Firepowerデバイスでのパケットキャプチャ手順の使用

はじめに

このドキュメントでは、Firepower デバイスのネットワーク インターフェイスで確認されるパケットをキャプチャするために、tcpdump コマンドを使用する方法について説明します。

前提条件

要件

Cisco Firepowerデバイスと仮想デバイスのモデルに関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 Berkeley Packet Filter(BPF)構文を使用します。

警告：実稼働システムでtcpdumpコマンドを実行すると、ネットワークのパフォーマンスに影響を与える可能性があります。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

パケットをキャプチャする手順

FirepowerデバイスのCLIにログインします。

バージョン6.1以降では、capture-trafficと入力します。たとえば、

> capture-traffic

Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set  (Interfaces s2p1, s2p2)

バージョン6.0.x.x以前では、system support capture-trafficと入力します。たとえば、

> system support capture-traffic

Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set  (Interfaces s2p1, s2p2)

選択を行うと、オプションの入力を求めるプロンプトが表示されます。

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:

パケットから十分なデータをキャプチャするには、-s オプションを使用してsnaplengthを正しく設定する必要があります。snaplengthは、インターフェイスセット設定の設定済みの最大伝送ユニット(MTU)値と一致する値に設定できます。デフォルトは1518です。

警告：画面に表示されるトラフィックをキャプチャすると、システムおよびネットワークのパフォーマンスが低下する可能性があります。-w <filename>オプションをtcpdumpコマンドとともに使用することを推奨します。パケットをファイルにキャプチャします。-wオプションを付けずにコマンドを実行する場合は、Ctrl+Cキーを同時に押して終了します。

-w <filename>オプションの例：

-w capture.pcap -s 1518

注意：パケットキャプチャ(pcap)ファイル名を指定する際は、パス要素を使用しないでください。アプライアンスで作成するpcapファイル名のみを指定する必要があります。

限られた数のパケットをキャプチャすることが望ましい場合は、-c <packets>フラグを使用してキャプチャするパケットの数を指定できます。たとえば、5000パケットだけをキャプチャするには、次のようにします。

-w capture.pcap -s 1518 -c 5000

また、キャプチャされるパケットを制限するために、コマンドの最後にBPFフィルタを追加できます。たとえば、送信元または宛先IPアドレスが192.0.2.1のパケットを5000パケットにキャプチャするように制限するには、次のオプションを使用できます。

-w capture.pcap -s 1518 -c 5000 host 192.0.2.1

仮想LAN(VLAN)タグ付きのトラフィックをキャプチャする場合は、BPF構文でVLANを指定する必要があります。それ以外の場合、pcapにはVLANタグ付きパケットは含まれません。たとえば、次の例では、キャプチャを192.0.2.1からタグ付けされたVLANのトラフィックに制限しています。

-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1

トラフィックにVLANタグが付いているかどうかわからない場合は、次の構文を使用して192.0.2.1からのトラフィックをキャプチャできます。このトラフィックはVLANタグが付いていますが、付いていません。

-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'

注：前の例では、orがvlanのみに適用されないよう、カッコが必要です。この場合、シェルが括弧を間違って解釈するのを防ぐために、一重引用符が必要になります。

VLANタグを指定すると、残りのBPFと一致するすべてのVLANトラフィックがキャプチャされます。ただし、特定のVLANタグをキャプチャする場合は、キャプチャするVLANタグを次のように指定できます。

-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1

目的のオプションを指定してEnterキーを押すと、tcpdumpはトラフィックのキャプチャを開始します。

ヒント:-cオプションを使用しなかった場合は、キャプチャを停止するためにCtrl-Cキーの組み合わせを押します。

キャプチャを停止すると、確認メッセージが表示されます。例：

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1

Cleaning up.
Done.

Pcapファイルのコピー

pcapファイルをFirePOWERアプライアンスから、インバウンドSSH接続を受け入れる別のシステムにコピーするには、次のコマンドを使用します。

> system file secure-copy hostname username destination_directory pcap_file

Enterキーを押すと、リモートシステムへのパスワードの入力を求められます。ファイルはネットワーク経由でコピーできます。

注：この例では、hostnameはターゲットリモートホストの名前またはIPアドレスを参照し、usernameはリモートホスト上のユーザ名を指定し、destination_directoryはリモートホスト上の宛先パスを指定し、pcap_fileは転送用のローカルpcapファイルを指定します。