数据包捕获
数据包捕获工具是一项宝贵资产,可用于调试连接和配置问题,了解通过 Firepower 4100/9300 机箱的流量。您可以使用数据包捕获工具记录通过 Firepower 4100/9300 机箱上面向特定接口的流量。
您还可以创建多个数据包捕获会话,每个会话都可以捕获多个接口上的流量。对于包含在数据包捕获会话中的每个接口,将创建单独的数据包捕获 (PCAP) 文件。
背板端口映射
Firepower 4100/9300 机箱对内部背板端口使用以下映射:
安全模块 |
端口映射 |
说明 |
---|---|---|
安全模块 1/安全引擎 |
Ethernet1/9 |
内部数据 0/0 |
安全模块 1/安全引擎 |
Ethernet1/10 |
内部数据 0/1 |
安全模块 2 |
Ethernet1/11 |
内部数据 0/0 |
安全模块 2 |
Ethernet1/12 |
内部数据 0/1 |
安全模块 3 |
Ethernet1/13 |
内部数据 0/0 |
安全模块 3 |
Ethernet1/14 |
内部数据 0/1 |
数据包捕获准则和限制
数据包捕获工具存在以下限制:
-
捕获速度最多达到 100 Mbps。
-
即使没有足够的存储空间来运行数据包捕获会话,依然可以创建数据包捕获会话。在开始数据包捕获会话之前,您应验证您有足够的存储空间。
-
不支持多个活动数据包捕获会话。
-
仅在内部交换机的入口阶段进行捕获。
-
对于内部交换机无法理解的数据包(例如,安全组标记和网络服务报头数据包),过滤器不起作用。
-
即使您在一个或多个父接口上设有多个子接口,针对每个会话也只可捕获一个子接口的数据包。
-
无法捕获整个 EtherChannel 或 EtherChannel 子接口的数据包。然而,对于分配至逻辑设备的 EtherChannel,可以捕获 EtherChannel 每个成员接口上的数据包。 如果分配子接口而不是父接口,则无法捕获成员接口上的数据包。
-
当捕获会话仍处于活动状态时,您无法复制或导出 PCAP 文件。
-
删除数据包捕获会话时,与此会话相关的所有数据包捕获文件也将被删除。
创建或编辑数据包捕获会话
过程
步骤 1 |
进入数据包捕获模式: Firepower-chassis # scope packet-capture |
||
步骤 2 |
创建过滤器;请参阅配置数据包捕获的过滤器。 可以将过滤器应用于数据包捕获会话中包含的任何接口。 |
||
步骤 3 |
要创建或编辑数据包捕获会话: Firepower-chassis /packet-capture # enter session session_name |
||
步骤 4 |
指定要用于此数据包捕获会话的缓冲区大小: Firepower-chassis /packet-capture/session* # set session-memory-usage session_size_in_megabytes 指定的缓冲区大小必须介于 1 和 2048 MB 之间。 |
||
步骤 5 |
指定要为此数据包捕获会话捕获的数据包长度: Firepower-chassis /packet-capture/session* # set session-pcap-snaplength session_snap_length_in_bytes 指定的 Snap 长度必须在 64 到 9006 个字节之间。如果未配置会话 Snap 长度,则默认的捕获长度为 1518 个字节。 |
||
步骤 6 |
指定此数据包捕获会话中应包含的物理源端口。 您可以从多个端口捕获,也可以在同一数据包捕获会话期间同时从物理端口和应用端口捕获。将为会话中包含的每个端口创建单独的数据包捕获文件。无法捕获整个 EtherChannel 的数据包。然而,对于分配至逻辑设备的 EtherChannel,可以捕获 EtherChannel 每个成员接口上的数据包。 如果分配子接口而不是父 EtherChannel,则无法捕获成员接口上的数据包。
|
||
步骤 7 |
指定此数据包捕获会话中应包含的应用源端口。 您可以从多个端口捕获,也可以在同一数据包捕获会话期间同时从物理端口和应用端口捕获。将为会话中包含的每个端口创建单独的数据包捕获文件。
|
||
步骤 8 |
如果想要现在开始数据包捕获会话: Firepower-chassis /packet-capture/session* # enable 默认情况下,新建的数据包捕获会话处于禁用状态。提交更改后,明确启用会话会激活数据包捕获会话。如果有其他会话正处于活动状态,启用会话将生成错误。您必须禁用已处于活动状态的数据包捕获会话,才能启用此会话。 |
||
步骤 9 |
将任务提交到系统配置: Firepower-chassis /packet-capture/session* # commit-buffer 如果已启用数据包捕获会话,系统将开始捕获数据包。要从会话下载 PCAP 文件,您需要先停止捕获。 |
示例
Firepower-chassis# scope packet-capture
Firepower-chassis packet-capture # create session asa1inside
Firepower-chassis packet-capture/session # set session-memory-usage 256
Firepower-chassis packet-capture/session* # create phy-port Ethernet3/1
Firepower-chassis packet-capture/session* # create phy-aggr-port Ethernet2/1/1
Firepower-chassis packet-capture/session* # create app-port 1 link1 Ethernet 1/1 asa
Firepower-chassis packet-capture/session* # create filter interface1vlan100
Firepower-chassis packet-capture/filter* # set ivlan 100
Firepower-chassis packet-capture/filter* # set srcIP 6.6.6.6
Firepower-chassis packet-capture/filter* # set srcPort 80
Firepower-chassis packet-capture/filter* # set destIP 10.10.10.10
Firepower-chassis packet-capture/filter* # set destPort 5050
Firepower-chassis packet-capture/filter* # exit
Firepower-chassis packet-capture/session* # scope phy-port Ethernet3/1
Firepower-chassis packet-capture/session/phy-port* # set src-filter interface1vlan100
Firepower-chassis packet-capture/session/phy-port* # exit
Firepower-chassis packet-capture/session* # scope app-port 1 link1 Ethernet1/1 asa
Firepower-chassis packet-capture/session/app-port* # set src-filter interface1vlan100
Firepower-chassis packet-capture/session/app-port* # exit
Firepower-chassis packet-capture/session* # enable
Firepower-chassis packet-capture/session* # commit-buffer
Firepower-chassis packet-capture/session #
配置数据包捕获的过滤器
您可以创建过滤器来限制数据包捕获会话中包含的流量。在创建数据包捕获会话时,您可以选择哪些接口应使用特定过滤器。
注 |
如果您修改或删除已应用于当前正在运行的数据包捕获会话的过滤器,那么在您禁用并重新启用该会话后,更改才会生效。 |
过程
步骤 1 |
进入数据包捕获模式: Firepower-chassis # scope packet-capture |
||||||||||||||||||||||||||
步骤 2 |
要创建新的数据包捕获过滤器: Firepower-chassis /packet-capture # create filter filter_name 要编辑现有的数据包捕获过滤器: Firepower-chassis /packet-capture # enter filter filter_name 要删除现有的数据包捕获过滤器: Firepower-chassis /packet-capture # delete filter filter_name |
||||||||||||||||||||||||||
步骤 3 |
通过设置一个或多个过滤器属性,指定过滤器的详细信息: Firepower-chassis /packet-capture/filter* # set <filterprop filterprop_value
|
示例
Firepower-chassis# scope packet-capture
Firepower-chassis packet-capture # create filter interface1vlan100
Firepower-chassis packet-capture/filter* # set ivlan 100
Firepower-chassis packet-capture/filter* # set srcip 6.6.6.6
Firepower-chassis packet-capture/filter* # set srcport 80
Firepower-chassis packet-capture/filter* # set destip 10.10.10.10
Firepower-chassis packet-capture/filter* # set destport 5050
Firepower-chassis packet-capture/filter* # commit-buffer
启动和停止数据包捕获会话
过程
步骤 1 |
进入数据包捕获模式: Firepower-chassis # scope packet-capture |
||
步骤 2 |
输入您要启动或停止数据包捕获会话的范围: Firepower-chassis /packet-capture # enter session session_name |
||
步骤 3 |
要启动数据包捕获会话: Firepower-chassis /packet-capture/session* # enable [append | overwrite]
在数据包捕获会话运行时,单个 PCAP 文件的文件大小将随流量捕获而增加。一旦达到缓冲区大小限制,系统将开始丢弃数据包,您将会看到“丢弃计数 (Drop Count)”字段数值增加。 |
||
步骤 4 |
要停止数据包捕获会话: Firepower-chassis /packet-capture/session* # disable |
||
步骤 5 |
将任务提交到系统配置: Firepower-chassis /packet-capture/session* # commit-buffer 如果已启用数据包捕获会话,会话中所包含的接口的 PCAP 文件将开始收集流量。如果会话配置为覆盖会话数据,现有的 PCAP 数据将会擦除。如果不这样配置,数据将被附加到现有文件(如有)。 |
示例
Firepower-chassis# scope packet-capture
Firepower-chassis packet-capture # scope session asa1inside
Firepower-chassis packet-capture/session # enable append
Firepower-chassis packet-capture/session* # commit-buffer
Firepower-chassis packet-capture/session #
下载数据包捕获文件
您可将数据包捕获 (PCAP) 文件从会话下载到本地计算机,以便使用网络数据包分析器分析这些文件。
PCAP 文件将存储到 workspace://packet-capture 目录,并使用以下命名约定:
workspace://packet-capture/session-<id>/<session-name>-<interface-name>.pcap
过程
要从 Firepower 4100/9300 机箱复制 PCAP 文件:
|
示例
Firepower-chassis# connect localmgmt
# copy workspace:/packet-capture/session-1/test-ethernet-1-1-0.pcap scp://user@10.10.10.1:/workspace/
删除数据包捕获会话
如果单个数据包捕获会话当前未运行,则可将其删除,或者可以删除所有不活动的数据包捕获会话。
过程
步骤 1 |
进入数据包捕获模式: Firepower-chassis # scope packet-capture |
步骤 2 |
要删除特定的数据包捕获会话: Firepower-chassis /packet-capture # delete session session_name |
步骤 3 |
要删除所有不活动的数据包捕获会话: Firepower-chassis /packet-capture # delete-all-sessions |
步骤 4 |
将任务提交到系统配置: Firepower-chassis /packet-capture* # commit-buffer |
示例
Firepower-chassis# scope packet-capture
Firepower-chassis packet-capture # delete session asa1inside
Firepower-chassis packet-capture* # commit-buffer
Firepower-chassis packet-capture #