Packet Capture-procedures gebruiken op Firepower-apparaat

Downloadopties

  • PDF     (254.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:5 juni 2025
Document-id:117778

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de opdracht tcpdump gebruikt om pakketten vast te leggen die worden gezien door een netwerkinterface van uw Firepower-apparaat.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van het Cisco Firepower-apparaat en de modellen van virtuele apparaten.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies. Het maakt gebruik van de Berkeley Packet Filter (BPF) syntaxis.

    Waarschuwing: Als u de tcpdump-opdracht op een productiesysteem uitvoert, kan dit van invloed zijn op de netwerkprestaties.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Stappen voor het vastleggen van pakketten

    Meld u aan bij de CLI van uw Firepower-apparaat.

    Voer in versie 6.1 en hoger capture-traffic in. Voorbeeld,

    > capture-traffic

    Please choose domain to capture traffic from:
    0 - eth0
    1 - Default Inline Set  (Interfaces s2p1, s2p2)

    Voer in versies 6.0.x.x en eerder systeemondersteuningsvastleggingsverkeer in. Voorbeeld,

    > system support capture-traffic

    Please choose domain to capture traffic from:
    0 - eth0
    1 - Default Inline Set  (Interfaces s2p1, s2p2)

    Nadat u een selectie hebt gemaakt, wordt u gevraagd om opties:

    Please specify tcpdump options desired.
    (or enter '?' for a list of supported options)
    Options:

    Om voldoende gegevens van de pakketten te kunnen vastleggen, is het noodzakelijk om de s-optie te gebruiken om de snaplength correct in te stellen. De momentlengte kan worden ingesteld op een waarde die overeenkomt met de geconfigureerde maximale transmissiewaarde (MTU) van de configuratie van de interfaceset, die standaard 1518 is.

    Waarschuwing: wanneer u verkeer naar het scherm vastlegt, kan dit de prestaties van het systeem en het netwerk verslechteren. Cisco raadt u aan de optie -w <bestandsnaam> met de opdracht tcpdump te gebruiken. Het legt de pakketten vast in een bestand. Als u de opdracht uitvoert zonder de optie -w, drukt u op de toetscombinatie Ctrl-C om af te sluiten.

    Voorbeeld van de optie -w <bestandsnaam>:

    -w capture.pcap -s 1518

    Let op: Gebruik geen padelementen wanneer u de bestandsnaam packet capture (pcap) opgeeft. U moet alleen de pcap-bestandsnaam opgeven die in het toestel moet worden gemaakt.

    Als het wenselijk is om een beperkt aantal pakketten vast te leggen, kunt u de -c <packets> vlag gebruiken om het aantal te vangen pakketten op te geven. Om bijvoorbeeld precies 5000 pakketten te kunnen vastleggen:

    -w capture.pcap -s 1518 -c 5000

    Bovendien kan aan het einde van de opdracht een BPF-filter worden toegevoegd om te beperken welke pakketten worden vastgelegd. Om de pakketopname bijvoorbeeld te beperken tot 5000 pakketten met een IP-adres van bron of bestemming van 192.0.2.1, kunt u de volgende opties gebruiken:

    -w capture.pcap -s 1518 -c 5000 host 192.0.2.1

    Wanneer u verkeer vastlegt dat is gelabeld met een virtueel LAN (VLAN), moet u het VLAN opgeven met de BPF-syntaxis. Anders bevat de pcap geen van de VLAN-gelabelde pakketten. In dit voorbeeld wordt de vastlegging bijvoorbeeld beperkt tot verkeer dat is gecodeerd met VLAN vanaf 192.0.2.1:

    -w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1

    Als u niet zeker weet of het VLAN-verkeer is gecodeerd, kan deze syntaxis worden gebruikt om verkeer van 192.0.2.1 vast te leggen dat wel en niet is gecodeerd met VLAN:

    -w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'

    Opmerking: in het vorige voorbeeld zijn de haakjes nodig, zodat de of niet alleen van toepassing is op vlan. De enkele aanhalingstekens zijn dan nodig om mogelijke verkeerde interpretatie van de haakjes door de schaal te voorkomen.

    Met de specificatie van een VLAN-tag wordt al het VLAN-verkeer vastgelegd dat overeenkomt met de rest van uw BPF. Als u echter een specifieke VLAN-tag wilt vastleggen, kunt u opgeven welke VLAN-tag u op deze manier wilt vastleggen:

    -w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1

    Nadat u de gewenste opties hebt opgegeven en op Enter hebt gedrukt, begint tcpdump het verkeer vast te leggen.

    Tip: Als de optie -c niet is gebruikt, drukt u op de toetsencombinatie Ctrl-C om het vastleggen te stoppen.

    Zodra u stopt met het vastleggen, ontvangt u een bevestiging. Voorbeeld:

    Please specify tcpdump options desired.
    (or enter '?' for a list of supported options)
    Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
    
Cleaning up.
    Done.

    Een PCAP-bestand kopiëren

    Als u een pcap-bestand van een FirePOWER-toestel wilt kopiëren naar een ander systeem dat inkomende SSH-verbindingen accepteert, gebruikt u deze opdracht:

    > system file secure-copy hostname username destination_directory pcap_file

    Nadat u op Enter hebt gedrukt, wordt u gevraagd om het wachtwoord voor het externe systeem. Het bestand kan over het hele netwerk worden gekopieerd.

    Opmerking: in dit voorbeeld verwijst de hostnaam naar de naam of het IP-adres van de externe doelhost, geeft de gebruikersnaam de naam van de gebruiker op de externe host op, geeft de destination_directory het bestemmingspad op de externe host op en geeft het pcap_bestand het lokale pcap-bestand voor overdracht op.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    05-Jun-2025
    hercertificering
    3.0
    06-Jun-2024
    Opmaak bijgewerkt.
    2.0
    11-May-2023
    Bijgewerkte titel, inleiding, juridische disclaimer, machinevertaling, stijlvereisten en opmaak.
    1.0
    12-Jun-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nazmul Rajib
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten