Introduzione

In questo documento viene descritta la configurazione e la verifica di Firepower e delle acquisizioni dello switch interno Secure Firewall.

Prerequisiti

Requisiti

Conoscenze base dei prodotti, analisi delle acquisizioni.

Componenti usati

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Secure Firewall 31xx, 42xx
• Firepower 41xx
• Firepower 93xx
• Cisco Secure eXtensible Operating System (FXOS) 2.12.0.x
• Cisco Secure Firewall Threat Defense (FTD) 7.2.0.x, 7.4.1-172
• Cisco Secure Firewall Management Center (FMC) 7.2.0.x, 7.4.1-172
• Adaptive Security Appliance (ASA) 9.18(1)x, 9.20(x)
• Wireshark 3.6.7 (https://www.wireshark.org/download.html)

Premesse

Panoramica di alto livello dell'architettura del sistema

Dal punto di vista del flusso dei pacchetti, l'architettura di Firepower 4100/9300 e Secure Firewall 3100/4200 può essere visualizzata come mostrato nella seguente figura:

Lo chassis comprende i seguenti componenti:

• Switch interno: inoltra il pacchetto dalla rete all'applicazione e viceversa. Lo switch interno è collegato alle interfacce anteriori che risiedono sul modulo di interfaccia incorporato o sui moduli di rete esterni e si connette a dispositivi esterni, ad esempio switch. Esempi di interfacce anteriori sono Ethernet 1/1, Ethernet 2/4 e così via. Il "fronte" non è una definizione tecnica forte. In questo documento viene usato per distinguere le interfacce collegate a dispositivi esterni dal backplane o dalle interfacce uplink.

• Backplane o uplink: interfaccia interna che connette il modulo di sicurezza (SM) allo switch interno.
• Uplink di gestione: un'interfaccia interna esclusiva di Secure Firewall 3100/4200 che fornisce il percorso del traffico di gestione tra lo switch interno e l'applicazione.

Nella tabella seguente vengono mostrate le interfacce backplane su Firepower 4100/9300 e le interfacce uplink su Secure Firewall 3100/4200:

Nel caso in cui Firepower 4100/9300 con 2 interfacce backplane per modulo o Secure Firewall 4245 con 2 interfacce di uplink dati, lo switch interno e le applicazioni sui moduli eseguono il bilanciamento del carico del traffico sulle 2 interfacce.

• Modulo di sicurezza, motore di sicurezza o blade : il modulo in cui sono installate applicazioni quali FTD o ASA. Firepower 9300 supporta fino a 3 moduli di sicurezza.
• Mapped application interface: nomi delle interfacce backplane o uplink nelle applicazioni, ad esempio FTD o ASA.

Utilizzare il comando show interface detail per verificare le interfacce interne:

> show interface detail | grep Interface
Interface Internal-Control0/0 "ha_ctl_nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 6
        Interface config status is active
        Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
  Control Point Interface States:
        Interface number is 2
        Interface config status is active
        Interface state is active
Interface Internal-Data0/1 "", is up, line protocol is up
  Control Point Interface States:
        Interface number is 3
        Interface config status is active
        Interface state is active
Interface Internal-Data0/2 "nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 4
        Interface config status is active
        Interface state is active
Interface Internal-Data0/3 "ccl_ha_nlp_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 5
        Interface config status is active
        Interface state is active
Interface Internal-Data0/4 "cmi_mgmt_int_tap", is up, line protocol is up
  Control Point Interface States:
        Interface number is 7
        Interface config status is active
        Interface state is active
Interface Port-channel6.666 "", is up, line protocol is up
Interface Ethernet1/1 "diagnostic", is up, line protocol is up
  Control Point Interface States:
        Interface number is 8
        Interface config status is active
        Interface state is active

Panoramica generale delle operazioni dello switch interno

Firepower 4100/9300

Per prendere una decisione di inoltro, lo switch interno usa un tag interface VLAN, o tag port VLAN, e un tag virtual network (VN-tag).

Il tag port VLAN viene usato dallo switch interno per identificare un'interfaccia. Lo switch inserisce il tag VLAN della porta in ciascun pacchetto in entrata inviato sulle interfacce anteriori. Il tag VLAN viene configurato automaticamente dal sistema e non può essere modificato manualmente.  Il valore del tag può essere controllato nella shell dei comandi fxos:

firepower# connect fxos 
…
firepower(fxos)# show run int e1/2
!Command: show running-config interface Ethernet1/2
!Time: Tue Jul 12 22:32:11 2022

version 5.0(3)N2(4.120)

interface Ethernet1/2
  description U: Uplink
  no lldp transmit
  no lldp receive
  no cdp enable
  switchport mode dot1q-tunnel
  switchport trunk native vlan 102
  speed 1000
  duplex full
  udld disable
  no shutdown

Il tag VN viene inoltre inserito dallo switch interno e utilizzato per inoltrare i pacchetti all'applicazione. Viene configurato automaticamente dal sistema e non può essere modificato manualmente.

Il tag VLAN della porta e il tag VN vengono condivisi con l'applicazione. L'applicazione inserisce i rispettivi tag VLAN dell'interfaccia in uscita e i tag VN in ciascun pacchetto. Quando uno switch interno riceve un pacchetto dall'applicazione sulle interfacce del backplane, lo switch legge il tag VLAN dell'interfaccia in uscita e il tag VN, identifica l'applicazione e l'interfaccia in uscita, rimuove il tag VLAN della porta e il tag VN, quindi inoltra il pacchetto alla rete.

Secure Firewall 3100/4200

Come in Firepower 4100/9300, il tag della porta VLAN viene usato dallo switch interno per identificare un'interfaccia.

Il tag della porta VLAN è condiviso con l'applicazione. L'applicazione inserisce i rispettivi tag VLAN dell'interfaccia in uscita in ciascun pacchetto. Quando uno switch interno riceve un pacchetto dall'applicazione sull'interfaccia uplink, lo switch legge il tag dell'interfaccia VLAN in uscita, identifica l'interfaccia in uscita, rimuove il tag della porta VLAN e inoltra il pacchetto alla rete.

Flusso di pacchetti e punti di acquisizione

Firepower 4100/9300 e Secure Firewall 3100

I firewall Firepower 4100/9300 e Secure Firewall 3100 supportano le acquisizioni di pacchetti sulle interfacce dello switch interno.

La figura mostra i punti di acquisizione del pacchetto lungo il percorso del pacchetto all'interno dello chassis e dell'applicazione:

I punti di acquisizione sono:

1. Punto di acquisizione in entrata interfaccia anteriore switch interno. Un'interfaccia anteriore è un'interfaccia connessa ai dispositivi peer, ad esempio gli switch.
2. Punto di acquisizione in entrata interfaccia piano dati
3. Punto di acquisizione snort
4. Punto di acquisizione uscita interfaccia piano dati
5. Punto di acquisizione in entrata uplink o backplane interno dello switch. Un'interfaccia di backplane o uplink collega lo switch interno all'applicazione.

Lo switch interno supporta solo le acquisizioni dell'interfaccia in entrata. In questo modo, è possibile acquisire solo i pacchetti ricevuti dalla rete o dall'applicazione ASA/FTD. Le acquisizioni di pacchetti in uscita non sono supportate.

Secure Firewall 4200

I firewall Secure Firewall 4200 supportano le acquisizioni di pacchetti sulle interfacce dello switch interno. La figura mostra i punti di acquisizione del pacchetto lungo il percorso del pacchetto all'interno dello chassis e dell'applicazione:

I punti di acquisizione sono:

1. Punto di acquisizione in entrata interfaccia anteriore switch interno. Un'interfaccia anteriore è un'interfaccia connessa ai dispositivi peer, ad esempio gli switch.
2. Punto di cattura dell'uscita dell'interfaccia del backplane dello switch interno.
3. Punto di acquisizione in entrata interfaccia piano dati
4. Punto di acquisizione snort
5. Punto di acquisizione uscita interfaccia piano dati
6. Punto di acquisizione in entrata uplink o backplane interno dello switch. Un'interfaccia di backplane o uplink collega lo switch interno all'applicazione.
7. Punto di acquisizione uscita interfaccia anteriore switch interno.

Lo switch interno supporta facoltativamente le acquisizioni bidirezionali in entrata e in uscita. Per impostazione predefinita, lo switch interno cattura i pacchetti in entrata.

Configurazione e verifica su Firepower 4100/9300

Le acquisizioni dello switch interno Firepower 4100/9300 possono essere configurate in Strumenti > Packet Capture su FCM o in Scope Packet Capture nella CLI di FXOS. Per la descrizione delle opzioni di acquisizione dei pacchetti, consultare la guida alla configurazione di Cisco Firepower 4100/9300 FXOS Chassis Manager o la guida alla configurazione della CLI di Cisco Firepower 4100/9300 FXOS, capitolo Risoluzione dei problemi, sezione Acquisizione pacchetti.

In questi scenari vengono illustrati i casi di utilizzo comuni delle acquisizioni dello switch interno Firepower 4100/9300.

Acquisizione dei pacchetti su un'interfaccia fisica o su un canale della porta

Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/2 o Portchannel1. Nel caso di un'interfaccia di canale della porta, assicurarsi di selezionare tutte le interfacce membro fisiche.

Topologia, flusso dei pacchetti e punti di acquisizione

Configurazione

FCM

Per configurare l'acquisizione di un pacchetto sulle interfacce Ethernet1/2 o Portchannel1, eseguire la procedura seguente su FCM:

1. Utilizzare Strumenti > Acquisizione pacchetti > Acquisisci sessione per creare una nuova sessione di acquisizione:

2. Selezionare l'interfaccia Ethernet1/2, fornire il nome della sessione e fare clic su Save and Run (Salva ed esegui) per attivare l'acquisizione:

3. Nel caso di un'interfaccia di canale della porta, selezionare tutte le interfacce fisiche, fornire il nome della sessione e fare clic su Save and Run per attivare l'acquisizione:

CLI FXOS

Attenersi alla seguente procedura dalla CLI di FXOS per configurare l'acquisizione di un pacchetto sulle interfacce Ethernet1/2 o Portchannel1:

1. Identificare il tipo di applicazione e l'identificatore:

firepower# scope ssa
firepower /ssa # show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Nel caso di un'interfaccia porta-canale, identificare le relative interfacce membro:

firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags:  D - Down        P - Up in port-channel (members)
        I - Individual  H - Hot-standby (LACP only)
        s - Suspended   r - Module-removed
        S - Switched    R - Routed
        U - Up (port-channel)
        M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(SU)     Eth      LACP      Eth1/4(P)    Eth1/5(P)    

3. Creare una sessione di acquisizione:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Per le interfacce port-channel, viene configurata un'acquisizione separata per ciascuna interfaccia membro:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/5
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verifica

FCM

Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:

Portchannel1 con interfacce membro Ethernet1/4 ed Ethernet1/5:

CLI FXOS

Verificare i dettagli di acquisizione nell'ambito packet-capture:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 75136  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Port-channel 1 con interfacce membro Ethernet1/4 ed Ethernet1/5:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 4
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
    Pcapsize: 310276  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

    Slot Id: 1
    Port Id: 5
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-5-0.pcap
    Pcapsize: 160  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Raccogli file di acquisizione

Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.

Analisi dei file di acquisizione

Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione per Ethernet1/2. Selezionare il primo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo i pacchetti di richiesta echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia in entrata Ethernet 1/2.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Selezionare il secondo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo i pacchetti di richiesta echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia in entrata Ethernet 1/2.

Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo i pacchetti di richiesta echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 1001 aggiuntivo che identifica l'interfaccia in entrata Portchannel1.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Selezionare il secondo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo i pacchetti di richiesta echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 1001 aggiuntivo che identifica l'interfaccia in entrata Portchannel1.

Spiegazione

Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:

• Dopo l'inserimento del tag VLAN della porta.
• Dopo l'inserimento del tag VN.

Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN.

Nella tabella seguente viene riepilogata l'attività:

Acquisizioni di pacchetti su interfacce backplane

Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sulle interfacce backplane.

Topologia, flusso dei pacchetti e punti di acquisizione

Configurazione

FCM

Per configurare le acquisizioni dei pacchetti sulle interfacce backplane, eseguire la procedura seguente su FCM:

1. Utilizzare Strumenti > Acquisizione pacchetti > Acquisisci sessione per creare una nuova sessione di acquisizione:

2. Per acquisire i pacchetti su tutte le interfacce backplane, selezionare l'applicazione, quindi Tutte le porte backplane dall'elenco a discesa Acquisisci su. In alternativa, scegliete l'interfaccia del backplane specifica. In questo caso, sono disponibili interfacce backplane Ethernet1/9 ed Ethernet1/10. Specificare il Nome sessione e fare clic su Salva ed esegui per attivare l'acquisizione:

CLI FXOS

Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:

1. Identificare il tipo di applicazione e l'identificatore:

firepower# scope ssa
firepower /ssa# show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Creare una sessione di acquisizione:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/9
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* #  create phy-port Eth1/10
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verifica

FCM

Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:

CLI FXOS

Verificare i dettagli di acquisizione nell'ambito packet-capture:

firepower# scope packet-capture
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-10-0.pcap
    Pcapsize: 1017424  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

    Slot Id: 1
    Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-9-0.pcap
    Pcapsize: 1557432  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Raccogli file di acquisizione

Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.

Analisi dei file di acquisizione

Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. In caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane. In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.

Selezionare il primo e il secondo pacchetto e verificare i punti principali:

1. Ogni pacchetto di richiesta echo ICMP viene acquisito e visualizzato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 103 aggiuntivo che identifica l'interfaccia Ethernet1/3 in uscita.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Selezionare il terzo e il quarto pacchetto, quindi verificare i punti chiave:

1. Ogni risposta echo ICMP viene acquisita e visualizzata 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia di uscita Ethernet1/2.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Spiegazione

Quando si configura un pacchetto da acquisire su un'interfaccia backplane, lo switch acquisisce simultaneamente ciascun pacchetto due volte. In questo caso, lo switch interno riceve i pacchetti che sono già stati contrassegnati dall'applicazione sul modulo di sicurezza con il tag port VLAN e il tag VN. Il tag VLAN identifica l'interfaccia in uscita usata dallo chassis interno per inoltrare i pacchetti alla rete. Il tag VLAN 103 nei pacchetti di richiesta echo ICMP identifica Ethernet 1/3 come interfaccia di uscita, mentre il tag VLAN 102 nei pacchetti di risposta echo ICMP identifica Ethernet 1/2 come interfaccia di uscita. Lo switch interno rimuove il tag VN e il tag VLAN dell'interfaccia interna prima che i pacchetti vengano inoltrati alla rete.

Nella tabella seguente viene riepilogata l'attività:

Acquisizione di pacchetti su porte applicazioni e porte applicazioni

Le acquisizioni di pacchetti di porte applicative o applicazioni vengono sempre configurate sulle interfacce backplane e sulle interfacce anteriori se l'utente specifica la direzione di acquisizione dell'applicazione.

Esistono principalmente 2 casi di utilizzo:

• Configurare le acquisizioni dei pacchetti sulle interfacce backplane per i pacchetti che lasciano un'interfaccia anteriore specifica. Ad esempio, configurare le acquisizioni dei pacchetti sull'interfaccia Ethernet1/9 del backplane per i pacchetti che lasciano l'interfaccia Ethernet1/2.
• Configurare le acquisizioni simultanee dei pacchetti su un'interfaccia anteriore specifica e sulle interfacce del backplane. Ad esempio, configurare l'acquisizione simultanea dei pacchetti sull'interfaccia Ethernet1/2 e sull'interfaccia backplane Ethernet1/9 per i pacchetti che lasciano l'interfaccia Ethernet1/2.

In questa sezione vengono illustrati entrambi i casi di utilizzo.

Attività 1

Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia del backplane. Vengono acquisiti i pacchetti per i quali la porta dell'applicazione Ethernet1/2 è identificata come interfaccia in uscita. In questo caso, vengono acquisite le risposte ICMP.

Topologia, flusso dei pacchetti e punti di acquisizione

Configurazione

FCM

Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:

1. Utilizzare Strumenti > Acquisizione pacchetti > Acquisisci sessione per creare una nuova sessione di acquisizione:

2. Selezionare l'applicazione Ethernet1/2 nell'elenco a discesa Porta applicazione e selezionare Pacchetto in uscita in Direzione di acquisizione applicazione. Specificare il Nome sessione e fare clic su Salva ed esegui per attivare l'acquisizione:

CLI FXOS

Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:

1. Identificare il tipo di applicazione e l'identificatore:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Creare una sessione di acquisizione:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create app-port 1 l12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session/app-port* # set filter ""
firepower /packet-capture/session/app-port* # set subinterface 0
firepower /packet-capture/session/app-port* # up
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verifica

FCM

Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:

CLI FXOS

Verificare i dettagli di acquisizione nell'ambito packet-capture:

firepower# scope packet-capture
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Application ports involved in Packet Capture:
    Slot Id: 1
    Link Name: l12
    Port Name: Ethernet1/2
    App Name: ftd
    Sub Interface: 0
    Application Instance Identifier: ftd1

Application ports resolved to:
    Name: vnic1
    Eq Slot Id: 1
    Eq Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
    Pcapsize: 53640  bytes
    Vlan: 102
    Filter:

    Name: vnic2
    Eq Slot Id: 1
    Eq Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
    Pcapsize: 1824  bytes
    Vlan: 102
    Filter:

Raccogli file di acquisizione

Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.

Analisi dei file di acquisizione

Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. Nel caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane. In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.

Selezionare il primo e il secondo pacchetto e verificare i punti principali:

1. Ogni risposta echo ICMP viene acquisita e visualizzata 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia di uscita Ethernet1/2.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Spiegazione

In questo caso, Ethernet 1/2 con tag VLAN 102 è l'interfaccia di uscita per i pacchetti di risposta echo ICMP.

Quando la direzione di acquisizione dell'applicazione è impostata su Egress nelle opzioni di acquisizione, i pacchetti con il tag VLAN della porta 102 nell'intestazione Ethernet vengono catturati sulle interfacce del backplane nella direzione in entrata.

Nella tabella seguente viene riepilogata l'attività:

Attività 2

Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia backplane e sull'interfaccia anteriore Ethernet1/2.

Le acquisizioni simultanee dei pacchetti sono configurate su:

• Front interface (interfaccia anteriore) - cattura i pacchetti con la porta VLAN 102 sull'interfaccia Ethernet 1/2. I pacchetti acquisiti sono richieste echo ICMP.
• Interfacce backplane: pacchetti per cui Ethernet1/2 è identificata come interfaccia in uscita o pacchetti con la porta VLAN 102 vengono acquisiti. I pacchetti acquisiti sono risposte echo ICMP.

Topologia, flusso dei pacchetti e punti di acquisizione

Configurazione

FCM

Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:

1. Utilizzare Strumenti > Acquisizione pacchetti > Acquisisci sessione per creare una nuova sessione di acquisizione:

2. Selezionare l'applicazione FTD Ethernet1/2 nell'elenco a discesa Porta applicazione e selezionare All Packets in Application Capture Direction. Specificare il Nome sessione e fare clic su Salva ed esegui per attivare l'acquisizione:

CLI FXOS

Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:

1. Identificare il tipo di applicazione e l'identificatore:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Creare una sessione di acquisizione:

firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port eth1/2
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # create app-port 1 link12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # commit

Verifica

FCM

Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:

CLI FXOS

Verificare i dettagli di acquisizione nell'ambito packet-capture:

firepower# scope packet-capture 
firepower /packet-capture #  show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 410444  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Application ports involved in Packet Capture:
    Slot Id: 1
    Link Name: link12
    Port Name: Ethernet1/2
    App Name: ftd
    Sub Interface: 0
    Application Instance Identifier: ftd1

Application ports resolved to:
    Name: vnic1
    Eq Slot Id: 1
    Eq Port Id: 9
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
    Pcapsize: 128400  bytes
    Vlan: 102
    Filter:

    Name: vnic2
    Eq Slot Id: 1
    Eq Port Id: 10
    Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
    Pcapsize: 2656  bytes
    Vlan: 102
    Filter:

Raccogli file di acquisizione

Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.

Analisi dei file di acquisizione

Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione. Nel caso di più interfacce backplane, assicurarsi di aprire tutti i file di acquisizione per ciascuna interfaccia backplane.  In questo caso, i pacchetti vengono acquisiti sull'interfaccia Ethernet1/9 del backplane.

Aprire il file di acquisizione per l'interfaccia Ethernet1/2, selezionare il primo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia in entrata Ethernet 1/2.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Selezionare il secondo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia in entrata Ethernet 1/2.

Aprire il file di acquisizione per l'interfaccia Ethernet1/9, selezionare il primo e il secondo pacchetto e controllare i punti chiave:

1. Ogni risposta echo ICMP viene acquisita e visualizzata 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia di uscita Ethernet1/2.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Spiegazione

Se si seleziona l'opzione All Packets in the Application Capture Direction, vengono configurate due acquisizioni simultanee di pacchetti relative alla porta dell'applicazione selezionata Ethernet1/2: un'acquisizione sull'interfaccia anteriore Ethernet1/2 e un'acquisizione sulle interfacce del backplane selezionate.

Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:

• Dopo l'inserimento del tag VLAN della porta.
• Dopo l'inserimento del tag VN.

Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN. Nell'esempio, il tag VLAN 102 nei pacchetti di richiesta echo ICMP identifica Ethernet 1/2 come interfaccia in entrata.

Quando si configura un pacchetto da acquisire su un'interfaccia backplane, lo switch acquisisce simultaneamente ciascun pacchetto due volte. Lo switch interno riceve i pacchetti che sono già stati contrassegnati dall'applicazione sul modulo di sicurezza con il tag della porta VLAN e il tag VN. Il tag port VLAN identifica l'interfaccia in uscita usata dallo chassis interno per inoltrare i pacchetti alla rete. Nell'esempio, il tag VLAN 102 nei pacchetti di risposta echo ICMP identifica Ethernet1/2 come interfaccia di uscita.

Lo switch interno rimuove il tag VN e il tag VLAN dell'interfaccia interna prima che i pacchetti vengano inoltrati alla rete.

Nella tabella seguente viene riepilogata l'attività:

Acquisizione di pacchetti su una sottointerfaccia di un'interfaccia fisica o di un canale della porta

Usare FCM e CLI per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia secondaria Ethernet1/2.205 o Portchannel1.207. Le sottointerfacce e le acquisizioni sulle sottointerfacce sono supportate solo per l'applicazione FTD in modalità contenitore. In questo caso, viene configurata l'acquisizione di un pacchetto su Ethernet1/2.205 e Portchannel1.207.

Topologia, flusso dei pacchetti e punti di acquisizione

Configurazione

FCM

Per configurare l'acquisizione di un pacchetto sull'applicazione FTD e sulla porta Ethernet1/2 dell'applicazione, eseguire la procedura seguente su FCM:

1. Utilizzare Strumenti > Acquisizione pacchetti > Acquisisci sessione per creare una nuova sessione di acquisizione:

2. Selezionare l'istanza specifica dell'applicazione ftd1, la sottointerfaccia Ethernet1/2.205, fornire il nome della sessione e fare clic su Salva ed esegui per attivare l'acquisizione:

3. Nel caso di una sottointerfaccia port-channel, a causa dell'ID bug Cisco CSCvq3119 le sottointerfacce non sono visibili in FCM. Usare la CLI di FXOS per configurare le acquisizioni sulle sottointerfacce del canale della porta.

CLI FXOS

Attenersi alla seguente procedura dalla CLI di FXOS per configurare l'acquisizione di un pacchetto sulle sottointerfacce Ethernet1/2.205 e Portchannel1.207:

1. Identificare il tipo di applicazione e l'identificatore:

firepower# scope ssa
firepower /ssa #  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Container   No         RP20         Not Applicable  None
ftd        ftd2       1          Enabled     Online           7.2.0.82        7.2.0.82        Container   No         RP20         Not Applicable  None

2. Nel caso di un'interfaccia porta-canale, identificare le relative interfacce membro:

firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags:  D - Down        P - Up in port-channel (members)
        I - Individual  H - Hot-standby (LACP only)
        s - Suspended   r - Module-removed
        S - Switched    R - Routed
        U - Up (port-channel)
        M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(SU)     Eth      LACP      Eth1/3(P)    Eth1/3(P)    

3. Creare una sessione di acquisizione:

firepower# scope packet-capture 
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 205
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Per le sottointerfacce del canale della porta, creare un'acquisizione di pacchetto per ogni interfaccia membro del canale della porta:

firepower#  scope packet-capture 
firepower /packet-capture # create filter vlan207
firepower /packet-capture/filter* # set ovlan 207
firepower /packet-capture/filter* # up
firepower /packet-capture* # create session cap1
firepower /packet-capture/session*  create phy-port Eth1/3
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207     
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd           
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207     
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable 
firepower /packet-capture/session* # commit
firepower /packet-capture/session #

Verifica

FCM

Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:

Le acquisizioni della sottointerfaccia del canale della porta configurate nella CLI di FXOS sono visibili anche in FCM; tuttavia, non possono essere modificate:

CLI FXOS

Verificare i dettagli di acquisizione nell'ambito packet-capture:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 9324  bytes
    Filter:
    Sub Interface: 205
    Application Instance Identifier: ftd1
    Application Name: ftd

Port-channel 1 con interfacce membro Ethernet1/3 e Ethernet1/4:

firepower# scope packet-capture 
firepower /packet-capture # show session cap1

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 3
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-3-0.pcap
    Pcapsize: 160  bytes
    Filter:
    Sub Interface: 207
    Application Instance Identifier: ftd1
    Application Name: ftd
    Slot Id: 1
    Port Id: 4
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
    Pcapsize: 624160  bytes
    Filter:
    Sub Interface: 207
    Application Instance Identifier: ftd1
    Application Name: ftd

Raccogli file di acquisizione

Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.

Analisi dei file di acquisizione

Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione. Selezionare il primo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale ha il tag VLAN 205.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia in entrata Ethernet 1/2.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Selezionare il secondo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale ha il tag VLAN 205.

Aprire i file di acquisizione per Portchannel1.207. Selezionare il primo pacchetto e controllare i punti chiave

1. Vengono acquisiti solo pacchetti di richieste echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale ha il tag VLAN 207.
3. Lo switch interno inserisce un tag VLAN 1001 aggiuntivo che identifica l'interfaccia in entrata Portchannel1.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Selezionare il secondo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale ha il tag VLAN 207.

Spiegazione

Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:

• Dopo l'inserimento del tag VLAN della porta.
• Dopo l'inserimento del tag VN.

Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN. Inoltre, nel caso delle sottointerfacce, nei file di acquisizione, il pacchetto ogni secondo non contiene il tag port VLAN.

Nella tabella seguente viene riepilogata l'attività:

Filtri di acquisizione pacchetti

Usare FCM e CLI per configurare e verificare un'acquisizione pacchetto sull'interfaccia Ethernet1/2 con un filtro.

Topologia, flusso dei pacchetti e punti di acquisizione

Configurazione

FCM

Eseguire la procedura seguente su FCM per configurare un filtro di acquisizione per i pacchetti di richieste echo ICMP dall'host 192.0.2.100 all'host 198.51.100.100 e applicarlo all'acquisizione dei pacchetti sull'interfaccia Ethernet1/2:

1. Utilizzare Strumenti > Acquisizione pacchetti > Elenco filtri > Aggiungi filtro per creare un filtro di acquisizione.

2. Specificare il nome del filtro, il protocollo, l'IPv4 di origine e quello di destinazione, quindi fare clic su Salva:

3. Utilizzare Strumenti > Acquisizione pacchetti > Acquisisci sessione per creare una nuova sessione di acquisizione:

4. Selezionare Ethernet1/2, fornire il Nome sessione, applicare il filtro di acquisizione e fare clic su Salva ed esegui per attivare l'acquisizione:

CLI FXOS

Eseguire questi passaggi sulla CLI di FXOS per configurare le acquisizioni dei pacchetti sulle interfacce backplane:

1. Identificare il tipo di applicazione e l'identificatore:

firepower# scope ssa
firepower /ssa#  show app-instance 
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd        ftd1       1          Enabled     Online           7.2.0.82        7.2.0.82        Native      No                      Not Applicable  None

2. Identificare il numero del protocollo IP in https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml. In questo caso, il numero di protocollo ICMP è 1.

3. Creare una sessione di acquisizione:

2. firepower# scope packet-capture 
   firepower /packet-capture # create filter filter_icmp
   firepower /packet-capture/filter* # set destip 198.51.100.100
   firepower /packet-capture/filter* # set protocol 1
   firepower /packet-capture/filter* # set srcip 192.0.2.100
   firepower /packet-capture/filter* # exit
   firepower /packet-capture* # create session cap1
   firepower /packet-capture/session* # create phy-port Ethernet1/2
   firepower /packet-capture/session/phy-port* # set app ftd
   firepower /packet-capture/session/phy-port* # set app-identifier ftd1
   firepower /packet-capture/session/phy-port* # set filter filter_icmp
   firepower /packet-capture/session/phy-port* # exit
   firepower /packet-capture/session* # enable
   firepower /packet-capture/session* # commit
   firepower /packet-capture/session #

Verifica

FCM

Verificare il nome dell'interfaccia, verificare che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino:

Verificare il nome dell'interfaccia, il filtro, accertarsi che lo stato operativo sia attivo e che le dimensioni del file (in byte) aumentino in Strumenti > Acquisizione pacchetti > Sessione di acquisizione:

CLI FXOS

Verificare i dettagli di acquisizione nell'ambito packet-capture:

firepower# scope packet-capture 
firepower /packet-capture # show filter detail 

Configure a filter for packet capture:
    Name: filter_icmp
    Protocol: 1
    Ivlan: 0
    Ovlan: 0
    Src Ip: 192.0.2.100
    Dest Ip: 198.51.100.100
    Src MAC: 00:00:00:00:00:00
    Dest MAC: 00:00:00:00:00:00
    Src Port: 0
    Dest Port: 0
    Ethertype: 0
    Src Ipv6: ::
    Dest Ipv6: ::
firepower /packet-capture # show session cap1 

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Enabled
    Oper State: Up
    Oper State Reason: Active
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 213784  bytes
    Filter: filter_icmp
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

Raccogli file di acquisizione

Eseguire i passaggi descritti nella sezione Raccolta dei file di acquisizione degli switch interni Firepower 4100/9300.

Analisi dei file di acquisizione

Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire il file di acquisizione. Selezionare il primo pacchetto e controllare i punti chiave

1. Vengono acquisiti solo pacchetti di richieste echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia in entrata Ethernet 1/2.
4. Lo switch interno inserisce un tag VN aggiuntivo.

Selezionare il secondo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP. Ogni pacchetto viene acquisito e mostrato 2 volte.
2. L'intestazione del pacchetto originale è senza il tag VLAN.
3. Lo switch interno inserisce un tag VLAN 102 aggiuntivo che identifica l'interfaccia in entrata Ethernet 1/2.

Spiegazione

Quando si configura la cattura di un pacchetto su un'interfaccia anteriore, lo switch acquisisce simultaneamente ciascun pacchetto due volte:

• Dopo l'inserimento del tag VLAN della porta.
• Dopo l'inserimento del tag VN.

Nell'ordine delle operazioni, il tag VN viene inserito in una fase successiva all'inserimento del tag VLAN della porta. Tuttavia, nel file di acquisizione, il pacchetto con il tag VN viene visualizzato prima del pacchetto con il tag port VLAN.

Quando si applica un filtro di acquisizione, vengono acquisiti solo i pacchetti che corrispondono al filtro nella direzione in entrata.

Nella tabella seguente viene riepilogata l'attività:

Raccolta Dei File Di Acquisizione Dello Switch Interno Firepower 4100/9300

FCM

Per raccogliere i file di acquisizione dello switch interno, eseguire la procedura seguente in FCM:

1. Fare clic sul pulsante Disabilita sessione per interrompere l'acquisizione attiva:

2. Verificare che lo stato operativo sia DOWN - Session_Admin_Shut:

3. Fare clic su Download per scaricare il file di acquisizione:

Nel caso di interfacce porta-canale, ripetere questo passaggio per ciascuna interfaccia membro.

CLI FXOS

Per raccogliere i file di acquisizione, attenersi alla seguente procedura dalla CLI di FXOS:

1. Arrestare l'acquisizione attiva:

firepower# scope packet-capture 
firepower /packet-capture # scope session cap1
firepower /packet-capture/session # disable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # up
firepower /packet-capture # show session cap1 detail 

Traffic Monitoring Session:
    Packet Capture Session Name: cap1
    Session: 1
    Admin State: Disabled
    Oper State: Down
    Oper State Reason: Admin Disable
    Config Success: Yes
    Config Fail Reason:
    Append Flag: Overwrite
    Session Mem Usage: 256  MB
    Session Pcap Snap Len: 1518  Bytes
    Error Code: 0
    Drop Count: 0

Physical ports involved in Packet Capture:
    Slot Id: 1
    Port Id: 2
    Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
    Pcapsize: 115744  bytes
    Filter:
    Sub Interface: 0
    Application Instance Identifier: ftd1
    Application Name: ftd

2. Caricare il file di acquisizione dall'ambito del comando local-mgmt:

firepower# connect local-mgmt
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ?
  ftp:        Dest File URI
  http:       Dest File URI
  https:      Dest File URI
  scp:        Dest File URI
  sftp:       Dest File URI
  tftp:       Dest File URI
  usbdrive:   Dest File URI
  volatile:   Dest File URI
  workspace:  Dest File URI

firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ftp://ftpuser@10.10.10.1/cap1-ethernet-1-2-0.pcap
Password:

Nel caso delle interfacce port-channel, copiare il file di acquisizione per ciascuna interfaccia membro.

Linee guida, limitazioni e best practice per l'acquisizione di pacchetti di switch interni

Per le linee guida e i limiti relativi all'acquisizione degli switch interni Firepower 4100/9300, fare riferimento alla guida alla configurazione di Cisco Firepower 4100/9300 FXOS Chassis Manager o alla guida alla configurazione della CLI di Cisco Firepower 4100/9300 FXOS, capitolo Risoluzione dei problemi, sezione Packet Capture.

Questo è l'elenco delle best practice basate sull'uso della cattura di pacchetti nei casi TAC:

• Stai attento alle linee guida e ai limiti.
• Acquisire pacchetti su tutte le interfacce membro del canale della porta e analizzare tutti i file di acquisizione.
• Utilizzare i filtri di acquisizione.
• Considerare l'impatto di NAT sugli indirizzi IP dei pacchetti quando viene configurato un filtro di acquisizione.
• Aumentate o diminuite la Lunghezza snap che specifica le dimensioni del fotogramma nel caso in cui differisca dal valore predefinito di 1518 byte. Dimensioni inferiori determinano un numero maggiore di pacchetti acquisiti e viceversa.
• Regolare le dimensioni del buffer in base alle esigenze.
• Tenere presente il conteggio di perdita sulla CLI di FCM o FXOS. Una volta raggiunto il limite delle dimensioni del buffer, il contatore di rilascio aumenta.
• Usare il filtro !vntag su Wireshark per visualizzare solo i pacchetti senza tag VN. Questa opzione permette di nascondere i pacchetti con tag VN nei file di acquisizione dei pacchetti dell'interfaccia anteriore.
• Utilizzare il filtro frame.number&1 su Wireshark per visualizzare solo i fotogrammi dispari. Ciò è utile per nascondere i pacchetti duplicati nei file di acquisizione dei pacchetti dell'interfaccia del backplane.
• Nel caso di protocolli come TCP, Wireshark applica per impostazione predefinita regole di colorizzazione che visualizzano pacchetti con condizioni specifiche in colori diversi. Nel caso di acquisizioni interne dello switch causate da pacchetti duplicati nei file di acquisizione, il pacchetto può essere colorato e contrassegnato in modo falso-positivo. Se si analizzano i file di acquisizione dei pacchetti e si applica un filtro, esportare i pacchetti visualizzati in un nuovo file e aprire il nuovo file.

Configurazione e verifica su Secure Firewall 3100/4200

A differenza di Firepower 4100/9300, le acquisizioni dello switch interno sugli switch Secure Firewall 3100/4200 vengono configurate sull'interfaccia della riga di comando dell'applicazione tramite il comando capture <name> switch, dove l'opzione switch specifica che le acquisizioni sono configurate sullo switch interno.

Questo è il comando capture con l'opzione switch:

> capture cap_sw switch ?
  buffer         Configure size of capture buffer, default is 256MB
  ethernet-type  Capture Ethernet packets of a particular type, default is IP
  interface      Capture packets on a specific interface
  ivlan          Inner Vlan
  match          Capture packets based on match criteria
  ovlan          Outer Vlan
  packet-length  Configure maximum length to save from each packet, default is
                 64 bytes
  real-time      Display captured packets in real-time. Warning: using this
                 option with a slow console connection may result in an
                 excessive amount of non-displayed packets due to performance
                 limitations.
  stop           Stop packet capture
  trace          Trace the captured packets
  type           Capture packets based on a particular type
  <cr>

Di seguito sono riportati i passi generali per la configurazione dell'acquisizione dei pacchetti:

1. Specificare un'interfaccia in entrata:

La configurazione di acquisizione dello switch accetta il nome dell'interfaccia in entrata, se presente. L'utente può specificare i nomi delle interfacce dati, l'uplink interno o le interfacce di gestione:

> capture capsw switch interface ?
Available interfaces to listen:
  in_data_uplink1  Capture packets on internal data uplink1 interface
  in_mgmt_uplink1  Capture packets on internal mgmt uplink1 interface
  inside           Name of interface Ethernet1/1.205

  management       Name of interface Management1/1

Secure Firewall 4200 supporta le acquisizioni bidirezionali. Se non specificato diversamente, il valore predefinito è in entrata:

> capture capi switch interface inside direction
  both     To capture switch bi-directional traffic
  egress   To capture switch egressing traffic
  ingress  To capture switch ingressing traffic

Inoltre, Secure Firewall 4245 è dotato di 2 interfacce dati interne e 2 interfacce uplink di gestione:

> capture capsw switch interface
  eventing         Name of interface Management1/2
  in_data_uplink1  Capture packets on internal data uplink1 interface
  in_data_uplink2  Capture packets on internal data uplink2 interface
  in_mgmt_uplink1  Capture packets on internal mgmt uplink1 interface
  in_mgmt_uplink2  Capture packets on internal mgmt uplink2 interface
  management       Name of interface Management1/1

2. Specificare EtherType del frame Ethernet. Il valore predefinito di EtherType è IP. I valori dell'opzione ethernet-type specificano EtherType:

> capture capsw switch interface inside ethernet-type ?
  802.1Q    
  <0-65535>  Ethernet type
  arp       
  ip        
  ip6       
  pppoed    
  pppoes    
  rarp      
  sgt       
  vlan    

3. Specificare le condizioni di corrispondenza. L'opzione di acquisizione corrispondenza specifica i criteri di corrispondenza:

> capture capsw switch interface inside match ?
  <0-255>  Enter protocol number (0 - 255)
  ah      
  eigrp   
  esp     
  gre     
  icmp    
  icmp6   
  igmp    
  igrp    
  ip      
  ipinip  
  ipsec   
  mac      Mac-address filter
  nos     
  ospf    
  pcp     
  pim     
  pptp    
  sctp    
  snp     
  spi      SPI value
  tcp     
  udp     
  <cr>

4. Specificare altri parametri facoltativi, ad esempio le dimensioni del buffer, la lunghezza del pacchetto e così via.
5. Abilitare l'acquisizione. Il comando no capture <name> switch stop attiva l'acquisizione:

> capture capsw switch interface inside match ip 
> no capture capsw switch stop

6. Verificare i dettagli di acquisizione:

• Lo stato amministrativo è abilitato e lo stato operativo è attivo e attivo.
• Le dimensioni del file di acquisizione del pacchetto aumentano.
• Il numero di pacchetti acquisiti nell'output del comando show capture <cap_name> è diverso da zero.
• Percorso di acquisizione Pcapfile. I pacchetti catturati vengono salvati automaticamente nella cartella /mnt/disk0/packet-capture/.
• Condizioni di acquisizione. Il software crea automaticamente i filtri di acquisizione in base alle condizioni di acquisizione.

> show capture capsw   
27 packet captured on disk using switch capture
Reading of capture file from disk is not supported

> show capture capsw  detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1
Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          18838
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported

7. Arrestare le clip quando necessario:

> capture capsw switch stop 
> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0
Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          24
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported

8. Raccogliere i file di acquisizione. Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall.

Nel software Secure Firewall versione 7.4, la configurazione di acquisizione dello switch interno non è supportata in FMC o FDM. Nel caso del software ASA versione 9.18(1) e successive, le acquisizioni dello switch interno possono essere configurate in ASDM versione 7.18.1.x e successive.

In questi scenari vengono illustrati i casi di utilizzo comuni di acquisizioni di switch interni Secure Firewall 3100/4200.

Acquisizione dei pacchetti su un'interfaccia fisica o su un canale della porta

Usare FTD o ASA CLI per configurare e verificare un'acquisizione pacchetto sull'interfaccia Ethernet1/1 o Portchannel1. Entrambe le interfacce hanno il nome if inside.

Topologia, flusso dei pacchetti e punti di acquisizione

Secure Firewall 3100:

Secure Firewall 4200 con acquisizioni bidirezionali:

Configurazione

Attenersi alla seguente procedura sull'appliance ASA o sulla CLI FTD per configurare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/1 o Port-channel1:

1. Verificare il nome se:

> show nameif 
Interface                Name                     Security
Ethernet1/1              inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

> show nameif 
Interface                Name                     Security
Port-channel1            inside                    0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Creare una sessione di acquisizione

> capture capsw switch interface inside

Secure Firewall 4200 supporta la direzionalità di acquisizione:

> capture capsw switch interface inside direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface inside direction both

3. Abilitare la sessione di acquisizione:

> no capture capsw switch stop

Verifica

Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          12653
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

79 packets captured on disk using switch capture

Reading of capture file from disk is not supported

Secure Firewall 4200:

> show cap capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Direction:         both
  Drop:              disable
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
33 packet captured on disk using switch capture

Reading of capture file from disk is not supported

Nel caso di Port-channel1, l'acquisizione viene configurata su tutte le interfacce membro:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 2

Physical port:
  Slot Id:           1
  Port Id:           4
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
  Pcapsize:          28824
  Filter:            capsw-1-4

Packet Capture Filter Info
  Name:              capsw-1-4
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Physical port:
  Slot Id:           1
  Port Id:           3
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
  Pcapsize:          18399
  Filter:            capsw-1-3

Packet Capture Filter Info
  Name:              capsw-1-3
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

56 packet captured on disk using switch capture

Reading of capture file from disk is not supported

Le interfacce membro port-channel possono essere verificate nella shell dei comandi FXOS local-mgmt tramite il comando show portchannel summary:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portchannel summary 
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)    

LACP KeepAlive Timer:
--------------------------------------------------------------------------------
      Channel  PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1     Po1(U)      False         

Cluster LACP Status:
--------------------------------------------------------------------------------
      Channel  ClusterSpanned  ClusterDetach  ClusterUnitID  ClusterSysID
--------------------------------------------------------------------------------
1     Po1(U)      False          False          0            clust  

Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire il comando nel contesto admin.

Raccogli file di acquisizione

Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall. 

Analisi dei file di acquisizione

Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per Ethernet1/1. Nell'esempio vengono analizzati i pacchetti acquisiti con Secure Firewall 3100. Selezionare il primo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP.
2. L'intestazione del pacchetto originale è senza il tag VLAN.

Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP.
2. L'intestazione del pacchetto originale è senza il tag VLAN.

Spiegazione

Le clip dello switch sono configurate sulle interfacce Ethernet1/1 o Portchannel1.

Nella tabella seguente viene riepilogata l'attività:

* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).

Acquisizione di pacchetti su una sottointerfaccia di un'interfaccia fisica o di un canale della porta

Usare FTD o ASA CLI per configurare e verificare l'acquisizione di un pacchetto sulle sottointerfacce Ethernet1/1.205 o Portchannel1.205. Entrambe le sottointerfacce hanno il nome if inside.

Topologia, flusso dei pacchetti e punti di acquisizione

Secure Firewall 3100:

Secure Firewall 4200:

Configurazione

Attenersi alla seguente procedura sull'appliance ASA o sulla CLI FTD per configurare l'acquisizione di un pacchetto sull'interfaccia Ethernet1/1 o Port-channel1:

1. Verificare il nome se:

> show nameif
Interface                Name                     Security
Ethernet1/1.205          inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

> show nameif
Interface                Name                     Security
Port-channel1.205        inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Creare una sessione di acquisizione:

> capture capsw switch interface inside

Secure Firewall 4200 supporta la direzionalità di acquisizione:

> capture capsw switch interface inside direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface inside direction both

3. Abilitare la sessione di acquisizione:

> no capture capsw switch stop

Verifica

Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          6360
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

46 packets captured on disk using switch capture

Reading of capture file from disk is not supported

In questo caso, viene creato un filtro con VLAN Ovlan=205 esterna che viene applicato all'interfaccia.

Nel caso di Port-channel1, l'acquisizione con un filtro Ovlan=205 viene configurata su tutte le interfacce membro:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 2

Physical port:
  Slot Id:           1
  Port Id:           4
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
  Pcapsize:          23442
  Filter:            capsw-1-4

Packet Capture Filter Info
  Name:              capsw-1-4
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Physical port:
  Slot Id:           1
  Port Id:           3
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
  Pcapsize:          5600
  Filter:            capsw-1-3

Packet Capture Filter Info
  Name:              capsw-1-3
  Protocol:          0
  Ivlan:             0
  Ovlan:             205
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

49 packet captured on disk using switch capture

Reading of capture file from disk is not supported

Le interfacce membro port-channel possono essere verificate nella shell dei comandi FXOS local-mgmt tramite il comando show portchannel summary:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portchannel summary 
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)    

LACP KeepAlive Timer:
--------------------------------------------------------------------------------
      Channel  PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1     Po1(U)      False         

Cluster LACP Status:
--------------------------------------------------------------------------------
      Channel  ClusterSpanned  ClusterDetach  ClusterUnitID  ClusterSysID
--------------------------------------------------------------------------------
1     Po1(U)      False          False          0            clust  

Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.

Raccogli file di acquisizione

Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall. 

Analisi dei file di acquisizione

Utilizzare un'applicazione per la lettura dei file di acquisizione dei pacchetti per aprire i file di acquisizione per Ethernet 1/1.205. Nell'esempio vengono analizzati i pacchetti acquisiti con Secure Firewall 3100. Selezionare il primo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP.
2. L'intestazione del pacchetto originale ha il tag VLAN 205.

Aprire i file di acquisizione per le interfacce membro di Portchannel1. Selezionare il primo pacchetto e controllare i punti chiave:

1. Vengono acquisiti solo pacchetti di richieste echo ICMP.
2. L'intestazione del pacchetto originale ha il tag VLAN 205.

Spiegazione

Le acquisizioni dello switch vengono configurate sulle sottointerfacce Ethernet1/1.205 o Portchannel1.205 con un filtro che corrisponde alla VLAN 205 esterna.

Nella tabella seguente viene riepilogata l'attività:

* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).

Acquisizione pacchetti su interfacce interne

Secure Firewall 3100 ha 2 interfacce interne:

• in_data_uplink1: connette l'applicazione allo switch interno.
  
• in_mgmt_uplink1: fornisce un percorso di pacchetto dedicato per le connessioni di gestione, ad esempio SSH all'interfaccia di gestione o la connessione di gestione, nota anche come sftunnel, tra FMC e FTD.

Secure Firewall 4200 dispone di un massimo di 4 interfacce interne:

• in_data_uplink1 e in_data_uplink2 (solo 4245) : queste interfacce collegano l'applicazione allo switch interno. Nel caso di 4245, i pacchetti vengono bilanciati del carico sulle 2 interfacce uplink.
  
• in_mgmt_uplink1 e in_mgmt_uplink2 - queste interfacce forniscono un percorso di pacchetto dedicato per le connessioni di gestione, ad esempio SSH all'interfaccia di gestione o alla connessione di gestione, nota anche come sftunnel, tra FMC e FTD. Secure Firewall 4200 supporta 2 interfacce di gestione.

Attività 1

Usare la CLI FTD o ASA per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia uplink in_data_uplink1.

Topologia, flusso dei pacchetti e punti di acquisizione

Secure Firewall 3100:

Secure Firewall 4200:

Configurazione

Per configurare l'acquisizione di un pacchetto sull'interfaccia in_data_uplink1, eseguire la procedura seguente sull'appliance ASA o sulla CLI di FTD:

1. Creare una sessione di acquisizione:

> capture capsw switch interface in_data_uplink1

Secure Firewall 4200 supporta la direzionalità di acquisizione:

> capture capsw switch interface in_data_uplink1 direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface in_data_uplink1 direction both

2. Abilitare la sessione di acquisizione:

> no capture capsw switch stop

Verifica

Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:

>  show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           18
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-data-uplink1.pcap
  Pcapsize:          7704
  Filter:            capsw-1-18

Packet Capture Filter Info
  Name:              capsw-1-18
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

66 packets captured on disk using switch capture

Reading of capture file from disk is not supported

In questo caso, viene creata un'acquisizione sull'interfaccia con ID interno 18 che è l'interfaccia in_data_uplink1 sul Secure Firewall 3130. Il comando show portmanager switch status nella shell dei comandi FXOS local-mgmt mostra gli ID dell'interfaccia:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portmanager switch status 
Dev/Port         Mode        Link   Speed  Duplex  Loopback Mode  Port Manager
---------  ----------------  -----  -----  ------  -------------  ------------
0/1             SGMII         Up     1G     Full    None           Link-Up      
0/2             SGMII         Up     1G     Full    None           Link-Up      
0/3             SGMII         Up     1G     Full    None           Link-Up      
0/4             SGMII         Up     1G     Full    None           Link-Up      
0/5             SGMII        Down    1G     Half    None           Mac-Link-Down
0/6             SGMII        Down    1G     Half    None           Mac-Link-Down
0/7             SGMII        Down    1G     Half    None           Mac-Link-Down
0/8             SGMII        Down    1G     Half    None           Mac-Link-Down
0/9           1000_BaseX     Down    1G     Full    None           Link-Down    
0/10          1000_BaseX     Down    1G     Full    None           Link-Down    
0/11          1000_BaseX     Down    1G     Full    None           Link-Down    
0/12          1000_BaseX     Down    1G     Full    None           Link-Down    
0/13          1000_BaseX     Down    1G     Full    None           Link-Down    
0/14          1000_BaseX     Down    1G     Full    None           Link-Down    
0/15          1000_BaseX     Down    1G     Full    None           Link-Down    
0/16          1000_BaseX     Down    1G     Full    None           Link-Down    
0/17          1000_BaseX      Up     1G     Full    None           Link-Up      
0/18             KR2          Up     50G    Full    None           Link-Up       
0/19              KR          Up     25G    Full    None           Link-Up      
0/20              KR          Up     25G    Full    None           Link-Up      
0/21             KR4         Down    40G    Full    None           Link-Down    
0/22             n/a         Down    n/a    Full    N/A            Reset        
0/23             n/a         Down    n/a    Full    N/A            Reset        
0/24             n/a         Down    n/a    Full    N/A            Reset        
0/25          1000_BaseX     Down    1G     Full    None           Link-Down    
0/26             n/a         Down    n/a    Full    N/A            Reset        
0/27             n/a         Down    n/a    Full    N/A            Reset        
0/28             n/a         Down    n/a    Full    N/A            Reset        
0/29          1000_BaseX     Down    1G     Full    None           Link-Down    
0/30             n/a         Down    n/a    Full    N/A            Reset        
0/31             n/a         Down    n/a    Full    N/A            Reset        
0/32             n/a         Down    n/a    Full    N/A            Reset        
0/33          1000_BaseX     Down    1G     Full    None           Link-Down    
0/34             n/a         Down    n/a    Full    N/A            Reset        
0/35             n/a         Down    n/a    Full    N/A            Reset        
0/36             n/a         Down    n/a    Full    N/A            Reset         

Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.

Raccogli file di acquisizione

Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione di switch interni Secure Firewall. 

Analisi dei file di acquisizione

Utilizzare un'applicazione packet capture file reader per aprire i file di acquisizione per l'interfaccia in_data_uplink1. Nell'esempio vengono analizzati i pacchetti acquisiti con Secure Firewall 3100.

Controllare il punto chiave - in questo caso, i pacchetti di richiesta echo ICMP e di risposta echo vengono acquisiti. Questi sono i pacchetti inviati dall'applicazione allo switch interno.

Spiegazione

Quando si configura l'acquisizione di uno switch sull'interfaccia uplink, vengono acquisiti solo i pacchetti inviati dall'applicazione allo switch interno. I pacchetti inviati all'applicazione non vengono acquisiti.

Nella tabella seguente viene riepilogata l'attività:

* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).

Attività 2

Usare la CLI FTD o ASA per configurare e verificare l'acquisizione di un pacchetto sull'interfaccia uplink in_mgmt_uplink1. Vengono acquisiti solo i pacchetti delle connessioni del piano di gestione.

Topologia, flusso dei pacchetti e punti di acquisizione

Secure Firewall 3100:

Secure Firewall 4200:

Configurazione

Per configurare l'acquisizione di un pacchetto sull'interfaccia in_mgmt_uplink1, eseguire la procedura seguente sull'appliance ASA o sulla CLI di FTD:

1. Creare una sessione di acquisizione:

> capture capsw switch interface in_mgmt_uplink1

Secure Firewall 4200 supporta la direzionalità di acquisizione:

> capture capsw switch interface in_mgmt_uplink1 direction ?
  both To capture switch bi-directional traffic
  egress To capture switch egressing traffic
  ingress To capture switch ingressing traffic

> capture capsw switch interface in_mgmt_uplink1 direction both

2. Abilitare la sessione di acquisizione:

> no capture capsw switch stop

Verifica

Verificare il nome della sessione di acquisizione, lo stato amministrativo e operativo, lo slot di interfaccia e l'identificatore. Verificare che il valore Pcapsize in byte aumenti e che il numero di pacchetti acquisiti sia diverso da zero:

> show capture capsw detail 
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       enabled
  Oper State:        up
  Oper State Reason: Active
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           19
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-mgmt-uplink1.pcap
  Pcapsize:          137248
  Filter:            capsw-1-19

Packet Capture Filter Info
  Name:              capsw-1-19
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

281 packets captured on disk using switch capture

Reading of capture file from disk is not supported

In questo caso, viene creata un'acquisizione sull'interfaccia con ID interno 19, che è l'interfaccia in_mgmt_uplink1 sul Secure Firewall 3130. Il comando show portmanager switch status nella shell dei comandi FXOS local-mgmt visualizza gli ID dell'interfaccia:

> connect fxos 
…
firewall# connect local-mgmt 
firewall(local-mgmt)# show portmanager switch status 
Dev/Port         Mode        Link   Speed  Duplex  Loopback Mode  Port Manager
---------  ----------------  -----  -----  ------  -------------  ------------
0/1             SGMII         Up     1G     Full    None           Link-Up      
0/2             SGMII         Up     1G     Full    None           Link-Up      
0/3             SGMII         Up     1G     Full    None           Link-Up      
0/4             SGMII         Up     1G     Full    None           Link-Up      
0/5             SGMII        Down    1G     Half    None           Mac-Link-Down
0/6             SGMII        Down    1G     Half    None           Mac-Link-Down
0/7             SGMII        Down    1G     Half    None           Mac-Link-Down
0/8             SGMII        Down    1G     Half    None           Mac-Link-Down
0/9           1000_BaseX     Down    1G     Full    None           Link-Down    
0/10          1000_BaseX     Down    1G     Full    None           Link-Down    
0/11          1000_BaseX     Down    1G     Full    None           Link-Down    
0/12          1000_BaseX     Down    1G     Full    None           Link-Down    
0/13          1000_BaseX     Down    1G     Full    None           Link-Down    
0/14          1000_BaseX     Down    1G     Full    None           Link-Down    
0/15          1000_BaseX     Down    1G     Full    None           Link-Down    
0/16          1000_BaseX     Down    1G     Full    None           Link-Down    
0/17          1000_BaseX      Up     1G     Full    None           Link-Up      
0/18             KR2          Up     50G    Full    None           Link-Up      
0/19              KR          Up     25G    Full    None           Link-Up       
0/20              KR          Up     25G    Full    None           Link-Up      
0/21             KR4         Down    40G    Full    None           Link-Down    
0/22             n/a         Down    n/a    Full    N/A            Reset        
0/23             n/a         Down    n/a    Full    N/A            Reset        
0/24             n/a         Down    n/a    Full    N/A            Reset        
0/25          1000_BaseX     Down    1G     Full    None           Link-Down    
0/26             n/a         Down    n/a    Full    N/A            Reset        
0/27             n/a         Down    n/a    Full    N/A            Reset        
0/28             n/a         Down    n/a    Full    N/A            Reset        
0/29          1000_BaseX     Down    1G     Full    None           Link-Down    
0/30             n/a         Down    n/a    Full    N/A            Reset        
0/31             n/a         Down    n/a    Full    N/A            Reset        
0/32             n/a         Down    n/a    Full    N/A            Reset        
0/33          1000_BaseX     Down    1G     Full    None           Link-Down    
0/34             n/a         Down    n/a    Full    N/A            Reset        
0/35             n/a         Down    n/a    Full    N/A            Reset        
0/36             n/a         Down    n/a    Full    N/A            Reset        

Per accedere a FXOS sull'appliance ASA, eseguire il comando connect fxos admin. In caso di contesto multiplo, eseguire questo comando nel contesto admin.

Raccogli file di acquisizione

Eseguire la procedura descritta nella sezione Raccolta dei file di acquisizione degli switch interni del firewall protetto. 

Analisi dei file di acquisizione

Utilizzare un'applicazione packet capture file reader per aprire i file di acquisizione per l'interfaccia in_mgmt_uplink1. Nell'esempio vengono analizzati i pacchetti acquisiti con Secure Firewall 3100.

Controllare il punto chiave: in questo caso vengono visualizzati solo i pacchetti dell'indirizzo IP di gestione 192.0.2.200. Ad esempio, i pacchetti di risposta echo SSH, Sftunnel o ICMP. Si tratta dei pacchetti inviati dall'interfaccia di gestione delle applicazioni alla rete tramite lo switch interno.

Spiegazione

Quando si configura l'acquisizione di uno switch sull'interfaccia uplink di gestione, vengono acquisiti solo i pacchetti in entrata inviati dall'interfaccia di gestione dell'applicazione. I pacchetti destinati all'interfaccia di gestione delle applicazioni non vengono acquisiti.

Nella tabella seguente viene riepilogata l'attività:

* A differenza della serie 3100, Secure Firewall 4200 supporta le acquisizioni bidirezionali (in entrata e in uscita).

Filtri di acquisizione pacchetti

I filtri di acquisizione dei pacchetti dello switch interno sono configurati allo stesso modo delle acquisizioni del piano dati. Utilizzare le opzioni ethernet-type e match per configurare i filtri.

Configurazione

Eseguire la procedura seguente sull'appliance ASA o sulla CLI del protocollo FTD per configurare l'acquisizione di un pacchetto con un filtro che corrisponda ai frame ARP o ai pacchetti ICMP dell'host 198.51.100.100 sull'interfaccia Ethernet1/1:

1. Verificare il nome se:

> show nameif 
Interface                Name                     Security
Ethernet1/1              inside                     0
Ethernet1/2              outside                    0
Management1/1            diagnostic                 0

2. Creare una sessione di acquisizione per ARP o ICMP:

> capture capsw switch interface inside ethernet-type arp

> capture capsw switch interface inside match icmp 198.51.100.100 

Verifica

Verificare il nome della sessione di acquisizione e il filtro. Il valore di Ethertype è 2054 in decimale e 0x0806 in esadecimale:

> show capture capsw detail
Packet Capture info
 Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         2054

Total Physical breakout ports involved in Packet Capture: 0

0 packet captured on disk using switch capture

Reading of capture file from disk is not supported

Questa è la verifica del filtro per ICMP. Il protocollo IP 1 è l'ICMP:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          0
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          1
  Ivlan:             0
  Ovlan:             0
  Src Ip:            198.51.100.100
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

0 packets captured on disk using switch capture

Reading of capture file from disk is not supported

Raccogli file di acquisizione switch interno Secure Firewall

Usare ASA o FTD CLI per raccogliere i file di acquisizione dello switch interno. Su FTD, il file di acquisizione può anche essere esportato tramite il comando copy della CLI verso destinazioni raggiungibili tramite le interfacce di dati o di diagnostica.

In alternativa, il file può essere copiato in /ngfw/var/common in modalità Expert e scaricato da FMC tramite l'opzione File Download.

Nel caso delle interfacce port-channel, assicurarsi di raccogliere i file di acquisizione dei pacchetti da tutte le interfacce membro.

ASA

Per raccogliere i file di acquisizione degli switch interni sulla CLI dell'ASA, attenersi alla seguente procedura:

1. Interrompere l'acquisizione:

asa# capture capsw switch stop

2. Verificare che la sessione di acquisizione sia stata arrestata e annotare il nome del file di acquisizione.

asa# show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

886 packets captured on disk using switch capture

Reading of capture file from disk is not supported

3. Utilizzare il comando copy della CLI per esportare il file in destinazioni remote:

asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
  cluster:        Copy to cluster: file system
  disk0:          Copy to disk0: file system
  disk1:          Copy to disk1: file system
  flash:          Copy to flash: file system
  ftp:            Copy to ftp: file system
  running-config  Update (merge with) current system configuration
  scp:            Copy to scp: file system
  smb:            Copy to smb: file system
  startup-config  Copy to startup configuration
  system:         Copy to system: file system
  tftp:           Copy to tftp: file system

asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs

FTD

Eseguire questi passaggi per raccogliere i file di acquisizione dello switch interno sulla CLI FTD e copiarli sui server raggiungibili tramite interfacce di dati o di diagnostica:

1. Andare alla CLI di diagnostica:

> system support diagnostic-cli 
Attaching to Diagnostic CLI ... Click 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> enable 
Password: <-- Enter
firepower#

2. Interrompere l'acquisizione:

firepower# capture capi switch stop

3. Verificare che la sessione di acquisizione sia stata arrestata e annotare il nome del file di acquisizione:

firepower# show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1
Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0

886 packets captured on disk using switch capture

Reading of capture file from disk is not supported

4. Usare il comando copy della CLI per esportare il file in destinazioni remote.

firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
  cluster:        Copy to cluster: file system
  disk0:          Copy to disk0: file system
  disk1:          Copy to disk1: file system
  flash:          Copy to flash: file system
  ftp:            Copy to ftp: file system
  running-config  Update (merge with) current system configuration
  scp:            Copy to scp: file system
  smb:            Copy to smb: file system
  startup-config  Copy to startup configuration
  system:         Copy to system: file system
  tftp:           Copy to tftp: file system

firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs

Per raccogliere i file di acquisizione da FMC tramite l'opzione Download file, eseguire la procedura seguente:

1. Interrompere l'acquisizione:

> capture capsw switch stop

2. Verificare che la sessione di acquisizione sia stata arrestata e prendere nota del nome del file e del percorso completo del file di acquisizione:

> show capture capsw detail
Packet Capture info
  Name:              capsw
  Session:           1
  Admin State:       disabled
  Oper State:        down
  Oper State Reason: Session_Admin_Shut
  Config Success:    yes
  Config Fail Reason:
  Append Flag:       overwrite
  Session Mem Usage: 256
  Session Pcap Snap Len: 1518
  Error Code:        0
  Drop Count:        0

Total Physical ports involved in Packet Capture: 1

Physical port:
  Slot Id:           1
  Port Id:           1
  Pcapfile:          /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
  Pcapsize:          139826
  Filter:            capsw-1-1

Packet Capture Filter Info
  Name:              capsw-1-1
  Protocol:          0
  Ivlan:             0
  Ovlan:             0
  Src Ip:            0.0.0.0
  Dest Ip:           0.0.0.0
  Src Ipv6:          ::
  Dest Ipv6:         ::
  Src MAC:           00:00:00:00:00:00
  Dest MAC:          00:00:00:00:00:00
  Src Port:          0
  Dest Port:         0
  Ethertype:         0

Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported

3. Andare alla modalità Expert e passare alla modalità root:

> expert
admin@firepower:~$ sudo su
root@firepower:/home/admin

4. Copiare il file di acquisizione in /ngfw/var/common/:

root@KSEC-FPR3100-1:/home/admin cp /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap /ngfw/var/common/
root@KSEC-FPR3100-1:/home/admin ls -l /ngfw/var/common/sess*
-rwxr-xr-x 1 root admin 139826 Aug  7 20:14 /ngfw/var/common/sess-1-capsw-ethernet-1-1-0.pcap
-rwxr-xr-x 1 root admin     24 Aug  6 21:58 /ngfw/var/common/sess-1-capsw-ethernet-1-3-0.pcap

5. In FMC scegliere Dispositivi > Download file:

6. Scegliere l'FTD, fornire il nome del file di acquisizione e fare clic su Download:

Linee guida, limitazioni e best practice per l'acquisizione di pacchetti di switch interni

Linee guida e limitazioni:

• Sono supportate più sessioni di configurazione dell'acquisizione degli switch, ma può essere attiva solo una sessione di acquisizione alla volta. Un tentativo di abilitare 2 o più sessioni di acquisizione genera l'errore "ERRORE: impossibile abilitare la sessione, è stato raggiunto il limite massimo di 1 sessione di acquisizione pacchetti attiva".
• Impossibile eliminare un'acquisizione switch attiva.
• Impossibile leggere le acquisizioni di switch nell'applicazione. L'utente deve esportare i file.
• Alcune opzioni di acquisizione del piano dati, quali dump, decode, packet-number, trace e altre, non sono supportate per le acquisizioni dello switch.

• Nel caso di un'ASA multi-contesto, le acquisizioni dello switch sulle interfacce dati vengono configurate nei contesti utente. Le acquisizioni dello switch sulle interfacce in_data_uplink1 e in_mgmt_uplink1 sono supportate solo nel contesto admin.

Questo è l'elenco delle best practice basate sull'uso della cattura di pacchetti nei casi TAC:

• Stai attento alle linee guida e ai limiti.
• Utilizzare i filtri di acquisizione.
• Considerare l'impatto di NAT sugli indirizzi IP dei pacchetti quando viene configurato un filtro di acquisizione.
• Aumenta o diminuisce la lunghezza del pacchetto che specifica le dimensioni del frame, nel caso differisca dal valore predefinito di 1518 byte. Dimensioni inferiori determinano un numero maggiore di pacchetti acquisiti e viceversa.
• Regolare le dimensioni del buffer in base alle esigenze.
• Prendere nota del valore Drop Count nell'output del comando show cap<cap_name>detail. Una volta raggiunto il limite delle dimensioni del buffer, il contatore di rilascio aumenta.

Informazioni correlate

• Guide alla configurazione di Firepower 4100/9300 Chassis Manager e FXOS CLI
• Guida introduttiva a Cisco Secure Firewall 3100
• Guida di riferimento ai comandi di Cisco Firepower 4100/9300 FXOS