La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritta la configurazione e la verifica di Firepower e delle acquisizioni dello switch interno Secure Firewall.
Conoscenze base dei prodotti, analisi delle acquisizioni.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Dal punto di vista del flusso dei pacchetti, l'architettura di Firepower 4100/9300 e Secure Firewall 3100/4200 può essere visualizzata come mostrato nella seguente figura:
Lo chassis comprende i seguenti componenti:
Nel caso di Secure Firewall 3100/4200, i dati, la gestione e le interfacce uplink vengono mappate su porte di switch interne specifiche.
La mappatura può essere verificata nell'output del comando FXOS local-mgmt shell show portmanager switch status.
nell'esempio, la porta 18/0 è l'interfaccia backplane/uplink e la porta 19/00 è l'interfaccia uplink di gestione.
firepower-3140# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-3140(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Autoneg FEC Link Scan Port Manager
--------- -------- ----- ----- ------ ------------- --------- ---------- ----------- ------------
0/1 SGMII Up 1G Full None No None None Link-Up
0/2 SGMII Up 1G Full None No None None Link-Up
0/3 SGMII Down 1G Full n/a No None None Force-Link-Down
0/4 SGMII Down 1G Full n/a No None None Force-Link-Down
0/5 SGMII Down 1G Full n/a No None None Force-Link-Down
0/6 SGMII Down 1G Full n/a No None None Force-Link-Down
0/7 SGMII Down 1G Full n/a No None None Force-Link-Down
0/8 SGMII Down 1G Full n/a No None None Force-Link-Down
0/9 SR_LR Down 25G Full n/a No None None Force-Link-Down
0/10 SR_LR Down 25G Full n/a No None None Force-Link-Down
0/11 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/12 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/13 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/14 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/15 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/16 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/17 1000_BaseX Up 1G Full None No None None Link-Up
0/18 KR2 Up 50G Full None No None None Link-Up
0/19 KR Up 25G Full None No None None Link-Up
0/20 KR Up 25G Full None No None None Link-Up
Nella tabella seguente vengono mostrate le interfacce backplane su Firepower 4100/9300 e le interfacce uplink su Secure Firewall 3100/4200:
Piattaforma |
Numero di moduli di sicurezza supportati |
Interfacce backplane/uplink |
Interfacce uplink di gestione |
Porta switch interna mappata |
Interfacce applicazione mappate |
Firepower 4100 (ad eccezione di Firepower 4110/4112) |
1 |
SM1: Ethernet 1/9 Ethernet 1/10 |
N/D |
N/D |
Dati interni0/0 Dati interni0/1 |
Firepower 4110/4112 |
1 |
Ethernet 1/9 |
N/D |
N/D |
Dati interni0/0 Dati interni0/1 |
Firepower 9300 |
3 |
SM1: Ethernet 1/9 Ethernet 1/10 SM2: Ethernet 1/11 Ethernet 1/12 SM3 Ethernet 1/13 Ethernet 1/14 |
N/D |
N/D |
Dati interni0/0 Dati interni0/1
Dati interni0/1
Dati interni0/1 |
Secure Firewall 3100 |
1 |
SM1: in_data_uplink1 |
in_mgmt_uplink1 |
Porta 0/18 Porta 0/19 |
Dati interni0/1 Gestione1/1 |
Secure Firewall 4200 |
1 |
SM1: in_data_uplink1 SM1: in_data_uplink2 (solo 4245) |
in_mgmt_uplink1 in_mgmt_uplink2 |
Porta 0/11 Porta 0/12 (solo 4245) Porta 0/13 Porta 0/14 |
Dati interni0/1 Dati interni0/2 (solo 4245) Gestione1/1 Gestione1/2 |
Nel caso in cui Firepower 4100/9300 con 2 interfacce backplane per modulo o Secure Firewall 4245 con 2 interfacce di uplink dati, lo switch interno e le applicazioni sui moduli eseguono il bilanciamento del carico del traffico sulle 2 interfacce.
Utilizzare il comando show interface detail per verificare le interfacce interne:
> show interface detail | grep Interface
Interface Internal-Control0/0 "ha_ctl_nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
Control Point Interface States:
Interface number is 2
Interface config status is active
Interface state is active
Interface Internal-Data0/1 "", is up, line protocol is up
Control Point Interface States:
Interface number is 3
Interface config status is active
Interface state is active
Interface Internal-Data0/2 "nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 4
Interface config status is active
Interface state is active
Interface Internal-Data0/3 "ccl_ha_nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 5
Interface config status is active
Interface state is active
Interface Internal-Data0/4 "cmi_mgmt_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 7
Interface config status is active
Interface state is active
Interface Port-channel6.666 "", is up, line protocol is up
Interface Ethernet1/1 "diagnostic", is up, line protocol is up
Control Point Interface States:
Interface number is 8
Interface config status is active
Interface state is active
Firepower 4100/9300
Per prendere una decisione di inoltro, lo switch interno usa un tag interface VLAN, o tag port VLAN, e un tag virtual network (VN-tag).
Il tag port VLAN viene usato dallo switch interno per identificare un'interfaccia. Lo switch inserisce il tag VLAN della porta in ciascun pacchetto in entrata inviato sulle interfacce anteriori. Il tag VLAN viene configurato automaticamente dal sistema e non può essere modificato manualmente. Il valore del tag può essere controllato nella shell dei comandi fxos:
firepower# connect fxos
…
firepower(fxos)# show run int e1/2
!Command: show running-config interface Ethernet1/2
!Time: Tue Jul 12 22:32:11 2022
version 5.0(3)N2(4.120)
interface Ethernet1/2
description U: Uplink
no lldp transmit
no lldp receive
no cdp enable
switchport mode dot1q-tunnel
switchport trunk native vlan 102
speed 1000
duplex full
udld disable
no shutdown
Il tag VN viene inoltre inserito dallo switch interno e utilizzato per inoltrare i pacchetti all'applicazione. Viene configurato automaticamente dal sistema e non può essere modificato manualmente.
Il tag VLAN della porta e il tag VN vengono condivisi con l'applicazione. L'applicazione inserisce i rispettivi tag VLAN dell'interfaccia in uscita e i tag VN in ciascun pacchetto. Quando uno switch interno riceve un pacchetto dall'applicazione sulle interfacce del backplane, lo switch legge il tag VLAN dell'interfaccia in uscita e il tag VN, identifica l'applicazione e l'interfaccia in uscita, rimuove il tag VLAN della porta e il tag VN, quindi inoltra il pacchetto alla rete.
Secure Firewall 3100/4200
Come in Firepower 4100/9300, il tag della porta VLAN viene usato dallo switch interno per identificare un'interfaccia.
Il tag della porta VLAN è condiviso con l'applicazione. L'applicazione inserisce i rispettivi tag VLAN dell'interfaccia in uscita in ciascun pacchetto. Quando uno switch interno riceve un pacchetto dall'applicazione sull'interfaccia uplink, lo switch legge il tag dell'interfaccia VLAN in uscita, identifica l'interfaccia in uscita, rimuove il tag della porta VLAN e inoltra il pacchetto alla rete.
Firepower 4100/9300 e Secure Firewall 3100
I firewall Firepower 4100/9300 e Secure Firewall 3100 supportano le acquisizioni di pacchetti sulle interfacce dello switch interno.
La figura mostra i punti di acquisizione del pacchetto lungo il percorso del pacchetto all'interno dello chassis e dell'applicazione:
I punti di acquisizione sono:
Lo switch interno supporta solo le acquisizioni dell'interfaccia in entrata. In questo modo, è possibile acquisire solo i pacchetti ricevuti dalla rete o dall'applicazione ASA/FTD. Le acquisizioni di pacchetti in uscita non sono supportate.
Secure Firewall 4200
I firewall Secure Firewall 4200 supportano le acquisizioni di pacchetti sulle interfacce dello switch interno. La figura mostra i punti di acquisizione del pacchetto lungo il percorso del pacchetto all'interno dello chassis e dell'applicazione:
I punti di acquisizione sono:
Lo switch interno supporta facoltativamente le acquisizioni bidirezionali in entrata e in uscita. Per impostazione predefinita, lo switch interno cattura i pacchetti in entrata.
Le acquisizioni dello switch interno Firepower 4100/9300 possono essere configurate in Strumenti > Packet Capture su FCM o in Scope Packet Capture nella CLI di FXOS. Per la descrizione delle opzioni di acquisizione dei pacchetti, consultare la guida alla configurazione di Cisco Firepower 4100/9300 FXOS Chassis Manager o la guida alla configurazione della CLI di Cisco Firepower 4100/9300 FXOS, capitolo Risoluzione dei problemi, sezione Acquisizione pacchetti.
In questi scenari vengono illustrati i casi di utilizzo comuni delle acquisizioni dello switch interno Firepower 4100/9300.
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/2 o Portchannel1. Nel caso di un'interfaccia di canale della porta, assicurarsi di selezionare tutte le interfacce membro fisiche.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare l'acquisizione di un pacchetto sulle interfacce Ethernet1/2 o Portchannel1, eseguire la procedura seguente su FCM:
CLI FXOS
Attenersi alla seguente procedura dalla CLI di FXOS per configurare l'acquisizione di un pacchetto sulle interfacce Ethernet1/2 o Portchannel1:
firepower# scope ssa
firepower /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/4(P) Eth1/5(P)
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Per le interfacce port-channel, viene configurata un'acquisizione separata per ciascuna interfaccia membro:
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/5
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
Portchannel1 con interfacce membro Ethernet1/4 ed Ethernet1/5:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 75136 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Port-channel 1 con interfacce membro Ethernet1/4 ed Ethernet1/5:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 4
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
Pcapsize: 310276 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 5
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-5-0.pcap
Pcapsize: 160 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione per Ethernet1/2. Selezionare il primo pacchetto e controllare i punti chiave:
Selezionare il secondo pacchetto e controllare i punti chiave:
Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:
Selezionare il secondo pacchetto e controllare i punti chiave:
Spiegazione
Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:
Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/2 |
Ethernet 1/2 |
102 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Portchannel1 con le interfacce membro Ethernet1/4 ed Ethernet1/5 |
Ethernet1/4 Ethernet1/5 |
1001 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sulle interfacce backplane.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare le acquisizioni dei pacchetti sulle interfacce backplane, eseguire la procedura seguente su FCM:
CLI FXOS
Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/9
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/10
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-10-0.pcap
Pcapsize: 1017424 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-9-0.pcap
Pcapsize: 1557432 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. In caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane. In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.
Selezionare il primo e il secondo pacchetto e verificare i punti principali:
Selezionare il terzo e il quarto pacchetto, quindi verificare i punti chiave:
Spiegazione
Quando si configura un pacchetto da acquisire su un'interfaccia backplane, lo switch acquisisce simultaneamente ciascun pacchetto due volte. In questo caso, lo switch interno riceve i pacchetti che sono già stati contrassegnati dall'applicazione sul modulo di sicurezza con il tag port VLAN e il tag VN. Il tag VLAN identifica l'interfaccia in uscita usata dallo chassis interno per inoltrare i pacchetti alla rete. Il tag VLAN 103 nei pacchetti di richiesta echo ICMP identifica Ethernet 1/3 come interfaccia di uscita, mentre il tag VLAN 102 nei pacchetti di risposta echo ICMP identifica Ethernet 1/2 come interfaccia di uscita. Lo switch interno rimuove il tag VN e il tag VLAN dell'interfaccia interna prima che i pacchetti vengano inoltrati alla rete.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica delle acquisizioni dei pacchetti sulle interfacce backplane |
Interfacce backplane |
102 103 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
Le acquisizioni di pacchetti di porte applicative o applicazioni vengono sempre configurate sulle interfacce backplane e sulle interfacce anteriori se l'utente specifica la direzione di acquisizione dell'applicazione.
Esistono principalmente 2 casi di utilizzo:
In questa sezione vengono illustrati entrambi i casi di utilizzo.
Attività 1
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia del backplane. Vengono acquisiti i pacchetti per i quali la porta dell'applicazione Ethernet1/2 è identificata come interfaccia in uscita. In questo caso, vengono acquisite le risposte ICMP.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:
CLI FXOS
Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create app-port 1 l12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session/app-port* # set filter ""
firepower /packet-capture/session/app-port* # set subinterface 0
firepower /packet-capture/session/app-port* # up
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Application ports involved in Packet Capture:
Slot Id: 1
Link Name: l12
Port Name: Ethernet1/2
App Name: ftd
Sub Interface: 0
Application Instance Identifier: ftd1
Application ports resolved to:
Name: vnic1
Eq Slot Id: 1
Eq Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
Pcapsize: 53640 bytes
Vlan: 102
Filter:
Name: vnic2
Eq Slot Id: 1
Eq Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
Pcapsize: 1824 bytes
Vlan: 102
Filter:
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. Nel caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane. In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.
Selezionare il primo e il secondo pacchetto e verificare i punti principali:
Spiegazione
In questo caso, Ethernet 1/2 con tag VLAN 102 è l'interfaccia di uscita per i pacchetti di risposta echo ICMP.
Quando la direzione di acquisizione dell'applicazione è impostata su Egress nelle opzioni di acquisizione, i pacchetti con il tag VLAN della porta 102 nell'intestazione Ethernet vengono catturati sulle interfacce del backplane nella direzione in entrata.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica delle acquisizioni sulla porta dell'applicazione e sulla porta Ethernet1/2 |
Interfacce backplane |
102 |
Solo in ingresso |
ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
Attività 2
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia backplane e sull'interfaccia anteriore Ethernet1/2.
Le acquisizioni simultanee dei pacchetti sono configurate su:
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:
CLI FXOS
Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port eth1/2
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # create app-port 1 link12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # commit
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 410444 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Application ports involved in Packet Capture:
Slot Id: 1
Link Name: link12
Port Name: Ethernet1/2
App Name: ftd
Sub Interface: 0
Application Instance Identifier: ftd1
Application ports resolved to:
Name: vnic1
Eq Slot Id: 1
Eq Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
Pcapsize: 128400 bytes
Vlan: 102
Filter:
Name: vnic2
Eq Slot Id: 1
Eq Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
Pcapsize: 2656 bytes
Vlan: 102
Filter:
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. Nel caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane. In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.
Aprire il file di acquisizione per l'interfaccia Ethernet1/2, selezionare il primo pacchetto e controllare i punti chiave:
Selezionare il secondo pacchetto e controllare i punti chiave:
Aprire il file di acquisizione per l'interfaccia Ethernet1/9, selezionare il primo e il secondo pacchetto e controllare i punti chiave:
Spiegazione
Se l'opzione Tutti i pacchetti nella direzione di acquisizione dell'applicazione è selezionata, vengono configurate 2 acquisizioni simultanee di pacchetti relative alla porta dell'applicazione selezionata Ethernet1/2: un'acquisizione sull'interfaccia anteriore Ethernet1/2 e un'acquisizione su interfacce selezionate del backplane.
Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:
Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN. Nell'esempio, il tag VLAN 102 nei pacchetti di richiesta echo ICMP identifica Ethernet 1/2 come interfaccia in entrata.
Quando si configura un pacchetto da acquisire su un'interfaccia backplane, lo switch acquisisce simultaneamente ciascun pacchetto due volte. Lo switch interno riceve i pacchetti che sono già stati contrassegnati dall'applicazione sul modulo di sicurezza con il tag della porta VLAN e il tag VN. Il tag port VLAN identifica l'interfaccia in uscita usata dallo chassis interno per inoltrare i pacchetti alla rete. Nell'esempio, il tag VLAN 102 nei pacchetti di risposta echo ICMP identifica Ethernet1/2 come interfaccia di uscita.
Lo switch interno rimuove il tag VN e il tag VLAN dell'interfaccia interna prima che i pacchetti vengano inoltrati alla rete.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica delle acquisizioni sulla porta dell'applicazione e sulla porta Ethernet1/2 |
Interfacce backplane |
102 |
Solo in ingresso |
ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
Interfaccia Ethernet1/2 |
102 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia secondaria Ethernet1/2.205 o Portchannel1.207. Le sottointerfacce e le acquisizioni sulle sottointerfacce sono supportate solo per l'applicazione FTD in modalità contenitore. In questo caso, viene configurata l'acquisizione di un pacchetto su Ethernet1/2.205 e Portchannel1.207.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:
3. Nel caso di una sottointerfaccia port-channel, a causa dell'ID bug Cisco CSCvq3119 le sottointerfacce non sono visibili in FCM. Usare la CLI di FXOS per configurare le acquisizioni sulle sottointerfacce del canale della porta.
