Recopilación y resolución de problemas de capturas de paquetes en Cisco ESA

Introducción

Este documento describe cómo configurar y recopilar capturas de paquetes en el dispositivo de seguridad Cisco Email Security Appliance (ESA) para la resolución de problemas de red.

Componentes Utilizados

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Riesgos importantes y requisitos previos

• Los comandos de captura de paquetes pueden hacer que el espacio en disco de ESA se llene y pueden causar una degradación del rendimiento.
• Cisco recomienda utilizar estos comandos únicamente con la ayuda de un ingeniero del TAC de Cisco.
• Asegúrese de que dispone de acceso administrativo a la CLI o la GUI del ESA.

Antecedentes

El servicio de asistencia técnica de Cisco puede solicitarle que le proporcione información sobre la actividad de red entrante y saliente del ESA. El dispositivo permite interceptar y mostrar TCP, IP y otros paquetes transmitidos o recibidos a través de la red a la que está conectado el dispositivo. Ejecute una captura de paquetes para depurar la configuración de red o para verificar el tráfico de red que llega o sale del dispositivo.

Configurar capturas de paquetes en AsyncOS 

Esta sección describe el proceso de captura de paquetes.

Iniciar o detener una captura de paquetes

1. Para iniciar una captura de paquetes desde la GUI, navegue hasta el menú Help and Support en la parte superior derecha, elija Packet Capture y, a continuación, haga clic en Start Capture.
   1. También puede hacer clic en Edit Settings para especificar las direcciones IP y los puertos que desea capturar y, a continuación, haga clic en Submit.
   2. Los números de puerto y las direcciones IP se pueden introducir utilizando un formato CSV (por ejemplo: 80, 443). Para capturar ANY port o IP, deje los campos en blanco. 
2. Para detener el proceso de captura de paquetes, haga clic en Detener captura.
   1. Una captura que comienza en la GUI se conserva entre sesiones.

1. Para iniciar una captura de paquetes desde la CLI, ingrese el comando packetcapture > start.
   1. Como alternativa, utilice el comando setup para especificar las direcciones IP y los puertos que desea capturar. 
2. Para detener el proceso de captura de paquetes, ingrese el comando packet capture > stop.
   1. El ESA detiene la captura de paquetes cuando finaliza la sesión.

Administración de capturas de paquetes

Para administrar sus archivos, navegue hasta Ayuda y soporte técnico > Captura de paquetes en la GUI. En esta página puede:

• Supervisar progreso:ver estadísticas en tiempo real de las capturas activas, incluidos el tamaño de archivo actual y el tiempo transcurrido.
• Descargar archivos:Seleccione una captura completada y haga clic en Descargar archivo para guardarla en el equipo local.
• Eliminar archivos:para liberar espacio, seleccione uno o varios archivos y haga clic en Eliminar archivos seleccionados.

Restricciones de captura de paquetes

• Instancia única: solo se puede ejecutar una captura de paquetes a la vez.
• Independencia de la interfaz:La GUI y la CLI funcionan independientemente con respecto a las capturas de paquetes. La GUI solo muestra y gestiona las capturas iniciadas a través de la interfaz web, mientras que la CLI solo muestra el estado de las capturas iniciadas a través de la línea de comandos.

Compatibilidad adicional para capturas de paquetes

Para obtener instrucciones más detalladas, acceda a la Ayuda en línea de AsyncOS:

1. Vaya a Ayuda y soporte técnico > Ayuda en línea.
2. Busque Captura de paquetes.
3. SeleccioneEjecución de una captura de paquetes.

Usar filtros personalizados de captura de paquetes

Esta sección proporciona información sobre los filtros de captura personalizados y proporciona ejemplos.

Estos son los filtros estándar utilizados:

• ip: filtra todo el tráfico del protocolo IP
• tcp - Filtra todo el tráfico del protocolo TCP
• ip host - Filtra por una dirección IP específica de origen o destino

Estos son ejemplos de los filtros en uso:

• ip host 10.1.1.1 - Este filtro captura cualquier tráfico que incluya 10.1.1.1 como origen o destino.
• ip host 10.1.1.1 o ip host 10.1.1.2 - Este filtro captura el tráfico que contiene 10.1.1.1 o 10.1.1.2 como origen o destino.

Realizar una investigación de red adicional

Los métodos descritos a continuación sólo se pueden utilizar desde la CLI.

SERVICIOSCCPT

El comando tcpservices muestra información de TCP/IP para los procesos actuales del sistema y de la función.

example.com> tcpservices

System Processes (Note: All processes can not always be present)
  ftpd.main    - The FTP daemon
  ginetd       - The INET daemon
  interface    - The interface controller for inter-process communication
  ipfw         - The IP firewall
  slapd        - The Standalone LDAP daemon
  sntpd        - The SNTP daemon
  sshd         - The SSH daemon
  syslogd      - The system logging daemon
  winbindd     - The Samba Name Service Switch daemon

Feature Processes
  euq_webui    - GUI for ISQ
  gui          - GUI process
  hermes       - MGA mail server
  postgres     - Process for storing and querying quarantine data
  splunkd      - Processes for storing and querying Email Tracking data

COMMAND      USER         TYPE NODE   NAME
postgres     pgsql        IPv4 TCP    127.0.0.1:5432
interface    root         IPv4 TCP    127.0.0.1:53
ftpd.main    root         IPv4 TCP    10.0.202.7:21
gui          root         IPv4 TCP    10.0.202.7:80
gui          root         IPv4 TCP    10.0.202.7:443
ginetd       root         IPv4 TCP    10.0.202.7:22
java         root         IPv6 TCP    [::127.0.0.1]:18081
hermes       root         IPv4 TCP    10.0.202.7:25
hermes       root         IPv4 TCP    10.0.202.7:7025
api_serve    root         IPv4 TCP    10.0.202.7:6080
api_serve    root         IPv4 TCP    127.0.0.1:60001
api_serve    root         IPv4 TCP    10.0.202.7:6443
nginx        root         IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
java         root         IPv4 TCP    127.0.0.1:9999

NETSTAT

Esta utilidad muestra las conexiones de red para TCP (entrante y saliente), las tablas de ruteo y una serie de estadísticas de interfaz de red y protocolo de red.

example.com> netstat

Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.

Example of Option 1 (List of active sockets)

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.0.202.7.10275       10.0.201.4.6025        ESTABLISHED
tcp4       0      0 10.0.202.7.22          10.0.201.4.57759       ESTABLISHED
tcp4       0      0 10.0.202.7.10273       a96-17-177-18.deploy.static.akamaitechnologies.com.80  TIME_WAIT
tcp4       0      0 10.0.202.7.10260       10.0.201.5.443     ESTABLISHED
tcp4       0      0 10.0.202.7.10256       10.0.201.5.443     ESTABLISHED

Example of Option 2 (State of network interfaces)

Show the number of dropped packets? [N]> y

Name    Mtu Network       Address              Ipkts Ierrs Idrop     Ibytes    Opkts Oerrs     Obytes  Coll  Drop
Data 1    - 10.0.202.0    10.0.202.7        110624529     -     - 117062552515 122028093     - 30126949890     -     -

Example of Option 3 (Contents of routing tables)

Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            10.0.202.1         UGS         Data 1
10.0.202.0         link#2             U           Data 1
10.0.202.7         link#2             UHS         lo0
localhost.example. link#4             UH          lo0

Example of Option 4 (Size of the listen queues)

Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen         Local Address
tcp4  0/0/50         localhost.exampl.9999
tcp4  0/0/50         10.0.202.7.7025
tcp4  0/0/50         10.0.202.7.25
tcp4  0/0/15         10.0.202.7.6443
tcp4  0/0/15         localhost.exampl.60001
tcp4  0/0/15         10.0.202.7.6080
tcp4  0/0/20         localhost.exampl.18081
tcp4  0/0/20         10.0.202.7.443
tcp4  0/0/20         10.0.202.7.80
tcp4  0/0/10         10.0.202.7.21
tcp4  0/0/10         10.0.202.7.22
tcp4  0/0/10         localhost.exampl.53
tcp4  0/0/208        localhost.exampl.5432

Example of Option 5 (Packet traffic information)

            input           nic1           output
   packets  errs idrops      bytes    packets  errs      bytes colls drops
        49     0     0       8116         55     0       7496     0     0

RED

El subcomando network en diagnostic proporciona acceso a opciones adicionales.

Utilice este comando para vaciar todas las memorias caché relacionadas con la red, mostrar el contenido de la memoria caché ARP, mostrar el contenido de la memoria caché NDP (si corresponde) y probar la conectividad SMTP remota mediante SMTP.

example.com> diagnostic


Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network


Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]> 

ETHERCONFIG

El comando etherconfig le permite ver y configurar las configuraciones relacionadas con la información de dúplex y MAC para interfaces, VLAN, interfaces de loopback, tamaños de MTU y aceptación o rechazo de respuestas ARP con una dirección multicast.

example.com> etherconfig


Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>

TRACEROUTE

Este comando muestra la ruta de red a un host remoto.

Utilice el comando traceroute6 si tiene una dirección IPv6 configurada en al menos una interfaz.

example.com> traceroute google.com

Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms

PING

Ping permite probar la disponibilidad de un host mediante la dirección IP o el nombre de host y proporciona estadísticas relacionadas con la posible latencia y caídas en la comunicación.

example.com> ping google.com

Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms

--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms