Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Procédures de capture de paquets sur le périphérique Cisco Firepower

Options de téléchargement

  • PDF     (118.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (84.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (70.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 mars 2017
ID du document:117778

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment utiliser la commande tcpdump afin de capturer les paquets qui sont vus par une interface réseau de votre périphérique Firepower. Il utilise la syntaxe BPF (Berkeley Packet Filter).

Conditions préalables

Conditions requises

Cisco vous recommande de connaître le périphérique Cisco Firepower et les modèles de périphériques virtuels.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Avertissement : Si vous exécutez la commande tcpdump sur un système de production, elle peut affecter les performances du réseau.

Étapes de capture des paquets

Connectez-vous à l'interface de ligne de commande de votre périphérique Firepower.

Dans les versions 6.1 et ultérieures, entrez capture-traffic. Exemple :

> capture-traffic

Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set  (Interfaces s2p1, s2p2)

Dans les versions 6.0.x.x et antérieures, entrez system support capture-traffic. Exemple :

> system support capture-traffic

Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set  (Interfaces s2p1, s2p2)

Après avoir effectué une sélection, vous serez invité à saisir les options suivantes :

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:

Pour capturer suffisamment de données des paquets, il est nécessaire d'utiliser l'option -s afin de définir correctement la longueur d'onde. La longueur d'onde doit être définie sur une valeur qui correspond à la valeur MTU (Maximum Transmission Unit) configurée de la configuration du jeu d'interfaces, qui par défaut est 1518.

Avertissement : Étant donné que la capture du trafic à l'écran peut dégrader les performances du système et du réseau, Cisco vous recommande d'utiliser l'option -w <filename> avec la commande tcpdump. Il capture les paquets dans un fichier. Si vous exécutez la commande sans l'option -w, appuyez sur la combinaison de touches Ctrl-C pour quitter.

Exemple d'option -w <filename> :

-w capture.pcap -s 1518

Attention : N'utilisez aucun élément de chemin d'accès lorsque vous spécifiez le nom de fichier de capture de paquets (pcap). Vous devez spécifier uniquement le nom de fichier pcap à créer dans l'appliance.

S'il est souhaitable de capturer un nombre limité de paquets, vous pouvez utiliser l'indicateur -c <packets> afin de spécifier le nombre de paquets à capturer. Par exemple, afin de capturer exactement 5000 paquets :

-w capture.pcap -s 1518 -c 5000

En outre, un filtre BPF peut être ajouté à la fin de la commande afin de limiter les paquets capturés. Par exemple, afin de limiter la capture de paquets à 5 000 paquets avec une adresse IP source ou de destination de 192.0.2.1, vous pouvez utiliser ces options :

-w capture.pcap -s 1518 -c 5000 host 192.0.2.1

Lorsque vous capturez le trafic étiqueté VLAN (Virtual LAN), vous devez spécifier le VLAN avec la syntaxe BPF. Sinon, le paquet pcap ne contient aucun des paquets étiquetés VLAN. Par exemple, cet exemple limite la capture au trafic étiqueté VLAN 192.0.2.1 :

-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1

Si vous ne savez pas si le trafic est étiqueté VLAN, cette syntaxe peut être utilisée afin de capturer le trafic de 192.0.2.1 qui est et n'est pas étiqueté VLAN :

-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'

Note: Dans l'exemple précédent, les parenthèses sont nécessaires pour que 'or' ne s'applique pas uniquement à 'vlan'. Les guillemets simples sont alors nécessaires afin d'éviter toute interprétation erronée des parenthèses par le shell.

La spécification d'une étiquette VLAN capture tout le trafic VLAN qui correspond au reste de votre BPF. Cependant, si vous voulez capturer une balise VLAN spécifique, vous pouvez spécifier la balise VLAN que vous voulez capturer comme suit :

-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1

Après avoir spécifié les options souhaitées et appuyé sur Entrée, tcpdump commence à capturer le trafic.

Astuce : Si l'option -c n'a pas été utilisée, appuyez sur la combinaison de touches Ctrl-C afin d'arrêter la capture.

Une fois la capture arrêtée, vous recevrez une confirmation. Exemple :

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1

Cleaning up.
Done.

Copier un fichier Pcap

Afin de copier un fichier pcap d'un appareil FirePOWER vers un autre système qui accepte les connexions SSH entrantes, utilisez cette commande :

> system file secure-copy hostname username destination_directory pcap_file

Après avoir appuyé sur Entrée, vous serez invité à saisir le mot de passe du système distant. Le fichier sera copié sur le réseau.

Note: Dans cet exemple, le nom d'hôte fait référence au nom ou à l'adresse IP de l'hôte distant cible, le nom d'utilisateur spécifie le nom de l'utilisateur sur l'hôte distant, le répertoire de destination spécifie le chemin de destination sur l'hôte distant et le fichier pcap spécifie le fichier pcap local à transférer.

TAC Authored

Contribution d’experts de Cisco

  • Nazmul Rajib
    Cisco TAC Engineer

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits