Inleiding
In dit document wordt beschreven hoe u de opdracht tcpdump gebruikt om pakketten vast te leggen die worden gezien door een netwerkinterface van uw Firepower-apparaat.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van het Cisco Firepower-apparaat en de modellen van virtuele apparaten.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies. Het maakt gebruik van de Berkeley Packet Filter (BPF) syntaxis.
Waarschuwing: Als u de tcpdump-opdracht op een productiesysteem uitvoert, kan dit van invloed zijn op de netwerkprestaties.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Stappen voor het vastleggen van pakketten
Meld u aan bij de CLI van uw Firepower-apparaat.
Voer in versie 6.1 en hoger capture-traffic in. Voorbeeld,
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
Voer in versies 6.0.x.x en eerder systeemondersteuningsvastleggingsverkeer in. Voorbeeld,
> system support capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
Nadat u een selectie hebt gemaakt, wordt u gevraagd om opties:
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
Om voldoende gegevens van de pakketten te kunnen vastleggen, is het noodzakelijk om de s-optie te gebruiken om de snaplength correct in te stellen. De momentlengte kan worden ingesteld op een waarde die overeenkomt met de geconfigureerde maximale transmissiewaarde (MTU) van de configuratie van de interfaceset, die standaard 1518 is.
Waarschuwing: wanneer u verkeer naar het scherm vastlegt, kan dit de prestaties van het systeem en het netwerk verslechteren. Cisco raadt u aan de optie -w <bestandsnaam> met de opdracht tcpdump te gebruiken. Het legt de pakketten vast in een bestand. Als u de opdracht uitvoert zonder de optie -w, drukt u op de toetscombinatie Ctrl-C om af te sluiten.
Voorbeeld van de optie -w <bestandsnaam>:
-w capture.pcap -s 1518
Let op: Gebruik geen padelementen wanneer u de bestandsnaam packet capture (pcap) opgeeft. U moet alleen de pcap-bestandsnaam opgeven die in het toestel moet worden gemaakt.
Als het wenselijk is om een beperkt aantal pakketten vast te leggen, kunt u de -c <packets> vlag gebruiken om het aantal te vangen pakketten op te geven. Om bijvoorbeeld precies 5000 pakketten te kunnen vastleggen:
-w capture.pcap -s 1518 -c 5000
Bovendien kan aan het einde van de opdracht een BPF-filter worden toegevoegd om te beperken welke pakketten worden vastgelegd. Om de pakketopname bijvoorbeeld te beperken tot 5000 pakketten met een IP-adres van bron of bestemming van 192.0.2.1, kunt u de volgende opties gebruiken:
-w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Wanneer u verkeer vastlegt dat is gelabeld met een virtueel LAN (VLAN), moet u het VLAN opgeven met de BPF-syntaxis. Anders bevat de pcap geen van de VLAN-gelabelde pakketten. In dit voorbeeld wordt de vastlegging bijvoorbeeld beperkt tot verkeer dat is gecodeerd met VLAN vanaf 192.0.2.1:
-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1
Als u niet zeker weet of het VLAN-verkeer is gecodeerd, kan deze syntaxis worden gebruikt om verkeer van 192.0.2.1 vast te leggen dat wel en niet is gecodeerd met VLAN:
-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'
Opmerking: in het vorige voorbeeld zijn de haakjes nodig, zodat de of niet alleen van toepassing is op vlan. De enkele aanhalingstekens zijn dan nodig om mogelijke verkeerde interpretatie van de haakjes door de schaal te voorkomen.
Met de specificatie van een VLAN-tag wordt al het VLAN-verkeer vastgelegd dat overeenkomt met de rest van uw BPF. Als u echter een specifieke VLAN-tag wilt vastleggen, kunt u opgeven welke VLAN-tag u op deze manier wilt vastleggen:
-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1
Nadat u de gewenste opties hebt opgegeven en op Enter hebt gedrukt, begint tcpdump het verkeer vast te leggen.
Tip: Als de optie -c niet is gebruikt, drukt u op de toetsencombinatie Ctrl-C om het vastleggen te stoppen.
Zodra u stopt met het vastleggen, ontvangt u een bevestiging. Voorbeeld:
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Cleaning up.
Done.
Een PCAP-bestand kopiëren
Als u een pcap-bestand van een FirePOWER-toestel wilt kopiëren naar een ander systeem dat inkomende SSH-verbindingen accepteert, gebruikt u deze opdracht:
> system file secure-copy hostname username destination_directory pcap_file
Nadat u op Enter hebt gedrukt, wordt u gevraagd om het wachtwoord voor het externe systeem. Het bestand kan over het hele netwerk worden gekopieerd.
Opmerking: in dit voorbeeld verwijst de hostnaam naar de naam of het IP-adres van de externe doelhost, geeft de gebruikersnaam de naam van de gebruiker op de externe host op, geeft de destination_directory het bestemmingspad op de externe host op en geeft het pcap_bestand het lokale pcap-bestand voor overdracht op.