Inleiding

In dit document worden de configuratie en verificatie van de Firepower beschreven en wordt de Secure Firewall interne switch weergegeven.

Voorwaarden

Vereisten

Basisproductkennis, opnameanalyse.

Gebruikte componenten

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Secure-firewall 31xx, 42xx
• Firepower 41xx
• Firepower 93xx
• Cisco Secure Xersible Operating System (FXOS) 2.12.0.x
• Cisco Secure Firewall Threat Defence (FTD) 7.2.0.x, 7.4.1-172
• Cisco Secure Firewall Management Center (FMC) 7.2.0.x, 7.4.1-172
• Adaptieve security applicatie (ASA) 9.18(1)x, 9.20(x)
• Wireshark 3.6.7 (https://www.wireshark.org/download.html)

Achtergrondinformatie

Overzicht op hoog niveau van de systeemarchitectuur

Vanuit het pakketstroomperspectief kan de architectuur van de Firepower 4100/9300 en Secure Firewall 3100/4200 worden gevisualiseerd zoals in deze afbeelding:

Het chassis bevat deze onderdelen:

• Interne switch - doorstuurt pakket van het netwerk naar de applicatie en vice versa. De switch wordt aangesloten op de voorinterfaces die zich op de ingebouwde interfacemodule of de externe netwerkmodules bevinden en kan bijvoorbeeld worden aangesloten op switches. Voorbeelden van frontinterfaces zijn Ethernet 1/1, Ethernet 2/4, enzovoort. De "voorkant" is geen sterke technische definitie. In dit document wordt het gebruikt om interfaces die zijn aangesloten op externe apparaten te onderscheiden van de backplane of uplink-interfaces.

• Backplane of uplink - een interfaceinterface die de beveiligingsmodule (SM) verbindt met de switch.
• Management uplink - een interfaceinterface die exclusief is voor Secure Firewall 3100/4200 en die het pad voor beheerverkeer tussen de interne switch en de toepassing biedt.

Deze tabel toont backplane interfaces op Firepower 4100/9300 en uplink interfaces op Secure Firewall 3100/4200:

In het geval Firepower 4100/9300 met 2 backplane interfaces per module of Secure Firewall 4245 met 2 data uplink interfaces, de switch en de applicaties op de modules voeren verkeerstaakverdeling uit over de 2 interfaces.

• Security module, security engine of blade - de module waarin applicaties zoals FTD of ASA zijn geïnstalleerd. Firepower 9300 ondersteunt maximaal 3 beveiligingsmodules.
• Toepassingsinterface - de namen van de backplane- of uplink-interfaces in toepassingen, zoals FTD of ASA.

Gebruik de opdracht show interface detail om interne interfaces te verifiëren:

> show interface detail | grep Interface
Interface Internal-Control0/0 "ha_ctl_nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 6
        Interface config status is active
        Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
  Control Point Interface States:
        Interface number is 2
        Interface config status is active
        Interface state is active
Interface Internal-Data0/1 "", is up, line protocol is up
  Control Point Interface States:
        Interface number is 3
        Interface config status is active
        Interface state is active
Interface Internal-Data0/2 "nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 4
        Interface config status is active
        Interface state is active
Interface Internal-Data0/3 "ccl_ha_nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 5
        Interface config status is active
        Interface state is active
Interface Internal-Data0/4 "cmi_mgmt_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 7
        Interface config status is active
        Interface state is active
Interface Port-channel6.666 "", is up, line protocol is up
Interface Ethernet1/1 "diagnostic", is up, line protocol is up
  Control Point Interface States:
        Interface number is 8
        Interface config status is active
        Interface state is active

Overzicht op hoog niveau van de interne Switch

FirePOWER-applicatie 4100/9300

Om een doorsturen besluit te nemen gebruikt de switch een interface-VLAN-tag, of poort-VLAN-tag, en een Virtual Network-tag (VN-tag).

De port VLAN-tag wordt gebruikt door de interne switch om een interface te identificeren. De switch voegt de poort VLAN-tag in op elk toegangspakket dat op de voorinterfaces kwam. De VLAN-tag wordt automatisch geconfigureerd door het systeem en kan niet handmatig worden gewijzigd.  De waarde van de tag kan in de fxos opdrachtshell worden gecontroleerd:

firepower# connect fxos 
…
firepower(fxos)# show run int e1/2
!Command: show running-config interface Ethernet1/2
!Time: Tue Jul 12 22:32:11 2022

version 5.0(3)N2(4.120)

interface Ethernet1/2
  description U: Uplink
  no lldp transmit
  no lldp receive
  no cdp enable
  switchport mode dot1q-tunnel
  switchport trunk native vlan 102
  speed 1000
  duplex full
  udld disable
  no shutdown

De VN-tag wordt ook door de inwendige switch ingevoegd en gebruikt om de pakketten door te sturen naar de applicatie. Het wordt automatisch ingesteld door het systeem en kan niet handmatig worden gewijzigd.

De port VLAN-tag en de VN-tag worden gedeeld met de applicatie. De applicatie voegt de respectievelijke uitgaande interface VLAN-tags en de VN-tags in elk pakket in. Wanneer een pakketje van de applicatie wordt ontvangen door de switch op de backplane interfaces, leest de switch de VLAN-tag voor de uitgaande interface en de VN-tag, identificeert de toepassing en de uitgangsinterface, stript de VLAN-tag voor de poort en de VN-tag en stuurt het pakketbestand door naar het netwerk.

Secure-firewall 3100/4200

Net zoals in Firepower 4100/9300, wordt de poort VLAN tag gebruikt door de switch om een interface te identificeren.

De poort VLAN-tag wordt gedeeld met de toepassing. De toepassing voegt de respectievelijke uitgaande interface VLAN-tags in elk pakket in. Wanneer een pakketje uit de applicatie wordt ontvangen door de switch op de uplink-interface, leest de switch de VLAN-tag van de uitgaande interface, identificeert hij de uitgangsinterface, stript hij de VLAN-tag van de poort en stuurt hij het pakketje door naar het netwerk.

Packet Flow en Capture points

Firepower 4100/9300 en Secure Firewall 3100

Firepower 4100/9300 en Secure Firewall 3100 ondersteunen pakketvastlegging op de interfaces van de switch.

Dit getal toont de pakketopnamepunten langs het pakketpad in het chassis en de toepassing:

De opnamepunten zijn:

1. Inwendig switch-frontinterface-ingangspunt. Een voorinterface is elke interface die is aangesloten op de peer devices zoals switches.
2. Opnamepunt voor interface-ingang van gegevensvlak
3. Snelopnamepunt
4. Uitgangspunt van de gegevensvlak-interface
5. Interne switch-backplane of uplink-ingangspunt. Een backplane of uplink-interface verbindt de inwendige switch met de toepassing.

De interne switch ondersteunt alleen ingangsinterfaceopnamen. Dat wil zeggen dat alleen de pakketten die van het netwerk of van de ASA/FTD-toepassing worden ontvangen, kunnen worden opgenomen. Uitgangspakket-opnamen worden niet ondersteund.

Secure-firewall 4200

Het Secure Firewall 4200-ondersteuningspakket voor firewalls legt vast op de interfaces van de interne switch. Dit getal toont de pakketopnamepunten langs het pakketpad in het chassis en de toepassing:

De opnamepunten zijn:

1. Inwendig switch-frontinterface-ingangspunt. Een voorinterface is elke interface die is aangesloten op de peer devices zoals switches.
2. Interne switch-backplane uitgangsopnamepunt.
3. Opnamepunt voor interface-ingang van gegevensvlak
4. Snelopnamepunt
5. Uitgangspunt van de gegevensvlak-interface
6. Interne switch-backplane of uplink-ingangspunt. Een backplane of uplink-interface verbindt de inwendige switch met de toepassing.
7. Interne switch-uitgangsinterface-uitgangspunt.

De inwendige switch ondersteunt optioneel bidirectionele - zowel ingangen als uitgangen - opnamen. Standaard neemt de switch binnen pakketten op in de invoerrichting.

Configuratie en verificatie op FirePOWER 4100/9300

De interne switch Firepower 4100/9300 kan worden geconfigureerd in Tools > Packet Capture op FCM of in scope packet-capture in FXOS CLI. Raadpleeg voor de beschrijving van de pakketopnameopties de configuratiehandleiding voor Cisco Firepower 4100/9300 FXOS Chassis Manager of de configuratiehandleiding voor Cisco Firepower 4100/9300 FXOS CLI, hoofdstuk Problemen oplossen, sectie Packet Capture.

Deze scenario's behandelen de gemeenschappelijke gevallen van het gebruik van Firepower 4100/9300 interne switch vangt.

PacketCapture op een fysieke of poortkanaal-interface

Gebruik de FCM en CLI om een pakketopname op interface Ethernet1/2 of Portchannel1 interface te configureren en te verifiëren. Zorg er in het geval van een poort-kanaal interface voor dat u alle fysieke lidinterfaces selecteert.

Topologie, pakketstroom en de opnamepunten

Configuratie

FCM

Volg deze stappen op FCM om een pakketopname op interfaces Ethernet1/2 of Portchannel1 te configureren:

1. Gebruik Gereedschappen > Packet Capture > Capture Session om een nieuwe opnamesessie te maken:

2. Selecteer de interface Ethernet1/2, geef de sessienaam op en klik op Save and Run om de opname te activeren:

3. In het geval van een poort-kanaal-interface selecteert u alle fysieke lidinterfaces, typt u de sessienaam en klikt u op Opslaan en Uitvoeren om de opname te activeren:

FXOS CLI

Volg deze stappen op FXOS CLI om een pakketopname op interfaces Ethernet1/2 of Portchannel1 te configureren:

1. Identificeer het toepassingstype en de identificatiecode:

firepower# scope ssa
firepower /ssa # show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. In het geval van een poort-kanaal-interface, identificeer zijn lidinterfaces:

firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags:  D - Down        P - Up in port-channel (members)
        I - Individual  H - Hot-standby (LACP only)
        s - Suspended   r - Module-removed
        S - Switched    R - Routed
        U - Up (port-channel)
        M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(SU)     Eth      LACP      Eth1/4(P)    Eth1/5(P)    

3. Een opnamesessie maken:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Voor poort-kanaal interfaces wordt een afzonderlijke opname voor elke lidinterface geconfigureerd:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/5
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verificatie

FCM

Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:

Portchannel1 met lid interfaces Ethernet1/4 en Ethernet1/5:

FXOS CLI

Controleer de opnamedetails in scope-pakketopname:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 75136  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Poortkanaal 1 met lidinterfaces Ethernet1/4 en Ethernet1/5:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 4
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
    Pcapsize: 310276  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

    Slot Id: 1
    Port Id: 5
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-5-0.pcap
    Pcapsize: 160  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Opnamebestanden verzamelen

Volg de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.

Capture file analyse

Gebruik een applicatie voor pakketopnamebestand om het opnamebestand voor Ethernet1/2 te openen. Selecteer het eerste pakket en controleer de belangrijkste punten:

1. Alleen ICMP-pakketten voor echoverzoek worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de toegangsinterface Ethernet1/2 identificeert.
4. Op de switch staat een extra VN-tag.

Selecteer het tweede pakket en controleer de belangrijkste punten:

1. Alleen ICMP-pakketten voor echoverzoek worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de toegangsinterface Ethernet1/2 identificeert.

Open de opnamebestanden voor Portchannel1-lidinterfaces. Selecteer het eerste pakket en controleer de belangrijkste punten:

1. Alleen ICMP-pakketten voor echoverzoek worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt een extra poort VLAN-tag 1001 in die de toegangsinterface Portchannel1 identificeert.
4. Op de switch staat een extra VN-tag.

Selecteer het tweede pakket en controleer de belangrijkste punten:

1. Alleen ICMP-pakketten voor echoverzoek worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt een extra poort VLAN-tag 1001 in die de toegangsinterface Portchannel1 identificeert.

Toelichting

Wanneer een pakketopname op een frontinterface is geconfigureerd, neemt de switch elk pakket tweemaal tegelijk op:

• Na de invoeging van de poort VLAN-tag.
• Na het inbrengen van de VN-tag.

In de volgorde van bewerkingen wordt de VN-tag in een later stadium ingevoegd dan de invoeging van de VLAN-tag in de poort. In het opnamebestand wordt het pakket met de VN-tag echter eerder weergegeven dan het pakket met de poort-VLAN-tag.

In deze tabel wordt de taak samengevat:

PacketCaptures op backplane interfaces

Gebruik de FCM en CLI om een pakketopname op backplane interfaces te configureren en te verifiëren.

Topologie, pakketstroom en de opnamepunten

Configuratie

FCM

Volg deze stappen op FCM om pakketopnamen op backplane interfaces te configureren:

1. Gebruik Gereedschappen > Packet Capture > Capture Session om een nieuwe opnamesessie te maken:

2. Als u pakketten op alle backplane interfaces wilt opnemen, selecteert u de toepassing en vervolgens Alle backplane poorten uit de vervolgkeuzelijst Capture On. U kunt ook de specifieke backplane interface kiezen. In dit geval zijn backplane interfaces Ethernet1/9 en Ethernet1/10 beschikbaar. Geef de sessienaam op en klik op Opslaan en Uitvoeren om de opname te activeren:

FXOS CLI

Volg deze stappen op FXOS CLI om pakketopnamen op backplane interfaces te configureren:

1. Identificeer het toepassingstype en de identificatiecode:

firepower# scope ssa
firepower /ssa# show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Een opnamesessie maken:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/9
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* #  create phy-port Eth1/10
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verificatie

FCM

Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:

FXOS CLI

Controleer de opnamedetails in scope-pakketopname:

firepower# scope packet-capture
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-10-0.pcap
    Pcapsize: 1017424  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

    Slot Id: 1
    Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-9-0.pcap
    Pcapsize: 1557432  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Opnamebestanden verzamelen

Volg de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.

Capture file analyse

Gebruik een applicatie voor pakketvastlegging om de opnamebestanden te openen. Zorg er bij meer dan 1 backplane interface voor dat alle opnamebestanden voor elke backplane interface worden geopend. In dit geval worden de pakketten opgenomen op de backplane interface Ethernet1/9.

Selecteer het eerste en het tweede pakket en controleer de belangrijkste punten:

1. Elk pakket met ICMP-echoverzoek wordt opgenomen en 2 keer weergegeven.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 103 in die de uitgaande interface Ethernet1/3 identificeert.
4. Op de switch staat een extra VN-tag.

Selecteer het derde en vierde pakket en controleer de belangrijkste punten:

1. Elk ICMP-echoantwoord wordt opgenomen en 2 keer weergegeven.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de uitgangsinterface Ethernet1/2 identificeert.
4. Op de switch staat een extra VN-tag.

Toelichting

Wanneer een pakketopname op een backplane interface is geconfigureerd, neemt de switch elk pakket twee keer op. In dit geval ontvangt de switch binnen de poort pakketten die al door de toepassing op de beveiligingsmodule zijn gelabeld met de port VLAN-tag en de VN-tag. De VLAN-tag identificeert de uitgangsinterface die het interne chassis gebruikt om de pakketten naar het netwerk te doorsturen. De VLAN-tag 103 in ICMP-echoverdrachtpakketten identificeert Ethernet1/3 als de uitgangsinterface, terwijl VLAN-tag 102 in ICMP-echoantwoordpakketten Ethernet1/2 als de uitgangsinterface identificeert. De switch verwijdert de VN-tag en de interne VLAN-tag voordat de pakketten naar het netwerk worden doorgestuurd.

In deze tabel wordt de taak samengevat:

Packet Capture op toepassing- en toepassingspoorten

Het pakket van de toepassing of van de toepassingspoort wordt altijd gevormd op backplane interfaces en bovendien op de voorinterfaces als de gebruiker de richting van de toepassingsopname specificeert.

Er zijn voornamelijk 2 gevallen van gebruik:

• Configureer pakketopnamen op backplane interfaces voor pakketten die een specifieke frontinterface verlaten. Configureer bijvoorbeeld pakketopnamen op de backplane interface Ethernet1/9 voor pakketten die interface Ethernet1/2 verlaten.
• Configureer de gelijktijdige pakketopname op een specifieke voorinterface en de backplane interfaces. Configureer bijvoorbeeld gelijktijdige pakketopname op interface Ethernet1/2 en op de backplane interface Ethernet1/9 voor pakketten die interface Ethernet1/2 verlaten.

Deze paragraaf behandelt beide gebruikscategorieën.

Taak 1

Gebruik de FCM en CLI om een pakketopname op de backplane interface te configureren en te verifiëren. Pakketten waarvoor de toepassingspoort Ethernet1/2 is geïdentificeerd als de uitgangsinterface worden opgenomen. In dit geval worden ICMP-antwoorden opgenomen.

Topologie, pakketstroom en de opnamepunten

Configuratie

FCM

Volg deze stappen op FCM om een pakketopname te configureren op de FTD-toepassing en de toepassingspoort Ethernet1/2:

1. Gebruik Gereedschappen > Packet Capture > Capture Session om een nieuwe opnamesessie te maken:

2. Selecteer de toepassing, Ethernet1/2 in de vervolgkeuzelijst Toepassingspoort en selecteer Uitgangspakket in de richting Toepassingsopname. Geef de sessienaam op en klik op Opslaan en Uitvoeren om de opname te activeren:

FXOS CLI

Volg deze stappen op FXOS CLI om pakketopnamen op backplane interfaces te configureren:

1. Identificeer het toepassingstype en de identificatiecode:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Een opnamesessie maken:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create app-port 1 l12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session/app-port* # set filter ""
firepower /packet-capture/session/app-port* # set subinterface 0
firepower /packet-capture/session/app-port* # up
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verificatie

FCM

Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:

FXOS CLI

Controleer de opnamedetails in scope-pakketopname:

firepower# scope packet-capture
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Application ports involved in Packet Capture:
    Slot Id: 1
    Link Name: l12
    Port Name: Ethernet1/2
    App Name: ftd
    Sub Interface: 0
    Application Instance Identifier: ftd1

Application ports resolved to:
    Name: vnic1
    Eq Slot Id: 1
    Eq Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
    Pcapsize: 53640  bytes
    Vlan: 102
    Filter:

    Name: vnic2
    Eq Slot Id: 1
    Eq Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
    Pcapsize: 1824  bytes
    Vlan: 102
    Filter:

Opnamebestanden verzamelen

Volg de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.

Capture file analyse

Gebruik een applicatie voor pakketvastlegging om de opnamebestanden te openen. In het geval van meerdere backplane interfaces, zorg ervoor dat alle opnamebestanden voor elke backplane interface worden geopend. In dit geval worden de pakketten opgenomen op de backplane interface Ethernet1/9.

Selecteer het eerste en het tweede pakket en controleer de belangrijkste punten:

1. Elk ICMP-echoantwoord wordt opgenomen en 2 keer weergegeven.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de uitgangsinterface Ethernet1/2 identificeert.
4. Op de switch staat een extra VN-tag.

Toelichting

In dit geval is Ethernet1/2 met poort VLAN-tag 102 de uitgangsinterface voor de ICMP-echoantwoordpakketten.

Wanneer de richting van de toepassingsopname is ingesteld op Uitgang in de opnameopties, worden pakketten met de poort VLAN-tag 102 in de Ethernet-header opgenomen op de backplane interfaces in de toegangsrichting.

In deze tabel wordt de taak samengevat:

Taak 2

Gebruik de FCM en CLI om een pakketopname op de backplane interface en de voorinterface Ethernet1/2 te configureren en te verifiëren.

Gelijktijdige pakketopnamen worden geconfigureerd op:

• Voorinterface - de pakketten met de poort VLAN 102 op de interface Ethernet1/2 worden opgenomen. Opgenomen pakketten zijn ICMP-echoverzoeken.
• Backplane interfaces - pakketten waarvoor Ethernet1/2 is geïdentificeerd als de uitgaande interface, of de pakketten met de poort VLAN 102, worden opgenomen. Opgenomen pakketten zijn ICMP-echoantwoorden.

Topologie, pakketstroom en de opnamepunten

Configuratie

FCM

Volg deze stappen op FCM om een pakketopname te configureren op de FTD-toepassing en de toepassingspoort Ethernet1/2:

1. Gebruik Gereedschappen > Packet Capture > Capture Session om een nieuwe opnamesessie te maken:

2. Selecteer de FTD-toepassing, Ethernet1/2 in de vervolgkeuzelijst Toepassingspoorten en selecteer Alle pakketten in de toepassingsopnamerichtlijn. Geef de sessienaam op en klik op Opslaan en Uitvoeren om de opname te activeren:

FXOS CLI

Volg deze stappen op FXOS CLI om pakketopnamen op backplane interfaces te configureren:

1. Identificeer het toepassingstype en de identificatiecode:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Een opnamesessie maken:

firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port eth1/2
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # create app-port 1 link12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # commit

Verificatie

FCM

Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:

FXOS CLI

Controleer de opnamedetails in scope-pakketopname:

firepower# scope packet-capture 
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 410444  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Application ports involved in Packet Capture:
    Slot Id: 1
    Link Name: link12
    Port Name: Ethernet1/2
    App Name: ftd
    Sub Interface: 0
    Application Instance Identifier: ftd1

Application ports resolved to:
    Name: vnic1
    Eq Slot Id: 1
    Eq Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
    Pcapsize: 128400  bytes
    Vlan: 102
    Filter:

    Name: vnic2
    Eq Slot Id: 1
    Eq Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
    Pcapsize: 2656  bytes
    Vlan: 102
    Filter:

Opnamebestanden verzamelen

Volg de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.

Capture file analyse

Gebruik een applicatie voor pakketvastlegging om de opnamebestanden te openen. In het geval van meerdere backplane interfaces, zorg ervoor dat alle opnamebestanden voor elke backplane interface worden geopend.  In dit geval worden de pakketten opgenomen op de backplane interface Ethernet1/9.

Open het opnamebestand voor de interface Ethernet1/2, selecteer het eerste pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de toegangsinterface Ethernet1/2 identificeert.
4. Op de switch staat een extra VN-tag.

Selecteer het tweede pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de toegangsinterface Ethernet1/2 identificeert.

Open het opnamebestand voor de interface Ethernet1/9, selecteer de eerste en de tweede pakketten en controleer de belangrijkste punten:

1. Elk ICMP-echoantwoord wordt opgenomen en 2 keer weergegeven.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de uitgangsinterface Ethernet1/2 identificeert.
4. Op de switch staat een extra VN-tag.

Toelichting

Als de optie All Packets in de Application Capture Direction is geselecteerd, worden er 2 simultane pakketopnamen geconfigureerd met betrekking tot de geselecteerde toepassingspoort Ethernet1/2: een opname op de voorinterface Ethernet1/2 en een opname op geselecteerde backplane interfaces.

Wanneer een pakketopname op een frontinterface is geconfigureerd, neemt de switch elk pakket tweemaal tegelijk op:

• Na de invoeging van de poort VLAN-tag.
• Na het inbrengen van de VN-tag.

In de volgorde van bewerkingen wordt de VN-tag in een later stadium ingevoegd dan de invoeging van de VLAN-tag in de poort. Maar in het opnamebestand wordt het pakket met de VN-tag eerder weergegeven dan het pakket met de poort VLAN-tag. In dit voorbeeld identificeert de VLAN-tag 102 in ICMP-echoverdrachtpakketten Ethernet1/2 als de toegangsinterface.

Wanneer een pakketopname op een backplane interface is geconfigureerd, neemt de switch elk pakket twee keer op. De internal switch ontvangt pakketten die al zijn getagd door de applicatie op de security module met de port VLAN-tag en de VN-tag. De port VLAN-tag identificeert de uitgangsinterface die het interne chassis gebruikt om de pakketten door te sturen naar het netwerk. In dit voorbeeld identificeert de VLAN-tag 102 in ICMP-echoantwoordpakketten Ethernet1/2 als de uitgangsinterface.

De switch verwijdert de VN-tag en de interne VLAN-tag voordat de pakketten naar het netwerk worden doorgestuurd.

In deze tabel wordt de taak samengevat:

Packet Capture op een subinterface van een fysieke of poortkanaal-interface

Gebruik de FCM en CLI om een pakketopname op subinterface Ethernet1/2.205 of poortkanaal-subinterface Portchannel1.207 te configureren en te verifiëren. Subinterfaces en opnamen op subinterfaces worden alleen ondersteund voor de FTD-toepassing in containermodus. In dit geval wordt een pakketopname op Ethernet1/2.205 en Portchannel1.207 geconfigureerd.

Topologie, pakketstroom en de opnamepunten

Configuratie

FCM

Volg deze stappen op FCM om een pakketopname te configureren op de FTD-toepassing en de toepassingspoort Ethernet1/2:

1. Gebruik Gereedschappen > Packet Capture > Capture Session om een nieuwe opnamesessie te maken:

2. Selecteer de specifieke toepassingsinstantie ftd1, de subinterface Ethernet1/2.205, geef de sessienaam op en klik op Opslaan en Uitvoeren om de opname te activeren:

3. In het geval van een poortkanaal-subinterface zijn vanwege de Cisco bug-ID CSC33119 subinterfaces niet zichtbaar in de FCM. Gebruik de FXOS CLI om opnamen te configureren op poortkanaal-subinterfaces.

FXOS CLI

Volg deze stappen op FXOS CLI om een pakketopname te configureren op subinterfaces Ethernet1/2.205 en Portchannel1.207:

1. Identificeer het toepassingstype en de identificatiecode:

firepower# scope ssa
firepower /ssa #  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Container   No         RP20         Not Applicable  None
ftd        ftd2       1          Enabled     Online           7.2.0.82        7.2.0.82        Container   No         RP20         Not Applicable  None

2. In het geval van een poort-kanaal-interface, identificeer zijn lidinterfaces:

firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags:  D - Down        P - Up in port-channel (members)
        I - Individual  H - Hot-standby (LACP only)
        s - Suspended   r - Module-removed
        S - Switched    R - Routed
        U - Up (port-channel)
        M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(SU)     Eth      LACP      Eth1/3(P)    Eth1/3(P)    

3. Een opnamesessie maken:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 205
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Voor poort-kanaal subinterfaces, maak een pakketopname voor elke poort-kanaal lidinterface:

firepower#  scope packet-capture 
firepower /packet-capture # create filter vlan207
firepower /packet-capture/filter* # set ovlan 207
firepower /packet-capture/filter* # up
firepower /packet-capture* # create session cap1
firepower /packet-capture/session*  create phy-port Eth1/3
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207     
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd           
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207     
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable 
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verificatie

FCM

Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:

Poortkanaal-subinterface-opnamen die op FXOS CLI zijn geconfigureerd, zijn ook zichtbaar op FCM; ze kunnen echter niet worden bewerkt:

FXOS CLI

Controleer de opnamedetails in scope-pakketopname:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 9324  bytes
    Filter:
    Sub Interface: 205
    Application Instance Identifier: ftd1
    Application Name: ftd

Poortkanaal 1 met lidinterfaces Ethernet1/3 en Ethernet1/4:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 3
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-3-0.pcap
    Pcapsize: 160  bytes
    Filter:
    Sub Interface: 207
    Application Instance Identifier: ftd1
    Application Name: ftd
    Slot Id: 1
    Port Id: 4
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
    Pcapsize: 624160  bytes
    Filter:
    Sub Interface: 207
    Application Instance Identifier: ftd1
    Application Name: ftd

Opnamebestanden verzamelen

Volg de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.

Capture file analyse

Gebruik een applicatie voor pakketvastlegging om het opnamebestand te openen. Selecteer het eerste pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader heeft de VLAN-tag 2005.
3. De switch voegt extra poort VLAN-tag 102 in die de toegangsinterface Ethernet1/2 identificeert.
4. Op de switch staat een extra VN-tag.

Selecteer het tweede pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader heeft de VLAN-tag 2005.

Open nu de opnamebestanden voor Portchannel1.207. Selecteer het eerste pakket en controleer de belangrijkste punten

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader heeft de VLAN-tag 2007.
3. De switch voegt een extra poort VLAN-tag 1001 in die de toegangsinterface Portchannel1 identificeert.
4. Op de switch staat een extra VN-tag.

Selecteer het tweede pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader heeft de VLAN-tag 207.

Toelichting

Wanneer een pakketopname op een frontinterface is geconfigureerd, neemt de switch elk pakket tweemaal tegelijk op:

• Na de invoeging van de poort VLAN-tag.
• Na het inbrengen van de VN-tag.

In de volgorde van bewerkingen wordt de VN-tag in een later stadium ingevoegd dan de invoeging van de VLAN-tag in de poort. Maar in het opnamebestand wordt het pakket met de VN-tag eerder weergegeven dan het pakket met de poort VLAN-tag. Bovendien, in het geval van subinterfaces, in de opnamebestanden, bevat elk tweede pakket niet de poort VLAN-tag.

In deze tabel wordt de taak samengevat:

PacketCapture filters

Gebruik FCM en CLI om een pakketopname op interface Ethernet1/2 met een filter te configureren en te verifiëren.

Topologie, pakketstroom en de opnamepunten

Configuratie

FCM

Volg deze stappen op FCM om een opnamefilter te configureren voor ICMP-echoverdrachtpakketten van host 192.0.2.100 naar host 198.51.100.100 en pas deze toe op pakketopname op interface Ethernet1/2:

1. Gebruik Gereedschappen > Packet Capture > Filterlijst > Filter toevoegen om een opnamefilter te maken.

2. Specificeer de filternaam, het protocol, de bron van IPv4, de bestemming van IPv4 en klik op Opslaan:

3. Gebruik Gereedschappen > Packet Capture > Capture Session om een nieuwe opnamesessie te maken:

4. Selecteer Ethernet1/2, geef de sessienaam op, pas het opnamefilter toe en klik op Opslaan en Uitvoeren om de opname te activeren:

FXOS CLI

Volg deze stappen op FXOS CLI om pakketopnamen op backplane interfaces te configureren:

1. Identificeer het toepassingstype en de identificatiecode:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Identificeer het IP-protocolnummer in https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml. In dit geval is het ICMP-protocolnummer 1.

3. Een opnamesessie maken:

2. firepower# scope packet-capture 
   firepower /packet-capture # create filter filter_icmp
   firepower /packet-capture/filter* # set destip 198.51.100.100
   firepower /packet-capture/filter* # set protocol 1
   firepower /packet-capture/filter* # set srcip 192.0.2.100
   firepower /packet-capture/filter* # exit
   firepower /packet-capture* # create session cap1
   firepower /packet-capture/session* # create phy-port Ethernet1/2
   firepower /packet-capture/session/phy-port* # set app ftd
   firepower /packet-capture/session/phy-port* # set app-identifier ftd1
   firepower /packet-capture/session/phy-port* # set filter filter_icmp
   firepower /packet-capture/session/phy-port* # exit
   firepower /packet-capture/session* # enable
   firepower /packet-capture/session* # commit
   firepower /packet-capture/session #

Verificatie

FCM

Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:

Controleer de interfacenaam, het filter, controleer of de operationele status is ingesteld en of de bestandsgrootte (in bytes) toeneemt in Gereedschappen > Packet Capture > Capture Session:

FXOS CLI

Controleer de opnamedetails in scope-pakketopname:

firepower# scope packet-capture 
firepower /packet-capture # show filter detail 

Configure a filter for packet capture:
    Name: filter_icmp
    Protocol: 1
    Ivlan: 0
    Ovlan: 0
    Src Ip: 192.0.2.100
    Dest Ip: 198.51.100.100
    Src MAC: 00:00:00:00:00:00
    Dest MAC: 00:00:00:00:00:00
    Src Port: 0
    Dest Port: 0
    Ethertype: 0
    Src Ipv6: ::
    Dest Ipv6: ::
firepower /packet-capture # show session cap1 

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 213784  bytes
    Filter: filter_icmp
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Opnamebestanden verzamelen

Volg de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.

Capture file analyse

Gebruik een applicatie voor pakketvastlegging om het opnamebestand te openen. Selecteer het eerste pakket en controleer de belangrijkste punten

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de toegangsinterface Ethernet1/2 identificeert.
4. Op de switch staat een extra VN-tag.

Selecteer het tweede pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen. Elk pakket wordt 2 keer opgenomen en getoond.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.
3. De switch voegt extra poort VLAN-tag 102 in die de toegangsinterface Ethernet1/2 identificeert.

Toelichting

Wanneer een pakketopname op een frontinterface is geconfigureerd, neemt de switch elk pakket tweemaal tegelijk op:

• Na de invoeging van de poort VLAN-tag.
• Na het inbrengen van de VN-tag.

In de volgorde van bewerkingen wordt de VN-tag in een later stadium ingevoegd dan de invoeging van de VLAN-tag in de poort. Maar in het opnamebestand wordt het pakket met de VN-tag eerder weergegeven dan het pakket met de poort VLAN-tag.

Wanneer een opnamefilter wordt toegepast, worden alleen de pakketten opgenomen die overeenkomen met het filter in de invoerrichting.

In deze tabel wordt de taak samengevat:

Firepower 4100/9300 interne Switch opnamebestanden verzamelen

FCM

Volg deze stappen op FCM om interne switch-opnamebestanden te verzamelen:

1. Klik op de knop Sessie uitschakelen om de actieve opname te stoppen:

2. Zorg ervoor dat de operationele status DOWN is - Session_Admin_Shut:

3. Klik op Downloaden om het opnamebestand te downloaden:

In het geval van poort-kanaal interfaces, herhaal deze stap voor elke lidinterface.

FXOS CLI

Volg deze stappen op de FXOS CLI om opnamebestanden te verzamelen:

1. Stop de actieve opname:

firepower# scope packet-capture 
firepower /packet-capture # scope session cap1
firepower /packet-capture/session # disable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # up
firepower /packet-capture # show session cap1 detail 

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Disabled
    Oper State: Down
    Oper State Reason: Admin Disable
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 115744  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

2. Upload het opnamebestand vanuit het bereik van de lokale opdracht-mgmt:

firepower# connect local-mgmt
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ?
  ftp:        Dest File URI
  http:       Dest File URI
  https:      Dest File URI
  scp:        Dest File URI
  sftp:       Dest File URI
  tftp:       Dest File URI
  usbdrive:   Dest File URI
  volatile:   Dest File URI
  workspace:  Dest File URI

firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ftp://ftpuser@10.10.10.1/cap1-ethernet-1-2-0.pcap
Password:

In het geval van poort-kanaal interfaces, kopieer het opnamebestand voor elke lidinterface.

Richtlijnen, beperkingen en beste praktijken voor pakketvastlegging voor interne Switch

Raadpleeg voor de richtlijnen en beperkingen met betrekking tot Firepower 4100/9300 interne switch-opname de configuratiehandleiding voor Cisco Firepower 4100/9300 FXOS Chassis Manager of de configuratiehandleiding voor Cisco Firepower 4100/9300 FXOS CLI, hoofdstuk Problemen oplossen, paragraaf Packet Capture.

Dit is de lijst met best practices op basis van het gebruik van pakketvastlegging in TAC-gevallen:

• Let op richtlijnen en beperkingen.
• Leg pakketten vast op alle poortkanaallidinterfaces en analyseer alle opnamebestanden.
• Gebruik opnamefilters.
• Overweeg de impact van NAT op IP-adressen van pakketten wanneer een opnamefilter is geconfigureerd.
• Vergroot of verlaag de Magnetische Lens die de framegrootte aangeeft voor het geval dat deze verschilt van de standaardwaarde van 1518 bytes. Een kortere grootte resulteert in een hoger aantal opgenomen pakketten en vice versa.
• Pas indien nodig de grootte van de buffer aan.
• Let op de Drop Count op FCM of FXOS CLI. Zodra de grens van de buffergrootte wordt bereikt, stijgt de teller van de dalingstelling.
• Gebruik het filter !vntag op Wireshark om alleen pakketten weer te geven zonder de VN-tag. Dit is handig om VN-getagde pakketten te verbergen in de voorste pakketopnamebestanden.
• Gebruik het filter frame.number&1 op Wireshark om alleen oneven frames weer te geven. Dit is handig om dubbele pakketten te verbergen in de pakketopnamebestanden van de backplane interface.
• In het geval van protocollen zoals TCP, past Wireshark door gebrek kleuringsregels toe die pakketten met specifieke voorwaarden in verschillende kleuren tonen. In het geval van een interne switch wordt het pakket op basis van duplicaten van pakketten in opnamebestanden opgenomen, zodat het pakket op een fout-positieve manier kan worden gekleurd en gemarkeerd. Als u pakketopnamebestanden analyseert en een filter toepast, exporteert u de weergegeven pakketten naar een nieuw bestand en opent u het nieuwe bestand.

Configuratie en verificatie van beveiligde firewall 3100/4200

In tegenstelling tot Firepower 4100/9300, legt de switch in de Secure Firewall 3100/4200 zijn geconfigureerd op de opdrachtregelinterface van de applicatie via de opdracht Capture <name> switch , waarin de switch optie aangeeft dat de opnamen op de switch zijn geconfigureerd.

Dit is de opnameopdracht met de switch optie:

> capture cap_sw switch ?
  buffer         Configure size of capture buffer, default is 256MB
  ethernet-type  Capture Ethernet packets of a particular type, default is IP
  interface      Capture packets on a specific interface
  ivlan          Inner Vlan
  match          Capture packets based on match criteria
  ovlan          Outer Vlan
  packet-length  Configure maximum length to save from each packet, default is
                 64 bytes
  real-time      Display captured packets in real-time. Warning: using this
                 option with a slow console connection may result in an
                 excessive amount of non-displayed packets due to performance
                 limitations.
  stop           Stop packet capture
  trace          Trace the captured packets
  type           Capture packets based on a particular type
  <cr>

De algemene stappen voor de configuratie van de pakketopname zijn als volgt:

1. Specificeer een toegangsinterface:

Switch Capture Configuration accepteert de ingangsinterface nameif. De gebruiker kan namen van gegevensinterfaces, interne uplink, of de beheersinterfaces specificeren:

> capture capsw switch interface ?
Available interfaces to listen:
  in_data_uplink1  Capture packets on internal data uplink1 interface
  in_mgmt_uplink1  Capture packets on internal mgmt uplink1 interface
  inside           Name of interface Ethernet1/1.205

  management       Name of interface Management1/1

De Secure Firewall 4200 ondersteunt bidirectionele opnamen. De standaardwaarde is toegang, tenzij anders aangegeven:

> capture capi switch interface inside direction
  both     To capture switch bi-directional traffic
  egress   To capture switch egressing traffic
  ingress  To capture switch ingressing traffic

Bovendien heeft Secure Firewall 4245 2 interne gegevens en 2 beheeruplinks:

> capture capsw switch interface
  eventing         Name of interface Management1/2
  in_data_uplink1  Capture packets on internal data uplink1 interface
  in_data_uplink2  Capture packets on internal data uplink2 interface
  in_mgmt_uplink1  Capture packets on internal mgmt uplink1 interface
  in_mgmt_uplink2  Capture packets on internal mgmt uplink2 interface
  management       Name of interface Management1/1

2. Specificeer het Ethernet kader EtherType. Het standaard EtherType is IP. De optiewaarden van het Ethernet-type specificeren EtherType:

> capture capsw switch interface inside ethernet-type ?
  802.1Q    
  <0-65535>  Ethernet type
  arp       
  ip        
  ip6       
  pppoed    
  pppoes    
  rarp      
  sgt       
  vlan    

3. Specificeer de overeenkomende voorwaarden. De optie Capture match specificeert de matchcriteria:

> capture capsw switch interface inside match ?
  <0-255>  Enter protocol number (0 - 255)
  ah      
  eigrp   
  esp     
  gre     
  icmp    
  icmp6   
  igmp    
  igrp    
  ip      
  ipinip  
  ipsec   
  mac      Mac-address filter
  nos     
  ospf    
  pcp     
  pim     
  pptp    
  sctp    
  snp     
  spi      SPI value
  tcp     
  udp     
  <cr>

4. Specificeer andere optionele parameters zoals de buffergrootte, de pakketlengte, enzovoort.
5. Schakel de opname in. Het commando no Capture <name> switch stop activeert de opname:

> capture capsw switch interface inside match ip 
> no capture capsw switch stop

6. Controleer de opnamegegevens:

• De beheerstatus is ingeschakeld, en de operationele status is ingesteld en actief.
• De grootte van het pakketopnamebestand wordt verhoogd.
• Het aantal opgenomen pakketten in de uitvoer van de show Capture <cap_name> is niet nul.
• Opname pad pcapfile. De opgenomen pakketten worden automatisch opgeslagen in de map /mnt/disk0/packet-capture/.
• Opnameomstandigheden. De software maakt automatisch opnamefilters op basis van de opnameomstandigheden.

> show capture capsw   
27 packet captured on disk using switch capture
Reading of capture file from disk is not supported

> show capture capsw  detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1
Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          18838
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported

7. Stop de opnamen indien nodig:

> capture capsw switch stop 
> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0
Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          24
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported

8. Verzamel de opnamebestanden. Volg de stappen in de sectie Verzamel Secure Firewall Internal Switch Capture Files.

In Secure Firewall-softwareversie 7.4 wordt de switch-opnameconfiguratie niet ondersteund door het VCC of de FDM. Switch In het geval van ASA-softwareversie 9.18(1) en hoger kunnen internethelefoonopnamen worden geconfigureerd in ASDM-versies 7.18.1.x en hoger.

Deze scenario's dekken veel gebruikte cases van Secure Firewall 3100/4200 interne switch.

PacketCapture op een fysieke of poortkanaal-interface

Gebruik de FTD of ASA CLI om een pakketopname op interface Ethernet1/1 of Portchannel1 interface te configureren en te verifiëren. Beide interfaces hebben de naam vanbinnen.

Topologie, pakketstroom en de opnamepunten

Secure-firewall 3100:

Secure Firewall 4200 met bidirectionele opnamen:

Configuratie

Volg deze stappen op ASA of FTD CLI om een pakketopname te configureren op interface Ethernet1/1 of poortkanaal1:

1. Controleer de naam:

> show nameif 
Interface                Name                     Security
Ethernet1/1              inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

> show nameif 
Interface                Name                     Security
Port-channel1            inside                    0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Een opnamesessie maken

> capture capsw switch interface inside

De Secure Firewall 4200 ondersteunt opnamerichtlijnen:

> capture capsw switch interface inside direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface inside direction both

3. Schakel de opnamesessie in:

> no capture capsw switch stop

Verificatie

Controleer de naam van de opnamesessie, de administratieve en operationele status, de interfacekaart en de identificatie. Zorg ervoor dat de waarde van Capsize in bytes toeneemt en dat het aantal opgenomen pakketten niet-nul is:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          12653
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

79 packets captured on disk using switch capture

Reading of capture file from disk is not supported

Secure-firewall 4200:

> show cap capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Direction:         both
  Drop:              disable
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
33 packet captured on disk using switch capture

Reading of capture file from disk is not supported

In het geval van Port-channel1 wordt de opname op alle lidinterfaces geconfigureerd:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 2

Physical port:
  Slot Id:           1
  Port Id:           4
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
  Pcapsize:          28824
  Filter:            capsw-1-4

Packet Capture Filter Info
  Name:              capsw-1-4
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Physical port:
  Slot Id:           1
  Port Id:           3
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
  Pcapsize:          18399
  Filter:            capsw-1-3

Packet Capture Filter Info
  Name:              capsw-1-3
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

56 packet captured on disk using switch capture

Reading of capture file from disk is not supported

De poortkanaals lidinterfaces kunnen in de FXOS local-mgmt commando shell worden geverifieerd via de show portchannel summiere opdracht:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portchannel summary 
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)    

LACP KeepAlive Timer:
--------------------------------------------------------------------------------
      Channel  PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1     Po1(U)      False         

Cluster LACP Status:
--------------------------------------------------------------------------------
      Channel  ClusterSpanned  ClusterDetach  ClusterUnitID  ClusterSysID
--------------------------------------------------------------------------------
1     Po1(U)      False          False          0            clust  

Om toegang te krijgen tot de FXOS op ASA, voert u de opdracht connect fxos admin uit. In het geval van multi-context, stel het bevel in de admincontext in werking.

Opnamebestanden verzamelen

Volg de stappen in de sectie Verzamel Secure Firewall Internal Switch Capture Files. 

Capture file analyse

Gebruik een applicatie voor pakketopnamebestanden om de opnamebestanden voor Ethernet1/1 te openen. In dit voorbeeld worden de pakketvastlegging op de Secure Firewall 3100 geanalyseerd. Selecteer het eerste pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.

Open de opnamebestanden voor Portchannel1-lidinterfaces. Selecteer het eerste pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen.
2. De oorspronkelijke pakketheader is zonder de VLAN-tag.

Toelichting

De switch Captures worden geconfigureerd op interfaces Ethernet1/1 of Portchannel1.

In deze tabel wordt de taak samengevat:

* In tegenstelling tot de 3100, ondersteunt de Secure Firewall 4200 bidirectionele opnamen (toegang en uitgang).

Packet Capture op een subinterface van een fysieke of poortkanaal-interface

Gebruik de FTD of ASA CLI om een pakketopname op subinterfaces Ethernet1/1.205 of Portchannel1.205 te configureren en te verifiëren. Beide subinterfaces hebben de naam vanbinnen.

Topologie, pakketstroom en de opnamepunten

Secure-firewall 3100:

Secure-firewall 4200:

Configuratie

Volg deze stappen op ASA of FTD CLI om een pakketopname te configureren op interface Ethernet1/1 of poortkanaal1:

1. Controleer de naam:

> show nameif
Interface                Name                     Security
Ethernet1/1.205          inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

> show nameif
Interface                Name                     Security
Port-channel1.205        inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Een opnamesessie maken:

> capture capsw switch interface inside

De Secure Firewall 4200 ondersteunt opnamerichtlijnen:

> capture capsw switch interface inside direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface inside direction both

3. Schakel de opnamesessie in:

> no capture capsw switch stop

Verificatie

Controleer de naam van de opnamesessie, de administratieve en operationele status, de interfacekaart en de identificatie. Zorg ervoor dat de waarde Pcapsize in bytes toeneemt en dat het aantal opgenomen pakketten niet-nul is:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          6360
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

46 packets captured on disk using switch capture

Reading of capture file from disk is not supported

In dit geval wordt een filter met router VLAN Ovlan=205 gemaakt en op de interface toegepast.

In het geval van Port-channel1 wordt de opname met een filter Ovlan=205 geconfigureerd op alle lidinterfaces:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 2

Physical port:
  Slot Id:           1
  Port Id:           4
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
  Pcapsize:          23442
  Filter:            capsw-1-4

Packet Capture Filter Info
  Name:              capsw-1-4
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Physical port:
  Slot Id:           1
  Port Id:           3
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
  Pcapsize:          5600
  Filter:            capsw-1-3

Packet Capture Filter Info
  Name:              capsw-1-3
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

49 packet captured on disk using switch capture

Reading of capture file from disk is not supported

De poortkanaals lidinterfaces kunnen in de FXOS local-mgmt commando shell worden geverifieerd via de show portchannel summiere opdracht:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portchannel summary 
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)    

LACP KeepAlive Timer:
--------------------------------------------------------------------------------
      Channel  PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1     Po1(U)      False         

Cluster LACP Status:
--------------------------------------------------------------------------------
      Channel  ClusterSpanned  ClusterDetach  ClusterUnitID  ClusterSysID
--------------------------------------------------------------------------------
1     Po1(U)      False          False          0            clust  

Om toegang te krijgen tot de FXOS op ASA, voert u de opdracht connect fxos admin uit. In het geval van multi-context, stel dit bevel in de admincontext in werking.

Opnamebestanden verzamelen

Volg de stappen in de sectie Verzamel Secure Firewall Internal Switch Capture Files. 

Capture file analyse

Gebruik een applicatie voor pakketvastlegging om de opnamebestanden voor Ethernet1/1.205 te openen. In dit voorbeeld worden de pakketvastlegging op de Secure Firewall 3100 geanalyseerd. Selecteer het eerste pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen.
2. De oorspronkelijke pakketheader heeft VLAN-tag 2005.

Open de opnamebestanden voor Portchannel1-lidinterfaces. Selecteer het eerste pakket en controleer de belangrijkste punten:

1. Alleen ICMP-echoverdrachtpakketten worden opgenomen.
2. De oorspronkelijke pakketheader heeft VLAN-tag 2005.

Toelichting

De switch neemt op worden geconfigureerd op subinterfaces Ethernet1/1.205 of Portchannel1.205 met een filter dat overeenkomt met router VLAN 205.

In deze tabel wordt de taak samengevat:

* In tegenstelling tot de 3100, ondersteunt de Secure Firewall 4200 bidirectionele opnamen (toegang en uitgang).

Packet Capture op interne interfaces

De Secure Firewall 3100 heeft 2 interne interfaces:

• in_data_uplink1 - sluit de applicatie aan op de switch.
  
• in_mgmt_uplink1 - biedt een speciaal pakketpad voor beheerverbindingen, zoals SSH naar de beheerinterface of de beheerverbinding, ook bekend als de sftunnel, tussen het FMC en het FTD.

De Secure Firewall 4200 heeft maximaal 4 interne interfaces:

• in_data_uplink1 en in_data_uplink2 (alleen 4245) - deze interfaces verbinden de toepassing met de interne switch. In het geval van 4245, zijn de pakketten lastverdeling over de 2 opstraalverbindingsinterfaces.
  
• in_mgmt_uplink1 en in_mgmt_uplink2 - deze interfaces bieden een specifiek pakketpad voor beheerverbindingen, zoals SSH naar de beheerinterface, of de beheerverbinding, ook bekend als de sftunnel, tussen het FMC en het FTD. De Secure Firewall 4200 ondersteunt 2 beheerinterfaces.

Taak 1

Gebruik de FTD of ASA CLI om een pakketopname te configureren en te verifiëren op de uplink-interface in_data_uplink1.

Topologie, pakketstroom en de opnamepunten

Secure-firewall 3100:

Secure-firewall 4200:

Configuratie

Volg deze stappen op ASA of FTD CLI om een pakketopname te configureren op interface in_data_uplink1:

1. Een opnamesessie maken:

> capture capsw switch interface in_data_uplink1

De Secure Firewall 4200 ondersteunt opnamerichtlijnen:

> capture capsw switch interface in_data_uplink1 direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface in_data_uplink1 direction both

2. Schakel de opnamesessie in:

> no capture capsw switch stop

Verificatie

Controleer de naam van de opnamesessie, de administratieve en operationele status, de interfacekaart en de identificatie. Zorg ervoor dat de waarde Pcapsize in bytes toeneemt en dat het aantal opgenomen pakketten niet-nul is:

>  show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           18
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-data-uplink1.pcap
  Pcapsize:          7704
  Filter:            capsw-1-18

Packet Capture Filter Info
  Name:              capsw-1-18
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

66 packets captured on disk using switch capture

Reading of capture file from disk is not supported

In dit geval wordt er een opname gemaakt op de interface met een interne ID 18 die de in_data_uplink1 interface op de Secure Firewall 3130 is. De opdracht switch status van show portmanager in de opdrachtshell van FXOS local-mgmt toont de interface-ID’s:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portmanager switch status 
Dev/Port         Mode        Link   Speed  Duplex  Loopback Mode  Port Manager
---------  ----------------  -----  -----  ------  -------------  ------------
0/1             SGMII         Up     1G     Full    None           Link-Up      
0/2             SGMII         Up     1G     Full    None           Link-Up      
0/3             SGMII         Up     1G     Full    None           Link-Up      
0/4             SGMII         Up     1G     Full    None           Link-Up      
0/5             SGMII        Down    1G     Half    None           Mac-Link-Down
0/6             SGMII        Down    1G     Half    None           Mac-Link-Down
0/7             SGMII        Down    1G     Half    None           Mac-Link-Down
0/8             SGMII        Down    1G     Half    None           Mac-Link-Down
0/9           1000_BaseX     Down    1G     Full    None           Link-Down    
0/10          1000_BaseX     Down    1G     Full    None           Link-Down    
0/11          1000_BaseX     Down    1G     Full    None           Link-Down    
0/12          1000_BaseX     Down    1G     Full    None           Link-Down    
0/13          1000_BaseX     Down    1G     Full    None           Link-Down    
0/14          1000_BaseX     Down    1G     Full    None           Link-Down    
0/15          1000_BaseX     Down    1G     Full    None           Link-Down    
0/16          1000_BaseX     Down    1G     Full    None           Link-Down    
0/17          1000_BaseX      Up     1G     Full    None           Link-Up      
0/18             KR2          Up     50G    Full    None           Link-Up       
0/19              KR          Up     25G    Full    None           Link-Up      
0/20              KR          Up     25G    Full    None           Link-Up      
0/21             KR4         Down    40G    Full    None           Link-Down    
0/22             n/a         Down    n/a    Full    N/A            Reset        
0/23             n/a         Down    n/a    Full    N/A            Reset        
0/24             n/a         Down    n/a    Full    N/A            Reset        
0/25          1000_BaseX     Down    1G     Full    None           Link-Down    
0/26             n/a         Down    n/a    Full    N/A            Reset        
0/27             n/a         Down    n/a    Full    N/A            Reset        
0/28             n/a         Down    n/a    Full    N/A            Reset        
0/29          1000_BaseX     Down    1G     Full    None           Link-Down    
0/30             n/a         Down    n/a    Full    N/A            Reset        
0/31             n/a         Down    n/a    Full    N/A            Reset        
0/32             n/a         Down    n/a    Full    N/A            Reset        
0/33          1000_BaseX     Down    1G     Full    None           Link-Down    
0/34             n/a         Down    n/a    Full    N/A            Reset        
0/35             n/a         Down    n/a    Full    N/A            Reset        
0/36             n/a         Down    n/a    Full    N/A            Reset         

Om toegang te krijgen tot de FXOS op ASA, voert u de opdracht connect fxos admin uit. In het geval van multi-context, stel dit bevel in de admincontext in werking.

Opnamebestanden verzamelen

Volg de stappen in de sectie Verzamel Secure Firewall Internal Switch Capture Files. 

Capture file analyse

Gebruik een applicatie voor pakketopnamebestand om de opnamebestanden voor de interface in_data_uplink1 te openen. In dit voorbeeld worden de pakketvastlegging op de Secure Firewall 3100 geanalyseerd.

Controleer het belangrijkste punt - in dit geval worden ICMP-echoverzoek en echo-antwoordpakketten opgenomen. Dit zijn de pakketten die van de applicatie naar de interne switch worden gestuurd.

Toelichting

Wanneer een switch op de uplink-interface is geconfigureerd, worden alleen pakketten die van de toepassing naar de interne switch zijn verzonden opgenomen. Pakketten die naar de toepassing worden verzonden, worden niet opgenomen.

In deze tabel wordt de taak samengevat:

* In tegenstelling tot de 3100, ondersteunt de Secure Firewall 4200 bidirectionele (in- en uitgangen) opnamen.

Taak 2

Gebruik de FTD of ASA CLI om een pakketopname op de uplink-interface in_mgmt_uplink1 te configureren en te verifiëren. Alleen de pakketten met managementvliegtuigverbindingen worden opgenomen.

Topologie, pakketstroom en de opnamepunten

Secure-firewall 3100:

Secure-firewall 4200:

Configuratie

Volg deze stappen op ASA of FTD CLI om een pakketopname te configureren op interface in_mgmt_uplink1:

1. Een opnamesessie maken:

> capture capsw switch interface in_mgmt_uplink1

De Secure Firewall 4200 ondersteunt opnamerichtlijnen:

> capture capsw switch interface in_mgmt_uplink1 direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface in_mgmt_uplink1 direction both

2. Schakel de opnamesessie in:

> no capture capsw switch stop

Verificatie

Controleer de naam van de opnamesessie, de administratieve en operationele status, de interfacekaart en de identificatie. Zorg ervoor dat de waarde Pcapsize in bytes toeneemt en dat het aantal opgenomen pakketten niet-nul is:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           19
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-mgmt-uplink1.pcap
  Pcapsize:          137248
  Filter:            capsw-1-19

Packet Capture Filter Info
  Name:              capsw-1-19
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

281 packets captured on disk using switch capture

Reading of capture file from disk is not supported

In dit geval wordt er een opname gemaakt op de interface met een interne ID 19 die de in_mgmt_uplink1 interface is op de Secure Firewall 3130. De opdracht switch status van show portmanager in de opdrachtshell van FXOS local-mgmt toont de interface-ID's:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portmanager switch status 
Dev/Port         Mode        Link   Speed  Duplex  Loopback Mode  Port Manager
---------  ----------------  -----  -----  ------  -------------  ------------
0/1             SGMII         Up     1G     Full    None           Link-Up      
0/2             SGMII         Up     1G     Full    None           Link-Up      
0/3             SGMII         Up     1G     Full    None           Link-Up      
0/4             SGMII         Up     1G     Full    None           Link-Up      
0/5             SGMII        Down    1G     Half    None           Mac-Link-Down
0/6             SGMII        Down    1G     Half    None           Mac-Link-Down
0/7             SGMII        Down    1G     Half    None           Mac-Link-Down
0/8             SGMII        Down    1G     Half    None           Mac-Link-Down
0/9           1000_BaseX     Down    1G     Full    None           Link-Down    
0/10          1000_BaseX     Down    1G     Full    None           Link-Down    
0/11          1000_BaseX     Down    1G     Full    None           Link-Down    
0/12          1000_BaseX     Down    1G     Full    None           Link-Down    
0/13          1000_BaseX     Down    1G     Full    None           Link-Down    
0/14          1000_BaseX     Down    1G     Full    None           Link-Down    
0/15          1000_BaseX     Down    1G     Full    None           Link-Down    
0/16          1000_BaseX     Down    1G     Full    None           Link-Down    
0/17          1000_BaseX      Up     1G     Full    None           Link-Up      
0/18             KR2          Up     50G    Full    None           Link-Up      
0/19              KR          Up     25G    Full    None           Link-Up       
0/20              KR          Up     25G    Full    None           Link-Up      
0/21             KR4         Down    40G    Full    None           Link-Down    
0/22             n/a         Down    n/a    Full    N/A            Reset        
0/23             n/a         Down    n/a    Full    N/A            Reset        
0/24             n/a         Down    n/a    Full    N/A            Reset        
0/25          1000_BaseX     Down    1G     Full    None           Link-Down    
0/26             n/a         Down    n/a    Full    N/A            Reset        
0/27             n/a         Down    n/a    Full    N/A            Reset        
0/28             n/a         Down    n/a    Full    N/A            Reset        
0/29          1000_BaseX     Down    1G     Full    None           Link-Down    
0/30             n/a         Down    n/a    Full    N/A            Reset        
0/31             n/a         Down    n/a    Full    N/A            Reset        
0/32             n/a         Down    n/a    Full    N/A            Reset        
0/33          1000_BaseX     Down    1G     Full    None           Link-Down    
0/34             n/a         Down    n/a    Full    N/A            Reset        
0/35             n/a         Down    n/a    Full    N/A            Reset        
0/36             n/a         Down    n/a    Full    N/A            Reset        

Om toegang te krijgen tot de FXOS op ASA, voert u de opdracht connect fxos admin uit. In het geval van multi-context, stel dit bevel in de admincontext in werking.

Opnamebestanden verzamelen

Volg de stappen in de sectie Verzamel Secure Firewall Internal Switch Capture Files. 

Capture file analyse

Gebruik een applicatie voor pakketopnamebestand om de opnamebestanden voor de interface in_mgmt_uplink1 te openen. In dit voorbeeld worden de pakketvastlegging op de Secure Firewall 3100 geanalyseerd.

Controleer het belangrijkste punt - in dit geval worden alleen de pakketten van het IP-adres voor beheer 192.0.2.200 weergegeven. De voorbeelden zijn SSH, Sftunnel of ICMP echo antwoordpakketten. Dit zijn de pakketten die door de switch van de applicatie naar het netwerk worden verzonden.

Toelichting

Wanneer een switch op de uplink-interface voor beheer is geconfigureerd, worden alleen toegangspakketten die vanuit de toepassingsbeheerinterface zijn verzonden, opgenomen. Pakketten die bestemd zijn voor de interface voor toepassingsbeheer worden niet opgenomen.

In deze tabel wordt de taak samengevat:

* In tegenstelling tot de 3100, ondersteunt de Secure Firewall 4200 bidirectionele (in- en uitgangen) opnamen.

PacketCapture filters

De interne pakketopnamefilters van de switch worden geconfigureerd op dezelfde manier als het gegevensvlak opneemt. Gebruik de opties ethernettype en overeenkomende om filters te configureren.

Configuratie

Volg deze stappen op ASA of FTD CLI om een pakketopname te configureren met een filter die ARP-frames of ICMP-pakketten aanpast vanaf host 198.51.100.100 op interface Ethernet1/1:

1. Controleer de naam:

> show nameif 
Interface                Name                     Security
Ethernet1/1              inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Een opnamesessie voor ARP of ICMP maken:

> capture capsw switch interface inside ethernet-type arp

> capture capsw switch interface inside match icmp 198.51.100.100 

Verificatie

Controleer de naam van de opnamesessie en het filter. De waarde van Ethertype is 2054 in decimaal en 0x0806 in hexadecimaal:

> show capture capsw detail
Packet Capture info
 Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         2054

Total Physical breakout ports involved in Packet Capture: 0

0 packet captured on disk using switch capture

Reading of capture file from disk is not supported

Dit is de verificatie van het filter voor ICMP. IP-protocol 1 is de ICMP:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          1
  Ivlan:             0
  Ovlan:             0
  Src Ip:            198.51.100.100
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

0 packets captured on disk using switch capture

Reading of capture file from disk is not supported

Opnamebestanden van beveiligde firewall met interne Switch verzamelen

Gebruik ASA of FTD CLI om interne switch-opnamebestanden te verzamelen. Op FTD kan het opnamebestand ook via de CLI-kopieeropdracht worden geëxporteerd naar bestemmingen die via de gegevens- of diagnostische interfaces kunnen worden bereikt.

U kunt het bestand ook kopiëren naar /ngfw/var/common in de expert-modus en downloaden van FMC via de optie File Download.

In het geval van poort-kanaal interfaces zorg ervoor dat pakketopnamebestanden van alle lidinterfaces worden verzameld.

ASA

Volg deze stappen op om interne switch-opnamebestanden te verzamelen op ASA CLI:

1. Stop de vastlegging:

asa# capture capsw switch stop

2. Controleer of de opnamesessie is gestopt en noteer de naam van het opnamebestand.

asa# show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

886 packets captured on disk using switch capture

Reading of capture file from disk is not supported

3. Gebruik de CLI-kopieeropdracht om het bestand naar externe bestemmingen te exporteren:

asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
  cluster:        Copy to cluster: file system
  disk0:          Copy to disk0: file system
  disk1:          Copy to disk1: file system
  flash:          Copy to flash: file system
  ftp:            Copy to ftp: file system
  running-config  Update (merge with) current system configuration
  scp:            Copy to scp: file system
  smb:            Copy to smb: file system
  startup-config  Copy to startup configuration
  system:         Copy to system: file system
  tftp:           Copy to tftp: file system

asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs

FTD

Volg deze stappen om switch-opnamebestanden op FTD CLI te verzamelen en deze naar servers te kopiëren die bereikbaar zijn via gegevens- of diagnostische interfaces:

1. Ga naar diagnostische CLI:

> system support diagnostic-cli 
Attaching to Diagnostic CLI ... Click 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> enable 
Password: <-- Enter
firepower#

2. Stop de vastlegging:

firepower# capture capi switch stop

3. Controleer of de opnamesessie is gestopt en noteer de naam van het opnamebestand:

firepower# show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1
Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

886 packets captured on disk using switch capture

Reading of capture file from disk is not supported

4. Gebruik de CLI-kopieeropdracht om het bestand naar externe bestemmingen te exporteren.

firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
  cluster:        Copy to cluster: file system
  disk0:          Copy to disk0: file system
  disk1:          Copy to disk1: file system
  flash:          Copy to flash: file system
  ftp:            Copy to ftp: file system
  running-config  Update (merge with) current system configuration
  scp:            Copy to scp: file system
  smb:            Copy to smb: file system
  startup-config  Copy to startup configuration
  system:         Copy to system: file system
  tftp:           Copy to tftp: file system

firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs

Volg deze stappen om opnamebestanden te verzamelen bij FMC via de optie Bestand downloaden:

1. Stop de vastlegging:

> capture capsw switch stop

2. Controleer of de opnamesessie is gestopt en noteer de bestandsnaam en het pad voor het volledige opnamebestand:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported

3. Ga naar expertmodus en switch naar wortelmodus:

> expert
admin@firepower:~$ sudo su
root@firepower:/home/admin

4. Kopieert het opnamebestand naar /ngfw/var/common/:

root@KSEC-FPR3100-1:/home/admin cp /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap /ngfw/var/common/
root@KSEC-FPR3100-1:/home/admin ls -l /ngfw/var/common/sess*
-rwxr-xr-x 1 root admin 139826 Aug  7 20:14 /ngfw/var/common/sess-1-capsw-ethernet-1-1-0.pcap
-rwxr-xr-x 1 root admin     24 Aug  6 21:58 /ngfw/var/common/sess-1-capsw-ethernet-1-3-0.pcap

5. Kies in FMC Apparaten > Bestand downloaden:

6. Kies de FTD, geef de naam van het opnamebestand op en klik op Downloaden:

Richtlijnen, beperkingen en beste praktijken voor pakketvastlegging in Switch

Richtsnoeren en beperkingen:

• Meervoudige switch-opnamesessies worden ondersteund, maar er kan slechts 1 switch-opnamesessie tegelijkertijd actief zijn. Een poging om 2 of meer opnamesessies in te schakelen resulteert in een fout "FOUT: Kan sessie niet inschakelen, als limiet van maximaal 1 actieve pakketopnamesessies bereikt".
• Een actieve switch Capture kan niet worden verwijderd.
• Switch Captures kunnen niet gelezen worden op de applicatie. De gebruiker moet de bestanden exporteren.
• Bepaalde opties voor gegevensvlak vastleggen, zoals dump, decoderen, pakketnummer, overtrekken en andere opties worden niet ondersteund voor switch-opnamen.

• In het geval van multi-context ASA, wordt de switch op gegevensinterfaces geconfigureerd in gebruikerscontexten. De switch legt op interfaces in_data_uplink1 vast en in_mgmt_uplink1 worden alleen ondersteund in de admin context.

Dit is de lijst met best practices op basis van het gebruik van pakketvastlegging in TAC-gevallen:

• Let op richtlijnen en beperkingen.
• Gebruik opnamefilters.
• Overweeg de impact van NAT op IP-adressen van pakketten wanneer een opnamefilter is geconfigureerd.
• Vergroot of verlaag de pakketlengte die de framegrootte aangeeft, voor het geval dat deze verschilt van de standaardwaarde van 1518 bytes. Een kortere grootte resulteert in een hoger aantal opgenomen pakketten en vice versa.
• Pas indien nodig de buffergrootte aan.
• Let op de Drop Count in de output van de opdracht show cap <cap_name> detail. Zodra de grens van de buffergrootte wordt bereikt, stijgt de teller van de dalingstelling.

Gerelateerde informatie

• Firepower 4100/9300 Chassis Manager en FXOS CLI-configuratiehandleidingen
• Cisco Secure Firewall 3100 handleiding voor aan de slag
• Cisco Firepower 4100/9300 FXOS opdrachtreferentie