interval milliseconds

指定心跳消息之间的时间间隔（以毫秒为单位）。您可以以 100 毫秒为增量调整间隔。默认值为 1000。对于版本 6.2.2 及更高版本，允许的范围为 100 到 6000，但对于较早的版本，允许的范围为 300 到 6000。

达到重试计数的连续心跳消息丢失会触发向系统其余部分发出的故障通知。默认值 1000 毫秒提供积极的故障检测设置，但存在误报故障的风险。

retry-count 整数

指定在没有响应或应用代理收到心跳消息的错误响应时，应用代理应重试心跳消息的次数，范围为 3 到 10。默认值为 3。

选项

对选定策略启用规则引擎的交易执行模式。选项包括：

• access-group - 全局应用或应用于接口的访问规则。

• nat - 网络地址转换规则

memory_size

（可选）设置块诊断程序的内存大小（以字节为单位），而不是应用动态值。如果该值大于可用内存，将显示错误消息且不接受该值。如果该值大于 50% 的可用内存，将显示警告消息，但接受该值。

any4

指定任意 IPv4 地址而不是单个 IP 地址和掩码。

any6

指定任意 IPv6 地址而不是单个 IP 地址和掩码。

all

捕获加速安全路径丢弃的数据包。

asp-drop drop-code

（可选）捕获通过加速安全路径丢弃的数据包。drop-code 指定通过加速安全路径丢弃的流量的类型。有关丢弃代码列表，请参阅 CLI 帮助。您可以使用 packet-length 、 circular-buffer 和 buffer 关键字输入此关键字，但不能使用 interface 或 ethernet-type 关键字。在集群中，还将捕获从一台设备转发到另一台设备时丢失的转发数据包。

buffer buf_size

（可选）定义用于存储数据包的缓存大小（以字节为单位）。一旦字节缓冲区已满，数据包捕获将停止。用于集群中时，此值是指每台设备的大小，而不是所有设备的总和。支持的最大缓冲区大小为 32 MB。

缓冲区大小和文件大小选项相互排斥。

capture_name

指定数据包捕获的名称。在多个 capture 语句中使用同一个 名称可捕获多种类型的流量。当使用 show capture 命令查看捕获配置时，所有选项均合并到一行。

data-plane

指定在数据平面接口上捕获的数据包。

direction

（可选。仅在 Cisco Secure Firewall 4200 型号设备上支持。）指定要捕获的交换机流量的方向。它可以是下列类型之一：

• both - 捕获交换机双向流量

• egress - 捕获交换机出口流量

• ingress - 捕获交换机进口流量

drop

指定 mac-filter drop 的数据包捕获配置：

• disable - 禁用捕获从交换机丢弃的数据包。

• mac-filter - 捕获交换机 mac-filter 丢弃。

management-plane

指定管理接口上捕获的数据包。

circular-buffer

（可选）当缓冲区已满时，从开头开始覆盖缓冲区。

ethernet-type type

（可选）选择要捕获的以太网类型。支持的以太网类型包括 8021Q、ARP、IP、IP6、LACP、PPPOED、PPPOES、RARP 和 VLAN。802.1Q 或 VLAN 类型会出现异常。802.1Q 标记会被自动跳过，内部以太网类型用于匹配。

file-size file-size

（可选） file-size 指定将数据包捕获到磁盘上的文件。

文件大小 指定捕获文件的大小，范围为 32 MB 到 10 GB。

捕获文件将在闪存 (disk0:/) 中创建，名称为 capture_name.pcap 。

配置 文件大小 时，硬盘内存（文件）用于将捕获的数据写入捕获缓冲区。捕获的数据根据文件名存储在磁盘中。

缓冲区大小和文件大小选项相互排斥。

headers-only

（可选）选择要在没有数据的情况下捕获的数据包的第 2 层和第 3/4 层报头。

host source_ip , dest_ip

指定数据包发送到或来自的主机的单个 IP 地址。

include-decrypted

（可选）在包含正常流量和已解密流量的已解密 IPsec 数据包进入防火墙设备后对其进行捕获。它还捕获 SSL 解密流量的数据包。但是，此选项不适用于 VTI 隧道，因为只能在 VTI 接口上看到解密格式的数据包；而不是在外部，例如加密映射 VPN。

inline-tag tag

为特定 SGT 值指定标记或将其保持未指定状态以捕获标记了任何 SGT 值的数据包。

interface interface_name

设置将用于数据包捕获的接口的名称。您必须为除了 type asp-drop 之外的任何要捕获的数据包配置接口。可以使用多个具有相同名称的 capture 命令配置多个接口。要捕获管理平面上的数据包，可以使用 interface 关键字和 asa_mgmt_plane 作为接口名称。可以指定 cluster 为接口名称，以捕获集群控制链路接口上的流量。 要在数据接口上启用访问 管理中心 时捕获内部背板接口上的数据包，请指定 nlp_int_tap 。如果配置了 lacp 类型的捕获，则接口名称为物理名称。

ikev1 ，ikev2

仅捕获 IKEv1 或 IKEv2 协议信息。

isakmp

（可选）捕获 VPN 连接的 ISAKMP 流量。ISAKMP 子系统无权访问上层协议。捕获是伪捕获，并将物理层、IP 层和 UDP 层结合在一起来满足 PCAP 解析器。对等设备地址通过 SA 交换获得，存储在 IP 层中。

lacp

（可选）捕获 LACP 流量。如果已配置，则接口名称为物理接口名称。

mask

IP 地址的子网掩码，例如，C 类掩码为 255.255.255.0。

match protocol

指定与五元组匹配的数据包以允许过滤要捕获的数据包。在一行中最多可以使用三次此关键字。

operator src_port , dest_port

（可选）匹配源或目标使用的端口号。允许的运算符如下：

• lt - 小于

• gt -大于

• eq -等于

• neq -不等于

• range -范围

packet-length bytes

（可选）设置每个要存储在捕获缓冲区中的数据包的最大字节数。

persit

（可选）捕获集群设备上的持久性数据包。

raw-data

（可选）捕获一个或多个接口上的入站和出站数据包。

stop

停止数据包捕获而不将其删除。使用命令的 no 形式和此选项重新启动捕获。

trace trace_count

（可选）捕获数据包跟踪信息和要捕获的数据包数量。将此选项与访问列表一起使用来向数据路径插入跟踪数据包，以确定是否已按预期处理数据包。

type

（可选）指定所捕获数据的类型。

domain

指定捕获流量的域：

• 0 - br1，捕获来自管理接口的流量

• 1 - 路由器，捕获来自已配置数据接口的流量

-A

以 ASCII 格式打印每个数据包（减去其链路级信头）。便于捕获网页。

-B

将操作系统捕获缓冲区大小设置为 buffer_size。

-c

收到 count 个数据包后退出。

-C

在将原始数据包写入保存文件之前，检查文件当前是否大于 file_size，如果是，则关闭当前保存文件并打开一个新的保存文件。在第一个保存文件之后的保存文件将具有使用 -w 标志指定的名称，其后有一个数字，从 1 开始一直向上。file_size 的单位是数百万字节（1,000,000 字节，而不是 1,048,576 字节）。

-d

以人类可读的形式将已编译的数据包匹配代码转储到标准输出并停止。

-dd

将数据包匹配代码转储为 C 程序片段。

-ddd

将数据包匹配代码转储为十进制数字（前面带有计数）。

-D

打印系统上可用以及 tcpdump 可以捕获数据包的网络接口的列表。对于每个网络接口，打印一个编号和接口名称，可能后跟接口的文本说明。可以向 -i 标志提供接口名称或编号，以指定要捕获的接口。

这在没有用于列出它们的命令的系统上非常有用（Windows 系统或缺少 ifconfig -a 的 UNIX 系统）；编号在 Windows 2000 和更高版本的系统上很有用，其中接口名称是一个比较复杂的字符串。

如果 tcpdump 是使用缺少 pcap_findaclldevs() 函数的旧版本 libpcap 构建的，则不支持 -D 标志。

-e

在每个转储行上打印链路级信头。

-E

使用 spi@ipaddr algo:secret 解密发往 addr 并包含安全参数索引值 spi 的 IPsec ESP 数据包。可以使用逗号或换行符来重复此组合。

