El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la configuración y verificación de las capturas del switch interno Firepower y Secure Firewall.
Conocimiento básico del producto, análisis de captura.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Desde la perspectiva del flujo de paquetes, la arquitectura de Firepower 4100/9300 y Secure Firewall 3100/4200 se puede visualizar como se muestra en esta figura:
El chasis incluye estos componentes:
En el caso de Secure Firewall 3100/4200, los datos, la gestión y las interfaces de enlace ascendente se asignan a puertos de switch internos específicos.
La asignación se puede verificar en la salida del comando FXOS local-mgmt shell show portmanager switch status.
En este ejemplo, el puerto 0/18 es la interfaz de backplane/uplink y el puerto 0/19 es la interfaz de uplink de administración.
firepower-3140# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-3140(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Autoneg FEC Link Scan Port Manager
--------- -------- ----- ----- ------ ------------- --------- ---------- ----------- ------------
0/1 SGMII Up 1G Full None No None None Link-Up
0/2 SGMII Up 1G Full None No None None Link-Up
0/3 SGMII Down 1G Full n/a No None None Force-Link-Down
0/4 SGMII Down 1G Full n/a No None None Force-Link-Down
0/5 SGMII Down 1G Full n/a No None None Force-Link-Down
0/6 SGMII Down 1G Full n/a No None None Force-Link-Down
0/7 SGMII Down 1G Full n/a No None None Force-Link-Down
0/8 SGMII Down 1G Full n/a No None None Force-Link-Down
0/9 SR_LR Down 25G Full n/a No None None Force-Link-Down
0/10 SR_LR Down 25G Full n/a No None None Force-Link-Down
0/11 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/12 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/13 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/14 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/15 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/16 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/17 1000_BaseX Up 1G Full None No None None Link-Up
0/18 KR2 Up 50G Full None No None None Link-Up
0/19 KR Up 25G Full None No None None Link-Up
0/20 KR Up 25G Full None No None None Link-Up
Esta tabla muestra las interfaces de placa base en Firepower 4100/9300 y las interfaces de enlace ascendente en Secure Firewall 3100/4200:
Platform |
Número de módulos de seguridad admitidos |
Interfaces de backplane/uplink |
Interfaces de uplink de administración |
Puerto de switch interno asignado |
Interfaces de aplicación asignadas |
Firepower 4100 (excepto Firepower 4110/4112) |
1 |
SM1: Ethernet1/9 Ethernet1/10 |
N/A |
N/A |
Internal-Data0/0 Internal-Data0/1 |
Firepower 4110/4112 |
1 |
Ethernet1/9 |
N/A |
N/A |
Internal-Data0/0 Internal-Data0/1 |
Firepower 9300 |
3 |
SM1: Ethernet1/9 Ethernet1/10 SM2: Ethernet1/11 Ethernet1/12 SM3: Ethernet1/13 Ethernet1/14 |
N/A |
N/A |
Internal-Data0/0 Internal-Data0/1
Internal-Data0/1
Internal-Data0/1 |
Firewall seguro 3100 |
1 |
SM1: in_data_uplink1 |
in_mgmt_uplink1 |
Port 0/18 Port 0/19 |
Internal-Data0/1 Gestión1/1 |
Firewall seguro 4200 |
1 |
SM1: in_data_uplink1 SM1: in_data_uplink2 (sólo 4245) |
in_mgmt_uplink1 in_mgmt_uplink2 |
Port 0/11 Puerto 0/12 (solo 4245) Port 0/13 Port 0/14 |
Internal-Data0/1 Internal-Data0/2 (solo 4245) Gestión1/1 Gestión1/2 |
En el caso de Firepower 4100/9300 con 2 interfaces de placa base por módulo o Secure Firewall 4245 con 2 interfaces de enlace ascendente de datos, el switch interno y las aplicaciones de los módulos realizan un equilibrio de carga de tráfico en las 2 interfaces.
Utilice el comando show interface detail para verificar las interfaces internas:
> show interface detail | grep Interface
Interface Internal-Control0/0 "ha_ctl_nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
Control Point Interface States:
Interface number is 2
Interface config status is active
Interface state is active
Interface Internal-Data0/1 "", is up, line protocol is up
Control Point Interface States:
Interface number is 3
Interface config status is active
Interface state is active
Interface Internal-Data0/2 "nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 4
Interface config status is active
Interface state is active
Interface Internal-Data0/3 "ccl_ha_nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 5
Interface config status is active
Interface state is active
Interface Internal-Data0/4 "cmi_mgmt_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 7
Interface config status is active
Interface state is active
Interface Port-channel6.666 "", is up, line protocol is up
Interface Ethernet1/1 "diagnostic", is up, line protocol is up
Control Point Interface States:
Interface number is 8
Interface config status is active
Interface state is active
Firepower 4100/9300
Para tomar una decisión de reenvío, el switch interno utiliza una etiqueta de interfaz VLAN, o etiqueta de puerto VLAN, y una etiqueta de red virtual (VN-tag).
El switch interno utiliza la etiqueta de VLAN de puerto para identificar una interfaz. El switch inserta la etiqueta de VLAN de puerto en cada paquete de ingreso que vino en las interfaces frontales. El sistema configura automáticamente la etiqueta VLAN y no se puede cambiar manualmente. El valor de la etiqueta se puede verificar en el shell de comandos fxos:
firepower# connect fxos
…
firepower(fxos)# show run int e1/2
!Command: show running-config interface Ethernet1/2
!Time: Tue Jul 12 22:32:11 2022
version 5.0(3)N2(4.120)
interface Ethernet1/2
description U: Uplink
no lldp transmit
no lldp receive
no cdp enable
switchport mode dot1q-tunnel
switchport trunk native vlan 102
speed 1000
duplex full
udld disable
no shutdown
La etiqueta VN también es insertada por el switch interno y se utiliza para reenviar los paquetes a la aplicación. El sistema lo configura automáticamente y no se puede cambiar manualmente.
La etiqueta del puerto VLAN y la etiqueta VN se comparten con la aplicación. La aplicación inserta las respectivas etiquetas VLAN de interfaz de egreso y las etiquetas VN en cada paquete. Cuando el switch interno recibe un paquete de la aplicación en las interfaces de la placa posterior, el switch lee la etiqueta VLAN de la interfaz de egreso y la etiqueta VN, identifica la aplicación y la interfaz de egreso, elimina la etiqueta VLAN del puerto y la etiqueta VN y reenvía el paquete a la red.
Firewall seguro 3100/4200
Al igual que en Firepower 4100/9300, el switch interno utiliza la etiqueta de VLAN de puerto para identificar una interfaz.
La etiqueta del puerto VLAN se comparte con la aplicación. La aplicación inserta las respectivas etiquetas VLAN de interfaz de salida en cada paquete. Cuando el switch interno recibe un paquete de la aplicación en la interfaz de enlace ascendente, el switch lee la etiqueta VLAN de la interfaz de egreso, identifica la interfaz de egreso, elimina la etiqueta VLAN del puerto y reenvía el paquete a la red.
Firepower 4100/9300 y Secure Firewall 3100
Los firewalls Firepower 4100/9300 y Secure Firewall 3100 admiten capturas de paquetes en las interfaces del switch interno.
Esta figura muestra los puntos de captura de paquetes a lo largo de la trayectoria del paquete dentro del chasis y la aplicación:
Los puntos de captura son:
El switch interno sólo admite capturas de interfaz de ingreso. Es decir, solo se pueden capturar los paquetes recibidos de la red o de la aplicación ASA/FTD. No se admiten capturas de paquetes de salida.
Firewall seguro 4200
Los firewalls Secure Firewall 4200 admiten capturas de paquetes en las interfaces del switch interno. Esta figura muestra los puntos de captura de paquetes a lo largo de la trayectoria del paquete dentro del chasis y la aplicación:
Los puntos de captura son:
El switch interno admite capturas bidireccionales, tanto de entrada como de salida. De forma predeterminada, el switch interno captura paquetes en la dirección de ingreso.
Las capturas internas del switch Firepower 4100/9300 se pueden configurar en Herramientas > Captura de paquetes en FCM o en captura de paquetes de alcance en FXOS CLI. Para obtener una descripción de las opciones de captura de paquetes, consulte la Guía de configuración del administrador de chasis FXOS de Cisco Firepower 4100/9300 o la Guía de configuración CLI de FXOS de Cisco Firepower 4100/9300, capítulo Resolución de problemas, sección Captura de paquetes.
Estos escenarios abarcan casos prácticos comunes de capturas de switches internos Firepower 4100/9300.
Utilice FCM y CLI para configurar y verificar una captura de paquetes en la interfaz Ethernet1/2 o en la interfaz Portchannel1. En el caso de una interfaz de canal de puerto, asegúrese de seleccionar todas las interfaces de miembro físicas.
Topología, flujo de paquetes y puntos de captura
Configuración
FCM
Realice estos pasos en FCM para configurar una captura de paquetes en las interfaces Ethernet1/2 o Portchannel1:
CLI DE FXOS
Realice estos pasos en la CLI de FXOS para configurar una captura de paquetes en las interfaces Ethernet1/2 o Portchannel1:
firepower# scope ssa
firepower /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/4(P) Eth1/5(P)
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Para las interfaces de canal de puerto, se configura una captura independiente para cada interfaz miembro:
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/5
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificación
FCM
Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:
Portchannel1 con interfaces miembro Ethernet1/4 y Ethernet1/5:
CLI DE FXOS
Verifique los detalles de la captura en scope packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 75136 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Canal de puerto 1 con interfaces miembro Ethernet1/4 y Ethernet1/5:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 4
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
Pcapsize: 310276 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 5
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-5-0.pcap
Pcapsize: 160 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Recopilar archivos de captura
Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir el archivo de captura para Ethernet1/2. Seleccione el primer paquete y compruebe los puntos clave:
Seleccione el segundo paquete y verifique los puntos clave:
Abra los archivos de captura para las interfaces de miembro Portchannel1. Seleccione el primer paquete y verifique los puntos clave:
Seleccione el segundo paquete y verifique los puntos clave:
Explicación
Cuando se configura una captura de paquetes en una interfaz frontal, el switch captura simultáneamente cada paquete dos veces:
En el orden de las operaciones, la etiqueta VN se inserta en una etapa posterior a la inserción de la etiqueta VLAN del puerto. Sin embargo, en el archivo de captura, el paquete con la etiqueta VN se muestra antes que el paquete con la etiqueta de puerto VLAN.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
VLAN de puerto interno en paquetes capturados |
Dirección: |
Tráfico capturado |
Configuración y verificación de una captura de paquetes en la interfaz Ethernet1/2 |
Ethernet1/2 |
102 |
Solo entrada |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
Configure y verifique una captura de paquetes en la interfaz Portchannel1 con las interfaces miembro Ethernet1/4 y Ethernet1/5 |
Ethernet1/4 Ethernet1/5 |
1001 |
Solo entrada |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
Utilice FCM y CLI para configurar y verificar una captura de paquetes en las interfaces de la placa posterior.
Topología, flujo de paquetes y puntos de captura
Configuración
FCM
Realice estos pasos en FCM para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:
CLI DE FXOS
Realice estos pasos en la CLI de FXOS para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/9
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/10
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificación
FCM
Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:
CLI DE FXOS
Verifique los detalles de la captura en scope packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-10-0.pcap
Pcapsize: 1017424 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-9-0.pcap
Pcapsize: 1557432 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Recopilar archivos de captura
Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura. En el caso de más de una interfaz de backplane, asegúrese de abrir todos los archivos de captura para cada interfaz de backplane. En este caso, los paquetes se capturan en la interfaz Ethernet1/9 de la placa de interconexiones.
Seleccione el primer y el segundo paquete y verifique los puntos clave:
Seleccione el tercer y el cuarto paquetes y verifique los puntos clave:
Explicación
Cuando se configura una captura de paquetes en una interfaz de backplane, el switch captura simultáneamente cada paquete dos veces. En este caso, el switch interno recibe paquetes que ya están etiquetados por la aplicación en el módulo de seguridad con la etiqueta de VLAN de puerto y la etiqueta VPN. La etiqueta VLAN identifica la interfaz de salida que el chasis interno utiliza para reenviar los paquetes a la red. La etiqueta VLAN 103 en los paquetes de solicitud de eco ICMP identifica Ethernet1/3 como la interfaz de egreso, mientras que la etiqueta VLAN 102 en los paquetes de respuesta de eco ICMP identifica Ethernet1/2 como la interfaz de egreso. El switch interno quita la etiqueta VN y la etiqueta VLAN de la interfaz interna antes de que los paquetes se reenvíen a la red.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
VLAN de puerto interno en paquetes capturados |
Dirección: |
Tráfico capturado |
Configuración y verificación de capturas de paquetes en interfaces de backplane |
Interfaces de backplane |
102 103 |
Solo entrada |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 Respuestas de eco ICMP del host 198.51.100.100 al host 192.0.2.100 |
Las capturas de paquetes de puertos de aplicaciones o aplicaciones siempre se configuran en las interfaces de la placa de interconexiones y, además, en las interfaces frontales si el usuario especifica la dirección de captura de la aplicación.
Hay principalmente 2 casos prácticos:
En esta sección se tratan ambos casos prácticos.
Tarea 1
Utilice FCM y CLI para configurar y verificar una captura de paquetes en la interfaz de la placa de interconexiones. Se capturan los paquetes para los que el puerto de aplicación Ethernet1/2 se identifica como la interfaz de salida. En este caso, se capturan las respuestas ICMP.
Topología, flujo de paquetes y puntos de captura
Configuración
FCM
Realice estos pasos en FCM para configurar una captura de paquetes en la aplicación FTD y el puerto Ethernet1/2 de la aplicación:
CLI DE FXOS
Realice estos pasos en la CLI de FXOS para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create app-port 1 l12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session/app-port* # set filter ""
firepower /packet-capture/session/app-port* # set subinterface 0
firepower /packet-capture/session/app-port* # up
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificación
FCM
Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:
CLI DE FXOS
Verifique los detalles de la captura en scope packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Application ports involved in Packet Capture:
Slot Id: 1
Link Name: l12
Port Name: Ethernet1/2
App Name: ftd
Sub Interface: 0
Application Instance Identifier: ftd1
Application ports resolved to:
Name: vnic1
Eq Slot Id: 1
Eq Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
Pcapsize: 53640 bytes
Vlan: 102
Filter:
Name: vnic2
Eq Slot Id: 1
Eq Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
Pcapsize: 1824 bytes
Vlan: 102
Filter:
Recopilar archivos de captura
Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura. En el caso de varias interfaces de backplane, asegúrese de abrir todos los archivos de captura para cada interfaz de backplane. En este caso, los paquetes se capturan en la interfaz Ethernet1/9 de la placa de interconexiones.
Seleccione el primer y el segundo paquete y verifique los puntos clave:
Explicación
En este caso, Ethernet1/2 con la etiqueta VLAN de puerto 102 es la interfaz de salida para los paquetes de respuesta de eco ICMP.
Cuando la dirección de captura de la aplicación se establece en Egress en las opciones de captura, los paquetes con la etiqueta de VLAN de puerto 102 en el encabezado Ethernet se capturan en las interfaces de la placa posterior en la dirección de ingreso.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
VLAN de puerto interno en paquetes capturados |
Dirección: |
Tráfico capturado |
Configuración y verificación de capturas en la aplicación y el puerto de aplicación Ethernet1/2 |
Interfaces de backplane |
102 |
Solo entrada |
Respuestas de eco ICMP del host 198.51.100.100 al host 192.0.2.100 |
Tarea 2:
Utilice FCM y CLI para configurar y verificar una captura de paquetes en la interfaz de la placa de interconexiones y la interfaz Ethernet1/2 frontal.
Las capturas de paquetes simultáneas se configuran en:
Topología, flujo de paquetes y puntos de captura
Configuración
FCM
Realice estos pasos en FCM para configurar una captura de paquetes en la aplicación FTD y el puerto Ethernet1/2 de la aplicación:
CLI DE FXOS
Realice estos pasos en la CLI de FXOS para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port eth1/2
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # create app-port 1 link12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # commit
Verificación
FCM
Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:
CLI DE FXOS
Verifique los detalles de la captura en scope packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 410444 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Application ports involved in Packet Capture:
Slot Id: 1
Link Name: link12
Port Name: Ethernet1/2
App Name: ftd
Sub Interface: 0
Application Instance Identifier: ftd1
Application ports resolved to:
Name: vnic1
Eq Slot Id: 1
Eq Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
Pcapsize: 128400 bytes
Vlan: 102
Filter:
Name: vnic2
Eq Slot Id: 1
Eq Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
Pcapsize: 2656 bytes
Vlan: 102
Filter:
Recopilar archivos de captura
Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura. En el caso de varias interfaces de backplane, asegúrese de abrir todos los archivos de captura para cada interfaz de backplane. En este caso, los paquetes se capturan en la interfaz Ethernet1/9 de la placa de interconexiones.
Abra el archivo de captura para la interfaz Ethernet1/2, seleccione el primer paquete y verifique los puntos clave:
Seleccione el segundo paquete y verifique los puntos clave:
Abra el archivo de captura para la interfaz Ethernet1/9, seleccione el primer y el segundo paquete y verifique los puntos clave:
Explicación
Si se selecciona la opción Todos los paquetes en la Dirección de captura de la aplicación, se configuran 2 capturas de paquetes simultáneas relacionadas con el puerto Ethernet1/2 de la aplicación seleccionada: una captura en la interfaz Ethernet1/2 frontal y una captura en interfaces de backplane seleccionadas.
Cuando se configura una captura de paquetes en una interfaz frontal, el switch captura simultáneamente cada paquete dos veces:
En el orden de las operaciones, la etiqueta VN se inserta en una etapa posterior a la inserción de la etiqueta VLAN del puerto. Sin embargo, en el archivo de captura, el paquete con la etiqueta VN se muestra antes que el paquete con la etiqueta de puerto VLAN. En este ejemplo, la etiqueta VLAN 102 en los paquetes de solicitud de eco ICMP identifica Ethernet1/2 como la interfaz de ingreso.
Cuando se configura una captura de paquetes en una interfaz de backplane, el switch captura simultáneamente cada paquete dos veces. El switch interno recibe paquetes que ya están etiquetados por la aplicación en el módulo de seguridad con la etiqueta de VLAN de puerto y la etiqueta VN. La etiqueta de VLAN de puerto identifica la interfaz de salida que el chasis interno utiliza para reenviar los paquetes a la red. En este ejemplo, la etiqueta VLAN 102 en los paquetes de respuesta de eco ICMP identifica Ethernet1/2 como la interfaz de salida.
El switch interno quita la etiqueta VN y la etiqueta VLAN de la interfaz interna antes de que los paquetes se reenvíen a la red.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
VLAN de puerto interno en paquetes capturados |
Dirección: |
Tráfico capturado |
Configuración y verificación de capturas en la aplicación y el puerto de aplicación Ethernet1/2 |
Interfaces de backplane |
102 |
Solo entrada |
Respuestas de eco ICMP del host 198.51.100.100 al host 192.0.2.100 |
Interfaz Ethernet1/2 |
102 |
Solo entrada |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
Utilice FCM y CLI para configurar y verificar una captura de paquetes en la subinterfaz Ethernet1/2.205 o en la subinterfaz de canal de puerto Portchannel1.207. Las subinterfaces y capturas en las subinterfaces sólo se admiten para la aplicación FTD en modo contenedor. En este caso, se configura una captura de paquetes en Ethernet1/2.205 y Portchannel1.207.
Topología, flujo de paquetes y puntos de captura
Configuración
FCM
Realice estos pasos en FCM para configurar una captura de paquetes en la aplicación FTD y el puerto Ethernet1/2 de la aplicación:
3. En el caso de una subinterfaz de canal de puerto, debido al ID de bug de Cisco, las subinterfaces CSCvq33119 no son visibles en FCM. Utilice la CLI de FXOS para configurar capturas en subinterfaces de canal de puerto.
CLI DE FXOS
Realice estos pasos en la CLI de FXOS para configurar una captura de paquetes en las subinterfaces Ethernet1/2.205 y Portchannel1.207:
firepower# scope ssa
firepower /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Container No RP20 Not Applicable None
ftd ftd2 1 Enabled Online 7.2.0.82 7.2.0.82 Container No RP20 Not Applicable None
firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/3(P) Eth1/3(P)
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 205
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Para subinterfaces de canal de puerto, cree una captura de paquetes para cada interfaz miembro de canal de puerto:
firepower# scope packet-capture
firepower /packet-capture # create filter vlan207
firepower /packet-capture/filter* # set ovlan 207
firepower /packet-capture/filter* # up
firepower /packet-capture* # create session cap1
firepower /packet-capture/session* create phy-port Eth1/3
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificación
FCM
Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:
Las capturas de subinterfaz de canal de puerto configuradas en la CLI de FXOS también son visibles en FCM; sin embargo, no se pueden editar:
CLI DE FXOS
Verifique los detalles de la captura en scope packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 9324 bytes
Filter:
Sub Interface: 205
Application Instance Identifier: ftd1
Application Name: ftd
Canal de puerto 1 con interfaces miembro Ethernet1/3 y Ethernet1/4:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 3
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-3-0.pcap
Pcapsize: 160 bytes
Filter:
Sub Interface: 207
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 4
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
Pcapsize: 624160 bytes
Filter:
Sub Interface: 207
Application Instance Identifier: ftd1
Application Name: ftd
Recopilar archivos de captura
Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir el archivo de captura. Seleccione el primer paquete y verifique los puntos clave:
Seleccione el segundo paquete y verifique los puntos clave:
Ahora abra los archivos de captura para Portchannel1.207. Seleccione el primer paquete y verifique los puntos clave
Seleccione el segundo paquete y verifique los puntos clave:
Explicación
Cuando se configura una captura de paquetes en una interfaz frontal, el switch captura simultáneamente cada paquete dos veces:
En el orden de las operaciones, la etiqueta VN se inserta en una etapa posterior a la inserción de la etiqueta VLAN del puerto. Sin embargo, en el archivo de captura, el paquete con la etiqueta VN se muestra antes que el paquete con la etiqueta de puerto VLAN. Además, en el caso de las subinterfaces, en los archivos de captura, cada segundo paquete no contiene la etiqueta de VLAN de puerto.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
VLAN de puerto interno en paquetes capturados |
Dirección: |
Tráfico capturado |
Configure y verifique una captura de paquetes en la subinterfaz Ethernet1/2.205 |
Ethernet1/2.205 |
102 |
Solo entrada |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
Configure y verifique una captura de paquetes en la subinterfaz Portchannel1 con las interfaces miembro Ethernet1/3 y Ethernet1/4 |
Ethernet1/3 Ethernet1/4 |
1001 |
Solo entrada |
Solicitudes de eco ICMP de 192.168.207.100 al host 192.168.207.102 |
Utilice FCM y CLI para configurar y verificar una captura de paquetes en la interfaz Ethernet1/2 con un filtro.
Topología, flujo de paquetes y puntos de captura
Configuración
FCM
Realice estos pasos en FCM para configurar un filtro de captura para los paquetes de solicitud de eco ICMP del host 192.0.2.100 al host 198.51.100.100 y aplicarlo a la captura de paquetes en la interfaz Ethernet1/2:
Utilice Tools > Packet Capture > Filter List > Add Filter para crear un filtro de captura.
CLI DE FXOS
Realice estos pasos en la CLI de FXOS para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
2. Identifique el número de protocolo IP en https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml. En este caso, el número de protocolo ICMP es 1.
3. Cree una sesión de captura:
firepower# scope packet-capture
firepower /packet-capture # create filter filter_icmp
firepower /packet-capture/filter* # set destip 198.51.100.100
firepower /packet-capture/filter* # set protocol 1
firepower /packet-capture/filter* # set srcip 192.0.2.100
firepower /packet-capture/filter* # exit
firepower /packet-capture* # create session cap1
firepower /packet-capture/session* # create phy-port Ethernet1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set filter filter_icmp
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificación
FCM
Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:
Verifique el nombre de la interfaz, el filtro, asegúrese de que el estado operativo esté activo y el tamaño del archivo (en bytes) aumente en Herramientas > Captura de paquetes > Sesión de captura:
CLI DE FXOS
Verifique los detalles de la captura en scope packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show filter detail
Configure a filter for packet capture:
Name: filter_icmp
Protocol: 1
Ivlan: 0
Ovlan: 0
Src Ip: 192.0.2.100
Dest Ip: 198.51.100.100
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Src Ipv6: ::
Dest Ipv6: ::
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 213784 bytes
Filter: filter_icmp
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Recopilar archivos de captura
Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir el archivo de captura. Seleccione el primer paquete y compruebe los puntos clave
Seleccione el segundo paquete y verifique los puntos clave:
Explicación
Cuando se configura una captura de paquetes en una interfaz frontal, el switch captura simultáneamente cada paquete dos veces:
En el orden de las operaciones, la etiqueta VN se inserta en una etapa posterior a la inserción de la etiqueta VLAN del puerto. Sin embargo, en el archivo de captura, el paquete con la etiqueta VN se muestra antes que el paquete con la etiqueta de puerto VLAN.
Cuando se aplica un filtro de captura, sólo se capturan los paquetes que coinciden con el filtro en la dirección de entrada.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
VLAN de puerto interno en paquetes capturados |
Dirección: |
Filtro de usuario |
Tráfico capturado |
Configure y verifique una captura de paquetes con un filtro en la interfaz Ethernet1/2 frontal |
Ethernet1/2 |
102 |
Solo entrada |
Protocolo: ICMP Fuente: 192.0.2.100 Destino: 198.51.100.100 |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
FCM
Realice estos pasos en FCM para recopilar archivos de captura de switch internos:
En el caso de las interfaces de canal de puerto, repita este paso para cada interfaz miembro.
CLI DE FXOS
Realice estos pasos en la CLI de FXOS para recopilar los archivos de captura:
firepower# scope packet-capture
firepower /packet-capture # scope session cap1
firepower /packet-capture/session # disable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # up
firepower /packet-capture # show session cap1 detail
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Disabled
Oper State: Down
Oper State Reason: Admin Disable
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 115744 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
firepower# connect local-mgmt
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ?
ftp: Dest File URI
http: Dest File URI
https: Dest File URI
scp: Dest File URI
sftp: Dest File URI
tftp: Dest File URI
usbdrive: Dest File URI
volatile: Dest File URI
workspace: Dest File URI
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ftp://ftpuser@10.10.10.1/cap1-ethernet-1-2-0.pcap
Password:
En el caso de las interfaces de canal de puerto, copie el archivo de captura para cada interfaz miembro.
Para conocer las pautas y limitaciones relacionadas con la captura de switches internos Firepower 4100/9300, consulte la Guía de configuración de Cisco Firepower 4100/9300 FXOS Chassis Manager o la Guía de configuración de Cisco Firepower 4100/9300 FXOS CLI, capítulo Resolución de problemas, sección Captura de paquetes.
Esta es la lista de prácticas recomendadas basadas en el uso de la captura de paquetes en casos de TAC:
A diferencia de Firepower 4100/9300, las capturas del switch interno en Secure Firewall 3100/4200 se configuran en la interfaz de línea de comandos de la aplicación mediante el comando capture <name>switch, donde la opción switch especifica que las capturas se configuran en el switch interno.
Este es el comando capture con la opción switch:
> capture cap_sw switch ?
buffer Configure size of capture buffer, default is 256MB
ethernet-type Capture Ethernet packets of a particular type, default is IP
interface Capture packets on a specific interface
ivlan Inner Vlan
match Capture packets based on match criteria
ovlan Outer Vlan
packet-length Configure maximum length to save from each packet, default is
64 bytes
real-time Display captured packets in real-time. Warning: using this
option with a slow console connection may result in an
excessive amount of non-displayed packets due to performance
limitations.
stop Stop packet capture
trace Trace the captured packets
type Capture packets based on a particular type
<cr>
Los pasos generales para la configuración de la captura de paquetes son los siguientes:
La configuración de captura del switch acepta el nombre de interfaz de ingreso si. El usuario puede especificar nombres de interfaces de datos, enlaces ascendentes internos o las interfaces de administración:
> capture capsw switch interface ?
Available interfaces to listen:
in_data_uplink1 Capture packets on internal data uplink1 interface
in_mgmt_uplink1 Capture packets on internal mgmt uplink1 interface
inside Name of interface Ethernet1/1.205
management Name of interface Management1/1
Secure Firewall 4200 admite capturas bidireccionales. El valor predeterminado es ingress, a menos que se especifique lo contrario:
> capture capi switch interface inside direction
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
Además, Secure Firewall 4245 tiene 2 datos internos y 2 interfaces de enlace ascendente de gestión:
> capture capsw switch interface
eventing Name of interface Management1/2
in_data_uplink1 Capture packets on internal data uplink1 interface
in_data_uplink2 Capture packets on internal data uplink2 interface
in_mgmt_uplink1 Capture packets on internal mgmt uplink1 interface
in_mgmt_uplink2 Capture packets on internal mgmt uplink2 interface
management Name of interface Management1/1
> capture capsw switch interface inside ethernet-type ?
802.1Q
<0-65535> Ethernet type
arp
ip
ip6
pppoed
pppoes
rarp
sgt
vlan
> capture capsw switch interface inside match ?
<0-255> Enter protocol number (0 - 255)
ah
eigrp
esp
gre
icmp
icmp6
igmp
igrp
ip
ipinip
ipsec
mac Mac-address filter
nos
ospf
pcp
pim
pptp
sctp
snp
spi SPI value
tcp
udp
<cr>
> capture capsw switch interface inside match ip
> no capture capsw switch stop
> show capture capsw
27 packet captured on disk using switch capture
Reading of capture file from disk is not supported
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 18838
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
> capture capsw switch stop
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 24
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
8. Recopile los archivos de captura. Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall.
En la versión 7.4 del software Secure Firewall, la configuración de captura del switch interno no es compatible con FMC o FDM. En el caso del software ASA versión 9.18(1) y posteriores, las capturas internas del switch se pueden configurar en las versiones 7.18.1.x y posteriores de ASDM.
Estos escenarios abarcan casos prácticos comunes de capturas de switches internos de Secure Firewall 3100/4200.
Utilice el FTD o ASA CLI para configurar y verificar una captura de paquetes en la interfaz Ethernet1/1 o Portchannel1. Ambas interfaces tienen el nombre if inside.
Topología, flujo de paquetes y puntos de captura
Firewall seguro 3100:
Secure Firewall 4200 con capturas bidireccionales:
Configuración
Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes en la interfaz Ethernet1/1 o Port-channel1:
> show nameif
Interface Name Security
Ethernet1/1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> show nameif
Interface Name Security
Port-channel1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside
Secure Firewall 4200 admite direccionalidad de captura:
> capture capsw switch interface inside direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface inside direction both
> no capture capsw switch stop
Verificación
Verifique el nombre de la sesión de captura, el estado operativo y administrativo, la ranura de interfaz y el identificador. Asegúrese de que el valor de Pcapsize en bytes aumente y el número de paquetes capturados no sea cero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 12653
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
79 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Firewall seguro 4200:
> show cap capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Direction: both
Drop: disable
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
33 packet captured on disk using switch capture
Reading of capture file from disk is not supported
En el caso del canal de puerto 1, la captura se configura en todas las interfaces miembro:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 2
Physical port:
Slot Id: 1
Port Id: 4
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
Pcapsize: 28824
Filter: capsw-1-4
Packet Capture Filter Info
Name: capsw-1-4
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Physical port:
Slot Id: 1
Port Id: 3
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
Pcapsize: 18399
Filter: capsw-1-3
Packet Capture Filter Info
Name: capsw-1-3
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
56 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Las interfaces de miembro de canal de puerto se pueden verificar en el shell de comandos FXOS local-mgmt a través del comando show portchannel summary:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
Channel PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1 Po1(U) False
Cluster LACP Status:
--------------------------------------------------------------------------------
Channel ClusterSpanned ClusterDetach ClusterUnitID ClusterSysID
--------------------------------------------------------------------------------
1 Po1(U) False False 0 clust
Para acceder al FXOS en ASA, ejecute el comando connect fxos admin. En el caso de multicontexto, ejecute el comando en el contexto de administración.
Recopilar archivos de captura
Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura para Ethernet1/1. En este ejemplo, se analizan los paquetes capturados en Secure Firewall 3100. Seleccione el primer paquete y verifique los puntos clave:
Abra los archivos de captura para las interfaces de miembro Portchannel1. Seleccione el primer paquete y verifique los puntos clave:
Explicación
Las capturas del switch se configuran en las interfaces Ethernet1/1 o Portchannel1.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
Filtro interno |
Dirección: |
Tráfico capturado |
Configuración y verificación de una captura de paquetes en la interfaz Ethernet1/1 |
Ethernet1/1 |
Ninguno |
Solo entrada* |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
Configure y verifique una captura de paquetes en la interfaz Portchannel1 con las interfaces miembro Ethernet1/3 y Ethernet1/4 |
Ethernet1/3 Ethernet1/4 |
Ninguno |
Solo entrada* |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
* A diferencia del 3100, el Secure Firewall 4200 admite capturas bidireccionales (entrada y salida).
Utilice el FTD o ASA CLI para configurar y verificar una captura de paquetes en las subinterfaces Ethernet1/1.205 o Portchannel1.205. Ambas subinterfaces tienen el nombre if inside.
Topología, flujo de paquetes y puntos de captura
Firewall seguro 3100:
Firewall seguro 4200:
Configuración
Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes en la interfaz Ethernet1/1 o Port-channel1:
> show nameif
Interface Name Security
Ethernet1/1.205 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> show nameif
Interface Name Security
Port-channel1.205 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside
Secure Firewall 4200 admite direccionalidad de captura:
> capture capsw switch interface inside direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface inside direction both
3. Active la sesión de captura:
> no capture capsw switch stop
Verificación
Verifique el nombre de la sesión de captura, el estado operativo y administrativo, la ranura de interfaz y el identificador. Asegúrese de que el valor de Pcapsize en bytes aumente y el número de paquetes capturados no sea cero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 6360
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
46 packets captured on disk using switch capture
Reading of capture file from disk is not supported
En este caso, se crea un filtro con la VLAN externa Ovlan=205 y se aplica a la interfaz.
En el caso del Port-channel1, la captura con un filtro Ovlan=205 se configura en todas las interfaces miembro:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 2
Physical port:
Slot Id: 1
Port Id: 4
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
Pcapsize: 23442
Filter: capsw-1-4
Packet Capture Filter Info
Name: capsw-1-4
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Physical port:
Slot Id: 1
Port Id: 3
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
Pcapsize: 5600
Filter: capsw-1-3
Packet Capture Filter Info
Name: capsw-1-3
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
49 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Las interfaces de miembro de canal de puerto se pueden verificar en el shell de comandos FXOS local-mgmt a través del comando show portchannel summary:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
Channel PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1 Po1(U) False
Cluster LACP Status:
--------------------------------------------------------------------------------
Channel ClusterSpanned ClusterDetach ClusterUnitID ClusterSysID
--------------------------------------------------------------------------------
1 Po1(U) False False 0 clust
Para acceder al FXOS en ASA, ejecute el comando connect fxos admin. En el caso de multicontexto, ejecute este comando en el contexto de administración.
Recopilar archivos de captura
Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura para Ethernet1/1.205. En este ejemplo, se analizan los paquetes capturados en Secure Firewall 3100. Seleccione el primer paquete y verifique los puntos clave:
Abra los archivos de captura para las interfaces de miembro Portchannel1. Seleccione el primer paquete y verifique los puntos clave:
Explicación
Las capturas del switch se configuran en las subinterfaces Ethernet1/1.205 o Portchannel1.205 con un filtro que coincide con la VLAN externa 205.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
Filtro interno |
Dirección: |
Tráfico capturado |
Configure y verifique una captura de paquetes en la subinterfaz Ethernet1/1.205 |
Ethernet1/1 |
VLAN externa 205 |
Solo entrada* |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
Configure y verifique una captura de paquetes en la subinterfaz Portchannel1.205 con las interfaces miembro Ethernet1/3 y Ethernet1/4 |
Ethernet1/3 Ethernet1/4 |
VLAN externa 205 |
Solo entrada* |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 |
* A diferencia del 3100, el Secure Firewall 4200 admite capturas bidireccionales (entrada y salida).
Secure Firewall 3100 tiene 2 interfaces internas:
Secure Firewall 4200 tiene hasta 4 interfaces internas:
Tarea 1
Utilice el FTD o la CLI de ASA para configurar y verificar una captura de paquetes en la interfaz de enlace ascendente in_data_uplink1.
Topología, flujo de paquetes y puntos de captura
Firewall seguro 3100:
Firewall seguro 4200:
Configuración
Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes en la interfaz in_data_uplink1:
> capture capsw switch interface in_data_uplink1
Secure Firewall 4200 admite direccionalidad de captura:
> capture capsw switch interface in_data_uplink1 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface in_data_uplink1 direction both
2.Habilite la sesión de captura:
> no capture capsw switch stop
Verificación
Verifique el nombre de la sesión de captura, el estado operativo y administrativo, la ranura de interfaz y el identificador. Asegúrese de que el valor de Pcapsize en bytes aumente y el número de paquetes capturados no sea cero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 18
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-data-uplink1.pcap
Pcapsize: 7704
Filter: capsw-1-18
Packet Capture Filter Info
Name: capsw-1-18
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
66 packets captured on disk using switch capture
Reading of capture file from disk is not supported
En este caso, se crea una captura en la interfaz con un ID interno 18 que es la interfaz in_data_uplink1 en Secure Firewall 3130. El comando show portmanager switch status en el shell de comandos FXOS local-mgmt muestra los ID de la interfaz:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode Port Manager
--------- ---------------- ----- ----- ------ ------------- ------------
0/1 SGMII Up 1G Full None Link-Up
0/2 SGMII Up 1G Full None Link-Up
0/3 SGMII Up 1G Full None Link-Up
0/4 SGMII Up 1G Full None Link-Up
0/5 SGMII Down 1G Half None Mac-Link-Down
0/6 SGMII Down 1G Half None Mac-Link-Down
0/7 SGMII Down 1G Half None Mac-Link-Down
0/8 SGMII Down 1G Half None Mac-Link-Down
0/9 1000_BaseX Down 1G Full None Link-Down
0/10 1000_BaseX Down 1G Full None Link-Down
0/11 1000_BaseX Down 1G Full None Link-Down
0/12 1000_BaseX Down 1G Full None Link-Down
0/13 1000_BaseX Down 1G Full None Link-Down
0/14 1000_BaseX Down 1G Full None Link-Down
0/15 1000_BaseX Down 1G Full None Link-Down
0/16 1000_BaseX Down 1G Full None Link-Down
0/17 1000_BaseX Up 1G Full None Link-Up
0/18 KR2 Up 50G Full None Link-Up
0/19 KR Up 25G Full None Link-Up
0/20 KR Up 25G Full None Link-Up
0/21 KR4 Down 40G Full None Link-Down
0/22 n/a Down n/a Full N/A Reset
0/23 n/a Down n/a Full N/A Reset
0/24 n/a Down n/a Full N/A Reset
0/25 1000_BaseX Down 1G Full None Link-Down
0/26 n/a Down n/a Full N/A Reset
0/27 n/a Down n/a Full N/A Reset
0/28 n/a Down n/a Full N/A Reset
0/29 1000_BaseX Down 1G Full None Link-Down
0/30 n/a Down n/a Full N/A Reset
0/31 n/a Down n/a Full N/A Reset
0/32 n/a Down n/a Full N/A Reset
0/33 1000_BaseX Down 1G Full None Link-Down
0/34 n/a Down n/a Full N/A Reset
0/35 n/a Down n/a Full N/A Reset
0/36 n/a Down n/a Full N/A Reset
Para acceder al FXOS en ASA, ejecute el comando connect fxos admin. En el caso de multicontexto, ejecute este comando en el contexto de administración.
Recopilar archivos de captura
Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura para la interfaz in_data_uplink1. En este ejemplo, se analizan los paquetes capturados en Secure Firewall 3100.
Verifique el punto clave: en este caso, se capturan los paquetes de solicitud de eco ICMP y de respuesta de eco. Estos son los paquetes enviados desde la aplicación al switch interno.
Explicación
Cuando se configura una captura de switch en la interfaz de enlace ascendente, solo se capturan los paquetes enviados desde la aplicación al switch interno. Los paquetes enviados a la aplicación no se capturan.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
Filtro interno |
Dirección: |
Tráfico capturado |
Configure y verifique una captura de paquetes en la interfaz de enlace ascendente in_data_uplink1 |
in_data_uplink1 |
Ninguno |
Solo entrada* |
Solicitudes de eco ICMP del host 192.0.2.100 al host 198.51.100.100 Respuestas de eco ICMP del host 198.51.100.100 al host 192.0.2.100 |
* A diferencia de 3100, Secure Firewall 4200 admite capturas bidireccionales (entrada y salida).
Tarea 2:
Utilice el FTD o la CLI de ASA para configurar y verificar una captura de paquetes en la interfaz de enlace ascendente in_mgmt_uplink1. Sólo se capturan los paquetes de las conexiones del plano de administración.
Topología, flujo de paquetes y puntos de captura
Firewall seguro 3100:
Firewall seguro 4200:
Configuración
Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes en la interfaz in_mgmt_uplink1:
> capture capsw switch interface in_mgmt_uplink1
Secure Firewall 4200 admite direccionalidad de captura:
> capture capsw switch interface in_mgmt_uplink1 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface in_mgmt_uplink1 direction both
2. Active la sesión de captura:
> no capture capsw switch stop
Verificación
Verifique el nombre de la sesión de captura, el estado operativo y administrativo, la ranura de interfaz y el identificador. Asegúrese de que el valor de Pcapsize en bytes aumente y el número de paquetes capturados no sea cero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 19
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-mgmt-uplink1.pcap
Pcapsize: 137248
Filter: capsw-1-19
Packet Capture Filter Info
Name: capsw-1-19
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
281 packets captured on disk using switch capture
Reading of capture file from disk is not supported
En este caso, se crea una captura en la interfaz con un ID interno 19 que es la interfaz in_mgmt_uplink1 en Secure Firewall 3130. El comando show portmanager switch status en el shell de comandos FXOS local-mgmt muestra los ID de la interfaz:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode Port Manager
--------- ---------------- ----- ----- ------ ------------- ------------
0/1 SGMII Up 1G Full None Link-Up
0/2 SGMII Up 1G Full None Link-Up
0/3 SGMII Up 1G Full None Link-Up
0/4 SGMII Up 1G Full None Link-Up
0/5 SGMII Down 1G Half None Mac-Link-Down
0/6 SGMII Down 1G Half None Mac-Link-Down
0/7 SGMII Down 1G Half None Mac-Link-Down
0/8 SGMII Down 1G Half None Mac-Link-Down
0/9 1000_BaseX Down 1G Full None Link-Down
0/10 1000_BaseX Down 1G Full None Link-Down
0/11 1000_BaseX Down 1G Full None Link-Down
0/12 1000_BaseX Down 1G Full None Link-Down
0/13 1000_BaseX Down 1G Full None Link-Down
0/14 1000_BaseX Down 1G Full None Link-Down
0/15 1000_BaseX Down 1G Full None Link-Down
0/16 1000_BaseX Down 1G Full None Link-Down
0/17 1000_BaseX Up 1G Full None Link-Up
0/18 KR2 Up 50G Full None Link-Up
0/19 KR Up 25G Full None Link-Up
0/20 KR Up 25G Full None Link-Up
0/21 KR4 Down 40G Full None Link-Down
0/22 n/a Down n/a Full N/A Reset
0/23 n/a Down n/a Full N/A Reset
0/24 n/a Down n/a Full N/A Reset
0/25 1000_BaseX Down 1G Full None Link-Down
0/26 n/a Down n/a Full N/A Reset
0/27 n/a Down n/a Full N/A Reset
0/28 n/a Down n/a Full N/A Reset
0/29 1000_BaseX Down 1G Full None Link-Down
0/30 n/a Down n/a Full N/A Reset
0/31 n/a Down n/a Full N/A Reset
0/32 n/a Down n/a Full N/A Reset
0/33 1000_BaseX Down 1G Full None Link-Down
0/34 n/a Down n/a Full N/A Reset
0/35 n/a Down n/a Full N/A Reset
0/36 n/a Down n/a Full N/A Reset
Para acceder al FXOS en ASA, ejecute el comando connect fxos admin. En el caso de multicontexto, ejecute este comando en el contexto de administración.
Recopilar archivos de captura
Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall.
Capturar análisis de archivos
Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura para la interfaz in_mgmt_uplink1. En este ejemplo, se analizan los paquetes capturados en Secure Firewall 3100.
Verifique el punto clave; en este caso, sólo se muestran los paquetes de la dirección IP de administración 192.0.2.200. Algunos ejemplos son SSH, Sftunnel o paquetes de respuesta de eco ICMP. Estos son los paquetes enviados desde la interfaz de administración de aplicaciones a la red a través del switch interno.
Explicación
Cuando se configura una captura de switch en la interfaz de link ascendente de administración, solo se capturan los paquetes de ingreso enviados desde la interfaz de administración de aplicaciones. Los paquetes destinados a la interfaz de administración de aplicaciones no se capturan.
Esta tabla resume la tarea:
Tarea |
Punto de captura |
Filtro interno |
Dirección: |
Tráfico capturado |
Configuración y verificación de una captura de paquetes en la interfaz de link ascendente de administración |
in_mgmt_uplink1 |
Ninguno |
Solo entrada* (desde la interfaz de gestión hasta la red a través del switch interno) |
Respuestas de eco ICMP de la dirección IP de administración de FTD 192.0.2.200 al host 192.0.2.100 Sftunnel de la dirección IP de gestión de FTD 192.0.2.200 a la dirección IP de FMC 192.0.2.101 SSH desde la dirección IP de administración de FTD 192.0.2.200 al host 192.0.2.100 |
* A diferencia de 3100, Secure Firewall 4200 admite capturas bidireccionales (entrada y salida).
Los filtros de captura de paquetes de switch internos se configuran de la misma manera que las capturas del plano de datos. Utilice las opciones ethernet-type y match para configurar los filtros.
Configuración
Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes con un filtro que coincida con las tramas ARP o los paquetes ICMP del host 198.51.100.100 en la interfaz Ethernet1/1:
> show nameif
Interface Name Security
Ethernet1/1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside ethernet-type arp
> capture capsw switch interface inside match icmp 198.51.100.100
Verificación
Verifique el nombre de la sesión de captura y el filtro. El valor Ethertype es 2054 en decimal y 0x0806 en hexadecimal:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 2054
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Esta es la verificación del filtro para ICMP. El protocolo IP 1 es el ICMP:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 1
Ivlan: 0
Ovlan: 0
Src Ip: 198.51.100.100
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Utilice ASA o FTD CLI para recopilar archivos de captura de switch internos. En FTD, el archivo de captura también se puede exportar a través del comando CLI copy a destinos accesibles a través de las interfaces de datos o diagnóstico.
Como alternativa, el archivo se puede copiar a /ngfw/var/common en modo experto y descargarse de FMC mediante la opción File Download.
En el caso de las interfaces de canal de puerto, asegúrese de recopilar los archivos de captura de paquetes de todas las interfaces miembro.
ASA
Siga estos pasos en para recopilar los archivos de captura de switch internos en la CLI de ASA:
asa# capture capsw switch stop
asa# show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Utilice el comando CLI copy para exportar el archivo a destinos remotos:
asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs
FTD
Realice estos pasos para recopilar los archivos de captura de switch internos en la CLI de FTD y copiarlos en servidores accesibles a través de interfaces de datos o diagnóstico:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Click 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password: <-- Enter
firepower#
firepower# capture capi switch stop
firepower# show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs
Siga estos pasos en para recopilar archivos de captura de FMC mediante la opción File Download:
> capture capsw switch stop
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
> expert
admin@firepower:~$ sudo su
root@firepower:/home/admin
root@KSEC-FPR3100-1:/home/admin cp /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap /ngfw/var/common/
root@KSEC-FPR3100-1:/home/admin ls -l /ngfw/var/common/sess*
-rwxr-xr-x 1 root admin 139826 Aug 7 20:14 /ngfw/var/common/sess-1-capsw-ethernet-1-1-0.pcap
-rwxr-xr-x 1 root admin 24 Aug 6 21:58 /ngfw/var/common/sess-1-capsw-ethernet-1-3-0.pcap
Directrices y limitaciones:
En el caso de ASA multicontexto, las capturas del switch en las interfaces de datos se configuran en contextos de usuario. Las capturas del switch en las interfaces in_data_uplink1 e in_mgmt_uplink1 se soportan solamente en el contexto de administración.
Esta es la lista de prácticas recomendadas basadas en el uso de la captura de paquetes en casos de TAC:
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
17-Sep-2022 |
Versión inicial |
1.0 |
27-Aug-2022 |
Versión inicial |