소개
이 문서에서는 Cisco ASDM(Adaptive Security Device Manager) 또는 CLI를 사용하여 원하는 패킷을 캡처하기 위해 Cisco ASA(Adaptive Security Appliance) Next-Generation Firewall을 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
이 문서에서는 ASA가 완전히 작동 중이고 Cisco ASDM 또는 CLI에서 컨피그레이션을 변경할 수 있도록 구성되어 있다고 가정합니다.
사용되는 구성 요소
이 문서는 특정 하드웨어 또는 소프트웨어 버전으로 제한되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
관련 제품
이 컨피그레이션은 다음 Cisco 제품과 함께 사용할 수도 있습니다.
-
Cisco ASA 버전 9.1(5) 이상
-
Cisco ASDM 버전 7.2.1
배경 정보
패킷 캡처 프로세스는 연결 문제를 해결하거나 의심스러운 활동을 모니터링할 때 유용합니다. 또한 여러 인터페이스에서 서로 다른 유형의 트래픽을 분석하기 위해 여러 캡처를 생성할 수 있습니다.
구성
이 섹션에서는 이 문서에 설명된 패킷 캡처 기능을 구성하는 데 사용할 수 있는 정보를 제공합니다.
참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 Command Lookup Tool(등록된 고객만 해당)을 사용합니다.
네트워크 다이어그램
이 문서에서는 다음 네트워크 설정을 사용합니다.

구성
참고: 이 컨피그레이션에서 사용되는 IP 주소 지정 체계는 인터넷에서 합법적으로 라우팅할 수 없습니다. 실습 환경에서 사용되는 RFC 1918 주소입니다.
ASDM으로 패킷 캡처 구성
참고: 이 예제 컨피그레이션은 User1(내부 네트워크)에서 Router1(외부 네트워크)으로 ping하는 동안 전송되는 패킷을 캡처하기 위해 사용됩니다.
ASDM을 사용하여 ASA에서 패킷 캡처 기능을 구성하려면 다음 단계를 완료합니다.
- Wizards(마법사) > Packet Capture Wizard(패킷 캡처 마법사)로 이동하여 다음과 같이 패킷 캡처 컨피그레이션을 시작합니다.

- 캡처 마법사가 열립니다. Next(다음)를 클릭합니다.

- 새 창에서 INGRESS 트래픽을 캡처하기 위해 사용되는 매개변수를 제공합니다. 인그레스 인터페이스에 대해 inside를 선택하고 제공된 각 공간에 캡처할 패킷의 소스 및 목적지 IP 주소와 서브넷 마스크를 제공합니다. 또한 다음과 같이 ASA에서 캡처할 패킷 유형을 선택합니다(IP는 여기에서 선택한 패킷 유형).

Next(다음)를 클릭합니다.
- 이그레스 인터페이스에 대해 outside를 선택하고 제공된 각 공간에 소스 및 대상 IP 주소와 서브넷 마스크를 제공합니다. 방화벽에서 NAT(Network Address Translation)를 수행하는 경우에도 이 점을 고려해야 합니다.

Next(다음)를 클릭합니다.
- 캡처를 수행하려면 이 데이터가 필요하므로 제공된 각 공간에 적절한 패킷 크기와 버퍼 크기를 입력합니다. 또한 순환 버퍼 옵션을 사용하려면 Use circular buffer 확인란을 선택해야 합니다. 순환 버퍼는 채워지지 않습니다. 버퍼가 최대 크기에 도달하면 오래된 데이터가 삭제되고 캡처가 계속됩니다. 이 예에서는 순환 버퍼가 사용되지 않으므로 확인란이 선택되지 않습니다.

Next(다음)를 클릭합니다.
- 이 창에는 원하는 패킷이 캡처되도록 ASA에서 구성해야 하는 액세스 목록이 표시되며, 캡처할 패킷의 유형이 표시됩니다(이 예에서는 IP 패킷이 캡처됨). Next(다음)를 클릭합니다.

- 패킷 캡처를 시작하려면 Start(시작)를 클릭합니다.

- 패킷 캡처가 시작되면 소스와 대상 IP 주소 간에 이동하는 패킷이 ASA 캡처 버퍼에 의해 캡처되도록 내부 네트워크에서 외부 네트워크를 ping하려고 시도합니다.
- ASA 캡처 버퍼에 의해 캡처된 패킷을 보려면 Get Capture Buffer를 클릭합니다.

- 캡처된 패킷은 인그레스 및 이그레스 트래픽 모두에 대해 이 창에 표시됩니다. 캡처 정보를 저장하려면 캡처 저장을 클릭합니다.

- 캡처 저장 창에서 캡처 버퍼를 저장할 필요한 형식을 선택합니다. 이는 ASCII 또는 PCAP입니다. 형식 이름 옆의 라디오 버튼을 클릭합니다. 그런 다음 Save ingress capture(인그레스 캡처 저장) 또는 Save egress capture(이그레스 캡처 저장)를 필요에 따라 클릭합니다. PCAP 파일은 Wireshark와 같은 캡처 분석기를 사용하여 열 수 있으며 선호하는 방법입니다.

