¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Ejemplo de Configuración de Capturas de Paquetes ASA con CLI y ASDM

Opciones de descarga

  • PDF     (1.8 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de agosto de 2015
ID del documento:118097
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar el firewall de última generación Cisco Adaptive Security Appliance (ASA) para capturar los paquetes deseados con Cisco Adaptive Security Device Manager (ASDM) o la CLI.

prerrequisitos

Requisitos

Este documento asume que el ASA es completamente operativo y está configurado para permitir que el ASDM de Cisco o la CLI realice cambios en la configuración.

Componentes Utilizados

Este documento no se limita a versiones específicas de hardware o software.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración también se puede utilizar con estos productos de Cisco:

  • Cisco ASA versión 9.1(5) y posteriores

  • Cisco ASDM versión 7.2.1

Antecedentes

El proceso de captura de paquetes es útil cuando resuelve problemas de conectividad o monitorea actividades sospechosas. Además, puede crear varias capturas para analizar diferentes tipos de tráfico en varias interfaces.

Configurar

Esta sección proporciona información que puede utilizar para configurar las funciones de captura de paquetes que se describen en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones

Nota: Los esquemas de direcciones IP que se usan en esta configuración no pueden enrutarse legalmente a Internet. Son direcciones RFC 1918 que se usan en un entorno de laboratorio.

Configuración de la Captura de Paquetes con el ASDM

Nota: Este ejemplo de configuración se utiliza para capturar los paquetes que se transmiten durante un ping del Usuario1 (red interna) al Router1 (red externa).

Complete estos pasos para configurar la función de captura de paquetes en el ASA con el ASDM:

  1. Navegue hasta Asistentes > Asistente para captura de paquetes para iniciar la configuración de captura de paquetes, como se muestra:



  2. Se abrirá el asistente de captura. Haga clic en Next (Siguiente).



  3. En la nueva ventana, proporcione los parámetros que se utilizan para capturar el tráfico INGRESS. Seleccione interior para la Interfaz de Ingreso y proporcione las direcciones IP de origen y de destino de los paquetes que se capturarán, junto con su máscara de subred, en el espacio respectivo proporcionado. Además, elija el tipo de paquete que capturará el ASA (IP es el tipo de paquete seleccionado aquí), como se muestra:



    Haga clic en Next (Siguiente).

  4. Seleccione outside para la Interfaz de Salida y proporcione las direcciones IP de origen y de destino, junto con su máscara de subred, en los espacios respectivos proporcionados. Si la traducción de direcciones de red (NAT) se realiza en el firewall, tenga esto en cuenta también.



    Haga clic en Next (Siguiente).

  5. Ingrese el Tamaño de paquete apropiado y el Tamaño de búfer en el espacio respectivo proporcionado, ya que estos datos son necesarios para que la captura tenga lugar. Además, recuerde marcar la casilla de verificación Usar búfer circular si desea utilizar la opción de búfer circular. Las memorias intermedias circulares nunca se llenan. A medida que el búfer alcanza su tamaño máximo, se descartan los datos más antiguos y la captura continúa. En este ejemplo, no se utiliza el búfer circular, por lo que la casilla de verificación no está marcada.



    Haga clic en Next (Siguiente).

  6. Esta ventana muestra las listas de acceso que se deben configurar en el ASA para que se capturen los paquetes deseados y muestra el tipo de paquetes que se capturarán (los paquetes IP se capturan en este ejemplo). Haga clic en Next (Siguiente).



  7. Haga clic en Inicio para iniciar la captura de paquetes, como se muestra aquí:



  8. A medida que se inicia la captura de paquetes, intente hacer ping a la red externa desde la red interna para que los paquetes que fluyen entre las direcciones IP de origen y de destino sean capturados por el buffer de captura ASA.

  9. Haga clic en Obtener búfer de captura para ver los paquetes capturados por el búfer de captura ASA.



  10. Los paquetes capturados se muestran en esta ventana para el tráfico de ingreso y salida. Haga clic en Guardar capturas para guardar la información de captura.



  11. En la ventana Guardar capturas, elija el formato necesario en el que se guardará el búfer de captura. Esto es ASCII o PCAP. Haga clic en el botón de opción situado junto a los nombres de formato. A continuación, haga clic en Guardar captura de ingreso o Guardar captura de salida según sea necesario. Los archivos PCAP se pueden abrir con analizadores de captura, como Wireshark, y es el método preferido.



  12. En la ventana Guardar archivo de captura, proporcione el nombre de archivo y la ubicación en la que se guardará el archivo de captura. Haga clic en Save (Guardar).



  13. Haga clic en Finish (Finalizar).



    Esto completa el procedimiento de captura de paquetes.

Configure la captura de paquetes con la CLI

Complete estos pasos para configurar la función de captura de paquetes en el ASA con la CLI:

  1. Configure las interfaces interna y externa como se muestra en el diagrama de red, con la dirección IP y los niveles de seguridad correctos.

  2. Inicie el proceso de captura de paquetes con el comando capture en el modo EXEC privilegiado. En este ejemplo de configuración, se define la captura denominada capin. Vincule a la interfaz interna y especifique con la palabra clave match que sólo se capturan los paquetes que coinciden con el tráfico de interés:

    ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
     203.0.113.3 255.255.255.255
  3. De manera similar, se define la captura denominada capout. Vincule a la interfaz externa y especifique con la palabra clave match que sólo se capturan los paquetes que coinciden con el tráfico de interés:

    ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
     203.0.113.3 255.255.255.255

    El ASA ahora comienza a capturar el flujo de tráfico entre las interfaces. Para detener la captura en cualquier momento, ingrese el comando no capture seguido del nombre de la captura.

    Aquí tiene un ejemplo:

    no capture capin interface inside
    no capture capout interface outside

Tipos de captura disponibles en ASA

Esta sección describe los diferentes tipos de capturas disponibles en ASA.

  • asa_dataplane: captura paquetes en la placa de interconexiones ASA que pasan entre el ASA y un módulo que utiliza la placa de interconexiones, como el módulo ASA CX o IPS.

    ASA# cap asa_dataplace interface asa_dataplane
    ASA# show capture
    capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]
  • asp-drop drop-code: captura los paquetes que se descartan por la trayectoria de seguridad acelerada. El código de acceso especifica el tipo de tráfico que se descarta por la ruta de seguridad acelerada.

    ASA# capture asp-drop type asp-drop acl-drop
    ASA# show cap
    ASA# show capture asp-drop
     
     2 packets captured
     
     1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
        2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
        Flow is denied by configured rule
     2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
        2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
        Flow is denied by configured rule
     2 packets shown

    ASA# show capture asp-drop
     
     2 packets captured
     
     1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
        2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
        Flow is denied by configured rule
     2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
        2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
        Flow is denied by configured rule
     2 packets shown
  • tipo de tipo Ethernet: Selecciona un tipo Ethernet para capturar. Los tipos de Ethernet admitidos incluyen 8021Q, ARP, IP, IP6, IPX, LACP, PPPOED, PPPOES, RARP y VLAN.

    Este ejemplo muestra cómo capturar el tráfico ARP:

    ASA# cap arp ethernet-type ?

    exec mode commands/options:
      802.1Q
      <0-65535>  Ethernet type
      arp
      ip
      ip6
      ipx
      pppoed
      pppoes
      rarp
      vlan

    cap arp ethernet-type arp interface inside


    ASA# show cap arp

    22 packets captured

       1: 05:32:52.119485       arp who-has 10.10.3.13 tell 10.10.3.12
       2: 05:32:52.481862       arp who-has 192.168.10.123 tell 192.168.100.100
       3: 05:32:52.481878       arp who-has 192.168.10.50 tell 192.168.100.10
       4: 05:32:53.409723       arp who-has 10.106.44.135 tell 10.106.44.244
       5: 05:32:53.772085       arp who-has 10.106.44.108 tell 10.106.44.248
       6: 05:32:54.782429       arp who-has 10.106.44.135 tell 10.106.44.244
       7: 05:32:54.784695       arp who-has 10.106.44.1 tell 11.11.11.112:
  • tiempo real - Muestra los paquetes capturados continuamente en tiempo real. Para terminar una captura de paquetes en tiempo real, presione Ctrl-C. Para quitar permanentemente la captura, use la forma no de este comando. Esta opción no se soporta cuando se utiliza el comando cluster exec capture.

    ASA# cap capin interface inside real-time

    Warning: using this option with a slow console connection may
             result in an excessive amount of non-displayed packets
             due to performance limitations.

    Use ctrl-c to terminate real-time capture
  • Seguimiento - Rastrea los paquetes capturados de una manera similar a la función de seguimiento de paquetes ASA.

    ASA#cap in interface Webserver trace match tcp any any eq 80

    // Initiate Traffic

     1: 07:11:54.670299   192.168.10.10.49498 > 198.51.100.88.80: S
        2322784363:2322784363(0) win 8192
        <mss 1460,nop,wscale 2,nop,nop,sackOK>

     Phase: 1
     Type: CAPTURE
     Subtype:
     Result: ALLOW
     Config:
     Additional Information:
     MAC Access list
     
     Phase: 2
     Type: ACCESS-LIST
     Subtype:
     Result: ALLOW
     Config:
     Implicit Rule
     Additional Information:
     MAC Access list
     
     Phase: 3
     Type: ROUTE-LOOKUP
     Subtype: input
     Result: ALLOW
     Config:
     Additional Information:
     in   0.0.0.0         0.0.0.0         outside
     
     Phase: 4
     Type: ACCESS-LIST
     Subtype: log
     Result: ALLOW
     Config:
     access-group any in interface inside
     access-list any extended permit ip any4 any4 log
     Additional Information:
     
     Phase: 5
     Type: NAT
     Subtype:
     Result: ALLOW
     Config:
     object network obj-10.0.0.0
     nat (inside,outside) dynamic interface
     Additional Information:
     Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498
     
     Phase: 6
     Type: NAT
     Subtype: per-session
     Result: ALLOW
     Config:
     Additional Information:
     
     Phase: 7
     Type: IP-OPTIONS
     Subtype:
     Result: ALLOW
     Config:
     Additional Information:
     
     Phase: 8
     Type:
     Subtype:
     Result: ALLOW
     Config:
     Additional Information:
     
     Phase: 9
     Type: ESTABLISHED
     Subtype:
     Result: ALLOW
     Config:
     Additional Information:
     
     Phase: 10
     Type:
     Subtype:
     Result: ALLOW
     Config:
     Additional Information:
     
     Phase: 11
     Type: NAT
     Subtype: per-session
     Result: ALLOW
     Config:
     Additional Information:
     
     Phase: 12
     Type: IP-OPTIONS
     Subtype:
     Result: ALLOW
     Config:
     Additional Information:
     
     Phase: 13
     Type: FLOW-CREATION
     Subtype:
     Result: ALLOW
     Config:
     Additional Information:
     New flow created with id 41134, packet dispatched to next module
     
     Phase: 14
     Type: ROUTE-LOOKUP
     Subtype: output and adjacency
     Result: ALLOW
     Config:
     Additional Information:
     found next-hop 203.0.113.1 using egress ifc outside
     adjacency Active
     next-hop mac address 0007.7d54.1300 hits 3170
     
     Result:
     output-interface: outside
     output-status: up
     output-line-status: up
     Action: allow
  • ikev1/ikev2: captura sólo información del protocolo de intercambio de claves de Internet versión 1 (IKEv1) o IKEv2.

  • isakmp: captura el tráfico de la Asociación de seguridad de Internet y del protocolo de administración de claves (ISAKMP) para las conexiones VPN. El subsistema ISAKMP no tiene acceso a los protocolos de capa superior. La captura es una pseudo captura, con las capas físicas, IP y UDP combinadas para satisfacer un analizador PCAP. Las direcciones de peer se obtienen del intercambio SA y se almacenan en la capa IP.

  • lacp: captura el tráfico del protocolo de control de agregación de enlaces (LACP). Si se configura, el nombre de la interfaz es el nombre de la interfaz física. Esto puede ser útil cuando trabaje con Etherchannels para identificar el comportamiento actual de LACP.

  • tls-proxy: captura datos entrantes y salientes descifrados del proxy de seguridad de la capa de transporte (TLS) en una o más interfaces.

  • webvpn: captura datos de WebVPN para una conexión WebVPN específica.

    Precaución: Cuando habilita la captura WebVPN, afecta al rendimiento del dispositivo de seguridad. Asegúrese de inhabilitar la captura después de generar los archivos de captura necesarios para resolver problemas.

Valores predeterminados

Estos son los valores predeterminados del sistema ASA:

  • El tipo predeterminado es raw-data.
  • El tamaño del búfer predeterminado es 512 KB.
  • El tipo Ethernet predeterminado son paquetes IP.
  • La longitud del paquete predeterminada es 1518 bytes.

Ver los paquetes capturados

En ASA

Para ver los paquetes capturados, ingrese el comando show capture seguido del nombre de captura. Esta sección proporciona las salidas del comando show del contenido del búfer de captura. El comando show capture capin muestra el contenido del búfer de captura denominado capin:

ASA# show cap capin
 
 8 packets captured
 
 1: 03:24:35.526812       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527224       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528247       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528582       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529345       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529681       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:57.440162       192.168.10.10 > 203.0.113.3: icmp: echo request
 8: 03:24:57.440757       203.0.113.3 > 192.168.10.10: icmp: echo reply

El comando show capture capout muestra el contenido del búfer de captura denominado capout:

ASA# show cap capout
 
 8 packets captured
 
 1: 03:24:35.526843       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527179       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528262       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528567       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529361       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529666       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:47.014098       203.0.113.3 > 203.0.113.2: icmp: echo request
 8: 03:24:47.014510       203.0.113.2 > 203.0.113.3: icmp: echo reply

Descargar desde ASA para análisis fuera de línea

Hay un par de maneras de descargar las capturas de paquetes para el análisis fuera de línea:

  1. Navegue hasta https://<ip_of_asa>/admin/capture/<capture_name>/pcap en cualquier navegador.

    Consejo: Si deja fuera la palabra clave pcap, sólo se proporciona el equivalente del resultado del comando show capture <cap_name> .

  2. Ingrese el comando copy capture y su protocolo preferido de transferencia de archivos para descargar la captura:

    copy /pcap capture:<capture-name> tftp://<server-ip-address>

Consejo: Cuando resuelva un problema con el uso de capturas de paquetes, Cisco recomienda que descargue las capturas para el análisis fuera de línea.

Borrar una captura

Para borrar el búfer de captura, ingrese el comando clear capture <nombre de captura>:

ASA# show capture
 capture capin type raw-data interface inside [Capturing - 8190 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 11440 bytes]
 match icmp any any
 
 ASA# clear cap capin
 ASA# clear cap capout

 ASA# show capture
 capture capin type raw-data interface inside [Capturing - 0 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 0 bytes]
 match icmp any any

Ingrese el comando clear capture /all para borrar el buffer para todas las capturas:

ASA# clear capture /all

Detener una captura

La única manera de detener una captura en ASA es desactivarla completamente con este comando:

no capture <capture-name>

Se ha registrado el Id. de error de Cisco CSCuv74549 para agregar la capacidad de detener una captura sin desactivarla completamente y para controlar cuando una captura comienza a capturar tráfico.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Cisco TAC Engineers

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros