数据包捕获
数据包捕获工具是一项宝贵资产,可用于调试连接和配置问题,了解通过 Firepower 4100/9300 机箱的流量。您可以使用数据包捕获工具记录通过 Firepower 4100/9300 机箱上面向特定接口的流量。
您还可以创建多个数据包捕获会话,每个会话都可以捕获多个接口上的流量。对于包含在数据包捕获会话中的每个接口,将创建单独的数据包捕获 (PCAP) 文件。
背板端口映射
Firepower 4100/9300 机箱对内部背板端口使用以下映射:
安全模块 |
端口映射 |
说明 |
---|---|---|
安全模块 1/安全引擎 |
Ethernet1/9 |
内部数据 0/0 |
安全模块 1/安全引擎 |
Ethernet1/10 |
内部数据 0/1 |
安全模块 2 |
Ethernet1/11 |
内部数据 0/0 |
安全模块 2 |
Ethernet1/12 |
内部数据 0/1 |
安全模块 3 |
Ethernet1/13 |
内部数据 0/0 |
安全模块 3 |
Ethernet1/14 |
内部数据 0/1 |
数据包捕获准则和限制
数据包捕获工具存在以下限制:
-
捕获速度最多达到 100 Mbps。
-
即使没有足够的存储空间来运行数据包捕获会话,依然可以创建数据包捕获会话。在开始数据包捕获会话之前,您应验证您有足够的存储空间。
-
对于单宽 4x100Gbps 或 2x100Gbps 网络模块(部件号分别为 FPR-NM-4X100G 和 FPR-NM-2X100G)上的数据包捕获会话,如果模块
管理状态
被设为关 (off)
,则捕获会话会自动禁用并出现“状态原因:未知错误。”(Oper State Reason: Unknown Error.)。您必须在管理状态
被再次设为开 (on)
后重新启动捕获会话。对于所有其他网络模块,数据包捕获会话会在模块
管理状态
更改期间继续。 -
不支持多个活动数据包捕获会话。
-
仅在内部交换机的入口阶段进行捕获。
-
对于内部交换机无法理解的数据包(例如,安全组标记和网络服务报头数据包),过滤器不起作用。
-
即使您在一个或多个父接口上设有多个子接口,针对每个会话也只可捕获一个子接口的数据包。
-
无法捕获整个 EtherChannel 或 EtherChannel 子接口的数据包。然而,对于分配至逻辑设备的 EtherChannel,可以捕获 EtherChannel 每个成员接口上的数据包。 如果分配子接口而不是父接口,则无法捕获成员接口上的数据包。
-
当捕获会话仍处于活动状态时,您无法复制或导出 PCAP 文件。
-
删除数据包捕获会话时,与此会话相关的所有数据包捕获文件也将被删除。
创建或编辑数据包捕获会话
过程
步骤 1 |
依次选择 。捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。 |
步骤 2 |
执行以下操作之一:
您可以在窗口左侧选择特定应用实例,然后该实例的表示形式便显示在窗口左侧。此表示用于选择您希望捕获数据包的接口。窗口右侧包含用于定义数据包捕获会话的字段。 |
步骤 3 |
从下拉菜单中选择实例。 |
步骤 4 |
点击要在其上捕获流量的接口。选定接口显示复选标记。 |
步骤 5 |
对于子接口,点击父接口左侧图标查看子接口选择列中的子接口。点击该列中的一个子接口;即使您在一个或多个父接口上设有多个子接口,针对每个捕获会话也只可捕获一个子接口的数据包。 对于多个子接口,则将图标标记为子接口(n);对于单个子接口,则使用子接口 ID 标记该图标。如果系统也将父接口分配至实例,您可以选择父接口或子接口;您无法同时选择两者。如果系统未分配父接口,则父接口将显示为灰色。不支持 Etherchannel 的子接口。 |
步骤 6 |
要捕获从背板端口传出的逻辑设备的流量: |
步骤 7 |
请在会话名称 (Session Name) 字段中输入数据包捕获会话的名称。 |
步骤 8 |
可以通过以下两种方式指定要用于此数据包捕获会话的缓冲区大小:从缓冲区大小 (Buffer Size) 列表中选择预定义的值之一,或选择自定义 (MB) (Custom in MB),然后输入所需的缓冲区大小。指定的缓冲区大小必须介于 1 和 2048 MB 之间。 |
步骤 9 |
在 Snap 长度 (Snap Length) 字段中指定要捕获的数据包的长度。有效值范围为 64 至 9006 个字节。默认的 Snap 长度为 1518 个字节。 |
步骤 10 |
指定当执行此数据包捕获会话时,您是希望覆盖现有的 PCAP 文件还是将数据附加到 PCAP 文件。 |
步骤 11 |
要捕获应用实例与特定接口之间的流量: |
步骤 12 |
要过滤捕获的流量: |
步骤 13 |
执行以下操作之一:
在捕获会话 (Capture Session) 选项卡中,您将看到列出了您的会话及之前创建的任何其他会话。如果选择保存并运行 (Save and Run),数据包捕获会话将捕获数据包。要从会话下载 PCAP 文件,您需要先停止捕获。 |
配置数据包捕获的过滤器
您可以创建过滤器来限制数据包捕获会话中包含的流量。在创建数据包捕获会话时,您可以选择哪些接口应使用特定过滤器。
注 |
如果您修改或删除已应用于当前正在运行的数据包捕获会话的过滤器,那么在您禁用并重新启用该会话后,更改才会生效。 |
过程
步骤 1 |
依次选择 。捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。 |
||
步骤 2 |
执行以下操作之一:
您将看到创建或编辑数据包过滤器 (Create or Edit Packet Filter) 对话框。 |
||
步骤 3 |
请在会话名称 (Session Name) 字段中输入数据包捕获过滤器的名称。 |
||
步骤 4 |
要对特定协议进行过滤,请从协议 (Protocol) 列表中选择该协议,或选择自定义 (Custom),然后输入所需的协议。自定义协议必须为 IANA 定义的协议,并采用十进制格式 (0 - 255)。 |
||
步骤 5 |
要对特定以太网类型进行过滤,请从以太网类型 (EtherType) 列表中选择该以太网类型,或选择自定义 (Custom),然后输入所需的以太网类型。自定义以太网类型必须是 IANA 定义的以太网类型,并采用十进制格式(例如,IPv4 = 2048,IPv6 = 34525,ARP = 2054 和 SGT = 35081)。 |
||
步骤 6 |
要基于内部 VLAN(进入端口时的 VLAN ID)或外部 VLAN(Firepower 4100/9300 机箱添加的 VLAN ID)过滤流量,请在指定字段中输入 VLAN ID。 |
||
步骤 7 |
要过滤特定来源或目的的流量,请在指定的来源或目的字段中输入 IP 地址和端口或输入 MAC 地址。
|
||
步骤 8 |
点击保存 (Save) 保存过滤器, 在过滤器列表 (Filter List) 选项卡中,您将看到列出了您的过滤器和已创建的任何其他过滤器。 |
启动和停止数据包捕获会话
过程
步骤 1 |
依次选择 。捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。 |
||
步骤 2 |
要启动数据包捕获会话,请点击该会话的启用会话 (Enable Session) 按钮,然后点击是 (Yes) 进行确认。
会话中所包含接口的 PCAP 文件将开始收集流量。如果会话配置为覆盖会话数据,现有的 PCAP 数据将会擦除。如果不这样配置,数据将被附加到现有文件(如有)。 在数据包捕获会话运行时,单个 PCAP 文件的文件大小将随流量捕获而增加。一旦达到缓冲区大小限制,系统将开始丢弃数据包,您将会看到“丢弃计数 (Drop Count)”字段数值增加。 |
||
步骤 3 |
要停止数据包捕获会话,请点击该会话的禁用会话 (Disable Session) 按钮,然后点击是 (Yes) 进行确认。 在禁用会话后,您便可以下载 PCAP 文件(请参阅 下载数据包捕获文件)。 |
下载数据包捕获文件
您可将数据包捕获 (PCAP) 文件从会话下载到本地计算机,以便使用网络数据包分析器分析这些文件。
过程
步骤 1 |
依次选择 。捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。 |
||
步骤 2 |
要从数据包捕获会话下载特定接口的 PCAP 文件,请点击对应此接口的下载 (Download) 按钮。
根据您的浏览器,指定的 PCAP 文件要么会自动下载到默认下载位置,要么系统会提示您保存文件。 |
删除数据包捕获会话
如果单个数据包捕获会话当前未运行,则可将其删除,或者可以删除所有不活动的数据包捕获会话。
过程
步骤 1 |
依次选择 。捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。 |
步骤 2 |
要删除特定数据包捕获会话,请点击对应于该会话的删除 (Delete) 按钮。 |
步骤 3 |
要删除所有不活动的数据包捕获会话,请点击数据包捕获会话列表上方的删除所有会话 (Delete All Sessions) 按钮。 |