はじめに
このドキュメントでは、ネットワークのトラブルシューティングのためにCisco Eメールセキュリティアプライアンス(ESA)でパケットキャプチャを設定および収集する方法について説明します。
使用するコンポーネント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
重要なリスクと前提条件
- パケットキャプチャコマンドにより、ESAのディスク領域がいっぱいになり、パフォーマンス低下が発生する可能性があります。
- これらのコマンドは、Cisco TACエンジニアの支援を受けた場合にのみ使用することを推奨します。
- ESAのCLIまたはGUIへの管理アクセス権があることを確認します。
バックグラウンド情報
シスコテクニカルサポートでは、ESAの発信および着信ネットワークアクティビティに関する情報の提供を依頼できます。アプライアンスは、アプライアンスが接続されているネットワーク上で送受信される TCP、IP、およびその他のパケットを傍受および表示できます。パケットキャプチャを実行して、ネットワーク設定をデバッグするか、アプライアンスに到達またはアプライアンスから発信されるネットワークトラフィックを確認します。
AsyncOSでのパケットキャプチャの設定
このセクションでは、パケットキャプチャプロセスについて説明します。
パケット キャプチャの開始または停止
- GUIからパケットキャプチャを開始するには、右上のHelp and Supportメニューに移動し、Packet Captureを選択して、Start Captureをクリックします。
- または、Edit SettingsをクリックしてキャプチャするIPアドレスとポートを指定し、Submitをクリックします。
- ポート番号とIPアドレスは、CSV形式(例:80、443)で入力できます。 ANYのポートまたはIPをキャプチャするには、フィールドをブランクのままにします。
- パケットキャプチャプロセスを停止するには、Stop Captureをクリックします。
- GUI で開始されるキャプチャは次のセッションまで保持されます。
- CLIからパケットキャプチャを開始するには、packetcapture > startコマンドを入力します。
- または、setupコマンドを使用して、キャプチャするIPアドレスとポートを指定します。
- パケットキャプチャプロセスを停止するには、packetcapture > stopコマンドを入力します。
- ESAは、セッションが終了するとパケットキャプチャを停止します。
パケットキャプチャの管理
ファイルを管理するには、GUIでHelp and Support > Packet Captureの順に選択します。このページでは、次の操作を実行できます。
- 進捗状況のモニタ:現在のファイルサイズや経過時間など、アクティブなキャプチャに関するリアルタイムの統計情報を表示します。
- ファイルのダウンロード:完了したキャプチャを選択し、Download Fileをクリックしてローカルマシンに保存します。
- ファイルの削除:空き領域を増やすには、1つ以上のファイルを選択し、[選択したファイルの削除]をクリックします。
パケットキャプチャの制約
- 単一インスタンス:一度に実行できるパケットキャプチャは1つだけです。
- インターフェイスの独立性:GUIとCLIは、パケットキャプチャに関して独立して動作します。GUIでは、Webインターフェイスから開始されたキャプチャの表示と管理のみが行われ、CLIでは、コマンドラインから開始されたキャプチャのステータスのみが表示されます。
パケットキャプチャの追加サポート
詳細な手順については、AsyncOSオンラインヘルプにアクセスしてください。
- Help and Support > Online Helpの順に移動します。
- パケットキャプチャを検索します。
- Running a Packet Captureを選択します。
カスタムパケットキャプチャフィルタの使用
このセクションでは、カスタムキャプチャフィルタに関する情報と例を示します。
使用される標準フィルタは次のとおりです。
- ip - すべての IP プロトコル トラフィックのフィルタ
- tcp - すべての TCP プロトコル トラフィックのフィルタ
- ip host - 特定の IP アドレス送信元または宛先のフィルタ
使用されているフィルタの例を次に示します。
- ip host 10.1.1.1 – このフィルタは、送信元または宛先として10.1.1.1を含むトラフィックをキャプチャします。
- ip host 10.1.1.1 または ip host 10.1.1.2 - このフィルタは、送信元または宛先として 10.1.1.1 または 10.1.1.2 を含むトラフィックをキャプチャします。
追加のネットワーク調査の実行
次に説明する方法は、CLIからのみ使用できます。
TCPサービス
tcpservicesコマンドは、現在の機能とシステムプロセスに関するTCP/IP情報を表示します。
example.com> tcpservices
System Processes (Note: All processes can not always be present)
ftpd.main - The FTP daemon
ginetd - The INET daemon
interface - The interface controller for inter-process communication
ipfw - The IP firewall
slapd - The Standalone LDAP daemon
sntpd - The SNTP daemon
sshd - The SSH daemon
syslogd - The system logging daemon
winbindd - The Samba Name Service Switch daemon
Feature Processes
euq_webui - GUI for ISQ
gui - GUI process
hermes - MGA mail server
postgres - Process for storing and querying quarantine data
splunkd - Processes for storing and querying Email Tracking data
COMMAND USER TYPE NODE NAME
postgres pgsql IPv4 TCP 127.0.0.1:5432
interface root IPv4 TCP 127.0.0.1:53
ftpd.main root IPv4 TCP 10.0.202.7:21
gui root IPv4 TCP 10.0.202.7:80
gui root IPv4 TCP 10.0.202.7:443
ginetd root IPv4 TCP 10.0.202.7:22
java root IPv6 TCP [::127.0.0.1]:18081
hermes root IPv4 TCP 10.0.202.7:25
hermes root IPv4 TCP 10.0.202.7:7025
api_serve root IPv4 TCP 10.0.202.7:6080
api_serve root IPv4 TCP 127.0.0.1:60001
api_serve root IPv4 TCP 10.0.202.7:6443
nginx root IPv4 TCP *:4431
nginx nobody IPv4 TCP *:4431
nginx nobody IPv4 TCP *:4431
java root IPv4 TCP 127.0.0.1:9999
NETSTAT
このユーティリティは、TCP(着信と発信の両方)、ルーティングテーブル、および多数のネットワークインターフェイスとネットワークプロトコルの統計情報のネットワーク接続を表示します。
example.com> netstat
Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.
Example of Option 1 (List of active sockets)
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 10.0.202.7.10275 10.0.201.4.6025 ESTABLISHED
tcp4 0 0 10.0.202.7.22 10.0.201.4.57759 ESTABLISHED
tcp4 0 0 10.0.202.7.10273 a96-17-177-18.deploy.static.akamaitechnologies.com.80 TIME_WAIT
tcp4 0 0 10.0.202.7.10260 10.0.201.5.443 ESTABLISHED
tcp4 0 0 10.0.202.7.10256 10.0.201.5.443 ESTABLISHED
Example of Option 2 (State of network interfaces)
Show the number of dropped packets? [N]> y
Name Mtu Network Address Ipkts Ierrs Idrop Ibytes Opkts Oerrs Obytes Coll Drop
Data 1 - 10.0.202.0 10.0.202.7 110624529 - - 117062552515 122028093 - 30126949890 - -
Example of Option 3 (Contents of routing tables)
Routing tables
Internet:
Destination Gateway Flags Netif Expire
default 10.0.202.1 UGS Data 1
10.0.202.0 link#2 U Data 1
10.0.202.7 link#2 UHS lo0
localhost.example. link#4 UH lo0
Example of Option 4 (Size of the listen queues)
Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen Local Address
tcp4 0/0/50 localhost.exampl.9999
tcp4 0/0/50 10.0.202.7.7025
tcp4 0/0/50 10.0.202.7.25
tcp4 0/0/15 10.0.202.7.6443
tcp4 0/0/15 localhost.exampl.60001
tcp4 0/0/15 10.0.202.7.6080
tcp4 0/0/20 localhost.exampl.18081
tcp4 0/0/20 10.0.202.7.443
tcp4 0/0/20 10.0.202.7.80
tcp4 0/0/10 10.0.202.7.21
tcp4 0/0/10 10.0.202.7.22
tcp4 0/0/10 localhost.exampl.53
tcp4 0/0/208 localhost.exampl.5432
Example of Option 5 (Packet traffic information)
input nic1 output
packets errs idrops bytes packets errs bytes colls drops
49 0 0 8116 55 0 7496 0 0
ネットワーク
診断の下のnetworkサブコマンドを使用すると、追加のオプションにアクセスできます。
このコマンドは、ネットワーク関連のすべてのキャッシュのフラッシュ、ARPキャッシュの内容の表示、NDPキャッシュの内容の表示(該当する場合)、およびSMTPPINGを使用したリモートSMTP接続のテストに使用します。
example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network
Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]>
ETHERCONFIG
etherconfigコマンドを使用すると、インターフェイス、VLAN、ループバックインターフェイス、MTUサイズ、およびマルチキャストアドレスによるARP応答の受け入れまたは拒否の、デュプレックスとMACの情報に関連する設定を表示および設定できます。
example.com> etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>
トレースルート
このコマンドは、リモートホストへのネットワークルートを表示します。
少なくとも1つのインターフェイスにIPv6アドレスが設定されている場合は、traceroute6コマンドを使用します。
example.com> traceroute google.com
Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms
ping
pingを使用すると、IPアドレスまたはホスト名を使用してホストの到達可能性をテストでき、遅延の可能性と通信のドロップに関する統計情報が表示されます。
example.com> ping google.com
Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms
--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms
フィードバック