- 캡처 파일 저장 창에서 캡처 파일을 저장할 위치와 파일 이름을 입력합니다. 저장을 클릭합니다.

- 마침을 클릭합니다.

그러면 패킷 캡처 절차가 완료됩니다.
CLI로 패킷 캡처 구성
CLI를 사용하여 ASA에서 패킷 캡처 기능을 구성하려면 다음 단계를 완료합니다.
- 네트워크 다이어그램에 설명된 대로 내부 및 외부 인터페이스를 올바른 IP 주소 및 보안 레벨로 구성합니다.
- 특권 EXEC 모드에서 capture 명령으로 패킷 캡처 프로세스를 시작합니다. 이 컨피그레이션 예에서는 capin이라는 캡처가 정의됩니다. 이를 내부 인터페이스에 바인딩하고 관심 트래픽과 일치하는 패킷만 캡처하도록 match 키워드로 지정합니다.
ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
203.0.113.3 255.255.255.255
- 마찬가지로 capout이라는 캡처가 정의됩니다. 이를 외부 인터페이스에 바인딩하고 관심 트래픽과 일치하는 패킷만 캡처하도록 match 키워드로 지정합니다.
ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
203.0.113.3 255.255.255.255
이제 ASA가 인터페이스 간의 트래픽 흐름을 캡처하기 시작합니다. 언제든지 캡처를 중지하려면 no capture 명령과 캡처 이름을 차례로 입력합니다.
예를 들면 다음과 같습니다.
no capture capin interface inside
no capture capout interface outside
ASA에서 사용 가능한 캡처 유형
이 섹션에서는 ASA에서 사용할 수 있는 다양한 유형의 캡처에 대해 설명합니다.
- asa_dataplane - ASA와 ASA CX 또는 IPS 모듈과 같이 백플레인을 사용하는 모듈 간에 전달되는 ASA 백플레인의 패킷을 캡처합니다.
ASA# cap asa_dataplace interface asa_dataplane
ASA# show capture
capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]
- asp-drop drop-code - 가속화된 보안 경로에 의해 삭제된 패킷을 캡처합니다. drop-code는 가속화된 보안 경로에 의해 삭제된 트래픽 유형을 지정합니다.
ASA# capture asp-drop type asp-drop acl-drop
ASA# show cap
ASA# show capture asp-drop
2 packets captured
1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
Flow is denied by configured rule
2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
Flow is denied by configured rule
2 packets shown
ASA# show capture asp-drop
2 packets captured
1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
Flow is denied by configured rule
2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
Flow is denied by configured rule
2 packets shown
- ethernet-type type - 캡처할 이더넷 유형을 선택합니다. 지원되는 이더넷 유형은 8021Q, ARP, IP, IP6, IPX, LACP, PPPOED, PPPOES, RARP, VLAN입니다.
다음 예에서는 ARP 트래픽을 캡처하는 방법을 보여줍니다.
ASA# cap arp ethernet-type ?
exec mode commands/options:
802.1Q
<0-65535> Ethernet type
arp
ip
ip6
ipx
pppoed
pppoes
rarp
vlan
cap arp ethernet-type arp interface inside
ASA# show cap arp
22 packets captured
1: 05:32:52.119485 arp who-has 10.10.3.13 tell 10.10.3.12
2: 05:32:52.481862 arp who-has 192.168.10.123 tell 192.168.100.100
3: 05:32:52.481878 arp who-has 192.168.10.50 tell 192.168.100.10
4: 05:32:53.409723 arp who-has 10.106.44.135 tell 10.106.44.244
5: 05:32:53.772085 arp who-has 10.106.44.108 tell 10.106.44.248
6: 05:32:54.782429 arp who-has 10.106.44.135 tell 10.106.44.244
7: 05:32:54.784695 arp who-has 10.106.44.1 tell 11.11.11.112:
- real-time - 캡처된 패킷을 지속적으로 실시간으로 표시합니다. 실시간 패킷 캡처를 종료하려면 Ctrl-C를 누릅니다. 캡처를 영구적으로 제거하려면 이 명령의 no 형식을 사용합니다. cluster exec capture 명령을 사용하는 경우 이 옵션은 지원되지 않습니다.
ASA# cap capin interface inside real-time
Warning: using this option with a slow console connection may
result in an excessive amount of non-displayed packets
due to performance limitations.
Use ctrl-c to terminate real-time capture
- Trace - 캡처된 패킷을 ASA 패킷 추적기 기능과 유사한 방식으로 추적합니다.
ASA#cap in interface Webserver trace match tcp any any eq 80
// Initiate Traffic
1: 07:11:54.670299 192.168.10.10.49498 > 198.51.100.88.80: S
2322784363:2322784363(0) win 8192
<mss 1460,nop,wscale 2,nop,nop,sackOK>
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 outside
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group any in interface inside
access-list any extended permit ip any4 any4 log
Additional Information:
Phase: 5
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-10.0.0.0
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498
Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 8
