Cisco ESA에서 패킷 캡처 수집 및 문제 해결

다운로드 옵션

PDF (297.9 KB)
다양한 디바이스에서 Adobe Reader로 보기

업데이트:2026년 2월 22일

문서 ID:117797

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 네트워크 문제 해결을 위해 Cisco ESA(Email Security Appliance)에서 패킷 캡처를 구성하고 수집하는 방법에 대해 설명합니다.

사용되는 구성 요소

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

중요 위험 및 전제 조건

패킷 캡처 명령을 사용하면 ESA 디스크 공간이 꽉 차서 성능이 저하될 수 있습니다.
Cisco에서는 Cisco TAC 엔지니어의 도움을 받아 이러한 명령만 사용할 것을 권장합니다.
ESA의 CLI 또는 GUI에 대한 관리 액세스 권한이 있는지 확인합니다.

배경 정보

Cisco Technical Support는 ESA의 아웃바운드 및 인바운드 네트워크 활동에 대한 통찰력을 제공하도록 요청할 수 있습니다. 어플라이언스는 어플라이언스가 연결된 네트워크를 통해 전송되거나 수신된 TCP, IP 및 기타 패킷을 가로채고 표시하는 기능을 제공합니다. 패킷 캡처를 실행하여 네트워크 설정을 디버깅하거나 어플라이언스에 도달하거나 어플라이언스를 떠나는 네트워크 트래픽을 확인합니다.

AsyncOS에서 패킷 캡처 구성

이 섹션에서는 패킷 캡처 프로세스에 대해 설명합니다.

패킷 캡처 시작 또는 중지

GUI에서 패킷 캡처를 시작하려면 오른쪽 상단에 있는 Help and Support(도움말 및 지원) 메뉴로 이동하여 Packet Capture(패킷 캡처)를 선택한 다음 Start Capture(캡처 시작)를 클릭합니다.
1. 또는 Edit Settings(설정 수정)를 클릭하여 캡처할 IP 주소 및 포트를 지정한 다음 Submit(제출)을 클릭합니다.
2. 포트 번호 및 IP 주소는 CSV 형식으로 입력할 수 있습니다(예: 80, 443). 모든 포트 또는 IP를 캡처하려면 필드를 비워둡니다.
패킷 캡처 프로세스를 중지하려면 Stop Capture를 클릭합니다.
1. GUI에서 시작되는 캡처는 세션 간에 보존됩니다.

CLI에서 패킷 캡처를 시작하려면 packetcapture > start 명령을 입력합니다.
1. 또는 setup 명령을 사용하여 캡처할 IP 주소 및 포트를 지정합니다.
패킷 캡처 프로세스를 중지하려면 packetcapture > stop 명령을 입력합니다.
1. 세션이 종료되면 ESA에서 패킷 캡처를 중지합니다.

패킷 캡처 관리

파일을 관리하려면 GUI에서 Help and Support(도움말 및 지원) > Packet Capture(패킷 캡처)로 이동합니다. 이 페이지에서 다음을 수행할 수 있습니다.

Monitor Progress(진행률 모니터링): 현재 파일 크기 및 경과 시간을 포함하여 활성 캡처에 대한 실시간 통계를 봅니다.
파일 다운로드:완료된 캡처를 선택하고 파일 다운로드를 클릭하여 로컬 시스템에 저장합니다.
파일 삭제:공간을 확보하려면 하나 이상의 파일을 선택하고 선택한 파일 삭제를 클릭합니다.

패킷 캡처 제약 조건

단일 인스턴스: 한 번에 하나의 패킷 캡처만 실행할 수 있습니다.
인터페이스 독립성: GUI 및 CLI는 패킷 캡처와 관련하여 독립적으로 작동합니다. GUI에서는 웹 인터페이스를 통해 시작된 캡처만 표시하고 관리하며, CLI에서는 명령줄을 통해 시작된 캡처의 상태만 표시합니다.

패킷 캡처를 위한 추가 지원

자세한 지침은 AsyncOS 온라인 도움말을 참조하십시오.

Help and Support(도움말 및 지원) > Online Help(온라인 도움말)로 이동합니다.
패킷 캡처를 검색합니다.
패킷 캡처 실행을 선택합니다.

사용자 지정 패킷 캡처 필터 사용

이 섹션에서는 맞춤형 캡처 필터와 관련된 정보를 제공하고 예를 제공합니다.

다음은 사용되는 표준 필터입니다.

ip - 모든 IP 프로토콜 트래픽에 대한 필터
tcp - 모든 TCP 프로토콜 트래픽에 대한 필터
ip host - 특정 IP 주소 소스 또는 대상에 대한 필터

다음은 사용 중인 필터의 예입니다.

ip host 10.1.1.1 - 이 필터는 10.1.1.1을 소스 또는 대상으로 포함하는 모든 트래픽을 캡처합니다.
ip host 10.1.1.1 또는 ip host 10.1.1.2 - 이 필터는 10.1.1.1 또는 10.1.1.2를 소스 또는 대상으로 포함하는 트래픽을 캡처합니다.

추가 네트워크 조사 수행

아래 설명된 방법은 CLI에서만 사용할 수 있습니다.

TCPSERVICES

tcpservices 명령은 현재 기능 및 시스템 프로세스에 대한 TCP/IP 정보를 표시합니다.

example.com> tcpservices

System Processes (Note: All processes can not always be present)
  ftpd.main    - The FTP daemon
  ginetd       - The INET daemon
  interface    - The interface controller for inter-process communication
  ipfw         - The IP firewall
  slapd        - The Standalone LDAP daemon
  sntpd        - The SNTP daemon
  sshd         - The SSH daemon
  syslogd      - The system logging daemon
  winbindd     - The Samba Name Service Switch daemon

Feature Processes
  euq_webui    - GUI for ISQ
  gui          - GUI process
  hermes       - MGA mail server
  postgres     - Process for storing and querying quarantine data
  splunkd      - Processes for storing and querying Email Tracking data

COMMAND      USER         TYPE NODE   NAME
postgres     pgsql        IPv4 TCP    127.0.0.1:5432
interface    root         IPv4 TCP    127.0.0.1:53
ftpd.main    root         IPv4 TCP    10.0.202.7:21
gui          root         IPv4 TCP    10.0.202.7:80
gui          root         IPv4 TCP    10.0.202.7:443
ginetd       root         IPv4 TCP    10.0.202.7:22
java         root         IPv6 TCP    [::127.0.0.1]:18081
hermes       root         IPv4 TCP    10.0.202.7:25
hermes       root         IPv4 TCP    10.0.202.7:7025
api_serve    root         IPv4 TCP    10.0.202.7:6080
api_serve    root         IPv4 TCP    127.0.0.1:60001
api_serve    root         IPv4 TCP    10.0.202.7:6443
nginx        root         IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
java         root         IPv4 TCP    127.0.0.1:9999

네트스타트

이 유틸리티는 TCP(수신 및 발신 모두)에 대한 네트워크 연결, 라우팅 테이블, 여러 네트워크 인터페이스 및 네트워크 프로토콜 통계를 표시합니다.

example.com> netstat

Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.

Example of Option 1 (List of active sockets)

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.0.202.7.10275       10.0.201.4.6025        ESTABLISHED
tcp4       0      0 10.0.202.7.22          10.0.201.4.57759       ESTABLISHED
tcp4       0      0 10.0.202.7.10273       a96-17-177-18.deploy.static.akamaitechnologies.com.80  TIME_WAIT
tcp4       0      0 10.0.202.7.10260       10.0.201.5.443     ESTABLISHED
tcp4       0      0 10.0.202.7.10256       10.0.201.5.443     ESTABLISHED

Example of Option 2 (State of network interfaces)

Show the number of dropped packets? [N]> y

Name    Mtu Network       Address              Ipkts Ierrs Idrop     Ibytes    Opkts Oerrs     Obytes  Coll  Drop
Data 1    - 10.0.202.0    10.0.202.7        110624529     -     - 117062552515 122028093     - 30126949890     -     -

Example of Option 3 (Contents of routing tables)

Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            10.0.202.1         UGS         Data 1
10.0.202.0         link#2             U           Data 1
10.0.202.7         link#2             UHS         lo0
localhost.example. link#4             UH          lo0

Example of Option 4 (Size of the listen queues)

Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen         Local Address
tcp4  0/0/50         localhost.exampl.9999
tcp4  0/0/50         10.0.202.7.7025
tcp4  0/0/50         10.0.202.7.25
tcp4  0/0/15         10.0.202.7.6443
tcp4  0/0/15         localhost.exampl.60001
tcp4  0/0/15         10.0.202.7.6080
tcp4  0/0/20         localhost.exampl.18081
tcp4  0/0/20         10.0.202.7.443
tcp4  0/0/20         10.0.202.7.80
tcp4  0/0/10         10.0.202.7.21
tcp4  0/0/10         10.0.202.7.22
tcp4  0/0/10         localhost.exampl.53
tcp4  0/0/208        localhost.exampl.5432

Example of Option 5 (Packet traffic information)

            input           nic1           output
   packets  errs idrops      bytes    packets  errs      bytes colls drops
        49     0     0       8116         55     0       7496     0     0

네트워크

diagnostic 아래의 network 하위 명령은 추가 옵션에 대한 액세스를 제공합니다.

이 명령을 사용하여 모든 네트워크 관련 캐시를 플러시하고, ARP 캐시의 내용을 표시하고, NDP 캐시의 내용을 표시하고(해당하는 경우), SMTPPING을 사용하여 원격 SMTP 연결을 테스트할 수 있습니다.

example.com> diagnostic


Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network


Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]>

ETHERCONFIG

etherconfig 명령을 사용하면 인터페이스, VLAN, 루프백 인터페이스, MTU 크기, 멀티캐스트 주소로 ARP 회신의 승인 또는 거부에 대한 듀플렉스 및 MAC 정보와 관련된 설정을 보고 구성할 수 있습니다.

example.com> etherconfig


Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>

트레이스라우트

이 명령은 원격 호스트에 대한 네트워크 경로를 표시합니다.

하나 이상의 인터페이스에 IPv6 주소가 구성된 경우 traceroute6 명령을 사용합니다.

example.com> traceroute google.com

Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms

핑

Ping을 사용하면 IP 주소 또는 호스트 이름을 사용하여 호스트의 연결 가능성을 테스트할 수 있으며, 가능한 대기 시간 및 통신 중단에 관련된 통계를 제공합니다.

example.com> ping google.com

Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms

--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms

개정 이력

개정	게시 날짜	의견
2.0	22-Feb-2026	프로세스 및 구문을 업데이트하는 중입니다.
1.0	11-Jun-2014	최초 릴리스

Cisco 엔지니어가 작성

데니스 맥케이브 주니어
Cisco 기술 리더
로버트 셔윈
Cisco 기술 리더
비보르 암로디아
Cisco 기술 리더