La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritta la configurazione e la verifica di Firepower e delle acquisizioni dello switch interno Secure Firewall.
Conoscenze base dei prodotti, analisi delle acquisizioni.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Dal punto di vista del flusso dei pacchetti, l'architettura di Firepower 4100/9300 e Secure Firewall 1200/3100/4200 può essere visualizzata come mostrato nella seguente figura:
Lo chassis comprende i seguenti componenti:
Nel caso di Secure Firewall 3100/4200, i dati, la gestione e le interfacce uplink vengono mappate su porte di switch interne specifiche.
Nota: Per il Secure Firewall 1200, le interfacce dati e uplink sono mappate a porte di switch interne specifiche. La porta di gestione, tuttavia, è un'interfaccia fuori banda e non fa parte dello switch interno.
La mappatura può essere verificata nell'output del comando FXOS local-mgmt shell show portmanager switch status.
Nell'esempio, la porta 17/0 è l'interfaccia di gestione dello chassis, la porta 18/00 è l'interfaccia del backplane/uplink e la porta 19/00 è l'interfaccia di gestione uplink.
firepower-3140# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-3140(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Autoneg FEC Link Scan Port Manager
--------- -------- ----- ----- ------ ------------- --------- ---------- ----------- ------------
0/1 SGMII Up 1G Full None No None None Link-Up
0/2 SGMII Up 1G Full None No None None Link-Up
0/3 SGMII Down 1G Full n/a No None None Force-Link-Down
0/4 SGMII Down 1G Full n/a No None None Force-Link-Down
0/5 SGMII Down 1G Full n/a No None None Force-Link-Down
0/6 SGMII Down 1G Full n/a No None None Force-Link-Down
0/7 SGMII Down 1G Full n/a No None None Force-Link-Down
0/8 SGMII Down 1G Full n/a No None None Force-Link-Down
0/9 SR_LR Down 25G Full n/a No None None Force-Link-Down
0/10 SR_LR Down 25G Full n/a No None None Force-Link-Down
0/11 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/12 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/13 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/14 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/15 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/16 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/17 1000_BaseX Up 1G Full None No None None Link-Up
0/18 KR2 Up 50G Full None No None None Link-Up
0/19 KR Up 25G Full None No None None Link-Up
0/20 KR Up 25G Full None No None None Link-Up
Nella tabella seguente vengono mostrate le interfacce backplane su Firepower 4100/9300 e le interfacce di uplink dei dati su Secure Firewall 1200/3100/4200:
Piattaforma |
Numero di moduli di sicurezza supportati |
Interfaccia backplane/uplink |
Porta switch interna mappata per backplane/uplink |
Interfaccia applicazione mappata |
Firepower 4100 (ad eccezione di Firepower 4110/4112) |
1 |
SM1: Ethernet 1/9 Ethernet 1/10 |
N/D |
Dati interni0/0 Dati interni0/1 |
Firepower 4110/4112 |
1 |
Ethernet 1/9 |
N/D |
Dati interni0/0 Dati interni0/1 |
Firepower 9300 |
3 |
SM1: Ethernet 1/9 Ethernet 1/10 SM2: Ethernet 1/11 Ethernet 1/12 SM3 Ethernet 1/13 Ethernet 1/14 |
N/D |
Dati interni0/0 Dati interni0/1
Dati interni0/1
Dati interni0/1 |
Secure Firewall 1210 |
1 |
in_data_uplink1 |
Porta 9 |
Dati interni0/1 |
Secure Firewall 1220 |
1 |
in_data_uplink1 in_data_uplink2 in_data_uplink3 |
Porta 11 Porta 12 Porta 13 |
Dati interni0/1 Dati interni0/2 Dati interni0/3 |
Secure Firewall 1230 Secure Firewall 1240 |
1 |
in_data_uplink1 in_data_uplink2 in_data_uplink3 |
Porta 13 Porta 14 Porta 15 |
Dati interni0/1 Dati interni0/2 Dati interni0/3 |
Secure Firewall 1250 |
1 |
in_data_uplink1 |
Porta 13 |
Dati interni0/1 |
Secure Firewall 3100 |
1 |
in_data_uplink1 |
Porta 18 |
Dati interni0/1 |
Secure Firewall 4200 |
1 |
in_data_uplink1 in_data_uplink2 (solo 4245) |
Porta 11 Porta 12 (solo 4245) |
Dati interni0/1 Dati interni0/2 (solo 4245) |
Nella tabella seguente vengono mostrate le interfacce di gestione e le interfacce uplink di gestione su Secure Firewall 1200/3100/4200:
Piattaforma |
Interfaccia di gestione dello chassis |
Porta switch interna mappata per interfaccia di gestione dello chassis |
Porta switch interna mappata per interfaccia uplink di gestione |
Interfaccia applicazione mappata |
Secure Firewall 1210 |
Gestione1 |
Non mappato ad alcuna porta interna dello switch |
N/D |
N/D |
Secure Firewall 1200 (tranne 1210) |
Gestione1 |
Non mappato ad alcuna porta interna dello switch |
N/D |
N/D |
Secure Firewall 3100 |
Gestione1 |
Porta 0/17 |
Porta 0/19 |
in_mgmt_uplink1 |
Secure Firewall 4200 |
Gestione1 Gestione2 |
Porta 0/9 Porta 0/10 |
Porta 0/13 Porta 0/14 |
in_mgmt_uplink1 in_mgmt_uplink2 |
Nel caso in cui Firepower 4100/9300 con 2 interfacce backplane per modulo o Secure Firewall 4245 con 2 interfacce di uplink dati, lo switch interno e le applicazioni sui moduli eseguono il bilanciamento del carico del traffico sulle 2 interfacce.
Inoltre, Secure Firewall 1200 presenta una nuova architettura con tre interfacce di uplink dei dati. Lo switch interno e l'applicazione eseguono il bilanciamento del carico su queste interfacce.
Utilizzare il comando show interface detail per verificare le interfacce interne:
> show interface detail | grep Interface
Interface Internal-Control0/0 "ha_ctl_nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
Control Point Interface States:
Interface number is 2
Interface config status is active
Interface state is active
Interface Internal-Data0/1 "", is up, line protocol is up
Control Point Interface States:
Interface number is 3
Interface config status is active
Interface state is active
Interface Internal-Data0/2 "nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 4
Interface config status is active
Interface state is active
Interface Internal-Data0/3 "ccl_ha_nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 5
Interface config status is active
Interface state is active
Interface Internal-Data0/4 "cmi_mgmt_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 7
Interface config status is active
Interface state is active
Interface Port-channel6.666 "", is up, line protocol is up
Interface Ethernet1/1 "diagnostic", is up, line protocol is up
Control Point Interface States:
Interface number is 8
Interface config status is active
Interface state is active
Firepower 4100/9300
Per prendere una decisione di inoltro, lo switch interno usa un tag interface VLAN, o tag port VLAN, e un tag virtual network (VN-tag).
Il tag port VLAN viene usato dallo switch interno per identificare un'interfaccia. Lo switch inserisce il tag VLAN della porta in ciascun pacchetto in entrata inviato sulle interfacce anteriori. Il tag VLAN viene configurato automaticamente dal sistema e non può essere modificato manualmente. Il valore del tag può essere controllato nella shell dei comandi fxos:
firepower# connect fxos
…
firepower(fxos)# show run int e1/2
!Command: show running-config interface Ethernet1/2
!Time: Tue Jul 12 22:32:11 2022
version 5.0(3)N2(4.120)
interface Ethernet1/2
description U: Uplink
no lldp transmit
no lldp receive
no cdp enable
switchport mode dot1q-tunnel
switchport trunk native vlan 102
speed 1000
duplex full
udld disable
no shutdown
Il tag VN viene inoltre inserito dallo switch interno e utilizzato per inoltrare i pacchetti all'applicazione. Viene configurato automaticamente dal sistema e non può essere modificato manualmente.
