Introducción

Este documento describe la configuración y verificación de las capturas del switch interno Firepower y Secure Firewall.

Prerequisites

Requirements

Conocimiento básico del producto, análisis de captura.

Componentes Utilizados

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Firewall seguro 31xx, 42xx
• Firepower 41xx
• Firepower 93xx
• Cisco Secure eXtensible Operating System (FXOS) 2.12.0.x
• Cisco Secure Firewall Threat Defence (FTD) 7.2.0.x, 7.4.1-172
• Cisco Secure Firewall Management Center (FMC) 7.2.0.x, 7.4.1-172
• Adaptive Security Appliance (ASA) 9.18(1)x, 9.20(x)
• Wireshark 3.6.7 (https://www.wireshark.org/download.html)

Antecedentes

Descripción general de alto nivel de la arquitectura del sistema

Desde la perspectiva del flujo de paquetes, la arquitectura de Firepower 4100/9300 y Secure Firewall 3100/4200 se puede visualizar como se muestra en esta figura:

El chasis incluye estos componentes:

• Switch interno: reenvía el paquete de la red a la aplicación y viceversa. El switch interno está conectado a las interfaces frontales que residen en el módulo de interfaz integrado o los módulos de red externos y se conecta a dispositivos externos, por ejemplo, switches. Algunos ejemplos de interfaces frontales son Ethernet 1/1, Ethernet 2/4, etc. El "frente" no es una definición técnica fuerte. En este documento, se utiliza para distinguir las interfaces conectadas a dispositivos externos de las interfaces de backplane o uplink.

• Placa base o enlace ascendente: interfaz interna que conecta el módulo de seguridad (SM) al switch interno.
• Enlace ascendente de gestión: interfaz interna exclusiva de Secure Firewall 3100/4200 que proporciona una ruta de tráfico de gestión entre el switch interno y la aplicación.

Esta tabla muestra las interfaces de placa base en Firepower 4100/9300 y las interfaces de enlace ascendente en Secure Firewall 3100/4200:

En el caso de Firepower 4100/9300 con 2 interfaces de placa base por módulo o Secure Firewall 4245 con 2 interfaces de enlace ascendente de datos, el switch interno y las aplicaciones de los módulos realizan un equilibrio de carga de tráfico en las 2 interfaces.

• Módulo de seguridad, motor de seguridad o blade: el módulo en el que se instalan aplicaciones como FTD o ASA. Firepower 9300 admite hasta 3 módulos de seguridad.
• Interfaz de aplicación asignada: los nombres de las interfaces de backplane o uplink en aplicaciones, como FTD o ASA.

Utilice el comando show interface detail para verificar las interfaces internas:

> show interface detail | grep Interface
Interface Internal-Control0/0 "ha_ctl_nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 6
        Interface config status is active
        Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
  Control Point Interface States:
        Interface number is 2
        Interface config status is active
        Interface state is active
Interface Internal-Data0/1 "", is up, line protocol is up
  Control Point Interface States:
        Interface number is 3
        Interface config status is active
        Interface state is active
Interface Internal-Data0/2 "nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 4
        Interface config status is active
        Interface state is active
Interface Internal-Data0/3 "ccl_ha_nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 5
        Interface config status is active
        Interface state is active
Interface Internal-Data0/4 "cmi_mgmt_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 7
        Interface config status is active
        Interface state is active
Interface Port-channel6.666 "", is up, line protocol is up
Interface Ethernet1/1 "diagnostic", is up, line protocol is up
  Control Point Interface States:
        Interface number is 8
        Interface config status is active
        Interface state is active

Descripción general de alto nivel de las operaciones internas del switch

Firepower 4100/9300

Para tomar una decisión de reenvío, el switch interno utiliza una etiqueta de interfaz VLAN, o etiqueta de puerto VLAN, y una etiqueta de red virtual (VN-tag).

El switch interno utiliza la etiqueta de VLAN de puerto para identificar una interfaz. El switch inserta la etiqueta de VLAN de puerto en cada paquete de ingreso que vino en las interfaces frontales. El sistema configura automáticamente la etiqueta VLAN y no se puede cambiar manualmente.  El valor de la etiqueta se puede verificar en el shell de comandos fxos:

firepower# connect fxos 
…
firepower(fxos)# show run int e1/2
!Command: show running-config interface Ethernet1/2
!Time: Tue Jul 12 22:32:11 2022

version 5.0(3)N2(4.120)

interface Ethernet1/2
  description U: Uplink
  no lldp transmit
  no lldp receive
  no cdp enable
  switchport mode dot1q-tunnel
  switchport trunk native vlan 102
  speed 1000
  duplex full
  udld disable
  no shutdown

La etiqueta VN también es insertada por el switch interno y se utiliza para reenviar los paquetes a la aplicación. El sistema lo configura automáticamente y no se puede cambiar manualmente.

La etiqueta del puerto VLAN y la etiqueta VN se comparten con la aplicación. La aplicación inserta las respectivas etiquetas VLAN de interfaz de egreso y las etiquetas VN en cada paquete. Cuando el switch interno recibe un paquete de la aplicación en las interfaces de la placa posterior, el switch lee la etiqueta VLAN de la interfaz de egreso y la etiqueta VN, identifica la aplicación y la interfaz de egreso, elimina la etiqueta VLAN del puerto y la etiqueta VN y reenvía el paquete a la red.

Firewall seguro 3100/4200

Al igual que en Firepower 4100/9300, el switch interno utiliza la etiqueta de VLAN de puerto para identificar una interfaz.

La etiqueta del puerto VLAN se comparte con la aplicación. La aplicación inserta las respectivas etiquetas VLAN de interfaz de salida en cada paquete. Cuando el switch interno recibe un paquete de la aplicación en la interfaz de enlace ascendente, el switch lee la etiqueta VLAN de la interfaz de egreso, identifica la interfaz de egreso, elimina la etiqueta VLAN del puerto y reenvía el paquete a la red.

Flujo de paquetes y puntos de captura

Firepower 4100/9300 y Secure Firewall 3100

Los firewalls Firepower 4100/9300 y Secure Firewall 3100 admiten capturas de paquetes en las interfaces del switch interno.

Esta figura muestra los puntos de captura de paquetes a lo largo de la trayectoria del paquete dentro del chasis y la aplicación:

Los puntos de captura son:

1. Punto de captura de entrada de la interfaz frontal del switch interno. Una interfaz frontal es cualquier interfaz conectada a los dispositivos pares, como los switches.
2. Punto de captura de ingreso de interfaz de plano de datos
3. Punto de captura de Snort
4. Punto de captura de salida de interfaz de plano de datos
5. Plano posterior interno del switch o punto de captura de entrada de enlace ascendente. Una placa base o una interfaz de enlace ascendente conecta el switch interno a la aplicación.

El switch interno sólo admite capturas de interfaz de ingreso. Es decir, solo se pueden capturar los paquetes recibidos de la red o de la aplicación ASA/FTD. No se admiten capturas de paquetes de salida.

Firewall seguro 4200

Los firewalls Secure Firewall 4200 admiten capturas de paquetes en las interfaces del switch interno. Esta figura muestra los puntos de captura de paquetes a lo largo de la trayectoria del paquete dentro del chasis y la aplicación:

Los puntos de captura son:

1. Punto de captura de entrada de la interfaz frontal del switch interno. Una interfaz frontal es cualquier interfaz conectada a los dispositivos pares, como los switches.
2. Punto de captura de salida de la interfaz de backplane del switch interno.
3. Punto de captura de ingreso de interfaz de plano de datos
4. Punto de captura de Snort
5. Punto de captura de salida de interfaz de plano de datos
6. Plano posterior interno del switch o punto de captura de entrada de enlace ascendente. Una placa base o una interfaz de enlace ascendente conecta el switch interno a la aplicación.
7. Punto de captura de salida de la interfaz frontal del switch interno.

El switch interno admite capturas bidireccionales, tanto de entrada como de salida. De forma predeterminada, el switch interno captura paquetes en la dirección de ingreso.

