패킷 캡처
패킷 캡처는 연결 및 구성 문제를 디버깅하고 Firepower 4100/9300 섀시를 통과하는 트래픽 흐름을 파악하기 위해 사용할 수 있는 매우 유용한 자산입니다. 패킷 캡처 도구를 사용하면 Firepower 4100/9300 섀시의 특정 인터페이스를 통과하는 트래픽을 로깅할 수 있습니다.
여러 패킷 캡처 세션을 생성할 수 있으며, 각 세션은 여러 인터페이스의 트래픽을 캡처할 수 있습니다. 패킷 캡처 세션에 포함된 각 인터페이스에 대해 별도의 패킷 캡처(PCAP) 파일이 생성됩니다.
백플레인 포트 매핑
Firepower 4100/9300 섀시는 내부 백플레인 포트에 다음 매핑을 사용합니다.
보안 모듈 |
포트 매핑 |
설명 |
---|---|---|
보안 모듈 1/검색 엔진 |
Ethernet1/9 |
Internal-Data0/0 |
보안 모듈 1/검색 엔진 |
Ethernet1/10 |
Internal-Data1/0 |
보안 모듈 2 |
Ethernet1/11 |
Internal-Data0/0 |
보안 모듈 2 |
Ethernet1/12 |
Internal-Data1/0 |
보안 모듈 3 |
Ethernet1/13 |
Internal-Data0/0 |
보안 모듈 3 |
Ethernet1/14 |
Internal-Data1/0 |
패킷 캡처 관련 지침 및 제한 사항
패킷 캡처 도구의 제한 사항은 다음과 같습니다.
-
최대 100Mbps까지만 캡처할 수 있습니다.
-
패킷 캡처 세션을 실행하기 위해 사용할 저장 공간이 충분하지 않을 경우에도 패킷 캡처 세션을 만들 수 있습니다. 패킷 캡처 세션을 시작하기 전에 저장 공간이 충분한지 확인해야 합니다.
-
싱글 와이드 4x100Gbps 또는 2x100Gbps 네트워크 모듈(각각 부품 번호 FPR-NM-4X100G 및 FPR-NM-2X100G)의 패킷 캡처 세션에서, 모듈
adminstate
가off
로 설정된 경우 캡처 세션은 "Oper State Reason(상태 이유): Unknown Error(알 수 없는 오류).”로 자동으로 비활성화됩니다. 모듈adminstate
를on
으로 다시 설정한 후 캡처 세션을 다시 시작해야 합니다.다른 모든 네트워크 모듈을 사용하는 경우 패킷 캡처 세션은 모듈
adminstate
상태가 변경되는 동안 계속됩니다. -
여러 활성 패킷 캡처 세션은 지원되지 않습니다.
-
내부 스위치의 인그레스 단계에서만 캡처합니다.
-
내부 스위치에서 이해할 수 없는 패킷(Security Group Tag 및 Network Service Header 패킷)에는 필터가 효과적이지 않습니다.
-
상위 인터페이스 하나 이상에 하위 인터페이스가 여러 개 있더라도 세션당 하위 인터페이스 하나에 대해서만 패킷을 캡처할 수 있습니다.
-
EtherChannel 전체나 EtherChannel의 하위 인터페이스에 대해 패킷을 캡처할 수는 없습니다. 그러나 논리적 디바이스에 할당된 EtherChannel의 경우에는 EtherChannel의 각 멤버 인터페이스에서 패킷을 캡처할 수 있습니다. 하위 인터페이스는 할당하고 상위 인터페이스는 할당하지 않는 경우에는 멤버 인터페이스에서 패킷을 캡처할 수 없습니다.
-
캡처 세션이 활성 상태인 동안에는 PCAP 파일을 복사하거나 내보낼 수 없습니다.
-
패킷 캡처 세션을 삭제하면 해당 세션과 연결된 모든 패킷 캡처 파일도 삭제됩니다.
패킷 캡처 세션 생성 또는 수정
프로시저
단계 1 |
를 선택합니다. Capture Session(캡처 세션) 탭에 현재 구성된 패킷 캡처 세션 목록이 표시됩니다. 현재 구성된 패킷 캡처 세션이 없는 경우 그러한 내용의 메시지가 대신 표시됩니다. |
단계 2 |
다음 중 하나를 수행합니다.
창의 왼쪽에서 특정 애플리케이션 인스턴스를 선택하면 해당 인스턴스가 표시됩니다. 이 표시는 패킷을 캡처할 인터페이스를 선택하는 데 사용됩니다. 창 오른쪽에는 패킷 캡처 세션을 정의하기 위한 필드가 있습니다. |
단계 3 |
드롭다운 메뉴에서 인스턴스를 선택합니다. |
단계 4 |
트래픽을 캡처할 인터페이스를 클릭합니다. 선택한 인터페이스에는 확인 표시가 나타납니다. |
단계 5 |
하위 인터페이스의 경우 상위 인터페이스 왼쪽의 아이콘을 클릭하여 Subinterface selection(하위 인터페이스 선택) 열에서 하위 인터페이스를 확인합니다. 해당 열에서 하위 인터페이스 하나를 클릭합니다. 상위 인터페이스 하나 이상에 하위 인터페이스가 여러 개 있더라도 캡처 세션당 하위 인터페이스 하나에 대해서만 패킷을 캡처할 수 있습니다. 하위 인터페이스가 여러 개인 경우 아이콘에는 Subinterfaces(n)(하위 인터페이스(n)) 레이블이 표시됩니다. 단일 하위 인터페이스에는 하위 인터페이스 ID가 레이블로 표시됩니다. 상위 인터페이스도 인스턴스에 할당되는 경우 상위 인터페이스나 하위 인터페이스 중 하나를 선택할 수 있으며 둘 다 선택할 수는 없습니다. 할당되지 않은 상위 인터페이스는 흐리게 표시됩니다. EtherChannel에 대한 하위 인터페이스는 지원되지 않습니다. |
단계 6 |
백플레인 포트를 통해 나가는 논리적 디바이스에서 트래픽을 캡처하려면: |
단계 7 |
Session Name(세션 이름) 필드에 패킷 캡처 세션에 대한 이름을 입력합니다. |
단계 8 |
Buffer Size(버퍼 크기) 목록에서 미리 정의된 값 중 하나를 선택하거나 Custom in MB(MB의 커스텀)를 선택하고 원하는 버퍼 크기를 입력하여 이 패킷 캡처 세션을 사용하기 위한 버퍼 크기를 지정합니다. 1~2048MB 범위에서 버퍼 크기를 지정해야 합니다. |
단계 9 |
캡처할 패킷의 길이를 Snap Length(스냅 길이) 필드에 지정합니다. 유효한 값은 64~9006바이트입니다. 기본 스냅 길이는 1518바이트입니다. |
단계 10 |
이 패킷 캡처 세션이 실행될 때 기존 PCAP 파일을 덮어쓸지, 아니면 데이터를 PCAP 파일에 첨부할지를 지정합니다. |
단계 11 |
애플리케이션 인스턴스와 특정 인터페이스 간 트래픽을 캡처하려면 다음을 수행합니다. |
단계 12 |
캡처되는 트래픽을 필터링하려면: |
단계 13 |
다음 중 하나를 수행합니다.
생성된 다른 세션과 함께 해당 세션이 Capture Session(캡처 세션) 탭에 나열됩니다. Save and Run(저장 및 실행)을 선택한 경우 패킷 캡처 세션이 패킷을 캡처합니다. 세션에서 PCAP 파일을 다운로드하려면 먼저 캡처를 중지해야 합니다. |
패킷 캡처에 대한 필터 구성
패킷 캡처 세션에 포함된 트래픽을 제한할 필터를 만들 수 있습니다. 패킷 캡처 세션을 생성하는 동안 특정 필터를 사용해야 하는 인터페이스를 선택할 수 있습니다.
참고 |
현재 실행 중인 패킷 캡처 세션에 적용되는 필터를 수정하거나 삭제하는 경우, 해당 세션을 비활성화한 후 다시 활성화해야 변경 내용이 적용됩니다. |
프로시저
단계 1 |
를 선택합니다. Capture Session(캡처 세션) 탭에 현재 구성된 패킷 캡처 세션 목록이 표시됩니다. 현재 구성된 패킷 캡처 세션이 없는 경우 그러한 내용의 메시지가 대신 표시됩니다. |
||
단계 2 |
다음 중 하나를 수행합니다.