Il tag VLAN della porta e il tag VN vengono condivisi con l'applicazione. L'applicazione inserisce i rispettivi tag VLAN dell'interfaccia in uscita e i tag VN in ciascun pacchetto. Quando uno switch interno riceve un pacchetto dall'applicazione sulle interfacce del backplane, lo switch legge il tag VLAN dell'interfaccia in uscita e il tag VN, identifica l'applicazione e l'interfaccia in uscita, rimuove il tag VLAN della porta e il tag VN, quindi inoltra il pacchetto alla rete.
Secure Firewall 1200/3100/4200
Come in Firepower 4100/9300, il tag della porta VLAN viene usato dallo switch interno per identificare un'interfaccia.
Il tag della porta VLAN è condiviso con l'applicazione. L'applicazione inserisce i rispettivi tag VLAN dell'interfaccia in uscita in ciascun pacchetto. Quando uno switch interno riceve un pacchetto dall'applicazione sull'interfaccia uplink, lo switch legge il tag dell'interfaccia VLAN in uscita, identifica l'interfaccia in uscita, rimuove il tag della porta VLAN e inoltra il pacchetto alla rete.
Firepower 4100/9300 e Secure Firewall 3100
I firewall Firepower 4100/9300 e Secure Firewall 3100 supportano le acquisizioni di pacchetti sulle interfacce dello switch interno.
La figura mostra i punti di acquisizione del pacchetto lungo il percorso del pacchetto all'interno dello chassis e dell'applicazione:
I punti di acquisizione sono:
Lo switch interno supporta solo le acquisizioni dell'interfaccia in entrata. In questo modo, è possibile acquisire solo i pacchetti ricevuti dalla rete o dall'applicazione ASA/FTD. Le acquisizioni di pacchetti in uscita non sono supportate.
Secure Firewall 1200/4200
I firewall Secure Firewall 1200/4200 supportano le acquisizioni di pacchetti sulle interfacce dello switch interno. La figura mostra i punti di acquisizione del pacchetto lungo il percorso del pacchetto all'interno dello chassis e dell'applicazione:
I punti di acquisizione sono:
Lo switch interno supporta facoltativamente le acquisizioni bidirezionali in entrata e in uscita. Per impostazione predefinita, lo switch interno cattura i pacchetti in entrata.
Nota: L'interfaccia di gestione su Secure Firewall 1200 è un'interfaccia fuori banda e non fa parte dello switch interno. Per questo motivo, l'acquisizione del traffico dell'interfaccia di gestione a livello di switch non è supportata su Secure Firewall 1200.
Le acquisizioni dello switch interno Firepower 4100/9300 possono essere configurate in Strumenti > Packet Capture su FCM o in Scope Packet Capture nella CLI di FXOS. Per la descrizione delle opzioni di acquisizione dei pacchetti, consultare la guida alla configurazione di Cisco Firepower 4100/9300 FXOS Chassis Manager o la guida alla configurazione della CLI di Cisco Firepower 4100/9300 FXOS, capitolo Risoluzione dei problemi, sezione Acquisizione pacchetti.
In questi scenari vengono illustrati i casi di utilizzo comuni delle acquisizioni dello switch interno Firepower 4100/9300.
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/2 o Portchannel1. Nel caso di un'interfaccia di canale della porta, assicurarsi di selezionare tutte le interfacce membro fisiche.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare l'acquisizione di un pacchetto sulle interfacce Ethernet1/2 o Portchannel1, eseguire la procedura seguente su FCM:
CLI FXOS
Attenersi alla seguente procedura dalla CLI di FXOS per configurare l'acquisizione di un pacchetto sulle interfacce Ethernet1/2 o Portchannel1:
firepower# scope ssa
firepower /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/4(P) Eth1/5(P)
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Per le interfacce port-channel, viene configurata un'acquisizione separata per ciascuna interfaccia membro:
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/5
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
Portchannel1 con interfacce membro Ethernet1/4 ed Ethernet1/5:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 75136 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Port-channel 1 con interfacce membro Ethernet1/4 ed Ethernet1/5:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 4
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
Pcapsize: 310276 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 5
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-5-0.pcap
Pcapsize: 160 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione per Ethernet1/2. Selezionare il primo pacchetto e controllare i punti chiave:
Selezionare il secondo pacchetto e controllare i punti chiave:
Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:
Selezionare il secondo pacchetto e controllare i punti chiave:
Spiegazione
Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:
Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/2 |
Ethernet 1/2 |
102 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Portchannel1 con le interfacce membro Ethernet1/4 ed Ethernet1/5 |
Ethernet1/4 Ethernet1/5 |
1001 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sulle interfacce backplane.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare le acquisizioni dei pacchetti sulle interfacce backplane, eseguire la procedura seguente su FCM:
CLI FXOS
Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/9
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/10
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-10-0.pcap
Pcapsize: 1017424 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-9-0.pcap
Pcapsize: 1557432 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. In caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane. In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.
Selezionare il primo e il secondo pacchetto e verificare i punti principali:
Selezionare il terzo e il quarto pacchetto, quindi verificare i punti chiave:
Spiegazione
Quando si configura un pacchetto da acquisire su un'interfaccia backplane, lo switch acquisisce simultaneamente ciascun pacchetto due volte. In questo caso, lo switch interno riceve i pacchetti che sono già stati contrassegnati dall'applicazione sul modulo di sicurezza con il tag port VLAN e il tag VN. Il tag VLAN identifica l'interfaccia in uscita usata dallo chassis interno per inoltrare i pacchetti alla rete. Il tag VLAN 103 nei pacchetti di richiesta echo ICMP identifica Ethernet 1/3 come interfaccia di uscita, mentre il tag VLAN 102 nei pacchetti di risposta echo ICMP identifica Ethernet 1/2 come interfaccia di uscita. Lo switch interno rimuove il tag VN e il tag VLAN dell'interfaccia interna prima che i pacchetti vengano inoltrati alla rete.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica delle acquisizioni dei pacchetti sulle interfacce backplane |
Interfacce backplane |
102 103 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
Le acquisizioni di pacchetti di porte applicative o applicazioni vengono sempre configurate sulle interfacce backplane e sulle interfacce anteriori se l'utente specifica la direzione di acquisizione dell'applicazione.
Esistono principalmente 2 casi di utilizzo:
In questa sezione vengono illustrati entrambi i casi di utilizzo.
Attività 1
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia del backplane. Vengono acquisiti i pacchetti per i quali la porta dell'applicazione Ethernet1/2 è identificata come interfaccia in uscita. In questo caso, vengono acquisite le risposte ICMP.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:
CLI FXOS
Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create app-port 1 l12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session/app-port* # set filter ""
firepower /packet-capture/session/app-port* # set subinterface 0
firepower /packet-capture/session/app-port* # up
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Application ports involved in Packet Capture:
Slot Id: 1
Link Name: l12
Port Name: Ethernet1/2
App Name: ftd
Sub Interface: 0
Application Instance Identifier: ftd1
Application ports resolved to:
Name: vnic1
Eq Slot Id: 1
Eq Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
Pcapsize: 53640 bytes
Vlan: 102
Filter:
Name: vnic2
Eq Slot Id: 1
Eq Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
Pcapsize: 1824 bytes
Vlan: 102
Filter:
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. Nel caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane. In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.
Selezionare il primo e il secondo pacchetto e verificare i punti principali:
Spiegazione
In questo caso, Ethernet 1/2 con tag VLAN 102 è l'interfaccia di uscita per i pacchetti di risposta echo ICMP.
Quando la direzione di acquisizione dell'applicazione è impostata su Egress nelle opzioni di acquisizione, i pacchetti con il tag VLAN della porta 102 nell'intestazione Ethernet vengono catturati sulle interfacce del backplane nella direzione in entrata.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica delle acquisizioni sulla porta dell'applicazione e sulla porta Ethernet1/2 |
Interfacce backplane |
102 |
Solo in ingresso |
ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
Attività 2
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia backplane e sull'interfaccia anteriore Ethernet1/2.
Le acquisizioni simultanee dei pacchetti sono configurate su:
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:
CLI FXOS
Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port eth1/2
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # create app-port 1 link12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # commit
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 410444 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Application ports involved in Packet Capture:
Slot Id: 1
Link Name: link12
Port Name: Ethernet1/2
App Name: ftd
Sub Interface: 0
Application Instance Identifier: ftd1
Application ports resolved to:
Name: vnic1
Eq Slot Id: 1
Eq Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
Pcapsize: 128400 bytes
Vlan: 102
Filter:
Name: vnic2
Eq Slot Id: 1
Eq Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
Pcapsize: 2656 bytes
Vlan: 102
Filter:
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. Nel caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane. In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.
Aprire il file di acquisizione per l'interfaccia Ethernet1/2, selezionare il primo pacchetto e controllare i punti chiave:
Selezionare il secondo pacchetto e controllare i punti chiave:
Aprire il file di acquisizione per l'interfaccia Ethernet1/9, selezionare il primo e il secondo pacchetto e controllare i punti chiave:
Spiegazione
Se l'opzione Tutti i pacchetti nella direzione di acquisizione dell'applicazione è selezionata, vengono configurate 2 acquisizioni simultanee di pacchetti relative alla porta dell'applicazione selezionata Ethernet1/2: un'acquisizione sull'interfaccia anteriore Ethernet1/2 e un'acquisizione su interfacce selezionate del backplane.
Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:
Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN. Nell'esempio, il tag VLAN 102 nei pacchetti di richiesta echo ICMP identifica Ethernet 1/2 come interfaccia in entrata.
Quando si configura un pacchetto da acquisire su un'interfaccia backplane, lo switch acquisisce simultaneamente ciascun pacchetto due volte. Lo switch interno riceve i pacchetti che sono già stati contrassegnati dall'applicazione sul modulo di sicurezza con il tag della porta VLAN e il tag VN. Il tag port VLAN identifica l'interfaccia in uscita usata dallo chassis interno per inoltrare i pacchetti alla rete. Nell'esempio, il tag VLAN 102 nei pacchetti di risposta echo ICMP identifica Ethernet1/2 come interfaccia di uscita.
Lo switch interno rimuove il tag VN e il tag VLAN dell'interfaccia interna prima che i pacchetti vengano inoltrati alla rete.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica delle acquisizioni sulla porta dell'applicazione e sulla porta Ethernet1/2 |
Interfacce backplane |
102 |
Solo in ingresso |
ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
Interfaccia Ethernet1/2 |
102 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia secondaria Ethernet1/2.205 o Portchannel1.207. Le sottointerfacce e le acquisizioni sulle sottointerfacce sono supportate solo per l'applicazione FTD in modalità contenitore. In questo caso, viene configurata l'acquisizione di un pacchetto su Ethernet1/2.205 e Portchannel1.207.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:
3. Nel caso di una sottointerfaccia port-channel, a causa dell'ID bug Cisco CSCvq3119 le sottointerfacce non sono visibili in FCM. Usare la CLI di FXOS per configurare le acquisizioni sulle sottointerfacce del canale della porta.
CLI FXOS
Attenersi alla seguente procedura dalla CLI di FXOS per configurare l'acquisizione di un pacchetto sulle sottointerfacce Ethernet1/2.205 e Portchannel1.207:
firepower# scope ssa
firepower /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Container No RP20 Not Applicable None
ftd ftd2 1 Enabled Online 7.2.0.82 7.2.0.82 Container No RP20 Not Applicable None
firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/3(P) Eth1/3(P)
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 205
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Per le sottointerfacce del canale della porta, creare un'acquisizione di pacchetto per ogni interfaccia membro del canale della porta:
firepower# scope packet-capture
firepower /packet-capture # create filter vlan207
firepower /packet-capture/filter* # set ovlan 207
firepower /packet-capture/filter* # up
firepower /packet-capture* # create session cap1
firepower /packet-capture/session* create phy-port Eth1/3
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
Le acquisizioni dell'interfaccia secondaria del canale della porta configurate sulla CLI di FXOS sono visibili anche su FCM; tuttavia, non è possibile modificarli:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 9324 bytes
Filter:
Sub Interface: 205
Application Instance Identifier: ftd1
Application Name: ftd
Port-channel 1 con interfacce membro Ethernet1/3 e Ethernet1/4:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 3
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-3-0.pcap
Pcapsize: 160 bytes
Filter:
Sub Interface: 207
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 4
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
Pcapsize: 624160 bytes
Filter:
Sub Interface: 207
Application Instance Identifier: ftd1
Application Name: ftd
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione. Selezionare il primo pacchetto e controllare i punti chiave:
Selezionare il secondo pacchetto e controllare i punti chiave:
Aprire i file di acquisizione per Portchannel1.207. Selezionare il primo pacchetto e controllare i punti chiave
Selezionare il secondo pacchetto e controllare i punti chiave:
Spiegazione
Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:
Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN. Inoltre, nel caso delle sottointerfacce, nei file di acquisizione, il pacchetto ogni secondo non contiene il tag port VLAN.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/2.205 |
Ethernet 1/2.205 |
102 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia secondaria di Portchannel1 con le interfacce membro Ethernet1/3 ed Ethernet1/4 |
Ethernet 1/3 Ethernet 1/4 |
1001 |
Solo in ingresso |
Richieste echo ICMP da 192.168.207.100 all'host 192.168.207.102 |
Usare FCM e CLI per configurare e verificare un'acquisizione pacchetto sull'interfaccia Ethernet1/2 con un filtro.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Eseguire la procedura seguente su FCM per configurare un filtro di acquisizione per i pacchetti di richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 e applicarlo all'acquisizione dei pacchetti sull'interfaccia Ethernet1/2:
Utilizzare Strumenti > Acquisizione pacchetti > Elenco filtri > Aggiungi filtro per creare un filtro di acquisizione.
CLI FXOS
Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
2. Identificare il numero del protocollo IP in https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml. In questo caso, il numero di protocollo ICMP è 1.
3. Creare una sessione di acquisizione:
firepower# scope packet-capture
firepower /packet-capture # create filter filter_icmp
firepower /packet-capture/filter* # set destip 198.51.100.100
firepower /packet-capture/filter* # set protocol 1
firepower /packet-capture/filter* # set srcip 192.0.2.100
firepower /packet-capture/filter* # exit
firepower /packet-capture* # create session cap1
firepower /packet-capture/session* # create phy-port Ethernet1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set filter filter_icmp
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
Verificare il nome dell'interfaccia, il filtro, accertarsi che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino in Strumenti > Acquisizione pacchetti > Sessione di acquisizione:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show filter detail
Configure a filter for packet capture:
Name: filter_icmp
Protocol: 1
Ivlan: 0
Ovlan: 0
Src Ip: 192.0.2.100
Dest Ip: 198.51.100.100
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Src Ipv6: ::
Dest Ipv6: ::
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 213784 bytes
Filter: filter_icmp
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione. Selezionare il primo pacchetto e controllare i punti chiave
Selezionare il secondo pacchetto e controllare i punti chiave:
Spiegazione
Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:
Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN.
Quando si applica un filtro di acquisizione, vengono acquisiti solo i pacchetti che corrispondono al filtro nella direzione in entrata.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Filtro utente |
Traffico acquisito |
Configurare e verificare l'acquisizione di un pacchetto con un filtro sull'interfaccia anteriore Ethernet1/2 |
Ethernet 1/2 |
102 |
Solo in ingresso |
Protocollo: ICMP Fonte:192.0.2.100 Destinazione: 198.51.100.100 |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
FCM
Per raccogliere i file di acquisizione dello switch interno, eseguire la procedura seguente in FCM:
Nel caso di interfacce porta-canale, ripetere questo passaggio per ciascuna interfaccia membro.
CLI FXOS
Per raccogliere i file di acquisizione, attenersi alla seguente procedura dalla CLI di FXOS:
firepower# scope packet-capture
firepower /packet-capture # scope session cap1
firepower /packet-capture/session # disable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # up
firepower /packet-capture # show session cap1 detail
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Disabled
Oper State: Down
Oper State Reason: Admin Disable
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 115744 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
firepower# connect local-mgmt
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ?
ftp: Dest File URI
http: Dest File URI
https: Dest File URI
scp: Dest File URI
sftp: Dest File URI
tftp: Dest File URI
usbdrive: Dest File URI
volatile: Dest File URI
workspace: Dest File URI
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ftp://ftpuser@10.10.10.1/cap1-ethernet-1-2-0.pcap
Password:
Nel caso delle interfacce port-channel, copiare il file di acquisizione per ciascuna interfaccia membro.
Per le linee guida e i limiti relativi all'acquisizione degli switch interni Firepower 4100/9300, fare riferimento alla guida alla configurazione di Cisco Firepower 4100/9300 FXOS Chassis Manager o alla guida alla configurazione della CLI di Cisco Firepower 4100/9300 FXOS, capitolo Risoluzione dei problemi, sezione Packet Capture.
Questo è l'elenco delle best practice basate sull'uso della cattura di pacchetti nei casi TAC:
A differenza di Firepower 4100/9300, le acquisizioni dello switch interno sul Secure Firewall 1200/3100/4200 vengono configurate sull'interfaccia della riga di comando dell'applicazione tramite il comando capture <name>switch, in cui l'opzione switch specifica che le acquisizioni sono configurate sullo switch interno.
Questo è il comando capture con l'opzione switch:
> capture cap_sw switch ?
buffer Configure size of capture buffer, default is 256MB
ethernet-type Capture Ethernet packets of a particular type, default is IP
interface Capture packets on a specific interface
ivlan Inner Vlan
match Capture packets based on match criteria
ovlan Outer Vlan
packet-length Configure maximum length to save from each packet, default is
64 bytes
real-time Display captured packets in real-time. Warning: using this
option with a slow console connection may result in an
excessive amount of non-displayed packets due to performance
limitations.
stop Stop packet capture
trace Trace the captured packets
type Capture packets based on a particular type
<cr>
Di seguito sono riportati i passi generali per la configurazione dell'acquisizione dei pacchetti:
La configurazione di acquisizione dello switch accetta il nome dell'interfaccia in entrata, se presente. L'utente può specificare i nomi delle interfacce dati, l'uplink interno o le interfacce di gestione:
> capture capsw switch interface ?
Available interfaces to listen:
in_data_uplink1 Capture packets on internal data uplink1 interface
in_mgmt_uplink1 Capture packets on internal mgmt uplink1 interface
inside Name of interface Ethernet1/1.205
management Name of interface Management1/1
Secure Firewall 1200/4200 supporta le acquisizioni bidirezionali. Se non specificato diversamente, il valore predefinito è in entrata:
> capture capi switch interface inside direction
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
Inoltre, Secure Firewall 4245 è dotato di 2 interfacce dati interne e 2 interfacce uplink di gestione:
> capture capsw switch interface
eventing Name of interface Management1/2
in_data_uplink1 Capture packets on internal data uplink1 interface
in_data_uplink2 Capture packets on internal data uplink2 interface
in_mgmt_uplink1 Capture packets on internal mgmt uplink1 interface
in_mgmt_uplink2 Capture packets on internal mgmt uplink2 interface
management Name of interface Management1/1
> capture capsw switch interface inside ethernet-type ?
802.1Q
<0-65535> Ethernet type
arp
ip
ip6
pppoed
pppoes
rarp
sgt
vlan
> capture capsw switch interface inside match ?
<0-255> Enter protocol number (0 - 255)
ah
eigrp
esp
gre
icmp
icmp6
igmp
igrp
ip
ipinip
ipsec
mac Mac-address filter
nos
ospf
pcp
pim
pptp
sctp
snp
spi SPI value
tcp
udp
<cr>
> capture capsw switch interface inside match ip
> no capture capsw switch stop
> show capture capsw
27 packet captured on disk using switch capture
Reading of capture file from disk is not supported
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 18838
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
> capture capsw switch stop
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 24
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
8. Raccogliere i file di acquisizione. Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Nel software Secure Firewall versione 7.7, la configurazione di acquisizione dello switch interno non è supportata in FMC o FDM. Nel caso del software ASA versione 9.18(1) e successive, le acquisizioni dello switch interno possono essere configurate in ASDM versione 7.18.1.x e successive.
In questi scenari vengono illustrati i casi di utilizzo comuni di acquisizioni di switch interni Secure Firewall 1200/3100/4200.
Usare FTD o ASA CLI per configurare e verificare un'acquisizione pacchetto sull'interfaccia Ethernet1/1 o Portchannel1. Entrambe le interfacce hanno il nome if inside.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 1200/4200:
Configurazione
Attenersi alla seguente procedura sull'appliance ASA o sulla CLI FTD per configurare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/1 o Port-channel1:
> show nameif
Interface Name Security
Ethernet1/1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> show nameif
Interface Name Security
Port-channel1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside
Secure Firewall 1200/4200 supporta la direzionalità di acquisizione:
> capture capsw switch interface inside direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface inside direction both
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 12653
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
79 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Secure Firewall 1200/4200:
> show cap capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Direction: both
Drop: disable
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
33 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Nel caso di Port-channel1, l'acquisizione viene configurata su tutte le interfacce membro:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 2
Physical port:
Slot Id: 1
Port Id: 4
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
Pcapsize: 28824
Filter: capsw-1-4
Packet Capture Filter Info
Name: capsw-1-4
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Physical port:
Slot Id: 1
Port Id: 3
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
Pcapsize: 18399
Filter: capsw-1-3
Packet Capture Filter Info
Name: capsw-1-3
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
56 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Le interfacce membro port-channel possono essere verificate nella shell dei comandi FXOS local-mgmt tramite il comando show portchannel summary:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
Channel PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1 Po1(U) False
Cluster LACP Status:
--------------------------------------------------------------------------------
Channel ClusterSpanned ClusterDetach ClusterUnitID ClusterSysID
--------------------------------------------------------------------------------
1 Po1(U) False False 0 clust
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire il comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per Ethernet1/1. In questo esempio, vengono analizzati i pacchetti acquisiti su Secure Firewall 3100. Selezionare il primo pacchetto e controllare i punti chiave:
Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:
Spiegazione
Le clip dello switch sono configurate sulle interfacce Ethernet1/1 o Portchannel1.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/1 |
Ethernet 1/1 |
Nessuna |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Portchannel1 con le interfacce membro Ethernet1/3 ed Ethernet1/4 |
Ethernet 1/3 Ethernet 1/4 |
Nessuna |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
* A differenza della serie 3100, le telecamere Secure Firewall 1200/4200 supportano le acquisizioni bidirezionali (in entrata e in uscita).
Usare FTD o ASA CLI per configurare e verificare l'acquisizione di un pacchetto sulle sottointerfacce Ethernet1/1.205 o Portchannel1.205. Entrambe le sottointerfacce hanno il nome se contenute.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 1200/4200:
Configurazione
Attenersi alla seguente procedura sull'appliance ASA o sulla CLI FTD per configurare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/1 o Port-channel1:
> show nameif
Interface Name Security
Ethernet1/1.205 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> show nameif
Interface Name Security
Port-channel1.205 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside
Secure Firewall 1200/4200 supporta la direzionalità di acquisizione:
> capture capsw switch interface inside direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface inside direction both
3. Abilitare la sessione di acquisizione:
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 6360
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
46 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In questo caso, viene creato un filtro con VLAN Ovlan=205 esterna che viene applicato all'interfaccia.
Nel caso di Port-channel1, l'acquisizione con un filtro Ovlan=205 viene configurata su tutte le interfacce membro:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 2
Physical port:
Slot Id: 1
Port Id: 4
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
Pcapsize: 23442
Filter: capsw-1-4
Packet Capture Filter Info
Name: capsw-1-4
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Physical port:
Slot Id: 1
Port Id: 3
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
Pcapsize: 5600
Filter: capsw-1-3
Packet Capture Filter Info
Name: capsw-1-3
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
49 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Le interfacce membro port-channel possono essere verificate nella shell dei comandi FXOS local-mgmt tramite il comando show portchannel summary:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
Channel PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1 Po1(U) False
Cluster LACP Status:
--------------------------------------------------------------------------------
Channel ClusterSpanned ClusterDetach ClusterUnitID ClusterSysID
--------------------------------------------------------------------------------
1 Po1(U) False False 0 clust
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per Ethernet1/1.205. In questo esempio, vengono analizzati i pacchetti acquisiti su Secure Firewall 3100. Selezionare il primo pacchetto e controllare i punti chiave:
Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:
Spiegazione
Le acquisizioni dello switch vengono configurate sulle sottointerfacce Ethernet1/1.205 o Portchannel1.205 con un filtro che corrisponde alla VLAN 205 esterna.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/1.205 |
Ethernet 1/1 |
VLAN esterna 2005 |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Configurare e verificare l'acquisizione di un pacchetto sull'interfaccia secondaria Portchannel1.205 con le interfacce membro Ethernet1/3 ed Ethernet1/4 |
Ethernet 1/3 Ethernet 1/4 |
VLAN esterna 2005 |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
* A differenza della serie 3100, le telecamere Secure Firewall 1200/4200 supportano le acquisizioni bidirezionali (in entrata e in uscita).
Secure Firewall 3100 ha 2 interfacce interne:
Secure Firewall 1200 dispone di un massimo di 3 interfacce interne:
Nota: Poiché l'interfaccia di gestione su Secure Firewall 1200 è fuori banda, non sono disponibili interfacce in_mgmt_uplink su questo modello.
Secure Firewall 4200 dispone di un massimo di 4 interfacce interne:
Attività 1
Usare la CLI di FTD o ASA per configurare e verificare l'acquisizione di un pacchetto sulle interfacce di uplink dei dati.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200:
Secure Firewall 1200:
Configurazione
Eseguire questi passaggi su ASA o CLI FTD per configurare l'acquisizione di un pacchetto sulle interfacce di uplink dei dati.
Notare che il Secure Firewall 1210, 1250, 3100 e 4200 (eccetto 4245) e ha solo 1 interfaccia uplink attiva in_data_uplink1.
Secure Firewall 1200 (eccetto 1210 e 1250) e 4245 dispongono di più interfacce uplink in_data_uplink1, in_data_uplink2 e così via. Accertarsi sempre di includere tutte le interfacce di uplink dei dati.
Questo è l'output del comando Secure Firewall 1220:
> cap capsw switch interface ?
Available interfaces to listen:
in_data_uplink1 Capture packets on internal data uplink1 interface
in_data_uplink2 Capture packets on internal data uplink2 interface
in_data_uplink3 Capture packets on internal data uplink3 interface
...
> capture capsw switch interface in_data_uplink1
Secure Firewall 1200/4200 supporta la direzionalità di acquisizione:
> capture capsw switch interface in_data_uplink1 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface in_data_uplink1 direction both
2. Abilitare la sessione di acquisizione:
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 18
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-data-uplink1.pcap
Pcapsize: 7704
Filter: capsw-1-18
Packet Capture Filter Info
Name: capsw-1-18
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
66 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In questo caso, viene creata un'acquisizione sull'interfaccia con ID interno 18 che è l'interfaccia in_data_uplink1 sul Secure Firewall 3130. Il comando show portmanager switch status nella shell dei comandi FXOS local-mgmt mostra gli ID dell'interfaccia:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode Port Manager
--------- ---------------- ----- ----- ------ ------------- ------------
0/1 SGMII Up 1G Full None Link-Up
0/2 SGMII Up 1G Full None Link-Up
0/3 SGMII Up 1G Full None Link-Up
0/4 SGMII Up 1G Full None Link-Up
0/5 SGMII Down 1G Half None Mac-Link-Down
0/6 SGMII Down 1G Half None Mac-Link-Down
0/7 SGMII Down 1G Half None Mac-Link-Down
0/8 SGMII Down 1G Half None Mac-Link-Down
0/9 1000_BaseX Down 1G Full None Link-Down
0/10 1000_BaseX Down 1G Full None Link-Down
0/11 1000_BaseX Down 1G Full None Link-Down
0/12 1000_BaseX Down 1G Full None Link-Down
0/13 1000_BaseX Down 1G Full None Link-Down
0/14 1000_BaseX Down 1G Full None Link-Down
0/15 1000_BaseX Down 1G Full None Link-Down
0/16 1000_BaseX Down 1G Full None Link-Down
0/17 1000_BaseX Up 1G Full None Link-Up
0/18 KR2 Up 50G Full None Link-Up
0/19 KR Up 25G Full None Link-Up
0/20 KR Up 25G Full None Link-Up
0/21 KR4 Down 40G Full None Link-Down
0/22 n/a Down n/a Full N/A Reset
0/23 n/a Down n/a Full N/A Reset
0/24 n/a Down n/a Full N/A Reset
0/25 1000_BaseX Down 1G Full None Link-Down
0/26 n/a Down n/a Full N/A Reset
0/27 n/a Down n/a Full N/A Reset
0/28 n/a Down n/a Full N/A Reset
0/29 1000_BaseX Down 1G Full None Link-Down
0/30 n/a Down n/a Full N/A Reset
0/31 n/a Down n/a Full N/A Reset
0/32 n/a Down n/a Full N/A Reset
0/33 1000_BaseX Down 1G Full None Link-Down
0/34 n/a Down n/a Full N/A Reset
0/35 n/a Down n/a Full N/A Reset
0/36 n/a Down n/a Full N/A Reset
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per l'interfaccia in_data_uplink1. In questo esempio, vengono analizzati i pacchetti acquisiti sul firewall protetto 3100.
Controllare il punto chiave - in questo caso, i pacchetti di richiesta echo ICMP e di risposta echo vengono acquisiti. Questi sono i pacchetti inviati dall'applicazione allo switch interno.
Spiegazione
Quando si configura l'acquisizione di uno switch sull'interfaccia uplink, vengono acquisiti solo i pacchetti inviati dall'applicazione allo switch interno. I pacchetti inviati all'applicazione non vengono acquisiti.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurare e verificare l'acquisizione di un pacchetto sull'interfaccia uplink in_data_uplink1 |
in_data_uplink1 |
Nessuna |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
* A differenza della serie 3100, Secure Firewall 1200/4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).
Attività 2
Usare FTD o ASA CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia uplink in_mgmt_uplink1. Vengono acquisiti solo i pacchetti delle connessioni del piano di gestione.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200:
Configurazione
Per configurare l'acquisizione di un pacchetto sull'interfaccia in_mgmt_uplink1, eseguire la procedura seguente sull'appliance ASA o sulla CLI di FTD:
> capture capsw switch interface in_mgmt_uplink1
Secure Firewall 4200 supporta la direzionalità di acquisizione:
> capture capsw switch interface in_mgmt_uplink1 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface in_mgmt_uplink1 direction both
2. Abilitare la sessione di acquisizione:
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 19
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-mgmt-uplink1.pcap
Pcapsize: 137248
Filter: capsw-1-19
Packet Capture Filter Info
Name: capsw-1-19
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
281 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In questo caso, viene creata un'acquisizione sull'interfaccia con ID interno 19, che è l'interfaccia in_mgmt_uplink1 sul Secure Firewall 3130. Il comando show portmanager switch status nella shell dei comandi FXOS local-mgmt visualizza gli ID dell'interfaccia:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode Port Manager
--------- ---------------- ----- ----- ------ ------------- ------------
0/1 SGMII Up 1G Full None Link-Up
0/2 SGMII Up 1G Full None Link-Up
0/3 SGMII Up 1G Full None Link-Up
0/4 SGMII Up 1G Full None Link-Up
0/5 SGMII Down 1G Half None Mac-Link-Down
0/6 SGMII Down 1G Half None Mac-Link-Down
0/7 SGMII Down 1G Half None Mac-Link-Down
0/8 SGMII Down 1G Half None Mac-Link-Down
0/9 1000_BaseX Down 1G Full None Link-Down
0/10 1000_BaseX Down 1G Full None Link-Down
0/11 1000_BaseX Down 1G Full None Link-Down
0/12 1000_BaseX Down 1G Full None Link-Down
0/13 1000_BaseX Down 1G Full None Link-Down
0/14 1000_BaseX Down 1G Full None Link-Down
0/15 1000_BaseX Down 1G Full None Link-Down
0/16 1000_BaseX Down 1G Full None Link-Down
0/17 1000_BaseX Up 1G Full None Link-Up
0/18 KR2 Up 50G Full None Link-Up
0/19 KR Up 25G Full None Link-Up
0/20 KR Up 25G Full None Link-Up
0/21 KR4 Down 40G Full None Link-Down
0/22 n/a Down n/a Full N/A Reset
0/23 n/a Down n/a Full N/A Reset
0/24 n/a Down n/a Full N/A Reset
0/25 1000_BaseX Down 1G Full None Link-Down
0/26 n/a Down n/a Full N/A Reset
0/27 n/a Down n/a Full N/A Reset
0/28 n/a Down n/a Full N/A Reset
0/29 1000_BaseX Down 1G Full None Link-Down
0/30 n/a Down n/a Full N/A Reset
0/31 n/a Down n/a Full N/A Reset
0/32 n/a Down n/a Full N/A Reset
0/33 1000_BaseX Down 1G Full None Link-Down
0/34 n/a Down n/a Full N/A Reset
0/35 n/a Down n/a Full N/A Reset
0/36 n/a Down n/a Full N/A Reset
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione degli switch interni del firewall protetto.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per l'interfaccia in_mgmt_uplink1. In questo esempio, vengono analizzati i pacchetti acquisiti su Secure Firewall 3100.
Controllare il punto chiave: in questo caso vengono visualizzati solo i pacchetti dell'indirizzo IP di gestione 192.0.2.200. Ad esempio, i pacchetti di risposta echo SSH, Sftunnel o ICMP. Si tratta dei pacchetti inviati dall'interfaccia di gestione delle applicazioni alla rete tramite lo switch interno.
Spiegazione
Quando si configura l'acquisizione di uno switch sull'interfaccia uplink di gestione, vengono acquisiti solo i pacchetti in entrata inviati dall'interfaccia di gestione dell'applicazione. I pacchetti destinati all'interfaccia di gestione delle applicazioni non vengono acquisiti.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia uplink di gestione |
in_mgmt_uplink1 |
Nessuna |
Solo in ingresso* (dall'interfaccia di gestione alla rete tramite lo switch interno) |
Risposte echo ICMP da gestione FTD indirizzo IP 192.0.2.200 all'host 192.0.2.100 Sftunnel dall'indirizzo IP di gestione FTD 192.0.2.200 all'indirizzo IP FMC 192.0.2.101 SSH da FTD management IP address 192.0.2.200 all'host 192.0.2.100 |
* A differenza della serie 3100, le telecamere Secure Firewall serie 1200/4200 supportano le acquisizioni bidirezionali (in entrata e in uscita).
I filtri di acquisizione dei pacchetti dello switch interno sono configurati allo stesso modo delle acquisizioni del piano dati. Utilizzare le opzioni ethernet-type e match per configurare i filtri.
Configurazione
Eseguire la procedura seguente sull'appliance ASA o sulla CLI del protocollo FTD per configurare l'acquisizione di un pacchetto con un filtro che corrisponda ai frame ARP o ai pacchetti ICMP dell'host 198.51.100.100 sull'interfaccia Ethernet1/1:
> show nameif
Interface Name Security
Ethernet1/1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside ethernet-type arp
> capture capsw switch interface inside match icmp 198.51.100.100
Verifica
Verificare il nome della sessione di acquisizione e il filtro. Il valore di Ethertype è 2054 in decimale e 0x0806 in esadecimale:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 2054
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Questa è la verifica del filtro per ICMP. Il protocollo IP 1 è l'ICMP:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 1
Ivlan: 0
Ovlan: 0
Src Ip: 198.51.100.100
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Le porte degli switch inoltrano il traffico sul layer 2, utilizzando la funzione di commutazione nell'hardware. Le porte degli switch sulla stessa VLAN possono comunicare tra loro usando la commutazione hardware e il traffico non è soggetto ai criteri di sicurezza per la difesa dalle minacce. Le porte di accesso accettano solo traffico senza tag ed è possibile assegnarle a una singola VLAN. Le porte trunk accettano traffico senza tag e con tag e possono appartenere a più di una VLAN. Per impostazione predefinita, le porte da Ethernet 1/2 a 1/8 (1210) o da Ethernet 1/2 a 1/10 (1220) sono configurate come porte dello switch di accesso sulla VLAN 1. Non è possibile configurare l'interfaccia di gestione come porta dello switch.
Attività 1
Usare l'FTD o l'ASA CLI per configurare e verificare l'acquisizione di un pacchetto sulle sottointerfacce Ethernet1/1 o Ethernet1/2. Entrambe le interfacce sono interfacce dello switch assegnate alla VLAN 10.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 1200:
Configurazione
Attenersi alla seguente procedura sull'appliance ASA o sulla CLI FTD per configurare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/2 o Ethernet1/3:
> show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 - down E1/4, E1/5, E1/6, E1/7
E1/8
10 VLAN-10 up E1/2, E1/3
2. Creare una sessione di acquisizione, il modello 1200 supporta la direzionalità di acquisizione:
> capture capsw switch interface switchport 2 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface switchport 2 direction both
Nota: Anche se la porta è etichettata come Ethernet1/2, quando si esegue un'acquisizione dello switch di layer 2, non è possibile specificarla nel formato Ethernet1/2. Usare al suo posto switchport 2.
3. Abilitare la sessione di acquisizione
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 2
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 2
Pcapfile: /mnt/disk0/packet-capture/sess-2-capsw-ethernet-1-2-0.pcap
Pcapsize: 24
Direction: both
Filter: capsw-1-2
Packet Capture Filter Info
Name: capsw-1-2
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
A causa di un difetto CSCwq5508 Tuttavia, le dimensioni e il numero di pacchetti non vengono aggiornati nell'output dei comandi show capture per le acquisizioni dello switch sul Secure Firewall 1200. Per ovviare al problema, è possibile verificare questa condizione nella shell dei comandi FXOS local-mgmt con il comando show portmanager switch pktcap-rules hardware:
Firewall-1200(local-mgmt)# show portmanager switch pktcap-rules hardware
Hardware DB rule: 1 / Direction: egress
HwIndex= 8196
RuleId= 6144
CounterIndex= 10
PacketCount= 38
Slot= 1
Interface= 2
Protocol= 0
EthertypeAtL2Offset= 0x0000
EtherTypeAtL3Offset= 0x0000
Ivlan= 0
Ovlan= 0
FlowId= 0
SrcEport= 0
TrgEport= 0
SrcId= 0
TcpUdpSrcPort= 0
TcpUdpDstPort= 0
SrcIpAddr= 0.0.0.0
DstIpAddr= 0.0.0.0
SrcIpv6Addr= ::
DestIpv6Addr= ::
SrcMacAddr= 00:00:00:00:00:00
DestMacAddr= 00:00:00:00:00:00
Hardware DB rule: 2 / Direction: ingress
HwIndex= 4104
RuleId= 5120
CounterIndex= 0
PacketCount= 37
Slot= 1
Interface= 2
Protocol= 0
EthertypeAtL2Offset= 0x0000
EtherTypeAtL3Offset= 0x0000
Ivlan= 0
Ovlan= 0
FlowId= 0
SrcEport= 0
TrgEport= 0
SrcId= 0
TcpUdpSrcPort= 0
TcpUdpDstPort= 0
SrcIpAddr= 0.0.0.0
DstIpAddr= 0.0.0.0
SrcIpv6Addr= ::
DestIpv6Addr= ::
SrcMacAddr= 00:00:00:00:00:00
DestMacAddr= 00:00:00:00:00:00
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire il comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per l'interfaccia L2 dello switch Ethernet 1/2. In questo esempio, vengono analizzati i pacchetti acquisiti sul firewall protetto 1210.
Controllare il punto chiave - in questo caso, i pacchetti di richiesta echo ICMP e di risposta echo vengono acquisiti.
Spiegazione
Questi pacchetti non vengono mai inoltrati all'applicazione (FTD/ASA) perché entrambi gli host sono connessi alle porte dello switch di layer 2 all'interno della stessa VLAN.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sulla porta dello switch L2 interfaccia Ethernet1/2 |
Ethernet 1/2 |
Nessuna |
entrambi |
Richieste echo ICMP da host 192.0.2.200 a host 192.0.2.100 Risposte echo ICMP dall'host 192.0.2.100 all'host 192.0.2.200 |
L'acquisizione dei pacchetti dello switch sulle piattaforme 3100/4200 in modalità di distribuzione a più istanze è diversa dall'acquisizione degli switch in modalità nativa. In modalità a più istanze, il comando capture <name>switch non è disponibile sulle istanze FTD. Al contrario, le acquisizioni dei pacchetti devono essere configurate usando la CLI di FXOS sullo chassis, in modo simile al processo per le piattaforme 4100/9300, usando il comando scope packet-capture.
Attività 1
Usare la CLI di FXOS sullo chassis a più istanze per configurare e verificare l'acquisizione di un pacchetto dello switch sull'interfaccia Ethernet1/5.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200 con acquisizioni bidirezionali:
Configurazione
CLI FXOS
Eseguire questi passaggi sulla CLI di Chassis FXOS per configurare un'acquisizione di pacchetti sull'interfaccia Ethernet1/5:
1. Identificare il tipo e l'identificativo dell'applicazione:
firepower-3120 # scope ssa
firepower-3120 /ssa # show app-instance
Application Name Identifier Slot ID Admin State Operational State Running Version Startup Version Deploy Type Profile Name Cluster Oper State Cluster Role
-------------------- -------------------- ---------- --------------- -------------------- --------------- --------------- ----------- ------------ -------------------- ------------
ftd ftd1 1 Enabled Online 7.7.0.89 7.7.0.89 Container Default-Large Not Applicable None
2. Creare una sessione di acquisizione:
firepower-3120# scope packet-capture
firepower-3120 /packet-capture # create session cap1
firepower-3120 /packet-capture/session* # create phy-port Eth1/5
firepower-3120 /packet-capture/session/phy-port* # set app ftd
firepower-3120 /packet-capture/session/phy-port* # set app-instance ftd1
firepower-3120 /packet-capture/session/phy-port* # up
firepower-3120 /packet-capture/session* # enable
firepower-3120 /packet-capture/session* # commit-buffer
firepower-3120 /packet-capture/session #
Secure Firewall 4200:
firepower-4245# scope packet-capture
firepower-4245 /packet-capture # create session cap1
firepower-4245 /packet-capture/session* # create phy-port Eth1/5
firepower-4245 /packet-capture/session/phy-port* # set app ftd
firepower-4245 /packet-capture/session/phy-port* # set app-instance ftd1
firepower-4245 /packet-capture/session/phy-port* # set direction both
firepower-4245 /packet-capture/session/phy-port* # up
firepower-4245 /packet-capture/session* # enable
firepower-4245 /packet-capture/session* # commit-buffer
firepower-4245 /packet-capture/session #
Verifica
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito acquisizione pacchetti. In particolare, verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
firepower-3120# scope packet-capture
firepower-3120 /packet-capture # show session cap1
SSP Traffic Monitoring Session:
Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Error Code: 0
Drop Count: 0
Packet Count: 420
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 5
Pcapfile: /workspace/packet-capture/sess-1-cap1-ethernet-1-5-0.pcap
Pcapsize: 49128 bytes
Filter:
Sub Interface: 0
Application Instance: ftd1
Application Name: ftd
Direction: Ingress
Drop: Disable
Secure Firewall 4200:
firepower-4245# scope packet-capture
firepower-4245 /packet-capture # show session cap1
SSP Traffic Monitoring Session:
Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Error Code: 0
Drop Count: 0
Packet Count: 95
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 5
Pcapfile: /workspace/packet-capture/sess-1-cap1-ethernet-1-5-0.pcap
Pcapsize: 11050 bytes
Filter:
Sub Interface: 0
Application Instance: ftd1
Application Name: ftd
Direction: Both
Drop: Disable
Raccogli file di acquisizione
Eseguire i passaggi della CLI di FXOS nella sezione Collect Firepower 4100/9300 Internal Switch Capture Files.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per Ethernet1/5. In questo esempio, vengono analizzati i pacchetti acquisiti su Secure Firewall 3100. Selezionare il primo pacchetto e controllare i punti chiave:
Spiegazione
Le clip dello switch sono configurate sull'interfaccia Ethernet1/5.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/5 |
Ethernet 1/5 |
Nessuna |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).
Attività 2
Usare la CLI di FXOS sullo chassis a più istanze per configurare e verificare l'acquisizione di un pacchetto dello switch sulle interfacce di uplink dei dati.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200:
Configurazione
CLI FXOS
Eseguire i seguenti passaggi sulla CLI dello chassis FXOS per configurare un'acquisizione dei pacchetti sulle interfacce di uplink dei dati:
firepower-3120 /ssa # show app-instance
Application Name Identifier Slot ID Admin State Operational State Running Version Startup Version Deploy Type Profile Name Cluster Oper State Cluster Role
-------------------- -------------------- ---------- --------------- -------------------- --------------- --------------- ----------- ------------ -------------------- ------------
ftd ftd1 1 Enabled Online 7.7.0.89 7.7.0.89 Container Default-Large Not Applicable None
2. Creare una sessione di acquisizione:
firepower-3120# scope packet-capture
firepower-3120 /packet-capture # create session cap1
firepower-3120 /packet-capture/session* # create phy-port Eth1/18
firepower-3120 /packet-capture/session/phy-port* # set app ftd
firepower-3120 /packet-capture/session/phy-port* # set app-instance ftd1
firepower-3120 /packet-capture/session/phy-port* # up
firepower-3120 /packet-capture/session* # enable
firepower-3120 /packet-capture/session* # commit-buffer
firepower-3120 /packet-capture/session #
Nota: A differenza della distribuzione nativa, in modalità a più istanze viene utilizzato il numero di porta anziché il nome dell'interfaccia. Per controllare il mapping delle porte dello switch interno, consultare la tabella della sezione Panoramica di alto livello dell'architettura del sistema.
Secure Firewall 4200:
firepower-4245# scope packet-capture
firepower-4245 /packet-capture # create session cap1
firepower-4245 /packet-capture/session* # create phy-port Eth1/11
firepower-4245 /packet-capture/session/phy-port* # set app ftd
firepower-4245 /packet-capture/session/phy-port* # set app-instance ftd1
firepower-4245 /packet-capture/session/phy-port* # set direction both
firepower-4245 /packet-capture/session/phy-port* # up
firepower-4245 /packet-capture/session* # create phy-port Eth1/12
firepower-4245 /packet-capture/session/phy-port* # set app ftd
firepower-4245 /packet-capture/session/phy-port* # set app-instance ftd1
firepower-4245 /packet-capture/session/phy-port* # set direction both
firepower-4245 /packet-capture/session/phy-port* # up
firepower-4245 /packet-capture/session* # enable
firepower-4245 /packet-capture/session* # commit-buffer
firepower-4245 /packet-capture/session #
Verifica
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito acquisizione pacchetti. In particolare, verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
firepower-3120# scope packet-capture
firepower-3120 /packet-capture # show session cap1
SSP Traffic Monitoring Session:
Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Error Code: 0
Drop Count: 0
Packet Count: 171
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 18
Pcapfile: /workspace/packet-capture/sess-1-cap1-data-uplink1.pcap
Pcapsize: 19932 bytes
Filter:
Sub Interface: 0
Application Instance: ftd1
Application Name: ftd
Direction: Ingress
Drop: Disable
Secure Firewall 4200:
firepower-4245# scope packet-capture
firepower-4245 /packet-capture # show session cap1
SSP Traffic Monitoring Session:
Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Error Code: 0
Drop Count: 0
Packet Count: 70
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 11
Pcapfile: /workspace/packet-capture/sess-1-cap1-data-uplink1.pcap
Pcapsize: 8320 bytes
Filter:
Sub Interface: 0
Application Instance: ftd1
Application Name: ftd
Direction: Both
Drop: Disable
Slot Id: 1
Port Id: 12
Pcapfile: /workspace/packet-capture/sess-1-cap1-data-uplink2.pcap
Pcapsize: 172 bytes
Filter:
Sub Interface: 0
Application Instance: ftd1
Application Name: ftd
Direction: Both
Drop: Disable
Raccogli file di acquisizione
Eseguire i passaggi della CLI di FXOS nella sezione Collect Firepower 4100/9300 Internal Switch Capture Files.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per l'interfaccia in_data_uplink1. In questo esempio, vengono analizzati i pacchetti acquisiti sul firewall protetto 3100.
