Pakketvastleggingen verzamelen en oplossen op Cisco ESA

Inleiding

In dit document wordt beschreven hoe u pakketopnamen kunt configureren en verzamelen op de Cisco Email Security Appliance (ESA) voor het oplossen van netwerkproblemen.

Gebruikte componenten

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Belangrijke risico’s en voorwaarden

• Packet capture-opdrachten kunnen ervoor zorgen dat de ESA-schijfruimte wordt gevuld en kunnen leiden tot prestatievermindering.
• Cisco raadt u aan deze opdrachten alleen te gebruiken met de hulp van een Cisco TAC Engineer.
• Zorg ervoor dat u administratieve toegang hebt tot de CLI of GUI van de ESA.

Achtergrondinformatie

Cisco Technical Support kan u vragen inzicht te geven in de uitgaande en inkomende netwerkactiviteit van de ESA. Het toestel biedt de mogelijkheid om TCP, IP en andere pakketten te onderscheppen en weer te geven die worden verzonden of ontvangen via het netwerk waarop het toestel is aangesloten. Voer een pakketopname uit om de netwerkinstallatie te debuggen of om het netwerkverkeer te verifiëren dat het toestel bereikt of verlaat.

Packet Captures configureren op AsyncOS 

In dit gedeelte wordt het proces voor het vastleggen van pakketten beschreven.

Een pakketopname starten of stoppen

1. Als u een pakketopname vanuit de GUI wilt starten, gaat u naar het menu Help en ondersteuning rechtsboven, kiest u Pakketopname en klikt u vervolgens op Opname starten.
   1. U kunt ook op Instellingen bewerken klikken om het IP-adres en de poort(en) op te geven die u wilt vastleggen en vervolgens op Indienen klikken.
   2. Poortnummers en IP-adressen kunnen worden ingevoerd met een CSV-indeling (bijvoorbeeld: 80, 443). Als u EEN poort of IP wilt vastleggen, laat u de velden leeg. 
2. Als u het pakketopnameproces wilt stoppen, klikt u op Vastleggen stoppen.
   1. Een opname die begint in de GUI wordt bewaard tussen de sessies.

1. Als u een pakketopname vanuit de CLI wilt starten, voert u de opdracht pakketopname > starten in.
   1. U kunt ook de opdracht Setup gebruiken om het/de IP-adres(sen) en de poort(en) op te geven die u wilt vastleggen. 
2. Als u het proces voor het vastleggen van pakketten wilt stoppen, voert u de opdracht packetcapture > stop in.
   1. De ESA stopt de pakketopname wanneer de sessie eindigt.

Packet Captures beheren

Als u uw bestanden wilt beheren, gaat u naar Help en ondersteuning > Pakketvastlegging in de GUI. Op deze pagina kunt u:

• Voortgang bewaken: bekijk realtime statistieken voor actieve opnames, inclusief de huidige bestandsgrootte en verstreken tijd.
• Bestanden downloaden: Selecteer een voltooide opname en klik op Bestand downloaden om deze op te slaan op uw lokale systeem.
• Bestanden verwijderen: Als u ruimte wilt vrijmaken, selecteert u een of meer bestanden en klikt u op Geselecteerde bestanden verwijderen.

Beperkingen voor pakketopname

• Single Instance: Er kan slechts één pakketopname tegelijk worden uitgevoerd.
• Interfaceonafhankelijkheid: de GUI en CLI werken onafhankelijk met betrekking tot pakketopnames. De GUI toont en beheert alleen opnames die via de webinterface zijn gestart, terwijl de CLI alleen de status weergeeft van opnames die via de opdrachtregel zijn gestart.

Extra ondersteuning voor pakketopnamen

Ga voor meer gedetailleerde instructies naar de online Help van AsyncOS:

1. Navigeer naar Help en ondersteuning > Online Help.
2. Zoek naar Packet Capture.
3. Selecteer Een pakketopname uitvoeren.

Aangepaste pakketopnamefilters gebruiken

Dit gedeelte bevat informatie over aangepaste opnamefilters en geeft voorbeelden.

Dit zijn de standaard filters die gebruikt worden:

• ip - Filters voor al het IP-protocolverkeer
• tcp - Filters voor al het TCP-protocolverkeer
• IP-host - Filters voor een specifieke bron of bestemming van het IP-adres

Dit zijn voorbeelden van de filters die worden gebruikt:

• ip host 10.1.1.1 - Dit filter registreert alle verkeer dat 10.1.1.1 als bron of bestemming bevat.
• ip host 10.1.1.1 of ip host 10.1.1.2 - Dit filter vangt verkeer op dat 10.1.1.1 of 10.1.1.2 als bron of bestemming bevat.

Aanvullend netwerkonderzoek uitvoeren

De hieronder beschreven methoden kunnen alleen worden gebruikt vanuit de CLI.