Create or Edit Packet Filter(패킷 필터 생성 또는 수정) 대화 상자가 나타납니다. |
||
단계 3 |
Filter Name(필터 이름) 필드에 패킷 캡처 필터에 대한 이름을 입력합니다. |
||
단계 4 |
특정 프로토콜을 필터링하려면 Protocol(프로토콜) 목록에서 선택하거나, Custom(커스텀)을 선택한 다음 원하는 프로토콜을 입력합니다. 커스텀 프로토콜은 10진수 형식의 IANA 정의 프로토콜이어야 합니다(0-255). |
||
단계 5 |
특정 EtherType을 필터링하려면 EtherType 목록에서 선택하거나, Custom(커스텀)을 선택한 다음 원하는 EtherType을 입력합니다. 커스텀 EhterType은 10진수 형식의 IANA 정의 EtherType이어야 합니다(예: IPv4 = 2048, IPv6 = 34525, ARP = 2054, SGT = 35081). |
||
단계 6 |
Inner VLAN(포트로 들어가는 동안의 VLAN ID) 또는 Outer VLAN(Firepower 4100/9300 섀시에 의해 추가된 VLAN ID)을 기반으로 트래픽을 필터링하려면 지정된 필드에 VLAN ID를 입력합니다. |
||
단계 7 |
특정 소스 또는 목적지의 트래픽을 필터링하려면 지정된 소스 또는 목적지 필드에 IP 주소와 포트를 입력하거나 MAC 주소를 입력합니다.
|
||
단계 8 |
필터를 저장하려면 Save(저장)를 클릭합니다. 생성된 다른 필터와 함께 해당 필터가 Filter List(필터 목록) 탭에 나열됩니다. |
패킷 캡처 세션 시작 및 중지
프로시저
단계 1 |
를 선택합니다. Capture Session(캡처 세션) 탭에 현재 구성된 패킷 캡처 세션 목록이 표시됩니다. 현재 구성된 패킷 캡처 세션이 없는 경우 그러한 내용의 메시지가 대신 표시됩니다. |
||
단계 2 |
패킷 캡처 세션을 시작하려면 해당 세션에 대해 Enable Session(세션 활성화) 버튼을 클릭한 다음 Yes(예)를 클릭하여 확인합니다.
세션에 포함된 인터페이스에 대한 PCAP 파일이 트래픽 수집을 시작합니다. 세션 데이터를 덮어쓰도록 세션을 구성한 경우 기존 PCAP 데이터가 지워집니다. 아닌 경우 데이터가 기존 파일(있는 경우)에 추가됩니다. 패킷 캡처 세션이 실행 중인 동안에는 트래픽이 캡처될 때 개별 PCAP 파일의 크기가 증가합니다. 버퍼 크기 제한에 도달하면 시스템이 패킷 삭제를 시작하고 Drop Count(삭제 수) 필드가 증가합니다. |
||
단계 3 |
패킷 캡처 세션을 중지하려면 해당 세션에 대해 Disable Session(세션 비활성화) 버튼을 클릭한 다음 Yes(예)를 클릭하여 확인합니다. 세션이 비활성화된 후 PCAP 파일을 다운로드할 수 있습니다(패킷 캡처 파일 다운로드 참조). |
패킷 캡처 파일 다운로드
네트워크 패킷 분석기를 사용하여 분석할 수 있도록 세션에서 로컬 컴퓨터로 PCAP(Packet Capture) 파일을 다운로드할 수 있습니다.
프로시저
단계 1 |
를 선택합니다. Capture Session(캡처 세션) 탭에 현재 구성된 패킷 캡처 세션 목록이 표시됩니다. 현재 구성된 패킷 캡처 세션이 없는 경우 그러한 내용의 메시지가 대신 표시됩니다. |
||
단계 2 |
패킷 캡처 세션에서 특정 인터페이스에 대한 PCAP 파일을 다운로드하려면 인터페이스에 해당하는 Download(다운로드) 버튼을 클릭합니다.
브라우저에 따라, 지정된 PCAP 파일이 기본 다운로드 위치에 자동으로 다운로드되거나 파일을 저장하라는 프롬프트가 표시됩니다. |
패킷 캡처 세션 삭제
현재 실행하고 있지 않은 개별 패킷 캡처 세션을 삭제하거나, 모든 비활성 패킷 캡처 세션을 삭제할 수 있습니다.
프로시저
단계 1 |
를 선택합니다. Capture Session(캡처 세션) 탭에 현재 구성된 패킷 캡처 세션 목록이 표시됩니다. 현재 구성된 패킷 캡처 세션이 없는 경우 그러한 내용의 메시지가 대신 표시됩니다. |
단계 2 |
특정 패킷 캡처 세션을 삭제하려면 세션에 해당하는 Delete(삭제) 버튼을 클릭합니다. |
단계 3 |
모든 비활성 패킷 캡처 세션을 삭제하려면 패킷 캡처 세션 목록 위에 있는 Delete All Sessions(모든 세션 삭제) 버튼을 클릭합니다. |