشح أي حركة مرور تتضمن 10.1.1.1 كمصدر أو وجهة.
- مضيف IP 10.1.1.1 أو مضيف IP 10.1.1.2 - يلتقط عامل التصفية هذا حركة مرور البيانات التي تحتوي على إما 10.1.1.1 أو 10.1.1.2 كمصدر أو وجهة.
إجراء تحقيقات إضافية في الشبكة
يمكن إستخدام الأساليب الموضحة أدناه فقط من واجهة سطر الأوامر.
خدمات TCPSERVICES
يعرض الأمر tcpservices معلومات TCP/IP للميزة الحالية وعمليات النظام.
example.com> tcpservices
System Processes (Note: All processes can not always be present)
ftpd.main - The FTP daemon
ginetd - The INET daemon
interface - The interface controller for inter-process communication
ipfw - The IP firewall
slapd - The Standalone LDAP daemon
sntpd - The SNTP daemon
sshd - The SSH daemon
syslogd - The system logging daemon
winbindd - The Samba Name Service Switch daemon
Feature Processes
euq_webui - GUI for ISQ
gui - GUI process
hermes - MGA mail server
postgres - Process for storing and querying quarantine data
splunkd - Processes for storing and querying Email Tracking data
COMMAND USER TYPE NODE NAME
postgres pgsql IPv4 TCP 127.0.0.1:5432
interface root IPv4 TCP 127.0.0.1:53
ftpd.main root IPv4 TCP 10.0.202.7:21
gui root IPv4 TCP 10.0.202.7:80
gui root IPv4 TCP 10.0.202.7:443
ginetd root IPv4 TCP 10.0.202.7:22
java root IPv6 TCP [::127.0.0.1]:18081
hermes root IPv4 TCP 10.0.202.7:25
hermes root IPv4 TCP 10.0.202.7:7025
api_serve root IPv4 TCP 10.0.202.7:6080
api_serve root IPv4 TCP 127.0.0.1:60001
api_serve root IPv4 TCP 10.0.202.7:6443
nginx root IPv4 TCP *:4431
nginx nobody IPv4 TCP *:4431
nginx nobody IPv4 TCP *:4431
java root IPv4 TCP 127.0.0.1:9999
نتستات
تعرض هذه الأداة المساعدة إتصالات الشبكة ل TCP (الوارد والصادر على حد سواء) وجداول التوجيه وعدد من إحصائيات واجهة الشبكة وبروتوكول الشبكة.
example.com> netstat
Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.
Example of Option 1 (List of active sockets)
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 10.0.202.7.10275 10.0.201.4.6025 ESTABLISHED
tcp4 0 0 10.0.202.7.22 10.0.201.4.57759 ESTABLISHED
tcp4 0 0 10.0.202.7.10273 a96-17-177-18.deploy.static.akamaitechnologies.com.80 TIME_WAIT
tcp4 0 0 10.0.202.7.10260 10.0.201.5.443 ESTABLISHED
tcp4 0 0 10.0.202.7.10256 10.0.201.5.443 ESTABLISHED
Example of Option 2 (State of network interfaces)
Show the number of dropped packets? [N]> y
Name Mtu Network Address Ipkts Ierrs Idrop Ibytes Opkts Oerrs Obytes Coll Drop
Data 1 - 10.0.202.0 10.0.202.7 110624529 - - 117062552515 122028093 - 30126949890 - -
Example of Option 3 (Contents of routing tables)
Routing tables
Internet:
Destination Gateway Flags Netif Expire
default 10.0.202.1 UGS Data 1
10.0.202.0 link#2 U Data 1
10.0.202.7 link#2 UHS lo0
localhost.example. link#4 UH lo0
Example of Option 4 (Size of the listen queues)
Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen Local Address
tcp4 0/0/50 localhost.exampl.9999
tcp4 0/0/50 10.0.202.7.7025
tcp4 0/0/50 10.0.202.7.25
tcp4 0/0/15 10.0.202.7.6443
tcp4 0/0/15 localhost.exampl.60001
tcp4 0/0/15 10.0.202.7.6080
tcp4 0/0/20 localhost.exampl.18081
tcp4 0/0/20 10.0.202.7.443
tcp4 0/0/20 10.0.202.7.80
tcp4 0/0/10 10.0.202.7.21
tcp4 0/0/10 10.0.202.7.22
tcp4 0/0/10 localhost.exampl.53
tcp4 0/0/208 localhost.exampl.5432
Example of Option 5 (Packet traffic information)
input nic1 output
packets errs idrops bytes packets errs bytes colls drops
49 0 0 8116 55 0 7496 0 0
الشبكة
يوفر الأمر الفرعي للشبكة تحت التشخيص الوصول إلى خيارات إضافية.
أستخدم هذا الأمر لتفريغ كافة ذاكرة التخزين المؤقت المتعلقة بالشبكة، وعرض محتويات ذاكرة التخزين المؤقت ل ARP، وعرض محتويات ذاكرة التخزين المؤقت ل NDP (إذا كان ذلك ممكنا)، واختبار اتصال SMTP عن بعد باستخدام SMTP.
example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network
Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]>
EtherConfig
يسمح أمر etherConfig لك بعرض الإعدادات المتعلقة بمعلومات MAC والإرسال ثنائي الإتجاه للواجهات، شبكات VLAN، واجهات الاسترجاع، وأحجام MTU، وقبول أو رفض ردود ARP باستخدام عنوان البث المتعدد.
example.com> etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>
traceroute
يعرض هذا الأمر مسار الشبكة إلى مضيف بعيد.
أستخدم الأمر traceroute6 إذا كان لديك عنوان IPv6 تم تكوينه على واجهة واحدة على الأقل.
example.com> traceroute google.com
Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms
بينغ
يسمح لك إختبار الاتصال باختبار قابلية الوصول للمضيف باستخدام عنوان IP أو اسم المضيف وتوفير الإحصائيات المتعلقة بزمن الوصول المحتمل وحالات السقوط في الاتصال.
example.com> ping google.com
Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms
--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms
التعليقات