Configuración y verificación en Firepower 4100/9300

Las capturas internas del switch Firepower 4100/9300 se pueden configurar en Herramientas > Captura de paquetes en FCM o en captura de paquetes de alcance en FXOS CLI. Para obtener una descripción de las opciones de captura de paquetes, consulte la Guía de configuración del administrador de chasis FXOS de Cisco Firepower 4100/9300 o la Guía de configuración CLI de FXOS de Cisco Firepower 4100/9300, capítulo Resolución de problemas, sección Captura de paquetes.

Estos escenarios abarcan casos prácticos comunes de capturas de switches internos Firepower 4100/9300.

Captura de paquetes en una interfaz física o de canal de puerto

Utilice FCM y CLI para configurar y verificar una captura de paquetes en la interfaz Ethernet1/2 o en la interfaz Portchannel1. En el caso de una interfaz de canal de puerto, asegúrese de seleccionar todas las interfaces de miembro físicas.

Topología, flujo de paquetes y puntos de captura

Configuración

FCM

Realice estos pasos en FCM para configurar una captura de paquetes en las interfaces Ethernet1/2 o Portchannel1:

1. Utilice Tools > Packet Capture > Capture Session para crear una nueva sesión de captura:

2. Seleccione la interfaz Ethernet1/2, proporcione el nombre de sesión y haga clic en Save and Run para activar la captura:

3. En el caso de una interfaz de canal de puerto, seleccione todas las interfaces de miembro físicas, proporcione el nombre de sesión y haga clic en Guardar y Ejecutar para activar la captura:

CLI DE FXOS

Realice estos pasos en la CLI de FXOS para configurar una captura de paquetes en las interfaces Ethernet1/2 o Portchannel1:

1. Identifique el tipo de aplicación y el identificador:

firepower# scope ssa
firepower /ssa # show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. En el caso de una interfaz de canal de puerto, identifique sus interfaces miembro:

firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags:  D - Down        P - Up in port-channel (members)
        I - Individual  H - Hot-standby (LACP only)
        s - Suspended   r - Module-removed
        S - Switched    R - Routed
        U - Up (port-channel)
        M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(SU)     Eth      LACP      Eth1/4(P)    Eth1/5(P)    

3. Crear una sesión de captura:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Para las interfaces de canal de puerto, se configura una captura independiente para cada interfaz miembro:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/5
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verificación

FCM

Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:

Portchannel1 con interfaces miembro Ethernet1/4 y Ethernet1/5:

CLI DE FXOS

Verifique los detalles de la captura en scope packet-capture:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 75136  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Canal de puerto 1 con interfaces miembro Ethernet1/4 y Ethernet1/5:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 4
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
    Pcapsize: 310276  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

    Slot Id: 1
    Port Id: 5
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-5-0.pcap
    Pcapsize: 160  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Recopilar archivos de captura

Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir el archivo de captura para Ethernet1/2. Seleccione el primer paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de ingreso Ethernet1/2.
4. El switch interno inserta una etiqueta VN adicional.

Seleccione el segundo paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de ingreso Ethernet1/2.

Abra los archivos de captura para las interfaces de miembro Portchannel1. Seleccione el primer paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta una etiqueta de VLAN de puerto adicional 1001 que identifica la interfaz de ingreso Portchannel1.
4. El switch interno inserta una etiqueta VN adicional.

Seleccione el segundo paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta una etiqueta de VLAN de puerto adicional 1001 que identifica la interfaz de ingreso Portchannel1.

Explicación

Cuando se configura una captura de paquetes en una interfaz frontal, el switch captura simultáneamente cada paquete dos veces:

• Después de la inserción de la etiqueta de VLAN de puerto.
• Después de insertar la etiqueta VN.

En el orden de las operaciones, la etiqueta VN se inserta en una etapa posterior a la inserción de la etiqueta VLAN del puerto. Sin embargo, en el archivo de captura, el paquete con la etiqueta VN se muestra antes que el paquete con la etiqueta de puerto VLAN.

Esta tabla resume la tarea:

Capturas de paquetes en interfaces de backplane

Utilice FCM y CLI para configurar y verificar una captura de paquetes en las interfaces de la placa posterior.

Topología, flujo de paquetes y puntos de captura

Configuración

FCM

Realice estos pasos en FCM para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:

1. Utilice Tools > Packet Capture > Capture Session para crear una nueva sesión de captura:

2. Para capturar paquetes en todas las interfaces de backplane, seleccione la aplicación y, a continuación, Todos los puertos de backplane en la lista desplegable Capturar en. También puede elegir la interfaz de backplane específica. En este caso, están disponibles las interfaces de placa base Ethernet1/9 y Ethernet1/10. Proporcione el Nombre de la Sesión y haga clic en Guardar y Ejecutar para activar la captura:

CLI DE FXOS

Realice estos pasos en la CLI de FXOS para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:

1. Identifique el tipo de aplicación y el identificador:

firepower# scope ssa
firepower /ssa# show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Crear una sesión de captura:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/9
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* #  create phy-port Eth1/10
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verificación

FCM

Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:

CLI DE FXOS

Verifique los detalles de la captura en scope packet-capture:

firepower# scope packet-capture
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-10-0.pcap
    Pcapsize: 1017424  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

    Slot Id: 1
    Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-9-0.pcap
    Pcapsize: 1557432  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Recopilar archivos de captura

Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura. En el caso de más de una interfaz de backplane, asegúrese de abrir todos los archivos de captura para cada interfaz de backplane. En este caso, los paquetes se capturan en la interfaz Ethernet1/9 de la placa de interconexiones.

Seleccione el primer y el segundo paquete y verifique los puntos clave:

1. Cada paquete de solicitud de eco ICMP se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 103 que identifica la interfaz de egreso Ethernet1/3.
4. El switch interno inserta una etiqueta VN adicional.

Seleccione el tercer y el cuarto paquetes y verifique los puntos clave:

1. Cada respuesta de eco ICMP se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de egreso Ethernet1/2.
4. El switch interno inserta una etiqueta VN adicional.

Explicación

Cuando se configura una captura de paquetes en una interfaz de backplane, el switch captura simultáneamente cada paquete dos veces. En este caso, el switch interno recibe paquetes que ya están etiquetados por la aplicación en el módulo de seguridad con la etiqueta de VLAN de puerto y la etiqueta VPN. La etiqueta VLAN identifica la interfaz de salida que el chasis interno utiliza para reenviar los paquetes a la red. La etiqueta VLAN 103 en los paquetes de solicitud de eco ICMP identifica Ethernet1/3 como la interfaz de egreso, mientras que la etiqueta VLAN 102 en los paquetes de respuesta de eco ICMP identifica Ethernet1/2 como la interfaz de egreso. El switch interno quita la etiqueta VN y la etiqueta VLAN de la interfaz interna antes de que los paquetes se reenvíen a la red.

Esta tabla resume la tarea:

Capturas de paquetes en puertos de aplicaciones y aplicaciones

Las capturas de paquetes de puertos de aplicaciones o aplicaciones siempre se configuran en las interfaces de la placa de interconexiones y, además, en las interfaces frontales si el usuario especifica la dirección de captura de la aplicación.

Hay principalmente 2 casos prácticos:

• Configure las capturas de paquetes en las interfaces de la placa de interconexiones para los paquetes que salen de una interfaz frontal específica. Por ejemplo, configure las capturas de paquetes en la interfaz Ethernet1/9 de la placa de interconexiones para los paquetes que salen de la interfaz Ethernet1/2.
• Configure capturas simultáneas de paquetes en una interfaz frontal específica y en las interfaces de la placa de interconexiones. Por ejemplo, configure capturas simultáneas de paquetes en la interfaz Ethernet1/2 y en la interfaz de placa de interconexiones Ethernet1/9 para paquetes que salgan de la interfaz Ethernet1/2.

En esta sección se tratan ambos casos prácticos.

Tarea 1

Utilice FCM y CLI para configurar y verificar una captura de paquetes en la interfaz de la placa de interconexiones. Se capturan los paquetes para los que el puerto de aplicación Ethernet1/2 se identifica como la interfaz de salida. En este caso, se capturan las respuestas ICMP.

Topología, flujo de paquetes y puntos de captura

Configuración

FCM

Realice estos pasos en FCM para configurar una captura de paquetes en la aplicación FTD y el puerto Ethernet1/2 de la aplicación:

1. Utilice Tools > Packet Capture > Capture Session para crear una nueva sesión de captura:

2. Seleccione la aplicación Ethernet1/2 en la lista desplegable Application Port y seleccione Egress Packet en Application Capture Direction. Proporcione el Nombre de la Sesión y haga clic en Guardar y Ejecutar para activar la captura:

CLI DE FXOS

Realice estos pasos en la CLI de FXOS para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:

1. Identifique el tipo de aplicación y el identificador:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Crear una sesión de captura:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create app-port 1 l12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session/app-port* # set filter ""
firepower /packet-capture/session/app-port* # set subinterface 0
firepower /packet-capture/session/app-port* # up
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verificación

FCM

Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:

CLI DE FXOS

Verifique los detalles de la captura en scope packet-capture:

firepower# scope packet-capture
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Application ports involved in Packet Capture:
    Slot Id: 1
    Link Name: l12
    Port Name: Ethernet1/2
    App Name: ftd
    Sub Interface: 0
    Application Instance Identifier: ftd1

Application ports resolved to:
    Name: vnic1
    Eq Slot Id: 1
    Eq Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
    Pcapsize: 53640  bytes
    Vlan: 102
    Filter:

    Name: vnic2
    Eq Slot Id: 1
    Eq Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
    Pcapsize: 1824  bytes
    Vlan: 102
    Filter:

Recopilar archivos de captura

Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura. En el caso de varias interfaces de backplane, asegúrese de abrir todos los archivos de captura para cada interfaz de backplane. En este caso, los paquetes se capturan en la interfaz Ethernet1/9 de la placa de interconexiones.

Seleccione el primer y el segundo paquete y verifique los puntos clave:

1. Cada respuesta de eco ICMP se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de egreso Ethernet1/2.
4. El switch interno inserta una etiqueta VN adicional.

Explicación

En este caso, Ethernet1/2 con la etiqueta VLAN de puerto 102 es la interfaz de salida para los paquetes de respuesta de eco ICMP.

Cuando la dirección de captura de la aplicación se establece en Egress en las opciones de captura, los paquetes con la etiqueta de VLAN de puerto 102 en el encabezado Ethernet se capturan en las interfaces de la placa posterior en la dirección de ingreso.

Esta tabla resume la tarea:

Tarea 2:

Utilice FCM y CLI para configurar y verificar una captura de paquetes en la interfaz de la placa de interconexiones y la interfaz Ethernet1/2 frontal.

Las capturas de paquetes simultáneas se configuran en:

• Interfaz frontal: se capturan los paquetes con el puerto VLAN 102 en la interfaz Ethernet1/2. Los paquetes capturados son solicitudes de eco ICMP.
• Interfaces de placa base: se capturan los paquetes para los que Ethernet1/2 se identifica como la interfaz de salida o los paquetes con el puerto VLAN 102. Los paquetes capturados son respuestas de eco ICMP.

Topología, flujo de paquetes y puntos de captura

Configuración

FCM

Realice estos pasos en FCM para configurar una captura de paquetes en la aplicación FTD y el puerto Ethernet1/2 de la aplicación:

1. Utilice Tools > Packet Capture > Capture Session para crear una nueva sesión de captura:

2. Seleccione la aplicación FTD, Ethernet1/2 en la lista desplegable Application Port y seleccione All Packets en la Dirección de captura de la aplicación. Proporcione el Nombre de la Sesión y haga clic en Guardar y Ejecutar para activar la captura:

CLI DE FXOS

Realice estos pasos en la CLI de FXOS para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:

1. Identifique el tipo de aplicación y el identificador:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Crear una sesión de captura:

firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port eth1/2
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # create app-port 1 link12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # commit

Verificación

FCM

Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:

CLI DE FXOS

Verifique los detalles de la captura en scope packet-capture:

firepower# scope packet-capture 
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 410444  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Application ports involved in Packet Capture:
    Slot Id: 1
    Link Name: link12
    Port Name: Ethernet1/2
    App Name: ftd
    Sub Interface: 0
    Application Instance Identifier: ftd1

Application ports resolved to:
    Name: vnic1
    Eq Slot Id: 1
    Eq Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
    Pcapsize: 128400  bytes
    Vlan: 102
    Filter:

    Name: vnic2
    Eq Slot Id: 1
    Eq Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
    Pcapsize: 2656  bytes
    Vlan: 102
    Filter:

Recopilar archivos de captura

Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura. En el caso de varias interfaces de backplane, asegúrese de abrir todos los archivos de captura para cada interfaz de backplane.  En este caso, los paquetes se capturan en la interfaz Ethernet1/9 de la placa de interconexiones.

Abra el archivo de captura para la interfaz Ethernet1/2, seleccione el primer paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de ingreso Ethernet1/2.
4. El switch interno inserta una etiqueta VN adicional.

Seleccione el segundo paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de ingreso Ethernet1/2.

Abra el archivo de captura para la interfaz Ethernet1/9, seleccione el primer y el segundo paquete y verifique los puntos clave:

1. Cada respuesta de eco ICMP se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de egreso Ethernet1/2.
4. El switch interno inserta una etiqueta VN adicional.

Explicación

Si se selecciona la opción Todos los paquetes en la Dirección de captura de la aplicación, se configuran 2 capturas de paquetes simultáneas relacionadas con el puerto Ethernet1/2 de la aplicación seleccionada: una captura en la interfaz Ethernet1/2 frontal y una captura en las interfaces de la placa posterior seleccionadas.

Cuando se configura una captura de paquetes en una interfaz frontal, el switch captura simultáneamente cada paquete dos veces:

• Después de la inserción de la etiqueta de VLAN de puerto.
• Después de insertar la etiqueta VN.

En el orden de las operaciones, la etiqueta VN se inserta en una etapa posterior a la inserción de la etiqueta VLAN del puerto. Sin embargo, en el archivo de captura, el paquete con la etiqueta VN se muestra antes que el paquete con la etiqueta de puerto VLAN. En este ejemplo, la etiqueta VLAN 102 en los paquetes de solicitud de eco ICMP identifica Ethernet1/2 como la interfaz de ingreso.

Cuando se configura una captura de paquetes en una interfaz de backplane, el switch captura simultáneamente cada paquete dos veces. El switch interno recibe paquetes que ya están etiquetados por la aplicación en el módulo de seguridad con la etiqueta de VLAN de puerto y la etiqueta VN. La etiqueta de VLAN de puerto identifica la interfaz de salida que el chasis interno utiliza para reenviar los paquetes a la red. En este ejemplo, la etiqueta VLAN 102 en los paquetes de respuesta de eco ICMP identifica Ethernet1/2 como la interfaz de salida.

El switch interno quita la etiqueta VN y la etiqueta VLAN de la interfaz interna antes de que los paquetes se reenvíen a la red.

Esta tabla resume la tarea:

Captura de paquetes en una subinterfaz de una interfaz física o de canal de puerto

Utilice FCM y CLI para configurar y verificar una captura de paquetes en la subinterfaz Ethernet1/2.205 o en la subinterfaz de canal de puerto Portchannel1.207. Las subinterfaces y capturas en subinterfaces sólo se admiten para la aplicación FTD en modo contenedor. En este caso, se configura una captura de paquetes en Ethernet1/2.205 y Portchannel1.207.

Topología, flujo de paquetes y puntos de captura

Configuración

FCM

Realice estos pasos en FCM para configurar una captura de paquetes en la aplicación FTD y el puerto Ethernet1/2 de la aplicación:

1. Utilice Tools > Packet Capture > Capture Session para crear una nueva sesión de captura:

2. Seleccione la instancia de aplicación específica ftd1, la subinterfaz Ethernet1/2.205, proporcione el nombre de sesión y haga clic en Guardar y Ejecutar para activar la captura:

3. En el caso de una subinterfaz de canal de puerto, debido al ID de bug de Cisco, las subinterfaces CSCvq33119 no son visibles en FCM. Utilice la CLI de FXOS para configurar capturas en subinterfaces de canal de puerto.

CLI DE FXOS

Realice estos pasos en la CLI de FXOS para configurar una captura de paquetes en las subinterfaces Ethernet1/2.205 y Portchannel1.207:

1. Identifique el tipo de aplicación y el identificador:

firepower# scope ssa
firepower /ssa #  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Container   No         RP20         Not Applicable  None
ftd        ftd2       1          Enabled     Online           7.2.0.82        7.2.0.82        Container   No         RP20         Not Applicable  None

2. En el caso de una interfaz de canal de puerto, identifique sus interfaces miembro:

firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags:  D - Down        P - Up in port-channel (members)
        I - Individual  H - Hot-standby (LACP only)
        s - Suspended   r - Module-removed
        S - Switched    R - Routed
        U - Up (port-channel)
        M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(SU)     Eth      LACP      Eth1/3(P)    Eth1/3(P)    

3. Crear una sesión de captura:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 205
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Para subinterfaces de canal de puerto, cree una captura de paquetes para cada interfaz miembro de canal de puerto:

firepower#  scope packet-capture 
firepower /packet-capture # create filter vlan207
firepower /packet-capture/filter* # set ovlan 207
firepower /packet-capture/filter* # up
firepower /packet-capture* # create session cap1
firepower /packet-capture/session*  create phy-port Eth1/3
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207     
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd           
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207     
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable 
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verificación

FCM

Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:

Las capturas de subinterfaz de canal de puerto configuradas en la CLI de FXOS también son visibles en FCM; sin embargo, no se pueden editar:

CLI DE FXOS

Verifique los detalles de la captura en scope packet-capture:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 9324  bytes
    Filter:
    Sub Interface: 205
    Application Instance Identifier: ftd1
    Application Name: ftd

Canal de puerto 1 con interfaces miembro Ethernet1/3 y Ethernet1/4:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 3
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-3-0.pcap
    Pcapsize: 160  bytes
    Filter:
    Sub Interface: 207
    Application Instance Identifier: ftd1
    Application Name: ftd
    Slot Id: 1
    Port Id: 4
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
    Pcapsize: 624160  bytes
    Filter:
    Sub Interface: 207
    Application Instance Identifier: ftd1
    Application Name: ftd

Recopilar archivos de captura

Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir el archivo de captura. Seleccione el primer paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original tiene la etiqueta VLAN 205.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de ingreso Ethernet1/2.
4. El switch interno inserta una etiqueta VN adicional.

Seleccione el segundo paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original tiene la etiqueta VLAN 205.

Ahora abra los archivos de captura para Portchannel1.207. Seleccione el primer paquete y compruebe los puntos clave

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original tiene la etiqueta VLAN 207.
3. El switch interno inserta una etiqueta de VLAN de puerto adicional 1001 que identifica la interfaz de ingreso Portchannel1.
4. El switch interno inserta una etiqueta VN adicional.

Seleccione el segundo paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original tiene la etiqueta VLAN 207.

Explicación

Cuando se configura una captura de paquetes en una interfaz frontal, el switch captura simultáneamente cada paquete dos veces:

• Después de la inserción de la etiqueta de VLAN de puerto.
• Después de insertar la etiqueta VN.

En el orden de las operaciones, la etiqueta VN se inserta en una etapa posterior a la inserción de la etiqueta VLAN del puerto. Sin embargo, en el archivo de captura, el paquete con la etiqueta VN se muestra antes que el paquete con la etiqueta de puerto VLAN. Además, en el caso de las subinterfaces, en los archivos de captura, cada segundo paquete no contiene la etiqueta de VLAN de puerto.

Esta tabla resume la tarea:

Filtros de captura de paquetes

Utilice FCM y CLI para configurar y verificar una captura de paquetes en la interfaz Ethernet1/2 con un filtro.

Topología, flujo de paquetes y puntos de captura

Configuración

FCM

Realice estos pasos en FCM para configurar un filtro de captura para los paquetes de solicitud de eco ICMP del host 192.0.2.100 al host 198.51.100.100 y aplicarlo a la captura de paquetes en la interfaz Ethernet1/2:

1. Utilice Tools > Packet Capture > Filter List > Add Filter para crear un filtro de captura.

2. Especifique el Nombre de filtro, Protocolo, IPv4 de origen, IPv4 de destino y haga clic en Guardar:

3. Utilice Tools > Packet Capture > Capture Session para crear una nueva sesión de captura:

4. Seleccione Ethernet1/2, proporcione el Nombre de la Sesión, aplique el filtro de captura y haga clic en Guardar y Ejecutar para activar la captura:

CLI DE FXOS

Realice estos pasos en la CLI de FXOS para configurar las capturas de paquetes en las interfaces de la placa de interconexiones:

1. Identifique el tipo de aplicación y el identificador:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Identifique el número de protocolo IP en https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml. En este caso, el número de protocolo ICMP es 1.

3. Cree una sesión de captura:

2. firepower# scope packet-capture 
   firepower /packet-capture # create filter filter_icmp
   firepower /packet-capture/filter* # set destip 198.51.100.100
   firepower /packet-capture/filter* # set protocol 1
   firepower /packet-capture/filter* # set srcip 192.0.2.100
   firepower /packet-capture/filter* # exit
   firepower /packet-capture* # create session cap1
   firepower /packet-capture/session* # create phy-port Ethernet1/2
   firepower /packet-capture/session/phy-port* # set app ftd
   firepower /packet-capture/session/phy-port* # set app-identifier ftd1
   firepower /packet-capture/session/phy-port* # set filter filter_icmp
   firepower /packet-capture/session/phy-port* # exit
   firepower /packet-capture/session* # enable
   firepower /packet-capture/session* # commit
   firepower /packet-capture/session #

Verificación

FCM

Verifique el Nombre de la Interfaz, asegúrese de que el Estado Operacional esté activo y que el Tamaño del Archivo (en bytes) aumente:

Verifique el nombre de la interfaz, el filtro, asegúrese de que el estado operativo esté activo y el tamaño del archivo (en bytes) aumente en Herramientas > Captura de paquetes > Sesión de captura:

CLI DE FXOS

Verifique los detalles de la captura en scope packet-capture:

firepower# scope packet-capture 
firepower /packet-capture # show filter detail 

Configure a filter for packet capture:
    Name: filter_icmp
    Protocol: 1
    Ivlan: 0
    Ovlan: 0
    Src Ip: 192.0.2.100
    Dest Ip: 198.51.100.100
    Src MAC: 00:00:00:00:00:00
    Dest MAC: 00:00:00:00:00:00
    Src Port: 0
    Dest Port: 0
    Ethertype: 0
    Src Ipv6: ::
    Dest Ipv6: ::
firepower /packet-capture # show session cap1 

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 213784  bytes
    Filter: filter_icmp
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Recopilar archivos de captura

Realice los pasos descritos en la sección Recopilación de archivos de captura de switches internos Firepower 4100/9300.

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir el archivo de captura. Seleccione el primer paquete y compruebe los puntos clave

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de ingreso Ethernet1/2.
4. El switch interno inserta una etiqueta VN adicional.

Seleccione el segundo paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP. Cada paquete se captura y se muestra 2 veces.
2. El encabezado del paquete original no tiene la etiqueta VLAN.
3. El switch interno inserta la etiqueta adicional del puerto VLAN 102 que identifica la interfaz de ingreso Ethernet1/2.

Explicación

Cuando se configura una captura de paquetes en una interfaz frontal, el switch captura simultáneamente cada paquete dos veces:

• Después de la inserción de la etiqueta de VLAN de puerto.
• Después de insertar la etiqueta VN.

En el orden de las operaciones, la etiqueta VN se inserta en una etapa posterior a la inserción de la etiqueta VLAN del puerto. Sin embargo, en el archivo de captura, el paquete con la etiqueta VN se muestra antes que el paquete con la etiqueta de puerto VLAN.

Cuando se aplica un filtro de captura, sólo se capturan los paquetes que coinciden con el filtro en la dirección de entrada.

Esta tabla resume la tarea:

Recopilación de archivos de captura de switches internos Firepower 4100/9300

FCM

Realice estos pasos en FCM para recopilar archivos de captura de switch internos:

1. Haga clic en el botón Disable Session para detener la captura activa:

2. Asegúrese de que el estado operativo sea DOWN - Session_Admin_Shut:

3. Haga clic en Descargar para descargar el archivo de captura:

En el caso de las interfaces de canal de puerto, repita este paso para cada interfaz miembro.

CLI DE FXOS

Realice estos pasos en la CLI de FXOS para recopilar los archivos de captura:

1. Detener la captura activa:

firepower# scope packet-capture 
firepower /packet-capture # scope session cap1
firepower /packet-capture/session # disable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # up
firepower /packet-capture # show session cap1 detail 

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Disabled
    Oper State: Down
    Oper State Reason: Admin Disable
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 115744  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

2. Cargue el archivo de captura desde el alcance del comando local-mgmt:

firepower# connect local-mgmt
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ?
  ftp:        Dest File URI
  http:       Dest File URI
  https:      Dest File URI
  scp:        Dest File URI
  sftp:       Dest File URI
  tftp:       Dest File URI
  usbdrive:   Dest File URI
  volatile:   Dest File URI
  workspace:  Dest File URI

firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ftp://ftpuser@10.10.10.1/cap1-ethernet-1-2-0.pcap
Password:

En el caso de las interfaces de canal de puerto, copie el archivo de captura para cada interfaz miembro.

Pautas, limitaciones y prácticas recomendadas para la captura de paquetes de switches internos

Para conocer las pautas y limitaciones relacionadas con la captura de switches internos Firepower 4100/9300, consulte la Guía de configuración de Cisco Firepower 4100/9300 FXOS Chassis Manager o la Guía de configuración de Cisco Firepower 4100/9300 FXOS CLI, capítulo Resolución de problemas, sección Captura de paquetes.

Esta es la lista de prácticas recomendadas basadas en el uso de la captura de paquetes en casos de TAC:

• Tenga en cuenta las directrices y limitaciones.
• Capture paquetes en todas las interfaces miembro del canal de puerto y analice todos los archivos de captura.
• Utilice filtros de captura.
• Considere el impacto de NAT en las direcciones IP de paquetes cuando se configura un filtro de captura.
• Aumente o disminuya la lente de ajuste que especifica el tamaño de trama en caso de que difiera del valor predeterminado de 1518 bytes. Un tamaño menor da como resultado un mayor número de paquetes capturados y viceversa.
• Ajuste el tamaño del búfer según sea necesario.
• Tenga en cuenta el Recuento de caídas en FCM o FXOS CLI. Una vez que se alcanza el límite de tamaño del búfer, el contador de conteo de caídas aumenta.
• Utilice el filtro !vntag en Wireshark para mostrar sólo los paquetes sin la etiqueta VN. Esto es útil para ocultar paquetes etiquetados VN en los archivos de captura de paquetes de la interfaz frontal.
• Utilice el filtro frame.number&1 de Wireshark para mostrar sólo los fotogramas impares. Esto es útil para ocultar los paquetes duplicados en los archivos de captura de paquetes de la interfaz de la placa de interconexiones.
• En el caso de protocolos como TCP, Wireshark aplica de forma predeterminada reglas de coloración que muestran paquetes con condiciones específicas en diferentes colores. En el caso de las capturas de switch internas debido a paquetes duplicados en los archivos de captura, el paquete se puede colorear y marcar de una manera falsa positiva. Si analiza los archivos de captura de paquetes y aplica cualquier filtro, exporte los paquetes mostrados a un nuevo archivo y abra el nuevo archivo.

Configuración y verificación en Secure Firewall 3100/4200

A diferencia de Firepower 4100/9300, las capturas del switch interno en Secure Firewall 3100/4200 se configuran en la interfaz de línea de comandos de la aplicación mediante el comando capture <name>switch, donde la opción switch especifica que las capturas se configuran en el switch interno.

Este es el comando capture con la opción switch:

> capture cap_sw switch ?
  buffer         Configure size of capture buffer, default is 256MB
  ethernet-type  Capture Ethernet packets of a particular type, default is IP
  interface      Capture packets on a specific interface
  ivlan          Inner Vlan
  match          Capture packets based on match criteria
  ovlan          Outer Vlan
  packet-length  Configure maximum length to save from each packet, default is
                 64 bytes
  real-time      Display captured packets in real-time. Warning: using this
                 option with a slow console connection may result in an
                 excessive amount of non-displayed packets due to performance
                 limitations.
  stop           Stop packet capture
  trace          Trace the captured packets
  type           Capture packets based on a particular type
  <cr>

Los pasos generales para la configuración de la captura de paquetes son los siguientes:

1. Especifique una interfaz de ingreso:

La configuración de captura del switch acepta el nombre de interfaz de ingreso si. El usuario puede especificar nombres de interfaces de datos, enlaces ascendentes internos o las interfaces de administración:

> capture capsw switch interface ?
Available interfaces to listen:
  in_data_uplink1  Capture packets on internal data uplink1 interface
  in_mgmt_uplink1  Capture packets on internal mgmt uplink1 interface
  inside           Name of interface Ethernet1/1.205

  management       Name of interface Management1/1

Secure Firewall 4200 admite capturas bidireccionales. El valor predeterminado es ingress, a menos que se especifique lo contrario:

> capture capi switch interface inside direction
  both     To capture switch bi-directional traffic
  egress   To capture switch egressing traffic
  ingress  To capture switch ingressing traffic

Además, Secure Firewall 4245 tiene 2 datos internos y 2 interfaces de enlace ascendente de gestión:

> capture capsw switch interface
  eventing         Name of interface Management1/2
  in_data_uplink1  Capture packets on internal data uplink1 interface
  in_data_uplink2  Capture packets on internal data uplink2 interface
  in_mgmt_uplink1  Capture packets on internal mgmt uplink1 interface
  in_mgmt_uplink2  Capture packets on internal mgmt uplink2 interface
  management       Name of interface Management1/1

2. Especifique la trama Ethernet EtherType. El EtherType predeterminado es IP. Los valores de la opción ethernet-type especifican el EtherType:

> capture capsw switch interface inside ethernet-type ?
  802.1Q    
  <0-65535>  Ethernet type
  arp       
  ip        
  ip6       
  pppoed    
  pppoes    
  rarp      
  sgt       
  vlan    

3. Especifique las condiciones de coincidencia. La opción capture match especifica los criterios de coincidencia:

> capture capsw switch interface inside match ?
  <0-255>  Enter protocol number (0 - 255)
  ah      
  eigrp   
  esp     
  gre     
  icmp    
  icmp6   
  igmp    
  igrp    
  ip      
  ipinip  
  ipsec   
  mac      Mac-address filter
  nos     
  ospf    
  pcp     
  pim     
  pptp    
  sctp    
  snp     
  spi      SPI value
  tcp     
  udp     
  <cr>

4. Especifique otros parámetros opcionales, como el tamaño del búfer, la longitud del paquete, etc.
5. Habilite la captura. El comando no capture <name> switch stop activa la captura:

> capture capsw switch interface inside match ip 
> no capture capsw switch stop

6. Verifique los detalles de la captura:

• El estado administrativo es activado, y el estado operativo es activo y activo.
• El tamaño del archivo de captura de paquetes Pcapsize aumenta.
• El número de paquetes capturados en la salida de show capture <cap_name> no es cero.
• Ruta de captura Pcapfile. Los paquetes capturados se guardan automáticamente en la carpeta /mnt/disk0/packet-capture/.
• Condiciones de captura. El software crea automáticamente filtros de captura basados en condiciones de captura.

> show capture capsw   
27 packet captured on disk using switch capture
Reading of capture file from disk is not supported

> show capture capsw  detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1
Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          18838
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported

7. Detenga las capturas cuando sea necesario:

> capture capsw switch stop 
> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0
Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          24
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported

8. Recopile los archivos de captura. Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall.

En la versión 7.4 del software Secure Firewall, la configuración de captura del switch interno no es compatible con FMC o FDM. En el caso del software ASA versión 9.18(1) y posteriores, las capturas internas del switch se pueden configurar en las versiones 7.18.1.x y posteriores de ASDM.

Estos escenarios abarcan casos prácticos comunes de capturas de switches internos de Secure Firewall 3100/4200.

Captura de paquetes en una interfaz física o de canal de puerto

Utilice el FTD o ASA CLI para configurar y verificar una captura de paquetes en la interfaz Ethernet1/1 o Portchannel1. Ambas interfaces tienen el nombre if inside.

Topología, flujo de paquetes y puntos de captura

Firewall seguro 3100:

Secure Firewall 4200 con capturas bidireccionales:

Configuración

Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes en la interfaz Ethernet1/1 o Port-channel1:

1. Verifique el nombre si:

> show nameif 
Interface                Name                     Security
Ethernet1/1              inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

> show nameif 
Interface                Name                     Security
Port-channel1            inside                    0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Crear una sesión de captura

> capture capsw switch interface inside

Secure Firewall 4200 admite direccionalidad de captura:

> capture capsw switch interface inside direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface inside direction both

3. Habilitar la sesión de captura:

> no capture capsw switch stop

Verificación

Verifique el nombre de la sesión de captura, el estado operativo y administrativo, la ranura de interfaz y el identificador. Asegúrese de que el valor de Pcapsize en bytes aumente y el número de paquetes capturados no sea cero:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          12653
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

79 packets captured on disk using switch capture

Reading of capture file from disk is not supported

Firewall seguro 4200:

> show cap capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Direction:         both
  Drop:              disable
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
33 packet captured on disk using switch capture

Reading of capture file from disk is not supported

En el caso del canal de puerto 1, la captura se configura en todas las interfaces miembro:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 2

Physical port:
  Slot Id:           1
  Port Id:           4
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
  Pcapsize:          28824
  Filter:            capsw-1-4

Packet Capture Filter Info
  Name:              capsw-1-4
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Physical port:
  Slot Id:           1
  Port Id:           3
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
  Pcapsize:          18399
  Filter:            capsw-1-3

Packet Capture Filter Info
  Name:              capsw-1-3
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

56 packet captured on disk using switch capture

Reading of capture file from disk is not supported

Las interfaces de miembro de canal de puerto se pueden verificar en el shell de comandos FXOS local-mgmt a través del comando show portchannel summary:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portchannel summary 
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)    

LACP KeepAlive Timer:
--------------------------------------------------------------------------------
      Channel  PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1     Po1(U)      False         

Cluster LACP Status:
--------------------------------------------------------------------------------
      Channel  ClusterSpanned  ClusterDetach  ClusterUnitID  ClusterSysID
--------------------------------------------------------------------------------
1     Po1(U)      False          False          0            clust  

Para acceder al FXOS en ASA, ejecute el comando connect fxos admin. En el caso de multicontexto, ejecute el comando en el contexto de administración.

Recopilar archivos de captura

Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall. 

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura para Ethernet1/1. En este ejemplo, se analizan los paquetes capturados en Secure Firewall 3100. Seleccione el primer paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP.
2. El encabezado del paquete original no tiene la etiqueta VLAN.

Abra los archivos de captura para las interfaces de miembro Portchannel1. Seleccione el primer paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP.
2. El encabezado del paquete original no tiene la etiqueta VLAN.

Explicación

Las capturas del switch se configuran en las interfaces Ethernet1/1 o Portchannel1.

Esta tabla resume la tarea:

* A diferencia del 3100, el Secure Firewall 4200 admite capturas bidireccionales (entrada y salida).

Captura de paquetes en una subinterfaz de una interfaz física o de canal de puerto

Utilice el FTD o ASA CLI para configurar y verificar una captura de paquetes en las subinterfaces Ethernet1/1.205 o Portchannel1.205. Ambas subinterfaces tienen el nombre if inside.

Topología, flujo de paquetes y puntos de captura

Firewall seguro 3100:

Firewall seguro 4200:

Configuración

Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes en la interfaz Ethernet1/1 o Port-channel1:

1. Verifique el nombre si:

> show nameif
Interface                Name                     Security
Ethernet1/1.205          inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

> show nameif
Interface                Name                     Security
Port-channel1.205        inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Crear una sesión de captura:

> capture capsw switch interface inside

Secure Firewall 4200 admite direccionalidad de captura:

> capture capsw switch interface inside direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface inside direction both

3. Active la sesión de captura:

> no capture capsw switch stop

Verificación

Verifique el nombre de la sesión de captura, el estado operativo y administrativo, la ranura de interfaz y el identificador. Asegúrese de que el valor de Pcapsize en bytes aumente y el número de paquetes capturados no sea cero:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          6360
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

46 packets captured on disk using switch capture

Reading of capture file from disk is not supported

En este caso, se crea un filtro con la VLAN externa Ovlan=205 y se aplica a la interfaz.

En el caso del Port-channel1, la captura con un filtro Ovlan=205 se configura en todas las interfaces miembro:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 2

Physical port:
  Slot Id:           1
  Port Id:           4
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
  Pcapsize:          23442
  Filter:            capsw-1-4

Packet Capture Filter Info
  Name:              capsw-1-4
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Physical port:
  Slot Id:           1
  Port Id:           3
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
  Pcapsize:          5600
  Filter:            capsw-1-3

Packet Capture Filter Info
  Name:              capsw-1-3
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

49 packet captured on disk using switch capture

Reading of capture file from disk is not supported

Las interfaces de miembro de canal de puerto se pueden verificar en el shell de comandos FXOS local-mgmt a través del comando show portchannel summary:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portchannel summary 
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)    

LACP KeepAlive Timer:
--------------------------------------------------------------------------------
      Channel  PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1     Po1(U)      False         

Cluster LACP Status:
--------------------------------------------------------------------------------
      Channel  ClusterSpanned  ClusterDetach  ClusterUnitID  ClusterSysID
--------------------------------------------------------------------------------
1     Po1(U)      False          False          0            clust  

Para acceder al FXOS en ASA, ejecute el comando connect fxos admin. En el caso de multicontexto, ejecute este comando en el contexto de administración.

Recopilar archivos de captura

Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall. 

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura para Ethernet1/1.205. En este ejemplo, se analizan los paquetes capturados en Secure Firewall 3100. Seleccione el primer paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP.
2. El encabezado del paquete original tiene la etiqueta VLAN 205.

Abra los archivos de captura para las interfaces de miembro Portchannel1. Seleccione el primer paquete y verifique los puntos clave:

1. Solo se capturan los paquetes de solicitud de eco ICMP.
2. El encabezado del paquete original tiene la etiqueta VLAN 205.

Explicación

Las capturas del switch se configuran en las subinterfaces Ethernet1/1.205 o Portchannel1.205 con un filtro que coincide con la VLAN externa 205.

Esta tabla resume la tarea:

* A diferencia del 3100, el Secure Firewall 4200 admite capturas bidireccionales (entrada y salida).

Captura de paquetes en interfaces internas

Secure Firewall 3100 tiene 2 interfaces internas:

• in_data_uplink1: conecta la aplicación al switch interno.
  
• in_mgmt_uplink1 - proporciona una trayectoria de paquete dedicada para las conexiones de administración, tales como SSH a la interfaz de administración, o la conexión de administración, también conocida como sftunnel, entre el FMC y el FTD.

Secure Firewall 4200 tiene hasta 4 interfaces internas:

• in_data_uplink1 e in_data_uplink2 (sólo 4245) : estas interfaces conectan la aplicación al switch interno. En el caso de 4245, los paquetes son balanceados de carga a través de las 2 interfaces de link ascendente.
  
• in_mgmt_uplink1 e in_mgmt_uplink2 - estas interfaces proporcionan una trayectoria de paquete dedicada para las conexiones de administración, tales como SSH a la interfaz de administración, o la conexión de administración, también conocida como sftunnel, entre el FMC y el FTD. Secure Firewall 4200 admite 2 interfaces de gestión.

Tarea 1

Utilice el FTD o la CLI de ASA para configurar y verificar una captura de paquetes en la interfaz de enlace ascendente in_data_uplink1.

Topología, flujo de paquetes y puntos de captura

Firewall seguro 3100:

Firewall seguro 4200:

Configuración

Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes en la interfaz in_data_uplink1:

1. Crear una sesión de captura:

> capture capsw switch interface in_data_uplink1

Secure Firewall 4200 admite direccionalidad de captura:

> capture capsw switch interface in_data_uplink1 direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface in_data_uplink1 direction both

2.Habilite la sesión de captura:

> no capture capsw switch stop

Verificación

Verifique el nombre de la sesión de captura, el estado operativo y administrativo, la ranura de interfaz y el identificador. Asegúrese de que el valor de Pcapsize en bytes aumente y el número de paquetes capturados no sea cero:

>  show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           18
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-data-uplink1.pcap
  Pcapsize:          7704
  Filter:            capsw-1-18

Packet Capture Filter Info
  Name:              capsw-1-18
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

66 packets captured on disk using switch capture

Reading of capture file from disk is not supported

En este caso, se crea una captura en la interfaz con un ID interno 18 que es la interfaz in_data_uplink1 en Secure Firewall 3130. El comando show portmanager switch status en el shell de comandos FXOS local-mgmt muestra los ID de la interfaz:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portmanager switch status 
Dev/Port         Mode        Link   Speed  Duplex  Loopback Mode  Port Manager
---------  ----------------  -----  -----  ------  -------------  ------------
0/1             SGMII         Up     1G     Full    None           Link-Up      
0/2             SGMII         Up     1G     Full    None           Link-Up      
0/3             SGMII         Up     1G     Full    None           Link-Up      
0/4             SGMII         Up     1G     Full    None           Link-Up      
0/5             SGMII        Down    1G     Half    None           Mac-Link-Down
0/6             SGMII        Down    1G     Half    None           Mac-Link-Down
0/7             SGMII        Down    1G     Half    None           Mac-Link-Down
0/8             SGMII        Down    1G     Half    None           Mac-Link-Down
0/9           1000_BaseX     Down    1G     Full    None           Link-Down    
0/10          1000_BaseX     Down    1G     Full    None           Link-Down    
0/11          1000_BaseX     Down    1G     Full    None           Link-Down    
0/12          1000_BaseX     Down    1G     Full    None           Link-Down    
0/13          1000_BaseX     Down    1G     Full    None           Link-Down    
0/14          1000_BaseX     Down    1G     Full    None           Link-Down    
0/15          1000_BaseX     Down    1G     Full    None           Link-Down    
0/16          1000_BaseX     Down    1G     Full    None           Link-Down    
0/17          1000_BaseX      Up     1G     Full    None           Link-Up      
0/18             KR2          Up     50G    Full    None           Link-Up       
0/19              KR          Up     25G    Full    None           Link-Up      
0/20              KR          Up     25G    Full    None           Link-Up      
0/21             KR4         Down    40G    Full    None           Link-Down    
0/22             n/a         Down    n/a    Full    N/A            Reset        
0/23             n/a         Down    n/a    Full    N/A            Reset        
0/24             n/a         Down    n/a    Full    N/A            Reset        
0/25          1000_BaseX     Down    1G     Full    None           Link-Down    
0/26             n/a         Down    n/a    Full    N/A            Reset        
0/27             n/a         Down    n/a    Full    N/A            Reset        
0/28             n/a         Down    n/a    Full    N/A            Reset        
0/29          1000_BaseX     Down    1G     Full    None           Link-Down    
0/30             n/a         Down    n/a    Full    N/A            Reset        
0/31             n/a         Down    n/a    Full    N/A            Reset        
0/32             n/a         Down    n/a    Full    N/A            Reset        
0/33          1000_BaseX     Down    1G     Full    None           Link-Down    
0/34             n/a         Down    n/a    Full    N/A            Reset        
0/35             n/a         Down    n/a    Full    N/A            Reset        
0/36             n/a         Down    n/a    Full    N/A            Reset         

Para acceder al FXOS en ASA, ejecute el comando connect fxos admin. En el caso de multicontexto, ejecute este comando en el contexto de administración.

Recopilar archivos de captura

Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall. 

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura para la interfaz in_data_uplink1. En este ejemplo, se analizan los paquetes capturados en Secure Firewall 3100.

Verifique el punto clave: en este caso, se capturan los paquetes de solicitud de eco ICMP y de respuesta de eco. Estos son los paquetes enviados desde la aplicación al switch interno.

Explicación

Cuando se configura una captura de switch en la interfaz de enlace ascendente, solo se capturan los paquetes enviados desde la aplicación al switch interno. Los paquetes enviados a la aplicación no se capturan.

Esta tabla resume la tarea:

* A diferencia de 3100, Secure Firewall 4200 admite capturas bidireccionales (entrada y salida).

Tarea 2:

Utilice el FTD o la CLI de ASA para configurar y verificar una captura de paquetes en la interfaz de enlace ascendente in_mgmt_uplink1. Solo se capturan los paquetes de las conexiones del plano de administración.

Topología, flujo de paquetes y puntos de captura

Firewall seguro 3100:

Firewall seguro 4200:

Configuración

Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes en la interfaz in_mgmt_uplink1:

1. Crear una sesión de captura:

> capture capsw switch interface in_mgmt_uplink1

Secure Firewall 4200 admite direccionalidad de captura:

> capture capsw switch interface in_mgmt_uplink1 direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface in_mgmt_uplink1 direction both

2. Active la sesión de captura:

> no capture capsw switch stop

Verificación

Verifique el nombre de la sesión de captura, el estado operativo y administrativo, la ranura de interfaz y el identificador. Asegúrese de que el valor de Pcapsize en bytes aumente y el número de paquetes capturados no sea cero:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           19
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-mgmt-uplink1.pcap
  Pcapsize:          137248
  Filter:            capsw-1-19

Packet Capture Filter Info
  Name:              capsw-1-19
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

281 packets captured on disk using switch capture

Reading of capture file from disk is not supported

En este caso, se crea una captura en la interfaz con un ID interno 19 que es la interfaz in_mgmt_uplink1 en Secure Firewall 3130. El comando show portmanager switch status en el shell de comandos FXOS local-mgmt muestra los ID de la interfaz:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portmanager switch status 
Dev/Port         Mode        Link   Speed  Duplex  Loopback Mode  Port Manager
---------  ----------------  -----  -----  ------  -------------  ------------
0/1             SGMII         Up     1G     Full    None           Link-Up      
0/2             SGMII         Up     1G     Full    None           Link-Up      
0/3             SGMII         Up     1G     Full    None           Link-Up      
0/4             SGMII         Up     1G     Full    None           Link-Up      
0/5             SGMII        Down    1G     Half    None           Mac-Link-Down
0/6             SGMII        Down    1G     Half    None           Mac-Link-Down
0/7             SGMII        Down    1G     Half    None           Mac-Link-Down
0/8             SGMII        Down    1G     Half    None           Mac-Link-Down
0/9           1000_BaseX     Down    1G     Full    None           Link-Down    
0/10          1000_BaseX     Down    1G     Full    None           Link-Down    
0/11          1000_BaseX     Down    1G     Full    None           Link-Down    
0/12          1000_BaseX     Down    1G     Full    None           Link-Down    
0/13          1000_BaseX     Down    1G     Full    None           Link-Down    
0/14          1000_BaseX     Down    1G     Full    None           Link-Down    
0/15          1000_BaseX     Down    1G     Full    None           Link-Down    
0/16          1000_BaseX     Down    1G     Full    None           Link-Down    
0/17          1000_BaseX      Up     1G     Full    None           Link-Up      
0/18             KR2          Up     50G    Full    None           Link-Up      
0/19              KR          Up     25G    Full    None           Link-Up       
0/20              KR          Up     25G    Full    None           Link-Up      
0/21             KR4         Down    40G    Full    None           Link-Down    
0/22             n/a         Down    n/a    Full    N/A            Reset        
0/23             n/a         Down    n/a    Full    N/A            Reset        
0/24             n/a         Down    n/a    Full    N/A            Reset        
0/25          1000_BaseX     Down    1G     Full    None           Link-Down    
0/26             n/a         Down    n/a    Full    N/A            Reset        
0/27             n/a         Down    n/a    Full    N/A            Reset        
0/28             n/a         Down    n/a    Full    N/A            Reset        
0/29          1000_BaseX     Down    1G     Full    None           Link-Down    
0/30             n/a         Down    n/a    Full    N/A            Reset        
0/31             n/a         Down    n/a    Full    N/A            Reset        
0/32             n/a         Down    n/a    Full    N/A            Reset        
0/33          1000_BaseX     Down    1G     Full    None           Link-Down    
0/34             n/a         Down    n/a    Full    N/A            Reset        
0/35             n/a         Down    n/a    Full    N/A            Reset        
0/36             n/a         Down    n/a    Full    N/A            Reset        

Para acceder al FXOS en ASA, ejecute el comando connect fxos admin. En el caso de multicontexto, ejecute este comando en el contexto de administración.

Recopilar archivos de captura

Realice los pasos de la sección Recopilación de archivos de captura de switch interno de Secure Firewall. 

Capturar análisis de archivos

Utilice una aplicación de lector de archivos de captura de paquetes para abrir los archivos de captura para la interfaz in_mgmt_uplink1. En este ejemplo, se analizan los paquetes capturados en Secure Firewall 3100.

Verifique el punto clave; en este caso, sólo se muestran los paquetes de la dirección IP de administración 192.0.2.200. Algunos ejemplos son SSH, Sftunnel o paquetes de respuesta de eco ICMP. Estos son los paquetes enviados desde la interfaz de administración de aplicaciones a la red a través del switch interno.

Explicación

Cuando se configura una captura de switch en la interfaz de link ascendente de administración, solo se capturan los paquetes de ingreso enviados desde la interfaz de administración de aplicaciones. Los paquetes destinados a la interfaz de administración de aplicaciones no se capturan.

Esta tabla resume la tarea:

* A diferencia de 3100, Secure Firewall 4200 admite capturas bidireccionales (entrada y salida).

Filtros de captura de paquetes

Los filtros de captura de paquetes de switch internos se configuran de la misma manera que las capturas del plano de datos. Utilice las opciones ethernet-type y match para configurar los filtros.

Configuración

Realice estos pasos en ASA o FTD CLI para configurar una captura de paquetes con un filtro que coincida con las tramas ARP o los paquetes ICMP del host 198.51.100.100 en la interfaz Ethernet1/1:

1. Verifique el nombre si:

> show nameif 
Interface                Name                     Security
Ethernet1/1              inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Cree una sesión de captura para ARP o ICMP:

> capture capsw switch interface inside ethernet-type arp

> capture capsw switch interface inside match icmp 198.51.100.100 

Verificación

Verifique el nombre de la sesión de captura y el filtro. El valor Ethertype es 2054 en decimal y 0x0806 en hexadecimal:

> show capture capsw detail
Packet Capture info
 Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         2054

Total Physical breakout ports involved in Packet Capture: 0

0 packet captured on disk using switch capture

Reading of capture file from disk is not supported

Esta es la verificación del filtro para ICMP. El protocolo IP 1 es el ICMP:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          1
  Ivlan:             0
  Ovlan:             0
  Src Ip:            198.51.100.100
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

0 packets captured on disk using switch capture

Reading of capture file from disk is not supported

Recopilación de archivos de captura de switches internos de Secure Firewall

Utilice ASA o FTD CLI para recopilar archivos de captura de switch internos. En FTD, el archivo de captura también se puede exportar a través del comando CLI copy a destinos accesibles a través de las interfaces de datos o diagnóstico.

Como alternativa, el archivo se puede copiar a /ngfw/var/common en modo experto y descargarse de FMC mediante la opción File Download.

En el caso de las interfaces de canal de puerto, asegúrese de recopilar los archivos de captura de paquetes de todas las interfaces miembro.

ASA

Siga estos pasos en para recopilar los archivos de captura de switch internos en la CLI de ASA:

1. Detener la captura:

asa# capture capsw switch stop

2. Compruebe que la sesión de captura se ha detenido y anote el nombre del archivo de captura.

asa# show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

886 packets captured on disk using switch capture

Reading of capture file from disk is not supported

3. Utilice el comando CLI copy para exportar el archivo a destinos remotos:

asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
  cluster:        Copy to cluster: file system
  disk0:          Copy to disk0: file system
  disk1:          Copy to disk1: file system
  flash:          Copy to flash: file system
  ftp:            Copy to ftp: file system
  running-config  Update (merge with) current system configuration
  scp:            Copy to scp: file system
  smb:            Copy to smb: file system
  startup-config  Copy to startup configuration
  system:         Copy to system: file system
  tftp:           Copy to tftp: file system

asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs

FTD

Realice estos pasos para recopilar los archivos de captura de switch internos en la CLI de FTD y copiarlos en servidores accesibles a través de interfaces de datos o diagnóstico:

1. Vaya a la CLI de diagnóstico:

> system support diagnostic-cli 
Attaching to Diagnostic CLI ... Click 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> enable 
Password: <-- Enter
firepower#

2. Detener la captura:

firepower# capture capi switch stop

3. Verifique que la sesión de captura se haya detenido y anote el nombre del archivo de captura:

firepower# show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1
Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

886 packets captured on disk using switch capture

Reading of capture file from disk is not supported

4. Utilice el comando CLI copy para exportar el archivo a destinos remotos.

firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
  cluster:        Copy to cluster: file system
  disk0:          Copy to disk0: file system
  disk1:          Copy to disk1: file system
  flash:          Copy to flash: file system
  ftp:            Copy to ftp: file system
  running-config  Update (merge with) current system configuration
  scp:            Copy to scp: file system
  smb:            Copy to smb: file system
  startup-config  Copy to startup configuration
  system:         Copy to system: file system
  tftp:           Copy to tftp: file system

firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs

Siga estos pasos en para recopilar archivos de captura de FMC mediante la opción File Download:

1. Detener la captura:

> capture capsw switch stop

2. Verifique que la sesión de captura esté detenida y observe el nombre del archivo y la ruta completa del archivo de captura:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported

3. Vaya al modo experto y cambie al modo raíz:

> expert
admin@firepower:~$ sudo su
root@firepower:/home/admin

4. Copie el archivo de captura en /ngfw/var/common/:

root@KSEC-FPR3100-1:/home/admin cp /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap /ngfw/var/common/
root@KSEC-FPR3100-1:/home/admin ls -l /ngfw/var/common/sess*
-rwxr-xr-x 1 root admin 139826 Aug  7 20:14 /ngfw/var/common/sess-1-capsw-ethernet-1-1-0.pcap
-rwxr-xr-x 1 root admin     24 Aug  6 21:58 /ngfw/var/common/sess-1-capsw-ethernet-1-3-0.pcap

5. En FMC elija Devices > File Download:

6. Elija el FTD, proporcione el nombre del archivo de captura y haga clic en Descargar:

Pautas, limitaciones y prácticas recomendadas para la captura de paquetes de switches internos

Directrices y limitaciones:

• Se admiten varias sesiones de configuración de captura de switch, pero solo una sesión de captura de switch puede estar activa a la vez. Si se intenta habilitar 2 o más sesiones de captura, se produce el error "ERROR: Error al habilitar la sesión, ya que se alcanzó el límite máximo de 1 sesiones de captura de paquetes activas".
• No se puede eliminar una captura de switch activa.
• Las capturas del switch no se pueden leer en la aplicación. El usuario debe exportar los archivos.
• Ciertas opciones de captura del plano de datos como dump, decode, packet-number, trace y otras no se soportan para las capturas del switch.

• En el caso de ASA multicontexto, las capturas del switch en las interfaces de datos se configuran en contextos de usuario. Las capturas del switch en las interfaces in_data_uplink1 e in_mgmt_uplink1 se soportan solamente en el contexto de administración.

Esta es la lista de prácticas recomendadas basadas en el uso de la captura de paquetes en casos de TAC:

• Tenga en cuenta las directrices y limitaciones.
• Utilice filtros de captura.
• Considere el impacto de NAT en las direcciones IP de paquetes cuando se configura un filtro de captura.
• Aumente o disminuya la longitud del paquete que especifica el tamaño de trama, en caso de que difiera del valor predeterminado de 1518 bytes. Un tamaño menor da como resultado un mayor número de paquetes capturados y viceversa.
• Ajuste el tamaño del búfer según sea necesario.
• Tenga en cuenta el comando Drop Count en el resultado del comando show cap <cap_name>detail. Una vez que se alcanza el límite de tamaño del búfer, el contador de conteo de caídas aumenta.

Información Relacionada

• Guías de configuración de Firepower 4100/9300 Chassis Manager y FXOS CLI
• Guía de inicio de Cisco Secure Firewall 3100
• Referencia de Comandos de Cisco Firepower FXOS 4100/9300