パケット キャプチャ
パケット キャプチャ ツールは、接続と設定の問題のデバッグや、Firepower 4100/9300 シャーシを通過するトラフィック フローの理解に使用できる価値ある資産です。パケット キャプチャ ツールを使用すると、Firepower 4100/9300 シャーシの特定のインターフェイスを通過するトラフィックについてログを記録できます。
複数のパケット キャプチャ セッションを作成でき、各セッションで複数のインターフェイスのトラフィックをキャプチャできます。パケット キャプチャ セッションに含まれる各インターフェイス用に、個別のパケット キャプチャ(PCAP)ファイルが作成されます。
バックプレーン ポート マッピング
Firepower 4100/9300 シャーシでは、内部バックプレーン ポートに次のマッピング ポートを使用します。
セキュリティ モジュール |
ポート マッピング |
説明 |
---|---|---|
セキュリティ モジュール 1/セキュリティ エンジン |
Ethernet1/9 |
Internal-Data0/0 |
セキュリティ モジュール 1/セキュリティ エンジン |
Ethernet1/10 |
Internal-Data0/1 |
セキュリティ モジュール 2 |
Ethernet1/11 |
Internal-Data0/0 |
セキュリティ モジュール 2 |
Ethernet1/12 |
Internal-Data0/1 |
セキュリティ モジュール 3 |
Ethernet1/13 |
Internal-Data0/0 |
セキュリティ モジュール 3 |
Ethernet1/14 |
Internal-Data0/1 |
パケット キャプチャの注意事項および制限事項
パケット キャプチャ ツールには、次の制限事項があります。
-
キャプチャできるのは最大 100 Mbps までです。
-
パケット キャプチャ セッションの使用に使用可能な十分な記憶域がなくても、パケット キャプチャ セッションを作成できます。パケット キャプチャ セッションを開始する前に、使用可能な十分な記憶域があることを確認する必要があります。
-
複数のアクティブなパケット キャプチャ セッションはサポートされません。
-
内部スイッチの入力の段階でのみキャプチャされます。
-
内部スイッチが認識できないパケット(セキュリティ グループ タグ、ネットワーク サービス ヘッダー パケットなど)にはフィルタの効果がありません。
-
1 つ以上の親で複数のサブインターフェイスを使用する場合でも、セッションごとに 1 つのサブインターフェイスのパケットのみをキャプチャできます。
-
EtherChannel 全体または EtherChannel のサブインターフェイスのパケットをキャプチャできません。ただし、論理デバイスに割り当てられている EtherChannel の場合、EtherChannel のメンバ インターフェイスごとにパケットをキャプチャできます。 親インターフェイスではなくサブインターフェイスを割り当てる場合は、メンバ インターフェイス上のパケットをキャプチャすることはできません。
-
キャプチャ セッションがアクティブな間は、PCAP ファイルをコピーしたり、エクスポートできません。
-
パケット キャプチャ セッションを削除すると、そのセッションに関連するすべてのパケット キャプチャ ファイルも削除されます。
パケット キャプチャ セッションの作成または編集
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
ステップ 2 |
次のいずれかを実行します。
ウィンドウの左側では、特定のアプリケーション インスタンスを選択し、そのインスタンスの表記を表示します。この表示は、パケットをキャプチャするインターフェイスを選択するために使用されます。ウィンドウの右側にパケット キャプチャ セッションを定義するためのフィールドが含まれています。 |
ステップ 3 |
ドロップダウン メニューからインターフェイスを選択します。 |
ステップ 4 |
トラフィックをキャプチャするインターフェイスをクリックします。選択したインターフェイスにチェック マークを表示します。 |
ステップ 5 |
サブインターフェイスの場合、[Subinterface selection] 列でサブインターフェイスを表示する親インターフェイスの左にあるアイコンをクリックします。列内のサブインターフェイスをクリックします。1 つ以上の親で複数のサブインターフェイスを使用する場合でも、キャプチャ セッションごとに 1 つのサブインターフェイスのパケットのみをキャプチャできます。 複数のサブインターフェイスの場合、アイコンのラベルは Subinterfaces(n) になり、単一のサブインターフェイスの場合、ラベルはサブインターフェイス ID になります。親インターフェイスをインスタンスにも割り当てる場合、親インターフェイスまたはサブインターフェイスのいずれかを選択できます。両方を選択することはできません。親が割り当てられていない場合は、グレー表示されます。Etherchannel のサブインターフェイスはサポートされていません。 |
ステップ 6 |
論理デバイスからバックプレーン ポート上で送信されるトラフィックをキャプチャするには、次の操作を行います。 |
ステップ 7 |
[Session Name] フィールドにパケット キャプチャ セッションの名前を入力します。 |
ステップ 8 |
[Buffer Size] リストからあらかじめ定義された値の 1 つを選択するか、[Custom in MB] を選択してから目的のバッファ サイズを入力して、パケット キャプチャ セッションに使用するバッファ サイズを指定します。指定するバッファ サイズは 1 ~ 2048 MB にする必要があります。 |
ステップ 9 |
[Snap Length] フィールドに、キャプチャするパケットの長さを指定します。有効値は 64 ~ 9006 バイトです。デフォルトのスナップ長は 1518 バイトです。 |
ステップ 10 |
このパケット キャプチャ セッションを実行したときに、既存の PCAP ファイルを上書きするか、または PCAP ファイルにデータを追加するかを指定します。 |
ステップ 11 |
アプリケーション インスタンスと特定のインターフェイス間のトラフィックをキャプチャするには、次の操作を行います。 |
ステップ 12 |
キャプチャしたトラフィックをフィルタリングするには、次の手順を実行します。 |
ステップ 13 |
次のいずれかを実行します。
[キャプチャ セッション(Capture Session)] タブに作成された他のセッションとともにセッションが一覧表示されます。[保存して実行(Save and Run)] を選択した場合、パケット キャプチャ セッションは、パケットをキャプチャします。セッションから PCAP ファイルをダウンロードする前に、キャプチャを停止する必要があります。 |
パケット キャプチャのためのフィルタの設定
パケット キャプチャ セッションに含まれるトラフィックを制限するためにフィルタを作成できます。パケット キャプチャ セッションの作成中にどのインターフェイスが特定のフィルタを使用するかを選択できます。
(注) |
現在実行中のパケット キャプチャ セッションに適用されているフィルタを変更または削除する場合、そのセッションを無効にしてから再度有効にするまでは実行されません。 |
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
||
ステップ 2 |
次のいずれかを実行します。
[パケットフィルタの作成または編集(Create or Edit Packet Filter)] ダイアログボックスが表示されます。 |
||
ステップ 3 |
[フィルタ名(Filter Name)] フィールドにパケット キャプチャ フィルタの名前を入力します。 |
||
ステップ 4 |
特定のプロトコルをフィルタリングするには、[プロトコル(Protocol)] リストから選択するか、または [カスタム(Custom)] を選択して目的のプロトコルを入力します。カスタム プロトコルは 10 進形式(0 ~ 255)の IANA によって定義されたプロトコルである必要があります。 |
||
ステップ 5 |
特定の EtherType をフィルタリングするには、[EtherType] リストから選択するか、または [カスタム(Custom)] を選択して目的の EtherType を入力します。カスタム EhterType は 10 進形式の IANA によって定義された EtherType である必要があります(たとえば、IPv4 = 2048、IPv6 = 34525、ARP = 2054、SGT = 35081)。 |
||
ステップ 6 |
内部 VLAN(ポートに入力する時の VLAN ID)または外部 VLAN(Firepower 4100/9300 シャーシによって追加された VLAN ID)に基づいてトラフィックをフィルタリングするには、指定されたフィールドに VLAN ID を入力します。 |
||
ステップ 7 |
特定の送信元または宛先のトラフィックをフィルタリングするには、IP アドレスとポートを入力するか、または特定の送信元または宛先フィールドに MAC アドレスを入力します。
|
||
ステップ 8 |
[保存(Save)] をクリックしてフィルタを保存します。 [フィルタ リスト(Filter List)] タブに他の作成されたフィルタとともにフィルタがリスト表示されます。 |
パケット キャプチャ セッションの開始および停止
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
||
ステップ 2 |
パケット キャプチャ セッションを開始するには、そのセッションの [セッションの有効化(Enable Session)] ボタンをクリックし、次に確認のために [はい(Yes)] をクリックします。
セッションに含まれるインターフェイスの PCAP ファイルがトラフィックの収集を開始します。セッションがセッション データを上書きするように設定されている場合、既存の PCAP データは消去されます。そうでない場合、データは(もしあれば)既存のファイルに追加されます。 パケット キャプチャ セッションの実行中は、トラフィックをキャプチャするにつれて個々の PCAP ファイルのファイル サイズが増加します。バッファのサイズ制限に達すると、システムがパケットの廃棄を開始し、廃棄カウント フィールドの値が増加します。 |
||
ステップ 3 |
パケット キャプチャ セッションを停止するには、そのセッションの [セッションの無効化(Disable Session)] ボタンをクリックし、次に確認のために [はい(Yes)] をクリックします。 セッションが無効になった後、PCAP ファイルをダウンロードできます(パケット キャプチャ ファイルのダウンロードを参照)。 |
パケット キャプチャ ファイルのダウンロード
セッションからローカル コンピュータにパケット キャプチャ(PCAP)ファイルをダウンロードできます。これでネットワーク パケット アナライザを使用して分析できるようになります。
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
||
ステップ 2 |
パケット キャプチャ セッションから特定のインターフェイスの PCAP ファイルをダウンロードするには、そのインターフェイスに対応する [ダウンロード(Download)] ボタンをクリックします。
ブラウザによって、指定した PCAP ファイルがデフォルトのダウンロード場所に自動的にダウンロードされるか、またはファイルを保存するように求められます。 |
パケット キャプチャ セッションの削除
個々のパケット キャプチャ セッションは、現在実行していなければ削除できます。非アクティブ パケット キャプチャ セッションは、いずれも削除できます。
手順
ステップ 1 |
の順に選択します。 [Capture Session] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
ステップ 2 |
特定のパケット キャプチャ セッションを削除するには、そのセッションの対応する [削除(Delete)] ボタンをクリックします。 |
ステップ 3 |
すべての非アクティブ パケット キャプチャ セッションを削除するには、パケット キャプチャ セッションのリストの上にある [すべてのセッションの削除(Delete All Sessions)] ボタンをクリックします。 |