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 9
Type: ESTABLISHED
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 10
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 11
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 12
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 13
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 41134, packet dispatched to next module
Phase: 14
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 203.0.113.1 using egress ifc outside
adjacency Active
next-hop mac address 0007.7d54.1300 hits 3170
Result:
output-interface: outside
output-status: up
output-line-status: up
Action: allow
- ikev1/ikev2 - IKEv1(Internet Key Exchange Version 1) 또는 IKEv2 프로토콜 정보만 캡처합니다.
- isakmp - VPN 연결을 위한 ISAKMP(Internet Security Association and Key Management Protocol) 트래픽을 캡처합니다. ISAKMP 하위 시스템은 상위 계층 프로토콜에 액세스할 수 없습니다. 캡처는 PCAP 파서를 충족하기 위해 물리적, IP 및 UDP 레이어가 결합된 의사 캡처입니다. 피어 주소는 SA 교환에서 가져와 IP 레이어에 저장됩니다.
- lacp - LACP(Link Aggregation Control Protocol) 트래픽을 캡처합니다. 구성된 경우 인터페이스 이름은 물리적 인터페이스 이름입니다. 이 기능은 LACP의 현재 동작을 식별하기 위해 Etherchannel과 작업할 때 유용할 수 있습니다.
- tls-proxy - 하나 이상의 인터페이스에서 TLS(Transport Layer Security) 프록시에서 해독된 인바운드 및 아웃바운드 데이터를 캡처합니다.
- webvpn - 특정 WebVPN 연결에 대한 WebVPN 데이터를 캡처합니다.
주의: WebVPN 캡처를 활성화하면 보안 어플라이언스의 성능에 영향을 줍니다. 문제 해결에 필요한 캡처 파일을 생성한 후 캡처를 비활성화해야 합니다.
기본값
다음은 ASA 시스템 기본값입니다.
- 기본 유형은 원시 데이터입니다.
- 기본 버퍼 크기는 512KB입니다.
- 기본 이더넷 유형은 IP 패킷입니다.
- 기본 packet-length는 1,518바이트입니다.
캡처된 패킷 보기
ASA에서
캡처된 패킷을 보려면 show capture 명령과 캡처 이름을 차례로 입력합니다. 이 섹션에서는 캡처 버퍼 내용의 show 명령 출력을 제공합니다. show capture capin 명령은 capin이라는 캡처 버퍼의 내용을 표시합니다.
ASA# show cap capin
8 packets captured
1: 03:24:35.526812 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527224 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528247 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528582 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529345 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529681 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:57.440162 192.168.10.10 > 203.0.113.3: icmp: echo request
8: 03:24:57.440757 203.0.113.3 > 192.168.10.10: icmp: echo reply
show capture capout 명령은 capout이라는 캡처 버퍼의 내용을 표시합니다.
ASA# show cap capout
8 packets captured
1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request
8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply
오프라인 분석을 위해 ASA에서 다운로드
오프라인에서 분석할 패킷 캡처를 다운로드하는 방법에는 두 가지가 있습니다.
- 모든 브라우저에서 https://<ip_of_asa>/admin/capture/<capture_name>/pcap으로 이동합니다.
팁: pcap 키워드를 생략하면 show capture <cap_name> 명령 출력과 동일한 값만 제공됩니다.
- copy capture 명령 및 기본 파일 전송 프로토콜을 입력하여 캡처를 다운로드합니다.
copy /pcap capture:<capture-name> tftp://<server-ip-address>
팁: 패킷 캡처 사용과 관련된 문제를 해결할 때 오프라인 분석을 위해 캡처를 다운로드하는 것이 좋습니다.
캡처 지우기
캡처 버퍼를 지우려면 clear capture <capture-name> 명령을 입력합니다.
ASA# show capture
capture capin type raw-data interface inside [Capturing - 8190 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 11440 bytes]
match icmp any any
ASA# clear cap capin
ASA# clear cap capout
ASA# show capture
capture capin type raw-data interface inside [Capturing - 0 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 0 bytes]
match icmp any any
모든 캡처의 버퍼를 지우려면 clear capture /all 명령을 입력합니다.
ASA# clear capture /all
캡처 중지
ASA에서 캡처를 중지하는 유일한 방법은 다음 명령을 사용하여 캡처를 완전히 비활성화하는 것입니다.
no capture <capture-name>
Cisco 버그 ID CSCuv74549는 캡처를 완전히 비활성화하지 않고 중지할 수 있는 기능을 추가하고 캡처가 트래픽을 캡처하기 시작하는 시기를 제어하는 기능을 추가했습니다.
다음을 확인합니다.
현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.
문제 해결
현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.