Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Procedimientos de captura de paquetes en el dispositivo Cisco Firepower

Opciones de descarga

  • PDF     (118.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (84.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (71.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de marzo de 2017
ID del documento:117778

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo utilizar el comando tcpdump para capturar paquetes que son vistos por una interfaz de red de su dispositivo Firepower. Utiliza la sintaxis del filtro de paquetes Berkeley (BPF).

Prerequisites

Requirements

Cisco recomienda que conozca los dispositivos Cisco Firepower y los modelos de dispositivos virtuales.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Advertencia: Si ejecuta el comando tcpdump en un sistema de producción, puede afectar el rendimiento de la red.

Pasos para capturar paquetes

Inicie sesión en la CLI de su dispositivo Firepower.

En las versiones 6.1 y posteriores, ingrese capture-traffic. Por ejemplo,

> capture-traffic

Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set  (Interfaces s2p1, s2p2)

En las versiones 6.0.x.x y anteriores, ingrese system support capture-traffic. Por ejemplo,

> system support capture-traffic

Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set  (Interfaces s2p1, s2p2)

Después de realizar una selección, se le solicitarán opciones:

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:

Para capturar suficientes datos de los paquetes, es necesario utilizar la opción -s para configurar la longitud de la secuencia correctamente. La longitud de inicialización se debe establecer en un valor que coincida con el valor de unidad máxima de transmisión (MTU) configurado de la configuración del conjunto de interfaces, que de forma predeterminada es 1518.

Advertencia: Dado que la captura del tráfico en la pantalla puede degradar el rendimiento del sistema y de la red, Cisco recomienda que utilice la opción -w <filename> con el comando tcpdump. Captura los paquetes en un archivo. Si ejecuta el comando sin la opción -w, presione la combinación de teclas Ctrl-C para salir.

Ejemplo de la opción -w <filename>:

-w capture.pcap -s 1518

Precaución: No utilice ningún elemento de ruta de acceso cuando especifique el nombre de archivo de captura de paquetes (pcap). Debe especificar sólo el nombre de archivo pcap que se creará en el dispositivo.

Si es deseable capturar un número limitado de paquetes, puede utilizar el indicador -c <packets> para especificar el número de paquetes que se capturarán. Por ejemplo, para capturar exactamente 5000 paquetes:

-w capture.pcap -s 1518 -c 5000

Además, se puede agregar un filtro BPF al final del comando para limitar los paquetes capturados. Por ejemplo, para limitar la captura de paquetes a 5000 paquetes con una dirección IP de origen o destino de 192.0.2.1, podría utilizar estas opciones:

-w capture.pcap -s 1518 -c 5000 host 192.0.2.1

Cuando captura el tráfico que está etiquetado como LAN virtual (VLAN), debe especificar la VLAN con la sintaxis de BPF. De lo contrario, el pcap no contiene ninguno de los paquetes etiquetados de VLAN. Por ejemplo, este ejemplo limita la captura al tráfico que se etiqueta VLAN desde 192.0.2.1:

-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1

Si no está seguro de si el tráfico está etiquetado en VLAN, esta sintaxis podría utilizarse para capturar el tráfico de 192.0.2.1 que está etiquetado en VLAN y no lo está:

-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'

Nota: En el ejemplo anterior, los paréntesis son necesarios para que el or no se aplique solamente a 'vlan'. Las citas únicas son entonces necesarias para evitar cualquier posible interpretación errónea de los paréntesis por parte del intérprete de órdenes.

La especificación de una etiqueta VLAN captura todo el tráfico VLAN que coincide con el resto de su BPF. Sin embargo, si desea capturar una etiqueta VLAN específica, puede especificar la etiqueta VLAN que desea capturar de la forma siguiente:

-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1

Después de especificar las opciones deseadas y presionar Enter, tcpdump comienza a capturar el tráfico.

Consejo: Si la opción -c no se utilizó, presione la combinación de teclas Ctrl-C para detener la captura.

Una vez detenga la captura, recibirá confirmación. Por ejemplo:

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1

Cleaning up.
Done.

Copiar un archivo Pcap

Para copiar un archivo pcap de un dispositivo FirePOWER a otro sistema que acepte conexiones SSH entrantes, utilice este comando:

> system file secure-copy hostname username destination_directory pcap_file

Después de presionar Enter, se le solicitará la contraseña del sistema remoto. El archivo se copiará a través de la red.

Nota: En este ejemplo, el hostname se refiere al nombre o la dirección IP del host remoto de destino, el username especifica el nombre del usuario en el host remoto, el destination_directory especifica la ruta de destino en el host remoto y el pcap_file especifica el archivo pcap local para la transferencia.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Nazmul Rajib
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos