パケット キャプチャ
パケット キャプチャ ツールは、接続と設定の問題のデバッグや、Firepower 4100/9300 シャーシを通過するトラフィック フローの理解に使用できる価値ある資産です。パケット キャプチャ ツールを使用すると、Firepower 4100/9300 シャーシの特定のインターフェイスを通過するトラフィックについてログを記録できます。
複数のパケット キャプチャ セッションを作成でき、各セッションで複数のインターフェイスのトラフィックをキャプチャできます。パケット キャプチャ セッションに含まれる各インターフェイス用に、個別のパケット キャプチャ(PCAP)ファイルが作成されます。
バックプレーン ポート マッピング
Firepower 4100/9300 シャーシでは、内部バックプレーン ポートに次のマッピング ポートを使用します。
セキュリティ モジュール |
ポート マッピング |
説明 |
---|---|---|
セキュリティ モジュール 1/セキュリティ エンジン |
Ethernet1/9 |
Internal-Data0/0 |
セキュリティ モジュール 1/セキュリティ エンジン |
Ethernet1/10 |
Internal-Data0/1 |
セキュリティ モジュール 2 |
Ethernet1/11 |
Internal-Data0/0 |
セキュリティ モジュール 2 |
Ethernet1/12 |
Internal-Data0/1 |
セキュリティ モジュール 3 |
Ethernet1/13 |
Internal-Data0/0 |
セキュリティ モジュール 3 |
Ethernet1/14 |
Internal-Data0/1 |
パケット キャプチャの注意事項および制限事項
パケット キャプチャ ツールには、次の制限事項があります。
-
キャプチャできるのは最大 100 Mbps までです。
-
パケット キャプチャ セッションの使用に使用可能な十分な記憶域がなくても、パケット キャプチャ セッションを作成できます。パケット キャプチャ セッションを開始する前に、使用可能な十分な記憶域があることを確認する必要があります。
-
複数のアクティブなパケット キャプチャ セッションはサポートされません。
-
内部スイッチの入力の段階でのみキャプチャされます。
-
内部スイッチが認識できないパケット(セキュリティ グループ タグ、ネットワーク サービス ヘッダー パケットなど)にはフィルタの効果がありません。
-
EtherChannel 全体のパケットをキャプチャできません。ただし、論理デバイスに割り当てられている EtherChannel の場合、EtherChannel のメンバ インターフェイスごとにパケットをキャプチャできます。
-
キャプチャ セッションがアクティブな間は、PCAP ファイルをコピーしたり、エクスポートできません。
-
パケット キャプチャ セッションを削除すると、そのセッションに関連するすべてのパケット キャプチャ ファイルも削除されます。
パケット キャプチャ セッションの作成または編集
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
ステップ 2 |
次のいずれかを実行します。
ウィンドウの左側では、特定のアプリケーション インスタンスを選択し、そのインスタンスの表記を表示します。この表示は、パケットをキャプチャするインターフェイスを選択するために使用されます。ウィンドウの右側にパケット キャプチャ セッションを定義するためのフィールドが含まれています。 |
ステップ 3 |
ウィンドウの左側で、パケットをキャプチャするアプリケーション インスタンスの名前をクリックします。 |
ステップ 4 |
トラフィックをキャプチャするインターフェイスをクリックします。選択したインターフェイスにチェック マークを表示します。 |
ステップ 5 |
論理デバイスからバックプレーン ポート上で送信されるトラフィックをキャプチャするには、次の操作を行います。 |
ステップ 6 |
[Session Name] フィールドにパケット キャプチャ セッションの名前を入力します。 |
ステップ 7 |
[Buffer Size] リストからあらかじめ定義された値の 1 つを選択するか、[Custom in MB] を選択してから目的のバッファ サイズを入力して、パケット キャプチャ セッションに使用するバッファ サイズを指定します。指定するバッファ サイズは 1 ~ 2048 MB にする必要があります。 |
ステップ 8 |
[Snap Length] フィールドに、キャプチャするパケットの長さを指定します。有効値は 64 ~ 9006 バイトです。デフォルトのスナップ長は 1518 バイトです。 |
ステップ 9 |
このパケット キャプチャ セッションを実行したときに、既存の PCAP ファイルを上書きするか、または PCAP ファイルにデータを追加するかを指定します。 |
ステップ 10 |
アプリケーション インスタンスと特定のインターフェイス間のトラフィックをキャプチャするには、次の操作を行います。
|
ステップ 11 |
キャプチャしたトラフィックをフィルタリングするには、次の操作を行います。 |
ステップ 12 |
次のいずれかを実行します。
[Capture Session] タブに作成された他のセッションとともにセッションが一覧表示されます。[Save and Run] を選択した場合、パケット キャプチャ セッションは、パケットをキャプチャします。セッションから PCAP ファイルをダウンロードする前にキャプチャを停止する必要があります。 |
パケット キャプチャのためのフィルタの設定
パケット キャプチャ セッションに含まれるトラフィックを制限するためにフィルタを作成できます。パケット キャプチャ セッションの作成中にどのインターフェイスが特定のフィルタを使用するかを選択できます。
(注) |
現在実行中のパケット キャプチャ セッションに適用されているフィルタを変更または削除する場合、そのセッションを無効にしてから再度有効にするまでは実行されません。 |
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
||
ステップ 2 |
次のいずれかを実行します。
[Create or Edit Packet Filter] ダイアログボックスが表示されます。 |
||
ステップ 3 |
[Filter Name] フィールドにパケット キャプチャ フィルタの名前を入力します。 |
||
ステップ 4 |
特定のプロトコルをフィルタリングするには、[Protocol] リストから選択するか、または [Custom] を選択して目的のプロトコルを入力します。カスタム プロトコルは 10 進形式(0 ~ 255)の IANA によって定義されたプロトコルである必要があります。 |
||
ステップ 5 |
特定の EtherType をフィルタリングするには、[EtherType] リストから選択するか、または [Custom] を選択して目的の EtherType を入力します。カスタム EhterType は 10 進形式の IANA によって定義された EtherType である必要があります(たとえば、IPv4 = 2048、IPv6 = 34525、ARP = 2054、SGT = 35081)。 |
||
ステップ 6 |
内部 VLAN(ポートに入力する時の VLAN ID)または外部 VLAN(Firepower 4100/9300 シャーシによって追加された VLAN ID)に基づいてトラフィックをフィルタリングするには、指定されたフィールドに VLAN ID を入力します。 |
||
ステップ 7 |
特定の送信元または宛先のトラフィックをフィルタリングするには、IP アドレスとポートを入力するか、または特定の送信元または宛先フィールドに MAC アドレスを入力します。
|
||
ステップ 8 |
[Save] をクリックしてフィルタを保存します。 [Filter List] タブに他の作成されたフィルタとともにフィルタがリスト表示されます。 |
パケット キャプチャ セッションの開始または停止
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
||
ステップ 2 |
パケット キャプチャ セッションを開始するには、そのセッションの [Enable Session] ボタンをクリックし、次に確認のために [Yes] をクリックします。
セッションに含まれるインターフェイスの PCAP ファイルがトラフィックの収集を開始します。セッションがセッション データを上書きするように設定されている場合、既存の PCAP データは消去されます。そうでない場合、データは(もしあれば)既存のファイルに追加されます。 パケット キャプチャ セッションの実行中は、トラフィックをキャプチャするにつれて個々の PCAP ファイルのファイル サイズが増加します。バッファのサイズ制限に達すると、システムがパケットの廃棄を開始し、廃棄カウント フィールドの値が増加します。 |
||
ステップ 3 |
パケット キャプチャ セッションを停止するには、そのセッションの [Disable Session] ボタンをクリックし、次に確認のために [Yes] をクリックします。 セッションが無効になった後、PCAP ファイルをダウンロードできます(パケット キャプチャ ファイルのダウンロードを参照)。 |
パケット キャプチャ ファイルのダウンロード
セッションからローカル コンピュータにパケット キャプチャ(PCAP)ファイルをダウンロードできます。これでネットワーク パケット アナライザを使用して分析できるようになります。
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
||
ステップ 2 |
パケット キャプチャ セッションから特定のインターフェイスの PCAP ファイルをダウンロードするには、そのインターフェイスに対応する [Download] ボタンをクリックします。
ブラウザによって、指定した PCAP ファイルがデフォルトのダウンロード場所に自動的にダウンロードされるか、またはファイルを保存するように求められます。 |
パケット キャプチャ セッションの削除
個々のパケット キャプチャ セッションは、現在実行していなければ削除できます。非アクティブ パケット キャプチャ セッションは、いずれも削除できます。
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
ステップ 2 |
特定のパケット キャプチャ セッションを削除するには、そのセッションの対応する [Delete] ボタンをクリックします。 |
ステップ 3 |
すべての非アクティブ パケット キャプチャ セッションを削除するには、パケット キャプチャ セッションのリストの上にある [Delete All Sessions] ボタンをクリックします。 |