概要
このドキュメントでは、Firepower デバイスのネットワーク インターフェイスで確認されるパケットをキャプチャするために、tcpdump コマンドを使用する方法について説明します。Berkeley Packet Filter(BPF)構文を使用します。
前提条件
要件
Cisco Firepowerデバイスと仮想デバイスモデルに関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
警告:実稼働システムでtcpdumpコマンドを実行すると、ネットワークのパフォーマンスに影響する可能性があります。
パケットをキャプチャする手順
FirepowerデバイスのCLIにログインします。
バージョン6.1以降では、capture-trafficと入力します。たとえば、
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
バージョン6.0.x.x以前では、system support capture-trafficを入力します。たとえば、
> system support capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
選択を行うと、次のオプションの入力を求められます。
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
パケットから十分なデータをキャプチャするには、スナップレングスを正しく設定するために、-sオプションを使用する必要があります。snaplengthは、インターフェイスセットの設定で設定されている最大伝送ユニット(MTU)値と一致する値に設定する必要があります。この値はデフォルトで1518です。
警告:画面にトラフィックをキャプチャすると、システムとネットワークのパフォーマンスが低下する可能性があるため、tcpdumpコマンドで-w <filename>オプションを使用することを推奨します。ファイルにパケットをキャプチャします。-wオプションを指定せずにコマンドを実行した場合は、Ctrl+Cキーの組み合わせを押して終了します。
-w <filename>オプションの例:
-w capture.pcap -s 1518
注意:パケットキャプチャ(pcap)ファイル名を指定する場合は、パス要素を使用しないでください。アプライアンスで作成するpcapファイル名のみを指定する必要があります。
限られた数のパケットをキャプチャすることが望ましい場合は、キャプチャするパケットの数を指定するためにc <packets>フラグを使用できます。たとえば、5000パケットだけをキャプチャするには、次のコマンドを実行します。
-w capture.pcap -s 1518 -c 5000
さらに、キャプチャするパケットを制限するために、コマンドの最後にBPFフィルタを追加できます。たとえば、送信元または宛先IPアドレスが192.0.2.1のパケットキャプチャを5000パケットに制限するには、次のオプションを使用できます。
-w capture.pcap -s 1518 -c 5000 host 192.0.2.1
タグ付き仮想LAN(VLAN)トラフィックをキャプチャする場合は、BPF構文でVLANを指定する必要があります。そうでない場合、pcapにはタグ付きVLANパケットが含まれません。たとえば、次の例では、キャプチャを192.0.2.1からタグ付けされたVLANのトラフィックに制限しています。
-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1
トラフィックがVLANタグ付けされているかどうかがわからない場合は、VLANタグ付けではなく192.0.2.1からのトラフィックをキャプチャするために、次の構文を使用できます。
-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'
注:前の例では、「or」が「vlan」のみに適用されるため、カッコが必要です。 シェルによるカッコの解釈ミスを防ぐために、一重引用符が必要になります。
VLANタグの指定は、残りのBPFに一致するすべてのVLANトラフィックをキャプチャします。ただし、特定のVLANタグをキャプチャする場合は、キャプチャするVLANタグを次のように指定できます。
-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1
必要なオプションを指定してEnterキーを押すと、tcpdumpはトラフィックのキャプチャを開始します。
ヒント:-cオプションを使用していない場合は、Ctrl-Cキーの組み合わせを押してキャプチャを停止します。
キャプチャを停止すると、確認メッセージが表示されます。以下に、いくつかの例を示します。
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Cleaning up.
Done.
Pcapファイルのコピー
FirePOWERアプライアンスから着信SSH接続を受け入れる別のシステムにpcapファイルをコピーするには、次のコマンドを使用します。
> system file secure-copy hostname username destination_directory pcap_file
Enterキーを押すと、リモートシステムへのパスワードの入力を求められます。ファイルはネットワーク全体にコピーされます。
注:この例では、hostnameはターゲットリモートホストの名前またはIPアドレスを参照し、usernameはリモートホストのユーザ名を指定し、destination_directoryはリモートホストの宛先パスを指定し、pcap_fileは転送用ローカルpcapファイルをです。
フィードバック