-f

以数字方式而不是符号方式打印“外部”IPv4 地址（此选项旨在绕过 Sun 的 NIS 服务器中的严重脑损伤，通常它会在转换非本地互联网号码时永远挂起）。

使用进行捕获的接口的 IPv4 地址和网络掩码来完成对“外部”IPv4 地址的测试。

如果该地址或网络掩码不可用，则可能是因为执行捕获的接口没有地址或网络掩码，或者因为捕获是在 Linux 的“任意”接口上完成的，而该接口可以在多个接口上捕获，此选项将无法正常工作。

-F

使用文件作为过滤器表达式的输入。命令行上给出的其他表达式将被忽略。

-G

如果已指定，则每隔rotate_seconds 秒轮换使用 -w 选项指定的转储文件。

保存文件将具有 -w 指定的名称，其中应包含 strftime(3) 定义的时间格式。如果未指定时间格式，则每个新文件都将覆盖以前的文件。

如果与 -C 选项结合使用，文件名将采用“file”的形式<count>'。

-I

将接口置于“监控模式”；此功能仅在 IEEE 802.11 Wi-Fi 接口上受支持，并且仅在某些操作系统上受支持。

-K

不尝试验证 TCP 校验和。

这对于在硬件中执行 TCP 校验和计算的接口很有用；否则，所有传出 TCP 校验和都将被标记为错误。

-l

缓冲标准输出行。如果要在捕获数据时查看数据，则非常有用。示例，''tcpdump -l | tee dat”或“tcpdump -l > dat & tail -f dat”。

-L

列出接口和出口的已知数据链路类型。

-m

从文件模块加载 SMI MIB 模块定义。

可以多次使用此选项将多个 MIB 模块加载到 tcpdump 中。

-M

使用密钥作为共享密钥，以验证在 TCP-MD5 选项 (RFC 2385)（如果有）的 TCP 分段中找到的摘要。

-n

不将地址（即主机地址、端口号等）转换为名称。

-N

不打印主机名的域名限定条件。

例如，如果您提供此标志，则 tcpdump 将打印“nic”而不是“nic.ddn.mil”。

-O

不运行数据包匹配代码优化器。仅当您怀疑优化器中存在漏洞时，这才有用。

-p

不会将接口置于混杂模式。请注意，接口可能由于其他原因而处于混杂模式；因此，“-p”不能用作“ether host {local-hw-addr}”或“ether broadcast”的缩写。

-q

快速输出。打印较少的协议信息，因此输出行更短。

-R

假定 ESP/AH 数据包基于旧规范（RFC1825 至 RFC1829）。如果指定，tcpdump 将不会打印重放预防字段。

由于 ESP/AH 规范中没有协议版本字段，因此 tcpdump 无法推断 ESP/AH 协议的版本。

-r

从文件（使用 -w 选项创建）中读取数据包。如果文件为“-”，则使用标准输入。

-S

输出 TCP 序列号的绝对值，而不是相对值。

-s

从每个数据包中捕获数据的 snaplen 字节，而不是默认值 68（对于 SunOS 的 NIT，最小值实际上是 96）。对于 IP、ICMP、TCP 和 UDP 而言，68 字节已足够，但可能会截断名称服务器和 NFS 数据包中的协议信息（请参阅下文）。由于快照有限而被截断的数据包在输出中用“[|proto]”表示，其中 proto 是发生截断的协议级别的名称。

请注意，拍摄较大的快照会增加处理数据包所需的时间，并有效地减少数据包缓冲量。这可能会导致数据包丢失。您应将 snaplen 限制为将捕获您感兴趣的协议信息的最小数字。将 snaplen 设置为 0 意味着使用所需的长度来捕获整个数据包。

-T

强制按指定类型解释由“表达式”选择的数据包。目前已知的类型包括 aodv（临时按需距离矢量协议）、cnfp（思科 NetFlow 协议）、rpc（远程过程调用）、rtp（实时应用协议）、rtcp（实时应用控制协议）， snmp（简单网络管理协议）、tftp（简单文件传输协议）、vat（可视音频工具）和 wb（分布式白板）。

-t

不在每个转储行上打印时间戳。

-tt

在每个转储行上打印未格式化的时间戳。

-ttt

在每个转储行上打印当前行和上一行之间的增量（微秒分辨率）。

-tttt

在每个转储行上按日期打印默认格式的时间戳。

-ttttt

在每个转储行上打印当前行和第一行之间的增量（微秒分辨率）。

-u

打印未解码的 NFS 句柄。

-U

通过 -w 选项“packet-buffered”保存输出；即，当每个数据包被保存时，它将被写入输出文件，而不是仅在输出缓冲区填满时写入。

如果 tcpdump 是使用缺少 pcap_dump_flush() 函数的旧版本 libpcap 构建的，则不支持 -U 标志。

-v

在解析和打印时，生成（略多）冗长输出。例如，系统会打印 IP 数据包中的持续时间、标识、总长度和选项。还可以启用其他数据包完整性检查，例如验证 IP 和 ICMP 信头校验和。

使用 -w 选项写入文件时，每 10 秒报告捕获的数据包数。

-vv

更冗长的输出。例如，系统会从 NFS 应答数据包打印更多字段，并对 SMB 数据包进行完全解码。

-vvv

更冗长的输出。例如，telnet SB ... SE 选项。使用 -X 时，Telnet 选项也以十六进制显示。

-w

将原始数据包写入文件，而不是解析并打印出来。稍后可以使用 -r 选项打印它们。如果文件为“-”，则使用标准输出。

-W

与 -C 选项结合使用，这会将创建的文件数限制为指定的数量，并从头开始写入文件，从而创建“循环”缓冲区。此外，它将使用足够的前导 0 来命名文件，以支持最大数量的文件，从而使它们能够正确排序。

-x

在解析和打印时，除了打印每个数据包的信头外，还以十六进制格式打印每个数据包的数据（除去其链路级报头）。将打印整个数据包或 snaplen 字节中较小的一个。请注意，这是整个链路层数据包，因此对于填充的链路层（例如以太网），当较高层数据包短于所需填充时，也会打印填充字节。

-xx

在解析和打印时，除了打印每个数据包的信头外，还以十六进制格式打印每个数据包的数据。

-X

在解析和打印时，除了打印每个数据包的报头外，还以十六进制和 ASCII 格式打印每个数据包的数据（除去其链路级信头）。

这对于分析新协议非常方便。

-XX

在解析和打印时，除了打印每个数据包的信头外，还以十六进制和 ASCII 格式打印每个数据包的数据。

-y

将捕获数据包时使用的数据链路类型设置为 datalinktype。

-Z

删除权限（如果是 root）并将用户 ID 更改为 user，将组 ID 更改为用户的主要组。

ID

访问列表的名称。

statistics

清除 ARP 统计信息。

interface_name

清除指定接口的统计信息。

access-list acl_name

仅清除指定访问列表的命中计数器。

arp

仅清除 ASP ARP 表中的命中计数器。

classify

仅清除 ASP 分类表中的命中计数器。

cluster counter

清除集群计数器。

counters

清除数据路径检测 Snort 计数器。

dispatch

清除调度统计数据。

event

清除控制平面事件统计信息的数据路径。

filter

仅清除 ASP 过滤器表中的命中计数器

flow

清除丢弃的流统计信息。

frame

清除丢弃的帧/数据包统计信息。

inspect-dp ack-passthrough

清除绕过 Snort 检查的空 TCP ACK 数据包的计数器。

inspect-dp egress-optimization

清除出口优化统计信息。

inspect-dp snort

清除数据路径检测 Snort 统计信息。

instance number

按实例 ID 清除计数器。

load-balance history

清除每个数据包的 ASP 负载平衡历史并重置自动切换发生的次数

overhead

清除所有 ASP 多处理器开销统计信息。

packet-profile

清除数据包配置文件统计信息。

queue number

按实例 ID 和队列 ID 清除计数器。

queue-exhaustion

清除数据路径检测 Snort 队列快照。

snapshot number

按快照 ID 清除队列耗尽。

table

清除 ASP ARP 表和 ASP 分类表中的命中计数器。

*

指定将重置所有当前 BGP 会话。

as_number

（可选）将重置所有 BGP 对等会话的自主系统的编号。

external

指定将重置所有外部 BGP 会话。

in

（可选）启动入站重新配置。如果未指定 in 和 out 关键字，入站和出站会话都会重置。

ipv4 unicast

使用硬/软重新配置来重置 IPv4 地址系列会话的 BGP 连接。

ipv6 unicast

使用硬/软重新配置来重置 IPv6 地址系列会话的 BGP 连接。

neighbor_address

（可选）指定仅重置已标识的 BGP 邻居。此参数的值可以是 IPv4 或 IPv6 地址。

out

（可选）启动入站或出站重新配置。如果未指定 in 和 out 关键字，入站和出站会话都会重置。

soft

（可选）以强制方式清除慢速对等设备状态，并将其移至原始更新组。

table-map

清除 BGP 路由表中的表映射配置信息。此命令可用于清除配置了 BGP 策略记账功能的流量索引信息。

core-local [编号]

（可选）清除按应用排队的所有核心的系统缓冲区，或者，如果指定核心编号，则清除特定核心。

exhaustion

（可选）清除耗尽条件。

export-failed

（可选）清除导出失败的计数器。

history

（可选）清除历史记录。

queue

（可选）清除排队的块。

snapshot

（可选）清除快照信息。

/all

清除所有接口上的数据包。

capture_name

指定数据包捕获的名称。

is-neighbors

清除中间系统邻居路由。

neighbors

清除所有 CLNS 邻居路由。

traffic

清除 CLNS 协议统计信息。

flow-mobility counters

清除集群流移动性计数器。

health details

清除集群运行状况信息。

trace

清除集群事件跟踪信息。

transport

清除集群传输统计信息。

address ip[-ip]

清除具有指定源或目标 IP 地址（IPv4 或 IPv6）的连接。要指定范围，请使用破折号 (-) 分隔各个 IP 地址。例如：10.1.1.1-10.1.1.5

all

清除所有连接（包括到设备的连接）。如果没有 all 关键字，则仅清除通过设备的连接。

inline-set name

清除与指定的内联集匹配的连接。

netmask mask

（可选）指定要与给定 IP 地址配合使用的子网掩码。

port port[-port]

清除具有指定源或目标端口的连接。要指定范围，请使用破折号 (-) 分隔各个端口号。例如：1000-2000

protocol {tcp | udp | sctp}

清除指定协议的连接。

security-group {name | tag} attribute

清除具有指定安全组属性的连接。

user [domain_nickname\] user_name

清除属于指定用户的连接。如果不包含 domain_nickname 参数， 系统将清除默认域中用户的连接。

user-group [domain_nickname\\] user_group_name]

清除属于指定用户组的连接。如果不包含 domain_nickname 参数， 系统将清除默认域中用户组的连接。

zone [zone_name]

清除属于安全区域的连接。

[ vrf { name | global}]

如果启用虚拟路由和转发 (VRF)（也称为虚拟路由器），则可以使用 vrf name 关键字将该命令限制为特定虚拟路由器。指定 vrf global 以将命令限制为全局虚拟路由器。如果省略此关键字，则命令适用于所有虚拟路由器。

data-rate

（可选）清除当前存储的最大数据速率。

all

（可选）清除所有过滤器详细信息。

counter_name

（可选）按名称指定计数器。使用 show counters protocol 命令查看可用的计数器名称。

detail

（可选）清除计数器详细信息。

protocol protocol_name

（可选）清除指定协议的计数器。

summary

（可选）清除计数器摘要。

threshold n

（可选）清除达到或超过指定阈值的计数器。范围为 1 到 4294967295。

top n

（可选）清除达到或超过指定阈值的计数器。范围为 1 到 4294967295。

module {0 |1}

（可选）清除插槽 0 或 1 中的模块的崩溃文件。

trustpoint trust_point_name

信任点的名称。如果不指定名称，此命令将清除系统上所有缓存 CRL。如果提供没有信任点名称的信任点关键字，此命令将失败。

trustpool

表示操作应仅应用于与信任池中证书关联的 CRL。

noconfirm

禁止用户确认提示，此命令将根据请求进行处理。

saip_address

清除 SA。要清除所有 IKEv1 SA，请使用此选项而不指定 IP 地址。否则，请指定要清除的 SA 的 IPv4 或 IPv6 地址。

stats

清除 IKEv1 统计信息。

saip_address

清除 SA。要清除所有 IKEv2 SA，请使用此选项而不指定 IP 地址。否则，请指定要清除的 SA 的 IPv4 或 IPv6 地址。

stats

清除 IKEv2 统计信息。

ah

身份验证信头。

counters

清除每个 SA 的所有 IPsec 统计信息。

entry ip_address

删除与指定 IP 地址/主机名、协议和 SPI 值匹配的隧道。

esp

加密安全协议。

inactive

清除所有非活动 IPsec SA。

map map_name

删除与指定加密映射（通过映射名称识别）关联的所有隧道。

peer ip_address

删除通过指定主机名或 IP 地址识别的对等设备的所有 IPsec SA。

spi

确定安全参数索引（十六进制数）。必须是入站 SPI。此命令不支持出站 SPI。

sa

清除 IKEv1 和 IKEv2 SA。

stats

清除 IKEv1 和 IKEv2 统计信息。

protocol

指定要清除统计信息的协议的名称。协议选项如下所示：

• all - 当前支持的所有协议。

• ikev1 -互联网密钥交换 (IKE) 第 1 版。

• ikev2 -互联网密钥交换 (IKE) 第 2 版。

• ipsec - IP 安全 (IPsec) 阶段 2 协议。

• other - 保留以用于新协议。

• srtp - 安全 RTP (SRTP) 协议

• ssh -安全外壳 (SSH) 协议

• ssl -安全套接字层 (SSL) 协议

cache

清除 SSL 会话缓存中已过期的会话。

all

（可选）清除 SSL 会话缓存中的所有会话和统计信息。

errors

清除 SSL 错误。

mib

清除 SSL MIB 统计信息。

objects

清除 SSL 对象统计信息。

all

（可选）清除所有 dhcpd 绑定。

binding

清除所有客户端地址绑定。

ip_address

（可选）清除指定 IP 地址的绑定。

statistics

清除统计信息计数器。

host fqdn_name

（可选）指定要清除其 IP 地址的完全限定域名。如果不指定主机，则会清除所有 DNS 解析。

ipcache [ counters]

清除通过 DNS 监听获取的 IP 缓存中的所有条目，用于基于策略的直接互联网访问。

指定 counters 仅重置缓存中条目的所有命中计数，而不将其删除。

IPv4_address

清除指定 IPv4 地址（5 元组）的已限制大流。

IPv6_address/prefix

清除指定 IPv6 地址的已限制大流。

all

清除限制并检查所有大流。

bypass

（可选）清除限制并绕过所有大型流的 Snort 检查。

any

• 用作源地址和掩码 0.0.0.0 0.0.0.0 和 ::/0 的缩写

• 用于任何源端口或目的端口。

source_port

清除与指定源端口的连接的限制。

destination_port

清除具有指定目标端口的连接的限制。

tcp

仅清除 TCP 连接的限制。

udp

仅清除 UDP 连接的限制。

as_number

（可选）指定要清除事件日志的 EIGRP 进程的自主系统编号。由于设备仅支持一个 EIGRP 路由进程，因此，无需指定自主系统编号（进程 ID）。

as_number

（可选）指定要删除邻居条目的 EIGRP 流程的自主系统编号。由于设备仅支持一个 EIGRP 路由进程，因此，无需指定自主系统编号 (AS)，即进程 ID。

if_name

（可选）接口的名称。指定接口名称将删除通过该接口获悉的所有邻居表条目。

ip_addr

（可选）要从邻居表删除的邻居的 IP 地址。

soft

导致设备与邻居重新同步但不重置邻接。

as_number

（可选）指定 EIGRP 流程的自主系统编号。由于设备仅支持一个 EIGRP 路由进程，因此，无需指定自主系统编号 (AS)，即进程 ID。

ip_addr

要从拓扑表清除的 IP 地址。

mask

（可选）要应用于 ip-addr 参数的网络掩码。