Introduction
Ce document décrit comment configurer et collecter des captures de paquets sur l'appliance de sécurité de la messagerie Cisco (ESA) et effectuer des recherches et des dépannages réseau supplémentaires.
Informations générales
Lorsque vous contactez l'assistance technique de Cisco pour un problème, vous devrez peut-être fournir des informations sur l'activité réseau sortante et entrante de l'ESA. L'appliance permet d'intercepter et d'afficher les paquets TCP, IP et autres qui sont transmis ou reçus sur le réseau auquel l'appliance est connectée. Vous pouvez exécuter une capture de paquets afin de déboguer la configuration du réseau ou de vérifier le trafic réseau qui atteint ou quitte l'appliance.
Note: Ce document fait référence à des logiciels qui ne sont pas gérés ou pris en charge par Cisco. Les informations sont fournies comme courtoisie pour votre commodité. Pour obtenir de l'aide, contactez le fournisseur du logiciel.
Il est important de noter que le tcpdump
La commande CLI est remplacée par la nouvelle commande packetcapture
dans AsyncOS versions 7.0 et ultérieures. Cette commande offre des fonctionnalités similaires à tcpdump
, et il est également disponible sur l'interface utilisateur graphique.
Si vous exécutez AsyncOS version 6.x ou antérieure, reportez-vous aux instructions relatives à l'utilisation de tcpdump
dans la section Packet Captures on AsyncOS Versions 6.x et antérieures de ce document. En outre, les options de filtre décrites dans la section Packet Capture Filters sont également valides pour la nouvelle commande packetcapture.
Captures de paquets sur AsyncOS versions 7.x et ultérieures
Cette section décrit le processus de capture de paquets sur AsyncOS versions 7.x et ultérieures.
Démarrer ou arrêter une capture de paquets
Afin de démarrer une capture de paquets à partir de l'interface utilisateur graphique, accédez au menu Aide et support en haut à droite, choisissez Capture de paquets, puis cliquez sur Démarrer la capture. Afin d'arrêter le processus de capture de paquets, cliquez sur Arrêter la capture.
Note: Une capture qui commence dans l'interface utilisateur graphique est conservée entre les sessions.
Afin de démarrer une capture de paquets à partir de l'interface de ligne de commande, saisissez packetcapture > start
erasecat4000_flash:. Afin d'arrêter le processus de capture de paquets, entrez la commande packetcapture > stop
, et l'ESA arrête la capture de paquets à la fin de la session.
Fonctionnalité de capture de paquets
Voici une liste d'informations utiles que vous pouvez utiliser pour manipuler les captures de paquets :
- L'ESA enregistre l'activité de paquet capturée dans un fichier et la stocke localement. Vous pouvez configurer la taille maximale du fichier de capture de paquets, la durée d'exécution de la capture de paquets et l'interface réseau sur laquelle la capture s'exécute. Vous pouvez également utiliser un filtre afin de limiter la capture de paquets au trafic via un port ou un trafic spécifique à partir d'une adresse IP client ou serveur spécifique.
- Accédez à Help and Support > Packet Capture à partir de l'interface utilisateur graphique afin d'afficher une liste complète des fichiers de capture de paquets qui sont stockés. Lorsqu'une capture de paquets s'exécute, la page Capture de paquets affiche l'état de la capture en cours avec les statistiques actuelles, telles que la taille du fichier et le temps écoulé.
- Choisissez une capture et cliquez sur Télécharger le fichier afin de télécharger une capture de paquets stockée.
- Afin de supprimer un fichier de capture de paquets, choisissez un ou plusieurs fichiers et cliquez sur Supprimer les fichiers sélectionnés.
- Afin de modifier les paramètres de capture de paquets avec l'interface utilisateur graphique, choisissez Capture de paquets dans le menu Aide et support et cliquez sur Modifier les paramètres.
- Afin de modifier les paramètres de capture de paquets avec l'interface de ligne de commande, saisissez
packetcapture > setup
erasecat4000_flash:.
Note: L'interface utilisateur graphique affiche uniquement les captures de paquets qui commencent dans l'interface utilisateur graphique, et non celles qui commencent par l'interface de ligne de commande. De même, l'interface de ligne de commande affiche uniquement l'état d'une capture de paquets en cours qui a commencé dans l'interface de ligne de commande. Une seule capture peut être exécutée à la fois.
Astuce : Pour plus d'informations sur les options de capture de paquets et les paramètres de filtre, reportez-vous à la section Packet Capture Filters de ce document. Afin d'accéder à l'aide en ligne d'AsyncOS à partir de l'interface utilisateur graphique, accédez à Aide et support > Aide en ligne > rechercher la capture de paquets > choisissez Exécution d'une capture de paquets.
Captures de paquets sur AsyncOS versions 6.x et antérieures
Cette section décrit le processus de capture de paquets sur AsyncOS versions 6.x et antérieures.
Démarrer ou arrêter une capture de paquets
Vous pouvez utiliser le tcpdump
afin de capturer TCP/IP et d'autres paquets qui sont transmis ou reçus sur un réseau auquel l'ESA est connecté.
Exécutez ces étapes afin de démarrer ou d'arrêter une capture de paquets :
- Saisissez le
diagnostic > network > tcpdump
dans l'interface de ligne de commande de l'ESA. Voici un exemple de résultat :
example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
[]> network
Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]> tcpdump
- START - Start packet capture
- STOP - Stop packet capture
- STATUS - Status capture
- FILTER - Set packet capture filter
- INTERFACE - Set packet capture interface
- CLEAR - Remove previous packet captures
[]>
- Définissez l'interface (Données 1, Données 2 ou Gestion) et le filtre.
Note: Le filtre utilise le même format que l'Unix tcpdump
erasecat4000_flash:.
- Choisissez START afin de commencer la capture et STOP afin de l'arrêter.
Note: Ne quittez pas le menu tcpdump lorsque la capture est en cours. Vous devez utiliser une deuxième fenêtre CLI pour exécuter d'autres commandes. Une fois le processus de capture terminé, vous devez utiliser la copie sécurisée (SCP) ou le protocole FTP (File Transfer Protocol) à partir de votre bureau local afin de télécharger les fichiers à partir du répertoire nommé Diagnostic (reportez-vous à la section Packet Capture Filters pour plus de détails). Les fichiers utilisent le format PCAP (Packet Capture) et peuvent être examinés à l'aide d'un programme tel qu'Ethereal ou Wireshark.
Filtres de capture de paquets
Les Diagnostic > NET
La commande CLI utilise la syntaxe de filtre tcpdump standard. Cette section fournit des informations sur les filtres de capture tcpdump et fournit quelques exemples.
Voici les filtres standard utilisés :
- ip - Filtres pour tout le trafic de protocole IP
- tcp - Filtres pour tout le trafic de protocole TCP
- ip host - Filtres d'une adresse IP source ou de destination spécifique
Voici quelques exemples des filtres utilisés :
- ip host 10.1.1.1 - Ce filtre capture tout trafic qui inclut 10.1.1.1 comme source ou destination.
- ip host 10.1.1.1 ou ip host 10.1.1.2 - Ce filtre capture le trafic qui contient 10.1.1.1 ou 10.1.1.2 comme source ou destination.
Pour récupérer le fichier capturé, accédez à var > log > diagnostic ou data > pub > diagnostic afin d'accéder au répertoire Diagnostic.
Note: Lorsque cette commande est utilisée, elle peut entraîner le remplissage de l'espace disque de votre ESA et également une dégradation des performances. Cisco vous recommande d'utiliser cette commande uniquement avec l'aide d'un ingénieur TAC Cisco.
Détection et investigation de réseau supplémentaires
Note: Les méthodes ci-dessous ne peuvent être utilisées qu'à partir de l'interface de ligne de commande.
TCPSERVICES
Les tcpservices
affiche les informations TCP/IP pour les processus système et les fonctionnalités en cours.
example.com> tcpservices
System Processes (Note: All processes may not always be present)
ftpd.main - The FTP daemon
ginetd - The INET daemon
interface - The interface controller for inter-process communication
ipfw - The IP firewall
slapd - The Standalone LDAP daemon
sntpd - The SNTP daemon
sshd - The SSH daemon
syslogd - The system logging daemon
winbindd - The Samba Name Service Switch daemon
Feature Processes
euq_webui - GUI for ISQ
gui - GUI process
hermes - MGA mail server
postgres - Process for storing and querying quarantine data
splunkd - Processes for storing and querying Email Tracking data
COMMAND USER TYPE NODE NAME
postgres pgsql IPv4 TCP 127.0.0.1:5432
interface root IPv4 TCP 127.0.0.1:53
ftpd.main root IPv4 TCP 10.0.202.7:21
gui root IPv4 TCP 10.0.202.7:80
gui root IPv4 TCP 10.0.202.7:443
ginetd root IPv4 TCP 10.0.202.7:22
java root IPv6 TCP [::127.0.0.1]:18081
hermes root IPv4 TCP 10.0.202.7:25
hermes root IPv4 TCP 10.0.202.7:7025
api_serve root IPv4 TCP 10.0.202.7:6080
api_serve root IPv4 TCP 127.0.0.1:60001
api_serve root IPv4 TCP 10.0.202.7:6443
nginx root IPv4 TCP *:4431
nginx nobody IPv4 TCP *:4431
nginx nobody IPv4 TCP *:4431
java root IPv4 TCP 127.0.0.1:9999
NETSTAT
Cet utilitaire affiche les connexions réseau pour le protocole de contrôle de transmission (entrant et sortant), les tables de routage et un certain nombre de statistiques d'interface réseau et de protocole réseau.
example.com> netstat
Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.
Example of Option 1 (List of active sockets)
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 10.0.202.7.10275 10.0.201.4.6025 ESTABLISHED
tcp4 0 0 10.0.202.7.22 10.0.201.4.57759 ESTABLISHED
tcp4 0 0 10.0.202.7.10273 a96-17-177-18.deploy.static.akamaitechnologies.com.80 TIME_WAIT
tcp4 0 0 10.0.202.7.10260 10.0.201.5.443 ESTABLISHED
tcp4 0 0 10.0.202.7.10256 10.0.201.5.443 ESTABLISHED
Example of Option 2 (State of network interfaces)
Show the number of dropped packets? [N]> y
Name Mtu Network Address Ipkts Ierrs Idrop Ibytes Opkts Oerrs Obytes Coll Drop
Data 1 - 10.0.202.0 10.0.202.7 110624529 - - 117062552515 122028093 - 30126949890 - -
Example of Option 3 (Contents of routing tables)
Routing tables
Internet:
Destination Gateway Flags Netif Expire
default 10.0.202.1 UGS Data 1
10.0.202.0 link#2 U Data 1
10.0.202.7 link#2 UHS lo0
localhost.example. link#4 UH lo0
Example of Option 4 (Size of the listen queues)
Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen Local Address
tcp4 0/0/50 localhost.exampl.9999
tcp4 0/0/50 10.0.202.7.7025
tcp4 0/0/50 10.0.202.7.25
tcp4 0/0/15 10.0.202.7.6443
tcp4 0/0/15 localhost.exampl.60001
tcp4 0/0/15 10.0.202.7.6080
tcp4 0/0/20 localhost.exampl.18081
tcp4 0/0/20 10.0.202.7.443
tcp4 0/0/20 10.0.202.7.80
tcp4 0/0/10 10.0.202.7.21
tcp4 0/0/10 10.0.202.7.22
tcp4 0/0/10 localhost.exampl.53
tcp4 0/0/208 localhost.exampl.5432
Example of Option 5 (Packet traffic information)
input nic1 output
packets errs idrops bytes packets errs bytes colls drops
49 0 0 8116 55 0 7496 0 0
RÉSEAU
La sous-commande network sous diagnostic permet d'accéder à d'autres options. Vous pouvez l'utiliser pour vider tous les caches liés au réseau, afficher le contenu du cache ARP, afficher le contenu du cache NPD (le cas échéant) et vous permettre de tester la connectivité SMTP distante à l'aide de la fonctionnalité SMTPPING.
example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network
Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]>
ETHERCONFIG
Les etherconfig
vous permet d'afficher et de configurer certains des paramètres liés aux informations duplex et MAC pour les interfaces, les VLAN, les interfaces de bouclage, les tailles MTU et l'acceptation ou le rejet des réponses ARP avec une adresse de multidiffusion.
example.com> etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>
TRACEROUTE
Affiche la route réseau vers un hôte distant. Vous pouvez également utiliser le traceroute6
si une adresse IPv6 est configurée sur au moins une interface.
example.com> traceroute google.com
Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms
PING
La commande ping vous permet de tester l'accessibilité d'un hôte à l'aide de l'adresse IP ou du nom d'hôte et fournit des statistiques relatives à la latence et/ou aux pertes de communication possibles.
example.com> ping google.com
Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms
--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms