Travailler avec Firepower Threat Defense Captures et Packet Tracer

Introduction

Ce document décrit comment utiliser les captures de Firepower Threat Defense (FTD) et les utilitaires Packet Tracer.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

• ASA5515-X qui exécute le logiciel FTD 6.1.0
• FPR4110 qui exécute le logiciel FTD 6.2.2
• FS4000 qui exécute le logiciel Firepower Management Center (FMC) 6.2.2

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Diagramme du réseau

Informations générales

Traitement des paquets FTD

Le traitement des paquets FTD peut être visualisé comme suit :

1. Un paquet entre dans l'interface d'entrée et il est géré par le moteur LINA.
2. Si la stratégie requiert que le paquet soit inspecté par le moteur Snort.
3. Le moteur Snort renvoie un verdict pour le paquet.
4. Le moteur LINA abandonne ou transfère le paquet en fonction du verdict de Snort.

Sur la base de l'architecture, les captures FTD peuvent être prises dans ces endroits :

  

Configuration

Utilisation des captures Snort Engine

Conditions préalables

Il existe une politique de contrôle d'accès (ACP) appliquée sur FTD qui permet au trafic ICMP (Internet Control Message Protocol) de traverser. Une stratégie d'intrusion est également appliquée :

Conditions requises

1. Activez la capture en mode CLISH FTD sans filtre.
2. Envoyez une requête ping à travers le FTD et vérifiez le résultat de la capture.

Solution

Étape 1. Connectez-vous à la console FTD ou SSH à l'interface br1 et activez la capture en mode CLISH FTD en utilisant aucun filtre.

> capture-traffic

Please choose domain to capture traffic from:
  0 - br1
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:

Sur FTD 6.0.x, la commande est :

> system support capture-traffic

Étape 2. Envoyez une requête ping à FTD et vérifiez le résultat de la capture.

> capture-traffic

Please choose domain to capture traffic from:
  0 - br1
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
12:52:34.749945 IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 1, length 80 12:52:34.749945 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 1, length 80 12:52:34.759955 IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 2, length 80 12:52:34.759955 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 2, length 80 12:52:34.759955 IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 3, length 80 12:52:34.759955 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 3, length 80 12:52:34.759955 IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 4, length 80 12:52:34.759955 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 4, length 80
^C <- to exit press CTRL + C 

Utilisation des captures Snort Engine

Conditions requises

1. Activez la capture en mode CLISH FTD à l'aide d'un filtre pour IP 192.168.101.1.
2. Envoyez une requête ping à FTD et vérifiez le résultat de la capture.

Solution

Étape 1. Activez la capture en mode CLISH FTD à l'aide d'un filtre pour IP 192.168.101.1.

> capture-traffic

Please choose domain to capture traffic from:
  0 - br1
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: host 192.168.101.1

Étape 2. Envoyez une requête ping à travers le FTD et vérifiez le résultat de la capture :

13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 0, length 80
13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 1, length 80
13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 2, length 80
13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 3, length 80
13:28:36.079982 IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 4, length 80

Vous pouvez utiliser l'option -n pour afficher les hôtes et les numéros de port au format numérique. Par exemple, la capture précédente s'affiche comme suit :

> capture-traffic

Please choose domain to capture traffic from:
  0 - br1
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n host 192.168.101.1
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 0, length 80
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 1, length 80
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 2, length 80
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 3, length 80
13:29:59.599959 IP 192.168.101.1 > 192.168.103.1: ICMP echo reply, id 5, seq 4, length 80

Exemples De Filtre Tcpdump

Exemple 1

Afin de capturer IP Src ou IP Dst = 192.168.101.1 et port Src ou port Dst = TCP/UDP 23, entrez cette commande :

Options: -n host 192.168.101.1 and port 23

Exemple 2

Afin de capturer Src IP = 192.168.101.1 et le port Src = TCP/UDP 23, entrez cette commande :

Options: -n src 192.168.101.1 and src port 23

Exemple 3

Afin de capturer Src IP = 192.168.101.1 et le port Src = TCP 23, entrez cette commande :

Options: -n src 192.168.101.1 and tcp and src port 23

Exemple 4

Afin de capturer Src IP = 192.168.101.1 et de voir l'adresse MAC des paquets ajouter l'option 'e', entrez cette commande :

Options: -ne src 192.168.101.1
17:57:48.709954 6c:41:6a:a1:2b:f6 > a8:9d:21:93:22:90, ethertype IPv4 (0x0800), length 58: 192.168.101.1.23 > 192.168.103.1.25420:
 Flags [S.], seq 3694888749, ack 1562083610, win 8192, options [mss 1380], length 0

Exemple 5

Afin de quitter après avoir capturé 10 paquets, entrez cette commande :

Options: -n -c 10 src 192.168.101.1
18:03:12.749945 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 3758037348, win 32768, length 0
18:03:12.749945 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 1, win 32768, length 2
18:03:12.949932 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 1, win 32768, length 10
18:03:13.249971 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 3, win 32768, length 0
18:03:13.249971 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 3, win 32768, length 2
18:03:13.279969 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 5, win 32768, length 0
18:03:13.279969 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 5, win 32768, length 10
18:03:13.309966 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 7, win 32768, length 0
18:03:13.309966 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [P.], ack 7, win 32768, length 12
18:03:13.349972 IP 192.168.101.1.23 > 192.168.103.1.27287: Flags [.], ack 9, win 32768, length 0

Exemple 6

Afin d'écrire une capture dans un fichier avec le nom capture.pcap et de la copier via FTP sur un serveur distant, entrez cette commande :

Options: -w capture.pcap host 192.168.101.1
CTRL + C <- to stop the capture
> file copy 10.229.22.136 ftp / capture.pcap
Enter password for ftp@10.229.22.136:
Copying capture.pcap
Copy successful.

>

Utilisation des captures de moteur FTD LINA

Conditions requises

1. Activez deux captures sur FTD à l'aide de ces filtres :

Adresse IP source	Commutateurs 192.168.103.1
Adresse IP de destination	Commutateurs 192.168.101.1
Protocol	ICMP
Interface	INTÉRIEUR

Adresse IP source	Commutateurs 192.168.103.1
Adresse IP de destination	Commutateurs 192.168.101.1
Protocol	ICMP
Interface	EXTÉRIEUR

2. Envoyez une requête ping de l’hôte A (192.168.103.1) vers l’hôte B (192.168.101.1) et vérifiez les captures.

Solution

Étape 1. Activez les captures :

> capture CAPI interface INSIDE match icmp host 192.168.103.1 host 192.168.101.1
> capture CAPO interface OUTSIDE match icmp host 192.168.101.1 host 192.168.103.1

Étape 2. Vérifiez les captures dans la CLI.

Envoyez une requête ping de l’hôte A à l’hôte B :

> show capture
capture CAPI type raw-data interface INSIDE [Capturing - 752 bytes]
  match icmp host 192.168.103.1 host 192.168.101.1
capture CAPO type raw-data interface OUTSIDE [Capturing - 720 bytes]
  match icmp host 192.168.101.1 host 192.168.103.1

Les deux captures ont des tailles différentes en raison de l'en-tête Dot1Q sur l'interface INSIDE. Ceci est illustré dans cet exemple de sortie :

> show capture CAPI
8 packets captured
   1: 17:24:09.122338 802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   2: 17:24:09.123071 802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   3: 17:24:10.121392 802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   4: 17:24:10.122018 802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   5: 17:24:11.119714 802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   6: 17:24:11.120324 802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   7: 17:24:12.133660 802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   8: 17:24:12.134239 802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
8 packets shown

> show capture CAPO
8 packets captured
   1: 17:24:09.122765  192.168.103.1 > 192.168.101.1: icmp: echo request
   2: 17:24:09.122994  192.168.101.1 > 192.168.103.1: icmp: echo reply
   3: 17:24:10.121728  192.168.103.1 > 192.168.101.1: icmp: echo request
   4: 17:24:10.121957  192.168.101.1 > 192.168.103.1: icmp: echo reply
   5: 17:24:11.120034  192.168.103.1 > 192.168.101.1: icmp: echo request
   6: 17:24:11.120263  192.168.101.1 > 192.168.103.1: icmp: echo reply
   7: 17:24:12.133980  192.168.103.1 > 192.168.101.1: icmp: echo request
   8: 17:24:12.134194  192.168.101.1 > 192.168.103.1: icmp: echo reply
8 packets shown

Utilisation des captures de moteur FTD LINA - Exporter une capture via HTTP

Conditions requises

Exportez les captures prises dans le scénario précédent avec un navigateur.

Solution

Pour exporter les captures avec un navigateur, vous devez :

1. Activez le serveur HTTPS.
2. Autoriser l'accès HTTPS.

 Par défaut, le serveur HTTPS est désactivé et aucun accès n'est autorisé :

> show running-config http

>

Étape 1. Accédez à Périphériques > Paramètres de la plate-forme, cliquez sur Nouvelle stratégie et choisissez Paramètres de protection contre les menaces :

Spécifiez le nom de la stratégie et la cible du périphérique :

Étape 2. Activez le serveur HTTPS et ajoutez le réseau auquel vous voulez être autorisé à accéder au périphérique FTD via HTTPS :

Enregistrer et déployer.

Pendant le déploiement de la stratégie, vous pouvez activer debug http afin de voir le service HTTP démarrer :

> debug http 255
debug http enabled at level 255.
http_enable: Enabling HTTP server HTTP server starting. 

Le résultat sur l'interface de ligne de commande FTD est le suivant :

> unebug all
> show run http
http server enable http 192.168.103.0 255.255.255.0 INSIDE 

Ouvrez un navigateur sur l'hôte A (192.168.103.1) et utilisez cette URL afin de télécharger la première capture :

https://192.168.103.62/capture/CAPI/pcap/CAPI.pcap

Pour référence :

https://192.168.103.62/capture/CAPI/pcap/CAPI.pcap	IP de l'interface de données FTD où le serveur HTTP est activé
https://192.168.103.62/capture/CAPI/pcap/CAPI.pcap	Nom de la capture FTD
https://192.168.103.62/capture/CAPI/pcap/CAPI.pcap	Nom du fichier qui sera téléchargé

Pour la deuxième capture :

https://192.168.103.62/capture/CAPO/pcap/CAPO.pcap

Utilisation des captures de moteur FTD LINA - Exporter une capture via FTP/TFTP/SCP

Conditions requises

Exportez les captures prises dans les scénarios précédents avec les protocoles FTP/TFTP/SCP.

Solution

Exporter une capture vers un serveur FTP :

firepower# copy /pcap capture:CAPI ftp://ftp_username:ftp_password@192.168.78.73/CAPI.pcap

Source capture name [CAPI]?

Address or name of remote host [192.168.78.73]?

Destination username [ftp_username]?

Destination password [ftp_password]?

Destination filename [CAPI.pcap]?
!!!!!!
114 packets copied in 0.170 secs
 firepower#

Exporter une capture vers un serveur TFTP :

firepower# copy /pcap capture:CAPI tftp://192.168.78.73

Source capture name [CAPI]?

Address or name of remote host [192.168.78.73]?

Destination filename [CAPI]?
!!!!!!!!!!!!!!!!
346 packets copied in 0.90 secs

firepower#

Exporter une capture vers un serveur SCP :

firepower# copy /pcap capture:CAPI scp://scp_username:scp_password@192.168.78.55

Source capture name [CAPI]?

Address or name of remote host [192.168.78.55]?

Destination username [scp_username]?

Destination filename [CAPI]?
The authenticity of host '192.168.78.55 (192.168.78.55)' can't be established.
RSA key fingerprint is <cb:ca:9f:e9:3c:ef:e2:4f:20:f5:60:21:81:0a:85:f9:02:0d:0e:98:d0:9b:6c:dc:f9:af:49:9e:39:36:96:33>(SHA256).
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.78.55' (SHA256) to the list of known hosts.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
454 packets copied in 3.950 secs (151 packets/sec)

firepower#

Captures de déchargement à partir de FTD :

Actuellement, lorsqu'il est nécessaire de décharger des captures de FTD, la méthode la plus simple est d'effectuer les opérations suivantes :

1.) De Lina -

copy /pcap capture : <cap_name> disk0 :

2.) De la racine FPR -

mv /ngfw/mnt/disk0/<cap_name> /ngfw/var/common/

3.) À partir de l'interface FMC - Système > Santé > Surveillance > Périphérique > Dépannage avancé > <cap_name> dans le champ et à télécharger

Utilisation des captures de moteur FTD LINA - Suivi d'un paquet de trafic réel

Conditions requises

Activez une capture sur FTD avec les filtres suivants :

Adresse IP source	Commutateurs 192.168.103.1
Adresse IP de destination	Commutateurs 192.168.101.1
Protocol	ICMP
Interface	INTÉRIEUR
Suivi des paquets	oui
Nombre de paquets de suivi	100

Envoyez une requête ping à partir de l’hôte A (192.168.103.1) vers l’hôte B (192.168.101.1) et vérifiez les captures.

Solution

Le suivi d’un paquet réel peut être très utile pour résoudre les problèmes de connectivité. Il vous permet de voir toutes les vérifications internes qu'un paquet traverse. Ajoutez les mots clés trace detail et spécifiez la quantité de paquets à tracer. Par défaut, le FTD trace les 50 premiers paquets d'entrée.

Dans ce cas, activez la capture avec les détails de suivi pour les 100 premiers paquets que FTD reçoit sur l'interface INSIDE :

> capture CAPI2 interface INSIDE trace detail trace-count 100 match icmp host 192.168.103.1 host 192.168.101.1

Envoyez une requête ping de l’hôte A à l’hôte B et vérifiez le résultat :

Les paquets capturés sont les suivants :

> show capture CAPI2
8 packets captured
   1: 18:08:04.232989  802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   2: 18:08:04.234622  802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   3: 18:08:05.223941  802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   4: 18:08:05.224872  802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   5: 18:08:06.222309  802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   6: 18:08:06.223148  802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
   7: 18:08:07.220752  802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request
   8: 18:08:07.221561  802.1Q vlan#1577 P0 192.168.101.1 > 192.168.103.1: icmp: echo reply
8 packets shown

Ce résultat montre une trace du premier paquet. Les parties intéressantes sont les suivantes :

• Phase 12 où on peut voir le « flux de transfert ». Il s'agit de la baie de répartition du moteur LINA (en fait l'ordre interne des opérations)
• Phase 13 où FTD envoie le paquet à l'instance Snort
• Phase 14 où le verdict Snort est vu

> show capture CAPI2 packet-number 1 trace detail
8 packets captured
   1: 18:08:04.232989 000c.2998.3fec a89d.2193.2293 0x8100 Length: 78
      802.1Q vlan#1577 P0 192.168.103.1 > 192.168.101.1: icmp: echo request (ttl 128, id 3346)
Phase: 1
Type: CAPTURE
... output omitted ...

Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 195, packet dispatched to next module
Module information for forward flow ...
snp_fp_inspect_ip_options
snp_fp_snort
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
 
Module information for reverse flow ...
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_snort
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
 
Phase: 13
Type: EXTERNAL-INSPECT
Subtype:
Result: ALLOW
Config:
Additional Information:
Application: 'SNORT Inspect'
 
Phase: 14
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (pass-packet) allow this packet

... output omitted ...

Result:
input-interface: OUTSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow
 
1 packet shown
>

Capture Tool dans les versions du logiciel Post-6.2 FMC

Dans FMC version 6.2.x, un nouvel assistant de capture de paquets a été introduit. Accédez à Périphériques > Gestion des périphériques et cliquez sur l'icône Dépannage. Ensuite, choisissez Dépannage avancé et enfin Capture avec suivi.

Choisissez Ajouter une capture pour créer une capture FTD :

Les limitations actuelles de l'interface FMC sont les suivantes : 

• Impossible de spécifier les ports Src et Dst
• Seuls les protocoles IP de base peuvent être associés
• Impossible d'activer la capture pour les abandons ASP du moteur LINA

Solution - Utilisez l'interface de ligne de commande FTD.

Dès que vous appliquez une capture à partir de l'interface FMC, la capture est en cours d'exécution :

Capture sur CLI FTD :

> show capture
capture CAPI%intf=INSIDE% type raw-data trace interface INSIDE [Capturing - 0 bytes]
  match ip host 192.168.0.10 host 192.168.2.10
>

  

Tracer un paquet réel sur une FMC post-6.2

Sur FMC 6.2.x, l'assistant Capture avec suivi vous permet de capturer et de tracer des paquets réels sur FTD :

Vous pouvez vérifier le paquet suivi dans l'interface FMC :

Utilitaire FTD Packet Tracer

Conditions requises

Utilisez l’utilitaire Packet Tracer pour ce flux et vérifiez comment le paquet sera traité en interne :

Interface d'entrée	INTÉRIEUR
Protocol	Requête d’écho ICMP
Adresse IP source	Commutateurs 192.168.103.1
Adresse IP de destination	Commutateurs 192.168.101.1

Solution

Packet Tracer génère un paquet virtuel. Comme indiqué dans cet exemple, le paquet est soumis à l'inspection Snort. Une capture prise en même temps au niveau Snort (capture-traffic) affiche la requête d'écho ICMP :

> packet-tracer input INSIDE icmp 192.168.103.1 8 0 192.168.101.1
 
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list
 
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
 
Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.101.1 using egress ifc  OUTSIDE
 
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip 192.168.103.0 255.255.255.0 192.168.101.0 255.255.255.0 rule-id 268436482 event-log both
access-list CSM_FW_ACL_ remark rule-id 268436482: ACCESS POLICY: FTD5515 - Mandatory/1
access-list CSM_FW_ACL_ remark rule-id 268436482: L4 RULE: Allow ICMP
Additional Information: This packet will be sent to snort for additional processing where a verdict will be reached
 
... output omitted ...
 
Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 203, packet dispatched to next module

Phase: 13
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: allow rule, id 268440225, allow
NAP id 2, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet

 
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow
 
>

La capture au niveau du noeud pendant le test Packet Tracer montre le paquet virtuel :

> capture-traffic

Please choose domain to capture traffic from:
  0 - management0
  1 - Router

Selection? 1

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n
13:27:11.939755 IP 192.168.103.1 > 192.168.101.1: ICMP echo request, id 0, seq 0, length 8

Outil d’interface utilisateur Packet Tracer dans les versions du logiciel Post-6.2 FMC

Dans FMC version 6.2.x, l'outil d'interface utilisateur Packet Tracer a été introduit. L'outil est accessible de la même manière que l'outil de capture et vous permet d'exécuter Packet Tracer sur FTD à partir de l'interface FMC :

Informations connexes

• Guide de référence des commandes Firepower Threat Defense
• Notes de version de Firepower System, version 6.1.0
• Guide de configuration de Cisco Firepower Threat Defense pour Firepower Device Manager, version 6.1
• Support et documentation techniques - Cisco Systems