Controllare il punto chiave - in questo caso, i pacchetti di richiesta echo ICMP e di risposta echo vengono acquisiti. Questi sono i pacchetti inviati dall'applicazione allo switch interno.
Spiegazione
Quando si configura l'acquisizione di uno switch sull'interfaccia uplink, vengono acquisiti solo i pacchetti inviati dall'applicazione allo switch interno. I pacchetti inviati all'applicazione non vengono acquisiti.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurare e verificare l'acquisizione di un pacchetto sull'interfaccia uplink in_data_uplink1 |
in_data_uplink1 |
Nessuna |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).
Attività 3
Usare la CLI di FXOS sullo chassis a più istanze per configurare e verificare l'acquisizione di un pacchetto dello switch sull'interfaccia di gestione, acquisendo il traffico del tunnel tra lo chassis e la FMC.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200 con acquisizioni bidirezionali:
Configurazione
CLI FXOS
Eseguire la procedura seguente sulla CLI di FXOS dello chassis per configurare un'acquisizione pacchetto per il traffico sftunnel sull'interfaccia di gestione.
1. Creare un filtro di acquisizione pacchetti per acquisire solo il traffico TCP (numero di protocollo 6).
firepower-4245# scope packet-capture
firepower-4245 /packet-capture # create filter filter1
firepower-4245 /packet-capture/filter* # set protocol 6
firepower-4245 /packet-capture/filter* # commit-buffer
firepower-4245 /packet-capture/filter # up
firepower-4245 /packet-capture #
Nota: Sebbene Secure Firewall 4200 supporti le acquisizioni bidirezionali dello switch, a causa del bug CSCwq64141 Inoltre, non è possibile creare filtri di acquisizione dello switch specifici con condizioni di corrispondenza che catturino il traffico in entrambe le direzioni. Pertanto, il filtro in questa attività è configurato in modo da corrispondere a tutto il traffico TCP, consentendo l'acquisizione del traffico sftunnel in entrambe le direzioni su Secure Firewall 4200.
2. Creare una sessione di acquisizione per l'interfaccia di gestione. In base alla tabella riportata nella sezione Panoramica di alto livello dell'architettura di sistema, la porta di gestione sul firewall protetto 3100 è mappata alla porta dello switch interno Eth1/17:
firepower-3120# scope packet-capture
firepower-3120 /packet-capture # create session cap1
firepower-3120 /packet-capture/session* # create phy-port Eth1/17
firepower-3120 /packet-capture/session/phy-port* # set filter filter1
firepower-3120 /packet-capture/session/phy-port* # up
firepower-3120 /packet-capture/session* # enable
firepower-3120 /packet-capture/session* # up
firepower-3120 /packet-capture* # commit-buffer
firepower-3120 /packet-capture #
La porta di gestione 1 su Secure Firewall 4200 è mappata alla porta dello switch interno Eth1/9:
firepower-4245# scope packet-capture
firepower-4245 /packet-capture # create session cap1
firepower-4245 /packet-capture/session* # create phy-port Eth1/9
firepower-4245 /packet-capture/session/phy-port* # set direction both
firepower-4245 /packet-capture/session/phy-port* # set filter filter1
firepower-4245 /packet-capture/session/phy-port* # up
firepower-4245 /packet-capture/session* # enable
firepower-4245 /packet-capture/session* # commit-buffer
Verifica
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito acquisizione pacchetti. In particolare, verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia, il filtro e l'identificatore. Accertarsi che il valore di Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
firepower-3120# scope packet-capture
firepower-3120 /packet-capture # show session cap1
SSP Traffic Monitoring Session:
Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Error Code: 0
Drop Count: 0
Packet Count: 694
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 17
Pcapfile: /workspace/packet-capture/sess-1-cap1-management-1-1.pcap
Pcapsize: 81093 bytes
Filter: filter1
Sub Interface: 0
Application Instance:
Application Name:
Direction: Ingress
Drop: Disable
Secure Firewall 4200:
firepower-4245# scope packet-capture
firepower-4245 /packet-capture # show session cap1
SSP Traffic Monitoring Session:
Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Error Code: 0
Drop Count: 0
Packet Count: 222
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 9
Pcapfile: /workspace/packet-capture/sess-1-cap1-management-1-1.pcap
Pcapsize: 40180 bytes
Filter: filter1
Sub Interface: 0
Application Instance:
Application Name:
Direction: Both
Drop: Disable
Raccogli file di acquisizione
Eseguire i passaggi della CLI di FXOS nella sezione Collect Firepower 4100/9300 Internal Switch Capture Files.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per l'interfaccia di gestione. Nell'esempio vengono analizzati i pacchetti acquisiti su Secure Firewall 4200. Verificare i punti principali:
Spiegazione
Le acquisizioni dello switch vengono configurate sull'interfaccia di gestione.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurare e verificare l'acquisizione di un pacchetto per il traffico sftunnel sull'interfaccia di gestione |
*Ethernet 1/9 |
traffico tc |
**entrambi |
Traffico Sftunnel (porta TCP 8305) tra l'host 192.0.2.100 e l'host 192.0.2.2 |
* Fare riferimento alla tabella nella sezione Panoramica di alto livello dell'architettura del sistema per controllare la mappatura della porta dello switch interno.
** A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).
Usare ASA o FTD CLI per raccogliere i file di acquisizione dello switch interno. Su FTD, il file di acquisizione può anche essere esportato tramite il comando copy della CLI verso destinazioni raggiungibili tramite le interfacce di dati o di diagnostica.
In alternativa, il file può essere copiato in /ngfw/var/common in modalità Expert e scaricato da FMC tramite l'opzione File Download.
Nel caso delle interfacce port-channel, assicurarsi di raccogliere i file di acquisizione dei pacchetti da tutte le interfacce membro.
ASA
Per raccogliere i file di acquisizione degli switch interni sulla CLI dell'ASA, attenersi alla seguente procedura:
asa# capture capsw switch stop
asa# show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Utilizzare il comando copy della CLI per esportare il file in destinazioni remote:
asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs
FTD
Eseguire questi passaggi per raccogliere i file di acquisizione dello switch interno sulla CLI FTD e copiarli sui server raggiungibili tramite interfacce di dati o di diagnostica:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Click 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password: <-- Enter
firepower#
firepower# capture capi switch stop
firepower# show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs
Per raccogliere i file di acquisizione da FMC tramite l'opzione Download file, eseguire la procedura seguente:
> capture capsw switch stop
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
> expert
admin@firepower:~$ sudo su
root@firepower:/home/admin
root@KSEC-FPR3100-1:/home/admin cp /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap /ngfw/var/common/
root@KSEC-FPR3100-1:/home/admin ls -l /ngfw/var/common/sess*
-rwxr-xr-x 1 root admin 139826 Aug 7 20:14 /ngfw/var/common/sess-1-capsw-ethernet-1-1-0.pcap
-rwxr-xr-x 1 root admin 24 Aug 6 21:58 /ngfw/var/common/sess-1-capsw-ethernet-1-3-0.pcap
Linee guida e limitazioni:
Nel caso di un'ASA multi-contesto, le acquisizioni dello switch sulle interfacce dati vengono configurate nei contesti utente. Le acquisizioni dello switch sulle interfacce in_data_uplink1 e in_mgmt_uplink1 sono supportate solo nel contesto admin.
Questo è l'elenco delle best practice basate sull'uso della cattura di pacchetti nei casi TAC:
Revisione | Data di pubblicazione | Commenti |
---|---|---|
3.0 |
07-Aug-2025
|
Aggiunto Secure Firewall 1200 |
2.0 |
17-Sep-2022
|
Release iniziale |
1.0 |
27-Aug-2022
|
Versione iniziale |