Content Security Appliance에서 패킷 캡처 구성
소개
이 문서에서는 Cisco SWA(Secure Web Appliance), ESA(Email Security Appliance) 및 SMA(Security Management Appliance)의 패킷 캡처에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco Content Security Appliance 관리.
Cisco에서는 다음과 같은 작업을 수행할 것을 권장합니다.
- 물리적 또는 가상 SWA/ESA/SMA 설치됨
- SWA/ESA/SMA 그래픽 사용자 인터페이스(GUI)에 대한 관리 액세스.
- SWA/ESA/SMA CLI(Command Line Interface)에 대한 관리 액세스
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
GUI에서 패킷 캡처 수행
GUI에서 패킷 캡처를 수행하려면 다음 단계를 사용합니다.
1단계. GUI에 로그인합니다.
2단계. 페이지 오른쪽 상단에서 Support and Help(지원 및 도움말)를 선택합니다.
3단계. Packet Capture를 선택합니다.
이미지- 패킷 캡처
4단계(선택 사항) 현재 필터를 수정하려면 Edit Settings(설정 편집)를 선택합니다. (필터에 대한 자세한 내용은 이 문서의 필터 섹션을 참조하십시오.)
5단계. 캡처를 시작합니다.
이미지 - 패킷 캡처 상태 및 필터
참고: 패킷 캡처 파일 크기 제한은 200MB입니다. 파일 크기가 200MB에 도달하면 패킷 캡처가 중지됩니다.
Current Packet Capture(현재 패킷 캡처) 섹션에는 파일 크기 및 적용된 필터를 비롯한 패킷 캡처 상태가 표시됩니다.
이미지 - 패킷 캡처 상태
6단계. 실행 중인 패킷 캡처를 중지하려면 Stop Capture를 클릭합니다.
7단계. Packet Capture 파일을 다운로드하려면 Manage Packet Capture Files(패킷 캡처 파일 관리) 목록에서 파일을 선택하고 Download File(파일 다운로드)을 클릭합니다.
이미지 - 패킷 캡처 다운로드
팁: 최신 파일은 목록의 맨 위에 있습니다.
8단계(선택 사항) 패킷 캡처 파일을 삭제하려면 Manage Packet Capture Files(패킷 캡처 파일 관리) 목록에서 파일을 선택하고 Delete Selected Files(선택한 파일 삭제)를 클릭합니다.
CLI에서 패킷 캡처 수행
다음 단계를 사용하여 CLI에서 패킷 캡처를 시작할 수도 있습니다.
1단계. CLI에 로그인합니다.
2단계. packetcapture를 입력하고 Enter 키를 누릅니다.
3단계(선택 사항) 현재 필터 유형 SETUP을 편집하려면 다음과 같이 하십시오. 필터에 대한 자세한 내용은 이 문서의 Filters 섹션을 참조하십시오.
4단계. 캡처를 시작하려면 START를 선택합니다.
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.5단계(선택 사항) STATUS(상태)를 선택하여 패킷 캡처의 상태를 볼 수 있습니다.
Choose the operation you want to perform:
- STOP - Stop packet capture.
- STATUS - Display current capture status.
- SETUP - Change packet capture settings.
[]> STATUS
Status: Capture in progress
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 0K
Duration: 45s
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)6단계. 패킷 캡처를 중지하려면 STOP을 입력하고 Enter 키를 누릅니다.
참고: CLI에서 수집한 패킷 캡처 파일을 다운로드하려면 GUI에서 다운로드하거나 FTP(File Transfer Protocol)를 통해 어플라이언스에 연결한 다음 Captures 폴더에서 다운로드할 수 있습니다.
필터
다음은 Content Security Appliance에서 사용할 수 있는 필터에 대한 몇 가지 안내서입니다.
호스트 IP 주소로 필터링
GUI에서 호스트 IP로 필터링
호스트 IP 주소로 필터링하려면 GUI에서 다음 두 가지 옵션을 사용할 수 있습니다.
- 미리 정의된 필터
- 사용자 지정 필터
GUI에서 사전 정의된 필터를 사용하려면
1단계. Packet Capture(패킷 캡처) 페이지에서 Edit Settings(설정 수정)를 선택합니다.
2단계. Packet Capture Filters(패킷 캡처 필터)에서 Predefined Filters(사전 정의된 필터)를 선택합니다.
3단계. Client IP 또는 Server IP 섹션에 IP 주소를 입력할 수 있습니다.
참고: 클라이언트 IP 또는 서버 IP 중에서 선택하는 것은 소스 주소 또는 대상 주소로 제한되지 않습니다. 이 필터는 IP 주소가 소스 또는 대상으로 정의된 모든 패킷을 캡처합니다.
Image(이미지) - GUI 사전 정의 필터에서 호스트 IP로 필터링
4단계. 변경 사항을 제출합니다.
5단계. 캡처를 시작합니다.
팁: Commit Changes(변경 사항 커밋)는 필요 없으며, 새로 추가된 필터는 현재 캡처에 적용됩니다. 변경 사항을 커밋하면 나중에 사용할 수 있도록 필터를 저장할 수 있습니다.
GUI에서 사용자 지정 필터 및 사전 정의된 필터를 사용하려면
1단계. Packet Capture(패킷 캡처) 페이지에서 Edit Settings(설정 수정)를 선택합니다.
2단계. Packet Capture Filters(패킷 캡처 필터)에서 Custom Filter(사용자 지정 필터)를 선택합니다.
3단계. 호스트 구문과 IP 주소를 차례로 사용합니다.
다음은 소스 또는 목적지 IP 주소가 10.20.3.15인 모든 트래픽을 필터링하는 예입니다
host 10.20.3.15팁: 둘 이상의 IP 주소로 필터링하려면 or 및 and(소문자만)와 같은 논리 피연산자를 사용할 수 있습니다.
이미지 - 두 IP 주소에 대한 사용자 지정 필터
4단계. 변경 사항을 제출합니다.
5단계. 캡처 시작
CLI에서 호스트 IP로 필터링
CLI에서 호스트 IP 주소로 필터링하려면
1단계. CLI에 로그인합니다.
2단계. packetcapture를 입력하고 Enter 키를 누릅니다.
3단계. 현재 필터를 편집하려면 SETUP을 입력합니다.
4단계. 질문에 답합니다. 캡처에 사용할 필터를 입력합니다.
5단계. GUI에서 Custom Filter(맞춤형 필터)와 동일한 필터 문자열을 사용할 수 있습니다.
다음은 소스 또는 목적지 IP 주소 10.20.3.15 또는 10.0.0.60으로 모든 트래픽을 필터링하는 예입니다
SWA_CLI> packetcapture
Status: No capture running (Capture stopped by user)
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 4K
Duration: 2m 2s
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]> y
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> host 10.20.3.15 or host 10.0.0.60
포트 번호로 필터링
GUI의 포트 번호로 필터링
포트 번호를 기준으로 필터링하려면 GUI에서 다음 두 가지 옵션을 사용할 수 있습니다.
- 미리 정의된 필터
- 사용자 지정 필터
GUI에서 사전 정의된 필터를 사용하려면
1단계. Packet Capture(패킷 캡처) 페이지에서 Edit Settings(설정 수정)를 선택합니다.
2단계. Packet Capture Filters(패킷 캡처 필터)에서 Predefined Filters(미리 정의된 필터)를 선택합니다.
3단계. 필터링할 포트 번호를 Ports 섹션에 입력합니다.
팁: 쉼표 " , " 로 구분하여 여러 포트 번호를 추가할 수 있습니다.
이미지 - 포트 번호로 필터링
4단계. 변경 사항을 제출합니다.
5단계. 캡처를 시작합니다.
주의: 이 접근 방식은 정의된 포트 번호의 TCP 트래픽만 캡처합니다. UDP 트래픽을 캡처하려면 Custom Filter를 사용합니다.
GUI에서 사용자 지정 필터를 사용하려면
1단계. Packet Capture(패킷 캡처) 페이지에서 Edit Settings(설정 수정)를 선택합니다.
2단계. Packet Capture Filters(패킷 캡처 필터)에서 Custom Filter(사용자 지정 필터)를 선택합니다.
3단계. 포트 구문 다음에 포트 번호를 사용합니다.
이미지 - 포트 번호별 사용자 지정 필터
참고: 포트만 사용하는 경우 이 필터는 TCP 및 UDP 포트를 모두 포함합니다.
4단계. 변경 사항을 제출합니다.
5단계. 캡처를 시작합니다.
CLI의 포트 번호로 필터링
CLI의 포트 번호로 필터링하려면
1단계. CLI에 로그인합니다.
2단계. packetcapture를 입력하고 Enter 키를 누릅니다.
3단계. 현재 필터를 편집하려면 SETUP을 입력합니다.
4단계. 질문에 답합니다. 캡처에 사용할 필터를 입력합니다.
5단계. GUI에서 Custom Filter(맞춤형 필터)와 동일한 필터 문자열을 사용할 수 있습니다.
다음은 소스 또는 목적지 포트 번호 53으로 TCP 및 UDP 포트 모두에 대해 모든 트래픽을 필터링하는 예입니다.
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> port 53투명한 구축을 통해 SWA에서 필터링
투명 배포가 있는 SWA에서는 WCCP(Web Cache Communication Protocol) 연결이 GRE(Generic Routing Encapsulation) 터널을 통해 이루어지는 반면, SWA로 오거나 나가는 패킷의 소스 및 대상 IP 주소는 라우터 IP 주소와 SWA IP 주소입니다.
GUI에서 IP 주소 또는 포트 번호를 사용하여 패킷 캡처를 수집할 수 있으려면 두 가지 옵션을 사용할 수 있습니다.
- 미리 정의된 필터
- 사용자 지정 필터
GUI에서 투명 구축을 사용하여 SWA에서 필터링
1단계. Packet Capture(패킷 캡처) 페이지에서 Edit Settings(설정 수정)를 선택합니다.
2단계. Packet Capture Filters(패킷 캡처 필터)에서 Predefined Filters(사전 정의된 필터)를 선택합니다.
3단계. Client IP 또는 Server IP 섹션에 IP 주소를 입력할 수 있습니다.
이미지 - 사전 정의 필터에서 IP 주소 구성
4단계. 변경 사항을 제출합니다.
5단계. 캡처를 시작합니다.
참고: 필터를 제출한 후 Filter Selected(선택한 필터) 섹션에서 SWA가 추가 조건을 추가했음을 확인할 수 있습니다.
이미지 - GRE 터널 내에서 패킷을 수집하기 위해 SWA에 의해 추가된 추가 필터
GUI에서 사용자 지정 필터를 사용하려면
1단계. Packet Capture(패킷 캡처) 페이지에서 Edit Settings(설정 수정)를 선택합니다.
2단계. Packet Capture Filters(패킷 캡처 필터)에서 Custom Filter(사용자 지정 필터)를 선택합니다
3단계. 먼저 이 문자열을 추가한 다음 이 문자열을 추가하거나 추가한 후 구현하려는 필터를 추가합니다.
(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) 예를 들어 10.20.3.15와 같은 호스트 IP 또는 8080과 같은 포트 번호로 필터링하려는 경우 다음 문자열을 사용할 수 있습니다.
(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 80804단계. 변경 사항을 제출합니다.
5단계. 캡처를 시작합니다.
CLI에서 투명한 구축을 통해 SWA에서 필터링
CLI에서 투명 프록시 구축을 필터링하려면
1단계. CLI에 로그인합니다.
2단계. packetcapture를 입력하고 Enter 키를 누릅니다.
3단계. 현재 필터를 편집하려면 SETUP을 입력합니다.
4단계. 질문에 답합니다. 캡처에 사용할 필터를 입력합니다.
5단계. GUI에서 Custom Filter(맞춤형 필터)와 동일한 필터 문자열을 사용할 수 있습니다.
다음은 10.20.3.15와 같은 호스트 IP 또는 8080과 같은 포트 번호로 필터링하는 예입니다.
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> (proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080가장 일반적인 필터
다음은 가장 일반적인 필터를 나열하는 표입니다.
| 설명 |
필터 |
| 10.20.3.15와 같은 소스 IP 주소로 필터링 |
src 호스트 10.20.3.15 |
| 10.20.3.15와 같은 목적지 IP 주소로 필터링 |
dst 호스트 10.20.3.15 |
| Filter by Source IP Address equal 10.20.3.15(소스 IP 주소로 필터링) 및 Destination IP Address equal 10.0.0.60(대상 IP 주소로 필터링) |
(src 호스트 10.20.3.15) 및 (dst 호스트 10.0.0.60) |
| 10.20.3.15와 같은 소스 또는 목적지 IP 주소로 필터링 |
호스트 10.20.3.15 |
| Filter by Source or Destination IP Address equal 10.20.3.15 or equal 10.0.0.60 |
호스트 10.20.3.15 또는 호스트 10.0.0.60 |
| 8080과 동일한 TCP 포트 번호로 필터링 |
tcp 포트 8080 |
| 53과 동일한 UDP 포트 번호로 필터링 |
udp 포트 53 |
| 514와 동일한 포트 번호로 필터링(TCP 또는 UDP) |
포트 514 |
| UDP 패킷만 필터링 |
udp |
| ICMP 패킷만 필터링 |
icmp |
| 투명 배포의 모든 캡처에 사용할 기본 필터 |
(proto gre && ip[40:4] = 0x0a14030f) 또는 (proto gre && ip[44:4] = 0x0a14030f) 또는 (proto gre && ip[40:4] = 0x0a00003c) 또는 (proto gre && ip[44:4] = 0x0a00003c) |
주의: 모든 필터는 대/소문자를 구분합니다.
문제 해결
"필터 오류"는 패킷 캡처를 수행하는 동안 가장 자주 발생하는 오류 중 하나입니다.
이미지 - 필터 오류
이 오류는 일반적으로 잘못된 필터 구현과 관련이 있습니다. 앞의 예에서 ICMP 필터는 대문자로 표시됩니다. 따라서 필터 오류가 발생합니다. 이 문제를 해결하려면 필터를 편집하고 ICMP를 icmp로 교체해야 합니다.
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
18-Oct-2024 |
최초 릴리스 |
피드백