CLI FXOS
Attenersi alla seguente procedura dalla CLI di FXOS per configurare l'acquisizione di un pacchetto sulle sottointerfacce Ethernet1/2.205 e Portchannel1.207:
firepower# scope ssa
firepower /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Container No RP20 Not Applicable None
ftd ftd2 1 Enabled Online 7.2.0.82 7.2.0.82 Container No RP20 Not Applicable None
firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/3(P) Eth1/3(P)
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 205
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Per le sottointerfacce del canale della porta, creare un'acquisizione di pacchetto per ogni interfaccia membro del canale della porta:
firepower# scope packet-capture
firepower /packet-capture # create filter vlan207
firepower /packet-capture/filter* # set ovlan 207
firepower /packet-capture/filter* # up
firepower /packet-capture* # create session cap1
firepower /packet-capture/session* create phy-port Eth1/3
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
Le acquisizioni dell'interfaccia secondaria del canale della porta configurate sulla CLI di FXOS sono visibili anche su FCM; tuttavia, non è possibile modificarli:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 9324 bytes
Filter:
Sub Interface: 205
Application Instance Identifier: ftd1
Application Name: ftd
Port-channel 1 con interfacce membro Ethernet1/3 e Ethernet1/4:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 3
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-3-0.pcap
Pcapsize: 160 bytes
Filter:
Sub Interface: 207
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 4
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
Pcapsize: 624160 bytes
Filter:
Sub Interface: 207
Application Instance Identifier: ftd1
Application Name: ftd
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione. Selezionare il primo pacchetto e controllare i punti chiave:
Selezionare il secondo pacchetto e controllare i punti chiave:
Aprire i file di acquisizione per Portchannel1.207. Selezionare il primo pacchetto e controllare i punti chiave
Selezionare il secondo pacchetto e controllare i punti chiave:
Spiegazione
Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:
Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN. Inoltre, nel caso delle sottointerfacce, nei file di acquisizione, il pacchetto ogni secondo non contiene il tag port VLAN.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/2.205 |
Ethernet 1/2.205 |
102 |
Solo in ingresso |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia secondaria di Portchannel1 con le interfacce membro Ethernet1/3 ed Ethernet1/4 |
Ethernet 1/3 Ethernet 1/4 |
1001 |
Solo in ingresso |
Richieste echo ICMP da 192.168.207.100 all'host 192.168.207.102 |
Usare FCM e CLI per configurare e verificare un'acquisizione pacchetto sull'interfaccia Ethernet1/2 con un filtro.
Topologia, flusso dei pacchetti e punti di acquisizione
Configurazione
FCM
Eseguire la procedura seguente su FCM per configurare un filtro di acquisizione per i pacchetti di richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 e applicarlo all'acquisizione dei pacchetti sull'interfaccia Ethernet1/2:
Utilizzare Strumenti > Acquisizione pacchetti > Elenco filtri > Aggiungi filtro per creare un filtro di acquisizione.
CLI FXOS
Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
2. Identificare il numero del protocollo IP in https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml. In questo caso, il numero di protocollo ICMP è 1.
3. Creare una sessione di acquisizione:
firepower# scope packet-capture
firepower /packet-capture # create filter filter_icmp
firepower /packet-capture/filter* # set destip 198.51.100.100
firepower /packet-capture/filter* # set protocol 1
firepower /packet-capture/filter* # set srcip 192.0.2.100
firepower /packet-capture/filter* # exit
firepower /packet-capture* # create session cap1
firepower /packet-capture/session* # create phy-port Ethernet1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set filter filter_icmp
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verifica
FCM
Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:
Verificare il nome dell'interfaccia, il filtro, accertarsi che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino in Strumenti > Acquisizione pacchetti > Sessione di acquisizione:
CLI FXOS
Verificare i dettagli di acquisizione nell'ambito packet-capture:
firepower# scope packet-capture
firepower /packet-capture # show filter detail
Configure a filter for packet capture:
Name: filter_icmp
Protocol: 1
Ivlan: 0
Ovlan: 0
Src Ip: 192.0.2.100
Dest Ip: 198.51.100.100
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Src Ipv6: ::
Dest Ipv6: ::
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 213784 bytes
Filter: filter_icmp
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Raccogli file di acquisizione
Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione. Selezionare il primo pacchetto e controllare i punti chiave
Selezionare il secondo pacchetto e controllare i punti chiave:
Spiegazione
Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:
Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN.
Quando si applica un filtro di acquisizione, vengono acquisiti solo i pacchetti che corrispondono al filtro nella direzione in entrata.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
VLAN della porta interna nei pacchetti acquisiti |
Direzione |
Filtro utente |
Traffico acquisito |
Configurare e verificare l'acquisizione di un pacchetto con un filtro sull'interfaccia anteriore Ethernet1/2 |
Ethernet 1/2 |
102 |
Solo in ingresso |
Protocollo: ICMP Fonte:192.0.2.100 Destinazione: 198.51.100.100 |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
FCM
Per raccogliere i file di acquisizione dello switch interno, eseguire la procedura seguente in FCM:
Nel caso di interfacce porta-canale, ripetere questo passaggio per ciascuna interfaccia membro.
CLI FXOS
Per raccogliere i file di acquisizione, attenersi alla seguente procedura dalla CLI di FXOS:
firepower# scope packet-capture
firepower /packet-capture # scope session cap1
firepower /packet-capture/session # disable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # up
firepower /packet-capture # show session cap1 detail
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Disabled
Oper State: Down
Oper State Reason: Admin Disable
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 115744 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
firepower# connect local-mgmt
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ?
ftp: Dest File URI
http: Dest File URI
https: Dest File URI
scp: Dest File URI
sftp: Dest File URI
tftp: Dest File URI
usbdrive: Dest File URI
volatile: Dest File URI
workspace: Dest File URI
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ftp://ftpuser@10.10.10.1/cap1-ethernet-1-2-0.pcap
Password:
Nel caso delle interfacce port-channel, copiare il file di acquisizione per ciascuna interfaccia membro.
Per le linee guida e i limiti relativi all'acquisizione degli switch interni Firepower 4100/9300, fare riferimento alla guida alla configurazione di Cisco Firepower 4100/9300 FXOS Chassis Manager o alla guida alla configurazione della CLI di Cisco Firepower 4100/9300 FXOS, capitolo Risoluzione dei problemi, sezione Packet Capture.
Questo è l'elenco delle best practice basate sull'uso della cattura di pacchetti nei casi TAC:
A differenza di Firepower 4100/9300, le acquisizioni dello switch interno sugli switch Secure Firewall 3100/4200 vengono configurate sull'interfaccia della riga di comando dell'applicazione tramite il comando capture <name> switch, dove l'opzione switch specifica che le acquisizioni sono configurate sullo switch interno.
Questo è il comando capture con l'opzione switch:
> capture cap_sw switch ?
buffer Configure size of capture buffer, default is 256MB
ethernet-type Capture Ethernet packets of a particular type, default is IP
interface Capture packets on a specific interface
ivlan Inner Vlan
match Capture packets based on match criteria
ovlan Outer Vlan
packet-length Configure maximum length to save from each packet, default is
64 bytes
real-time Display captured packets in real-time. Warning: using this
option with a slow console connection may result in an
excessive amount of non-displayed packets due to performance
limitations.
stop Stop packet capture
trace Trace the captured packets
type Capture packets based on a particular type
<cr>
Di seguito sono riportati i passi generali per la configurazione dell'acquisizione dei pacchetti:
La configurazione di acquisizione dello switch accetta il nome dell'interfaccia in entrata, se presente. L'utente può specificare i nomi delle interfacce dati, l'uplink interno o le interfacce di gestione:
> capture capsw switch interface ?
Available interfaces to listen:
in_data_uplink1 Capture packets on internal data uplink1 interface
in_mgmt_uplink1 Capture packets on internal mgmt uplink1 interface
inside Name of interface Ethernet1/1.205
management Name of interface Management1/1
Secure Firewall 4200 supporta le acquisizioni bidirezionali. Se non specificato diversamente, il valore predefinito è in entrata:
> capture capi switch interface inside direction
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
Inoltre, Secure Firewall 4245 è dotato di 2 interfacce dati interne e 2 interfacce uplink di gestione:
> capture capsw switch interface
eventing Name of interface Management1/2
in_data_uplink1 Capture packets on internal data uplink1 interface
in_data_uplink2 Capture packets on internal data uplink2 interface
in_mgmt_uplink1 Capture packets on internal mgmt uplink1 interface
in_mgmt_uplink2 Capture packets on internal mgmt uplink2 interface
management Name of interface Management1/1
> capture capsw switch interface inside ethernet-type ?
802.1Q
<0-65535> Ethernet type
arp
ip
ip6
pppoed
pppoes
rarp
sgt
vlan
> capture capsw switch interface inside match ?
<0-255> Enter protocol number (0 - 255)
ah
eigrp
esp
gre
icmp
icmp6
igmp
igrp
ip
ipinip
ipsec
mac Mac-address filter
nos
ospf
pcp
pim
pptp
sctp
snp
spi SPI value
tcp
udp
<cr>
> capture capsw switch interface inside match ip
> no capture capsw switch stop
> show capture capsw
27 packet captured on disk using switch capture
Reading of capture file from disk is not supported
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 18838
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
> capture capsw switch stop
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 24
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
8. Raccogliere i file di acquisizione. Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Nel software Secure Firewall versione 7.4, la configurazione di acquisizione dello switch interno non è supportata in FMC o FDM. Nel caso del software ASA versione 9.18(1) e successive, le acquisizioni dello switch interno possono essere configurate in ASDM versione 7.18.1.x e successive.
In questi scenari vengono illustrati i casi di utilizzo comuni di acquisizioni di switch interni Secure Firewall 3100/4200.
Usare FTD o ASA CLI per configurare e verificare un'acquisizione pacchetto sull'interfaccia Ethernet1/1 o Portchannel1. Entrambe le interfacce hanno il nome if inside.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200 con acquisizioni bidirezionali:
Configurazione
Attenersi alla seguente procedura sull'appliance ASA o sulla CLI FTD per configurare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/1 o Port-channel1:
> show nameif
Interface Name Security
Ethernet1/1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> show nameif
Interface Name Security
Port-channel1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside
Secure Firewall 4200 supporta la direzionalità di acquisizione:
> capture capsw switch interface inside direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface inside direction both
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 12653
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
79 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Secure Firewall 4200:
> show cap capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Direction: both
Drop: disable
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
33 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Nel caso di Port-channel1, l'acquisizione viene configurata su tutte le interfacce membro:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 2
Physical port:
Slot Id: 1
Port Id: 4
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
Pcapsize: 28824
Filter: capsw-1-4
Packet Capture Filter Info
Name: capsw-1-4
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Physical port:
Slot Id: 1
Port Id: 3
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
Pcapsize: 18399
Filter: capsw-1-3
Packet Capture Filter Info
Name: capsw-1-3
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
56 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Le interfacce membro port-channel possono essere verificate nella shell dei comandi FXOS local-mgmt tramite il comando show portchannel summary:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
Channel PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1 Po1(U) False
Cluster LACP Status:
--------------------------------------------------------------------------------
Channel ClusterSpanned ClusterDetach ClusterUnitID ClusterSysID
--------------------------------------------------------------------------------
1 Po1(U) False False 0 clust
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire il comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per Ethernet1/1. In questo esempio, vengono analizzati i pacchetti acquisiti su Secure Firewall 3100. Selezionare il primo pacchetto e controllare i punti chiave:
Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:
Spiegazione
Le clip dello switch sono configurate sulle interfacce Ethernet1/1 o Portchannel1.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/1 |
Ethernet 1/1 |
Nessuna |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Portchannel1 con le interfacce membro Ethernet1/3 ed Ethernet1/4 |
Ethernet 1/3 Ethernet 1/4 |
Nessuna |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).
Usare FTD o ASA CLI per configurare e verificare l'acquisizione di un pacchetto sulle sottointerfacce Ethernet1/1.205 o Portchannel1.205. Entrambe le sottointerfacce hanno il nome se contenute.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200:
Configurazione
Attenersi alla seguente procedura sull'appliance ASA o sulla CLI FTD per configurare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/1 o Port-channel1:
> show nameif
Interface Name Security
Ethernet1/1.205 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> show nameif
Interface Name Security
Port-channel1.205 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside
Secure Firewall 4200 supporta la direzionalità di acquisizione:
> capture capsw switch interface inside direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface inside direction both
3. Abilitare la sessione di acquisizione:
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 6360
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
46 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In questo caso, viene creato un filtro con VLAN Ovlan=205 esterna che viene applicato all'interfaccia.
Nel caso di Port-channel1, l'acquisizione con un filtro Ovlan=205 viene configurata su tutte le interfacce membro:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 2
Physical port:
Slot Id: 1
Port Id: 4
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
Pcapsize: 23442
Filter: capsw-1-4
Packet Capture Filter Info
Name: capsw-1-4
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Physical port:
Slot Id: 1
Port Id: 3
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
Pcapsize: 5600
Filter: capsw-1-3
Packet Capture Filter Info
Name: capsw-1-3
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
49 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Le interfacce membro port-channel possono essere verificate nella shell dei comandi FXOS local-mgmt tramite il comando show portchannel summary:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
Channel PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1 Po1(U) False
Cluster LACP Status:
--------------------------------------------------------------------------------
Channel ClusterSpanned ClusterDetach ClusterUnitID ClusterSysID
--------------------------------------------------------------------------------
1 Po1(U) False False 0 clust
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per Ethernet1/1.205. In questo esempio, vengono analizzati i pacchetti acquisiti su Secure Firewall 3100. Selezionare il primo pacchetto e controllare i punti chiave:
Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:
Spiegazione
Le acquisizioni dello switch vengono configurate sulle sottointerfacce Ethernet1/1.205 o Portchannel1.205 con un filtro che corrisponde alla VLAN 205 esterna.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia Ethernet1/1.205 |
Ethernet 1/1 |
VLAN esterna 2005 |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
Configurare e verificare l'acquisizione di un pacchetto sull'interfaccia secondaria Portchannel1.205 con le interfacce membro Ethernet1/3 ed Ethernet1/4 |
Ethernet 1/3 Ethernet 1/4 |
VLAN esterna 2005 |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 |
* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).
Secure Firewall 3100 ha 2 interfacce interne:
Secure Firewall 4200 dispone di un massimo di 4 interfacce interne:
Attività 1
Usare la CLI FTD o ASA per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia uplink in_data_uplink1.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200:
Configurazione
Per configurare l'acquisizione di un pacchetto sull'interfaccia in_data_uplink1, eseguire la procedura seguente sull'appliance ASA o sulla CLI di FTD:
> capture capsw switch interface in_data_uplink1
Secure Firewall 4200 supporta la direzionalità di acquisizione:
> capture capsw switch interface in_data_uplink1 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface in_data_uplink1 direction both
2. Abilitare la sessione di acquisizione:
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 18
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-data-uplink1.pcap
Pcapsize: 7704
Filter: capsw-1-18
Packet Capture Filter Info
Name: capsw-1-18
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
66 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In questo caso, viene creata un'acquisizione sull'interfaccia con ID interno 18 che è l'interfaccia in_data_uplink1 sul Secure Firewall 3130. Il comando show portmanager switch status nella shell dei comandi FXOS local-mgmt mostra gli ID dell'interfaccia:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode Port Manager
--------- ---------------- ----- ----- ------ ------------- ------------
0/1 SGMII Up 1G Full None Link-Up
0/2 SGMII Up 1G Full None Link-Up
0/3 SGMII Up 1G Full None Link-Up
0/4 SGMII Up 1G Full None Link-Up
0/5 SGMII Down 1G Half None Mac-Link-Down
0/6 SGMII Down 1G Half None Mac-Link-Down
0/7 SGMII Down 1G Half None Mac-Link-Down
0/8 SGMII Down 1G Half None Mac-Link-Down
0/9 1000_BaseX Down 1G Full None Link-Down
0/10 1000_BaseX Down 1G Full None Link-Down
0/11 1000_BaseX Down 1G Full None Link-Down
0/12 1000_BaseX Down 1G Full None Link-Down
0/13 1000_BaseX Down 1G Full None Link-Down
0/14 1000_BaseX Down 1G Full None Link-Down
0/15 1000_BaseX Down 1G Full None Link-Down
0/16 1000_BaseX Down 1G Full None Link-Down
0/17 1000_BaseX Up 1G Full None Link-Up
0/18 KR2 Up 50G Full None Link-Up
0/19 KR Up 25G Full None Link-Up
0/20 KR Up 25G Full None Link-Up
0/21 KR4 Down 40G Full None Link-Down
0/22 n/a Down n/a Full N/A Reset
0/23 n/a Down n/a Full N/A Reset
0/24 n/a Down n/a Full N/A Reset
0/25 1000_BaseX Down 1G Full None Link-Down
0/26 n/a Down n/a Full N/A Reset
0/27 n/a Down n/a Full N/A Reset
0/28 n/a Down n/a Full N/A Reset
0/29 1000_BaseX Down 1G Full None Link-Down
0/30 n/a Down n/a Full N/A Reset
0/31 n/a Down n/a Full N/A Reset
0/32 n/a Down n/a Full N/A Reset
0/33 1000_BaseX Down 1G Full None Link-Down
0/34 n/a Down n/a Full N/A Reset
0/35 n/a Down n/a Full N/A Reset
0/36 n/a Down n/a Full N/A Reset
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per l'interfaccia in_data_uplink1. In questo esempio, vengono analizzati i pacchetti acquisiti sul firewall protetto 3100.
Controllare il punto chiave - in questo caso, i pacchetti di richiesta echo ICMP e di risposta echo vengono acquisiti. Questi sono i pacchetti inviati dall'applicazione allo switch interno.
Spiegazione
Quando si configura l'acquisizione di uno switch sull'interfaccia uplink, vengono acquisiti solo i pacchetti inviati dall'applicazione allo switch interno. I pacchetti inviati all'applicazione non vengono acquisiti.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurare e verificare l'acquisizione di un pacchetto sull'interfaccia uplink in_data_uplink1 |
in_data_uplink1 |
Nessuna |
Solo in ingresso* |
Richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 ICMP echo risponde dall'host 198.51.100.100 all'host 192.0.2.100 |
* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).
Attività 2
Usare FTD o ASA CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia uplink in_mgmt_uplink1. Vengono acquisiti solo i pacchetti delle connessioni del piano di gestione.
Topologia, flusso dei pacchetti e punti di acquisizione
Secure Firewall 3100:
Secure Firewall 4200:
Configurazione
Per configurare l'acquisizione di un pacchetto sull'interfaccia in_mgmt_uplink1, eseguire la procedura seguente sull'appliance ASA o sulla CLI di FTD:
> capture capsw switch interface in_mgmt_uplink1
Secure Firewall 4200 supporta la direzionalità di acquisizione:
> capture capsw switch interface in_mgmt_uplink1 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface in_mgmt_uplink1 direction both
2. Abilitare la sessione di acquisizione:
> no capture capsw switch stop
Verifica
Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 19
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-mgmt-uplink1.pcap
Pcapsize: 137248
Filter: capsw-1-19
Packet Capture Filter Info
Name: capsw-1-19
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
281 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In questo caso, viene creata un'acquisizione sull'interfaccia con ID interno 19, che è l'interfaccia in_mgmt_uplink1 sul Secure Firewall 3130. Il comando show portmanager switch status nella shell dei comandi FXOS local-mgmt visualizza gli ID dell'interfaccia:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode Port Manager
--------- ---------------- ----- ----- ------ ------------- ------------
0/1 SGMII Up 1G Full None Link-Up
0/2 SGMII Up 1G Full None Link-Up
0/3 SGMII Up 1G Full None Link-Up
0/4 SGMII Up 1G Full None Link-Up
0/5 SGMII Down 1G Half None Mac-Link-Down
0/6 SGMII Down 1G Half None Mac-Link-Down
0/7 SGMII Down 1G Half None Mac-Link-Down
0/8 SGMII Down 1G Half None Mac-Link-Down
0/9 1000_BaseX Down 1G Full None Link-Down
0/10 1000_BaseX Down 1G Full None Link-Down
0/11 1000_BaseX Down 1G Full None Link-Down
0/12 1000_BaseX Down 1G Full None Link-Down
0/13 1000_BaseX Down 1G Full None Link-Down
0/14 1000_BaseX Down 1G Full None Link-Down
0/15 1000_BaseX Down 1G Full None Link-Down
0/16 1000_BaseX Down 1G Full None Link-Down
0/17 1000_BaseX Up 1G Full None Link-Up
0/18 KR2 Up 50G Full None Link-Up
0/19 KR Up 25G Full None Link-Up
0/20 KR Up 25G Full None Link-Up
0/21 KR4 Down 40G Full None Link-Down
0/22 n/a Down n/a Full N/A Reset
0/23 n/a Down n/a Full N/A Reset
0/24 n/a Down n/a Full N/A Reset
0/25 1000_BaseX Down 1G Full None Link-Down
0/26 n/a Down n/a Full N/A Reset
0/27 n/a Down n/a Full N/A Reset
0/28 n/a Down n/a Full N/A Reset
0/29 1000_BaseX Down 1G Full None Link-Down
0/30 n/a Down n/a Full N/A Reset
0/31 n/a Down n/a Full N/A Reset
0/32 n/a Down n/a Full N/A Reset
0/33 1000_BaseX Down 1G Full None Link-Down
0/34 n/a Down n/a Full N/A Reset
0/35 n/a Down n/a Full N/A Reset
0/36 n/a Down n/a Full N/A Reset
Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.
Raccogli file di acquisizione
Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione degli switch interni del firewall protetto.
Analisi dei file di acquisizione
Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per l'interfaccia in_mgmt_uplink1. In questo esempio, vengono analizzati i pacchetti acquisiti su Secure Firewall 3100.
Controllare il punto chiave: in questo caso vengono visualizzati solo i pacchetti dell'indirizzo IP di gestione 192.0.2.200. Ad esempio, i pacchetti di risposta echo SSH, Sftunnel o ICMP. Si tratta dei pacchetti inviati dall'interfaccia di gestione delle applicazioni alla rete tramite lo switch interno.
Spiegazione
Quando si configura l'acquisizione di uno switch sull'interfaccia uplink di gestione, vengono acquisiti solo i pacchetti in entrata inviati dall'interfaccia di gestione dell'applicazione. I pacchetti destinati all'interfaccia di gestione delle applicazioni non vengono acquisiti.
Nella tabella seguente viene riepilogata l'attività:
Attività |
Punto di acquisizione |
Filtro interno |
Direzione |
Traffico acquisito |
Configurazione e verifica dell'acquisizione di un pacchetto sull'interfaccia uplink di gestione |
in_mgmt_uplink1 |
Nessuna |
Solo in ingresso* (dall'interfaccia di gestione alla rete tramite lo switch interno) |
Risposte echo ICMP da gestione FTD indirizzo IP 192.0.2.200 all'host 192.0.2.100 Sftunnel dall'indirizzo IP di gestione FTD 192.0.2.200 all'indirizzo IP FMC 192.0.2.101 SSH da FTD management IP address 192.0.2.200 all'host 192.0.2.100 |
* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).
I filtri di acquisizione dei pacchetti dello switch interno sono configurati allo stesso modo delle acquisizioni del piano dati. Utilizzare le opzioni ethernet-type e match per configurare i filtri.
Configurazione
Eseguire la procedura seguente sull'appliance ASA o sulla CLI del protocollo FTD per configurare l'acquisizione di un pacchetto con un filtro che corrisponda ai frame ARP o ai pacchetti ICMP dell'host 198.51.100.100 sull'interfaccia Ethernet1/1:
> show nameif
Interface Name Security
Ethernet1/1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside ethernet-type arp
> capture capsw switch interface inside match icmp 198.51.100.100
Verifica
Verificare il nome della sessione di acquisizione e il filtro. Il valore di Ethertype è 2054 in decimale e 0x0806 in esadecimale:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 2054
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Questa è la verifica del filtro per ICMP. Il protocollo IP 1 è l'ICMP:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 1
Ivlan: 0
Ovlan: 0
Src Ip: 198.51.100.100
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Usare ASA o FTD CLI per raccogliere i file di acquisizione dello switch interno. Su FTD, il file di acquisizione può anche essere esportato tramite il comando copy della CLI verso destinazioni raggiungibili tramite le interfacce di dati o di diagnostica.
In alternativa, il file può essere copiato in /ngfw/var/common in modalità Expert e scaricato da FMC tramite l'opzione File Download.
Nel caso delle interfacce port-channel, assicurarsi di raccogliere i file di acquisizione dei pacchetti da tutte le interfacce membro.
ASA
Per raccogliere i file di acquisizione degli switch interni sulla CLI dell'ASA, attenersi alla seguente procedura:
asa# capture capsw switch stop
asa# show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Utilizzare il comando copy della CLI per esportare il file in destinazioni remote:
asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs
FTD
Eseguire questi passaggi per raccogliere i file di acquisizione dello switch interno sulla CLI FTD e copiarli sui server raggiungibili tramite interfacce di dati o di diagnostica:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Click 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password: <-- Enter
firepower#
firepower# capture capi switch stop
firepower# show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs
Per raccogliere i file di acquisizione da FMC tramite l'opzione Download file, eseguire la procedura seguente:
> capture capsw switch stop
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
> expert
admin@firepower:~$ sudo su
root@firepower:/home/admin
root@KSEC-FPR3100-1:/home/admin cp /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap /ngfw/var/common/
root@KSEC-FPR3100-1:/home/admin ls -l /ngfw/var/common/sess*
-rwxr-xr-x 1 root admin 139826 Aug 7 20:14 /ngfw/var/common/sess-1-capsw-ethernet-1-1-0.pcap
-rwxr-xr-x 1 root admin 24 Aug 6 21:58 /ngfw/var/common/sess-1-capsw-ethernet-1-3-0.pcap
Linee guida e limitazioni:
Nel caso di un'ASA multi-contesto, le acquisizioni dello switch sulle interfacce dati vengono configurate nei contesti utente. Le acquisizioni dello switch sulle interfacce in_data_uplink1 e in_mgmt_uplink1 sono supportate solo nel contesto admin.
Questo è l'elenco delle best practice basate sull'uso della cattura di pacchetti nei casi TAC:
Revisione | Data di pubblicazione | Commenti |
---|---|---|
2.0 |
17-Sep-2022 |
Release iniziale |
1.0 |
27-Aug-2022 |
Versione iniziale |