TCPSERVICES

De opdracht tcpservices geeft TCP/IP-informatie weer voor de huidige functies en systeemprocessen.

example.com> tcpservices

System Processes (Note: All processes can not always be present)
  ftpd.main    - The FTP daemon
  ginetd       - The INET daemon
  interface    - The interface controller for inter-process communication
  ipfw         - The IP firewall
  slapd        - The Standalone LDAP daemon
  sntpd        - The SNTP daemon
  sshd         - The SSH daemon
  syslogd      - The system logging daemon
  winbindd     - The Samba Name Service Switch daemon

Feature Processes
  euq_webui    - GUI for ISQ
  gui          - GUI process
  hermes       - MGA mail server
  postgres     - Process for storing and querying quarantine data
  splunkd      - Processes for storing and querying Email Tracking data

COMMAND      USER         TYPE NODE   NAME
postgres     pgsql        IPv4 TCP    127.0.0.1:5432
interface    root         IPv4 TCP    127.0.0.1:53
ftpd.main    root         IPv4 TCP    10.0.202.7:21
gui          root         IPv4 TCP    10.0.202.7:80
gui          root         IPv4 TCP    10.0.202.7:443
ginetd       root         IPv4 TCP    10.0.202.7:22
java         root         IPv6 TCP    [::127.0.0.1]:18081
hermes       root         IPv4 TCP    10.0.202.7:25
hermes       root         IPv4 TCP    10.0.202.7:7025
api_serve    root         IPv4 TCP    10.0.202.7:6080
api_serve    root         IPv4 TCP    127.0.0.1:60001
api_serve    root         IPv4 TCP    10.0.202.7:6443
nginx        root         IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
java         root         IPv4 TCP    127.0.0.1:9999

NETSTAT

Dit hulpprogramma geeft netwerkverbindingen weer voor TCP (zowel inkomende als uitgaande), routeringstabellen en een aantal netwerkinterface- en netwerkprotocolstatistieken.

example.com> netstat

Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.

Example of Option 1 (List of active sockets)

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.0.202.7.10275       10.0.201.4.6025        ESTABLISHED
tcp4       0      0 10.0.202.7.22          10.0.201.4.57759       ESTABLISHED
tcp4       0      0 10.0.202.7.10273       a96-17-177-18.deploy.static.akamaitechnologies.com.80  TIME_WAIT
tcp4       0      0 10.0.202.7.10260       10.0.201.5.443     ESTABLISHED
tcp4       0      0 10.0.202.7.10256       10.0.201.5.443     ESTABLISHED

Example of Option 2 (State of network interfaces)

Show the number of dropped packets? [N]> y

Name    Mtu Network       Address              Ipkts Ierrs Idrop     Ibytes    Opkts Oerrs     Obytes  Coll  Drop
Data 1    - 10.0.202.0    10.0.202.7        110624529     -     - 117062552515 122028093     - 30126949890     -     -

Example of Option 3 (Contents of routing tables)

Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            10.0.202.1         UGS         Data 1
10.0.202.0         link#2             U           Data 1
10.0.202.7         link#2             UHS         lo0
localhost.example. link#4             UH          lo0

Example of Option 4 (Size of the listen queues)

Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen         Local Address
tcp4  0/0/50         localhost.exampl.9999
tcp4  0/0/50         10.0.202.7.7025
tcp4  0/0/50         10.0.202.7.25
tcp4  0/0/15         10.0.202.7.6443
tcp4  0/0/15         localhost.exampl.60001
tcp4  0/0/15         10.0.202.7.6080
tcp4  0/0/20         localhost.exampl.18081
tcp4  0/0/20         10.0.202.7.443
tcp4  0/0/20         10.0.202.7.80
tcp4  0/0/10         10.0.202.7.21
tcp4  0/0/10         10.0.202.7.22
tcp4  0/0/10         localhost.exampl.53
tcp4  0/0/208        localhost.exampl.5432

Example of Option 5 (Packet traffic information)

            input           nic1           output
   packets  errs idrops      bytes    packets  errs      bytes colls drops
        49     0     0       8116         55     0       7496     0     0

NETWERK

Het subcommando voor het netwerk onder Diagnose biedt toegang tot extra opties.

Gebruik deze opdracht om alle netwerkgerelateerde caches door te spoelen, de inhoud van de ARP-cache weer te geven, de inhoud van de NDP-cache weer te geven (indien van toepassing) en externe SMTP-connectiviteit te testen met behulp van SMTP.

example.com> diagnostic


Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network


Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]> 

ETHERCONFIG

Met de opdracht etherconfig kunt u instellingen met betrekking tot duplex- en MAC-informatie bekijken en configureren voor interfaces, VLAN's, loopback-interfaces, MTU-groottes en acceptatie of afwijzing van ARP-antwoorden met een multicast-adres.

example.com> etherconfig


Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>

TRACEROUTE

Met deze opdracht wordt de netwerkroute naar een externe host weergegeven.

Gebruik de opdracht traceroute6 als u een IPv6-adres hebt geconfigureerd op ten minste één interface.

example.com> traceroute google.com

Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms

PING

Ping stelt u in staat om de bereikbaarheid van een host te testen met behulp van het IP-adres of de hostnaam en biedt statistieken met betrekking tot mogelijke latentie en dalingen in de communicatie.

example.com> ping google.com

Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms

--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms