Захваты пакета ASA с CLI и примером конфигурации ASDM

Введение

Этот документ описывает, как настроить устройство адаптивной защиты Cisco (ASA) Межсетевой экран Следующего поколения для получения необходимых пакетов или с Cisco Adaptive Security Device Manager (ASDM) или с CLI.

Предварительные условия

Требования

Этот документ предполагает, что ASA полностью в рабочем состоянии и настроен, чтобы позволить Cisco ASDM или CLI изменять конфигурацию.

Используемые компоненты

Этот документ не ограничен определенными аппаратными средствами или версиями программного обеспечения.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Данная конфигурация может также использоваться со следующими продуктами Cisco:

• Версии Cisco ASA 9.1 (5) и позже

• Версия Cisco ASDM 7.2.1

Общие сведения

Когда вы устраняете неполадки неполадок подключения или контролируете подозрительную операцию, процесс захвата пакета полезен. Кроме того, можно создать множественные заголовки для анализа различных типов трафика на нескольких интерфейсах.

Настройка

Этот раздел предоставляет сведения, который можно использовать для настройки функций захвата пакета, которые описаны в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В настоящем документе используется следующая схема сети:

Конфигурации

Примечание: Схемы IP-адресации, которые используются в этой конфигурации, не юридически маршрутизируемы в Интернете. Они - адреса RFC 1918, которые используются в лабораторной среде.

Настройте захват пакета с ASDM

Примечание: Конфигурация данного примера используется для получения пакетов, которые переданы во время эхо-запроса от User1 (внутренняя сеть) к Router1 (внешняя сеть).

Выполните эти шаги для настройки функции захвата пакета на ASA с ASDM:

1. Перейдите Мастерам> Мастер Захвата пакета для начала конфигурации захвата пакета, как показано:
   
   
   
   
2. Откроется мастер перехвата. Нажмите кнопку Next.
   
   
   
   
3. В новом окне предоставьте параметры, которые используются для получения Входного трафика. Выберите внутри для Входного интерфейса и предоставьте источник и IP - адреса назначения пакетов, которые будут перехвачены, наряду с их маской подсети, в соответствующем предоставленном пространстве. Кроме того, выберите тип пакета, который будет перехвачен ASA (IP является типом пакета, выбранным здесь), как показано:
   
   
   
   Нажмите кнопку Next.
   
   
4. Выберите снаружи для Исходящего интерфейса и предоставьте источник и IP - адреса назначения, наряду с их маской подсети, в соответствующих предоставленных пробелах. Если Технология NAT выполнена на Межсетевом экране, примите это во внимание также.
   
   
   
   Нажмите кнопку Next.
   
   
5. Введите соответствующий Размер пакета и Размер буфера в соответствующем пространстве, если, поскольку эти данные требуются для перехвата иметь место. Кроме того, не забудьте отметить флажок Use circular buffer (Использовать кольцевой буфер), если требуется использовать кольцевой буфер. Кольцевые буферы никогда не заполняются. Поскольку буфер достигает своего максимального размера, от более старых данных сбрасывают, и перехват продолжается. В этом примере кольцевой буфер не используется, поэтому флажок снят.
   
   
   
   Нажмите кнопку Next.
   
   
6. Это окно показывает Access-lists, который должен быть настроен на ASA так, чтобы необходимые пакеты были перехвачены, и это показывает тип пакетов, которые будут перехвачены (пакеты IP перехвачены в данном примере). Нажмите кнопку Next.
   
   
   
   
7. Нажмите Start для начала захвата пакета, как показано здесь:
   
   
   
   
8. Когда захват пакета запущен, попытка пропинговать внешнюю сеть от внутренней сети так, чтобы пакеты, которые текут между источником и IP - адресами назначения, были перехвачены накопительным буфером ASA.
   
   
9. Нажмите Get Capture Buffer для просмотра пакетов, которые перехвачены накопительным буфером ASA.
   
   
   
   
10. Захваченные пакеты показывают в этом окне и для входа и для выходного трафика. Нажмите перехваты Save для сохранения информации перехвата.
    
    
    
    
11. Из окна Save Captures выберите требуемый формат, в котором должен быть сохранен накопительный буфер. Доступны форматы ASCII и PCAP. Выберите соответствующий формат переключателем. Затем нажмите кнопку Save ingress capture (Сохранить данные перехвата входящего трафика) или Save egress capture (Сохранить данные перехвата исходящего трафика). Файлы PCAP могут быть открыты с перехватом анализаторы, такие как Wireshark, и это - предпочтительный способ.
    
    
    
    
12. Из окна перехвата файла Сохранения предоставьте имя файла и местоположение туда, где должен быть сохранен перехват файла. Нажмите Save.
    
    
    
    
13. Нажмите кнопку Finish.
    
    
    
    На этом процедура перехвата пакетов завершена.

Настройте захват пакета с CLI

Выполните эти шаги для настройки функции захвата пакета на ASA с CLI:

1. Настройте внутренние и внешние интерфейсы, как проиллюстрировано в схеме сети с правильным IP-адресом и уровнями безопасности.
   
   
2. Запустите процесс захвата пакета с  команды перехвата в привилегированном режиме EXEC. В этом примере задается конфигурация перехвата пакетов под названием capin. Свяжите его с внутренним интерфейсом и укажите с ключевым словом соответствия, что только перехвачены пакеты, которые совпадают с трафиком интереса:
   
   

   ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

3. Аналогичным образом определяется конфигурация перехвата capout. Свяжите его с внешним интерфейсом и укажите с ключевым словом соответствия, что только перехвачены пакеты, которые совпадают с трафиком интереса:
   
   

   ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

   
   ASA теперь начинает перехватывать трафик между интерфейсами. Для остановки перехвата в любое время, не введите команду перехвата, придерживавшуюся названием перехвата.
   
   Например:
   
   

   no capture capin interface inside
   no capture capout interface outside 

Доступные типы перехвата на ASA

В этом разделе описываются различные типы перехватов, которые доступны на ASA.

• asa_dataplane - Перехватывает пакеты на объединительной плате ASA, которые проходят между ASA и модулем, который использует объединительную плату, такую как CX ASA или Модуль ips.
  
  

  ASA# cap asa_dataplace interface asa_dataplane
  ASA# show capture
  capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]

• код отбрасывания отбрасывания asp - Перехватывает пакеты, которые отброшены ускоренным путем безопасности. Код отбрасывания задает тип трафика, который отброшен ускоренным путем безопасности.
  
  

  ASA# capture asp-drop type asp-drop acl-drop
  ASA# show cap
  ASA# show capture asp-drop
   
   2 packets captured
   
   1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2 packets shown
  
  ASA# show capture asp-drop
   
   2 packets captured
   
   1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2 packets shown

• тип типа ethernet - Выбирает Тип ethernet для получения. Поддерживаемые Типы ethernet включают 8021Q, ARP, IP, IP6, IPX, LACP, PPPOED, PPPOE, RARP и VLAN.
  
  Данный пример показывает, как перехватить трафик ARP:
  
  

  ASA# cap arp ethernet-type ?
  
  exec mode commands/options:
   802.1Q
   <0-65535> Ethernet type
   arp
   ip
   ip6
   ipx
   pppoed
   pppoes
   rarp
   vlan
  
  cap arp ethernet-type arp interface inside
  
  
  ASA# show cap arp
  
  22 packets captured
  
     1: 05:32:52.119485       arp who-has 10.10.3.13 tell 10.10.3.12
     2: 05:32:52.481862       arp who-has 192.168.10.123 tell 192.168.100.100
     3: 05:32:52.481878       arp who-has 192.168.10.50 tell 192.168.100.10
     4: 05:32:53.409723       arp who-has 10.106.44.135 tell 10.106.44.244
     5: 05:32:53.772085       arp who-has 10.106.44.108 tell 10.106.44.248
     6: 05:32:54.782429       arp who-has 10.106.44.135 tell 10.106.44.244
     7: 05:32:54.784695       arp who-has 10.106.44.1 tell 11.11.11.112:

• в реальном времени - Отображает захваченные пакеты постоянно в режиме реального времени. Для завершения захвата пакета в реальном времени нажмите Ctrl-C. Для постоянного удаления перехвата используйте эту команду с параметром no. Эта опция не поддерживается при использовании кластерной команды перехвата exec.
  
  

  ASA# cap capin interface inside real-time
  
  Warning: using this option with a slow console connection may
           result in an excessive amount of non-displayed packets
           due to performance limitations.
  
  Use ctrl-c to terminate real-time capture

• Трассировка - Отслеживает захваченные пакеты способом, подобным пакетной функции трассировщика ASA.
  
  

  ASA#cap in interface Webserver trace match tcp any any eq 80
  
  // Initiate Traffic
  
   1: 07:11:54.670299   192.168.10.10.49498 > 198.51.100.88.80: S
      2322784363:2322784363(0) win 8192
      <mss 1460,nop,wscale 2,nop,nop,sackOK>
  
   Phase: 1
   Type: CAPTURE
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   MAC Access list
   
   Phase: 2
   Type: ACCESS-LIST
   Subtype:
   Result: ALLOW
   Config:
   Implicit Rule
   Additional Information:
   MAC Access list
   
   Phase: 3
   Type: ROUTE-LOOKUP
   Subtype: input
   Result: ALLOW
   Config:
   Additional Information:
   in   0.0.0.0         0.0.0.0         outside
   
   Phase: 4
   Type: ACCESS-LIST
   Subtype: log
   Result: ALLOW
   Config:
   access-group any in interface inside
   access-list any extended permit ip any4 any4 log
   Additional Information:
   
   Phase: 5
   Type: NAT
   Subtype:
   Result: ALLOW
   Config:
   object network obj-10.0.0.0
   nat (inside,outside) dynamic interface
   Additional Information:
   Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498
   
   Phase: 6
   Type: NAT
   Subtype: per-session
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 7
   Type: IP-OPTIONS
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 8
   Type:
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 9
   Type: ESTABLISHED
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 10
   Type:
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 11
   Type: NAT
   Subtype: per-session
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 12
   Type: IP-OPTIONS
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 13
   Type: FLOW-CREATION
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   New flow created with id 41134, packet dispatched to next module
   
   Phase: 14
   Type: ROUTE-LOOKUP
   Subtype: output and adjacency
   Result: ALLOW
   Config:
   Additional Information:
   found next-hop 203.0.113.1 using egress ifc outside
   adjacency Active
   next-hop mac address 0007.7d54.1300 hits 3170
   
   Result:
   output-interface: outside
   output-status: up
   output-line-status: up
   Action: allow

• ikev1/ikev2 - Перехватывает только сведения о протоколе Версии 1 (IKEv1) или IKEv2 Обмена ключами между сетями.
  
  
• isakmp - Перехватывает трафик Протокола ISAKMP для VPN-подключений. Подсистема ISAKMP не имеет доступа к протоколам высшего уровня. Перехват является псевдо перехватом, с медосмотром, IP и уровнями UDP, объединенными вместе для удовлетворения синтаксического анализатора PCAP. Адреса партнера (peer) получены из SA, обмениваются и сохранены в IP - уровне.
  
  
• lacp - Перехватывает трафик Протокола управления агрегацией каналов (LACP). Если настроено, имя интерфейса является названием физического интерфейса. Когда вы работаете с Etherchannels для определения настоящего поведения LACP, это могло бы быть полезно.
  
  
• прокси tls - Перехватывает дешифрованный входящий и исходящие данные от прокси Transport Layer Security (TLS) на одном или более интерфейсах.
  
  
• webvpn - Перехватывает данные WebVPN для определенного подключения WebVPN.
  

  Внимание.  : При включении перехвата WebVPN он влияет на производительность устройства безопасности. Гарантируйте отключение перехвата после генерации перехватов файла, которые необходимы для устранения проблем.

Настройки по умолчанию

Это системные значения по умолчанию ASA:

• Тип по умолчанию является необработанными данными.
• Размер буфера по умолчанию составляет 512 КБ.
• Тип ethernet по умолчанию является пакетами IP.
• Длина пакета по умолчанию составляет 1,518 байтов.

Просмотрите захваченные пакеты

На ASA

Для просмотра захваченных пакетов введите команду show capture, придерживавшуюся названием перехвата. Этот раздел предоставляет выходные данные команды show содержания накопительного буфера. Команда show capture capin показывает содержимое буфера перехвата capin:

ASA# show cap capin
 
 8 packets captured
 
 1: 03:24:35.526812       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527224       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528247       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528582       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529345       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529681       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:57.440162       192.168.10.10 > 203.0.113.3: icmp: echo request
 8: 03:24:57.440757       203.0.113.3 > 192.168.10.10: icmp: echo reply

Команда show capture capout показывает содержимое буфера перехвата capout:

ASA# show cap capout
 
 8 packets captured
 
 1: 03:24:35.526843       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527179       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528262       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528567       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529361       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529666       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:47.014098       203.0.113.3 > 203.0.113.2: icmp: echo request
 8: 03:24:47.014510       203.0.113.2 > 203.0.113.3: icmp: echo reply

Загрузка от ASA для автономного анализа

Существует несколько способов загрузить захваты пакета для анализа оффлайн:

1. Перейдите к https://<ip_of_asa>/admin/capture / <capture_name>/pcap на любом браузере.
   

   Совет: Если вы не учитываете pcap ключевое слово, то только эквивалент выходных данных команды <cap_name> show capture предоставлен.

2. Введите команду copy capture и ваш предпочтительный протокол передачи файлов для загрузки перехвата:
   
   

   copy /pcap capture:<capture-name> tftp://<server-ip-address>

Совет: Когда вы решаете проблему с использованием захватов пакета, Cisco рекомендует загрузить перехваты для автономного анализа.

Очистите перехват

Для очистки накопительного буфера введите clear capture <команда name> перехвата:

ASA# show capture
 capture capin type raw-data interface inside [Capturing - 8190 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 11440 bytes]
 match icmp any any
 
 ASA# clear cap capin
 ASA# clear cap capout

 ASA# show capture
 capture capin type raw-data interface inside [Capturing - 0 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 0 bytes]
 match icmp any any

Введите clear capture / вся команда для очистки буфера для всех перехватов:

ASA# clear capture /all

Остановите перехват

Единственный способ остановить перехват на ASA состоит в том, чтобы отключить его полностью с этой командой:

no capture <capture-name>

 Когда перехват начинает перехватывать трафик, CSCuv74549 идентификатора ошибки Cisco был подан для добавления способности остановить перехват, полностью не отключая его и управлять.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.