De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden de configuratie en verificatie van de Firepower beschreven en wordt de Secure Firewall interne switch weergegeven.
Basisproductkennis, opnameanalyse.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Vanuit het pakketstroomperspectief kan de architectuur van de Firepower 4100/9300 en Secure Firewall 3100/4200 worden gevisualiseerd zoals in deze afbeelding:
Het chassis bevat deze onderdelen:
In het geval van Secure Firewall 3100/4200 worden de gegevens, het beheer en de uplink-interfaces toegewezen aan specifieke switch poorten.
De koppeling kan worden geverifieerd in de uitvoer van de FXOS local-mgmt commando shell show portmanager switch status commando uitvoer.
In dit voorbeeld is poort 0/18 de backplane/uplink-interface en poort 0/19 is de beheeruplink-interface.
firepower-3140# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-3140(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Autoneg FEC Link Scan Port Manager
--------- -------- ----- ----- ------ ------------- --------- ---------- ----------- ------------
0/1 SGMII Up 1G Full None No None None Link-Up
0/2 SGMII Up 1G Full None No None None Link-Up
0/3 SGMII Down 1G Full n/a No None None Force-Link-Down
0/4 SGMII Down 1G Full n/a No None None Force-Link-Down
0/5 SGMII Down 1G Full n/a No None None Force-Link-Down
0/6 SGMII Down 1G Full n/a No None None Force-Link-Down
0/7 SGMII Down 1G Full n/a No None None Force-Link-Down
0/8 SGMII Down 1G Full n/a No None None Force-Link-Down
0/9 SR_LR Down 25G Full n/a No None None Force-Link-Down
0/10 SR_LR Down 25G Full n/a No None None Force-Link-Down
0/11 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/12 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/13 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/14 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/15 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/16 1000_BaseXDown 1G Full n/a No None None Force-Link-Down
0/17 1000_BaseX Up 1G Full None No None None Link-Up
0/18 KR2 Up 50G Full None No None None Link-Up
0/19 KR Up 25G Full None No None None Link-Up
0/20 KR Up 25G Full None No None None Link-Up
Deze tabel toont backplane interfaces op Firepower 4100/9300 en uplink interfaces op Secure Firewall 3100/4200:
Platform |
Aantal ondersteunde beveiligingsmodules |
Backplane/uplink-interfaces |
Management-uplinks interfaces |
Toegewezen switch voor intern gebruik |
In kaart gebrachte toepassingsinterfaces |
FirePOWER 4100 (behalve FirePOWER 4110/4112) |
1 |
SM1: Ethernet1/9 Ethernet1/10 |
N.v.t. |
N.v.t. |
Interne gegevens0/0 Interne gegevens0/1 |
FirePOWER 4110/4112 |
1 |
Ethernet1/9 |
N.v.t. |
N.v.t. |
Interne gegevens0/0 Interne gegevens0/1 |
Firepower 9300 |
3 |
SM1: Ethernet1/9 Ethernet1/10 SM2: Ethernet T1/E1 Ethernet T1/E1 SM3: Ethernet T1/E1 Ethernet T1/E1 |
N.v.t. |
N.v.t. |
Interne gegevens0/0 Interne gegevens0/1
Interne gegevens0/1
Interne gegevens0/1 |
Secure-firewall 3100 |
1 |
SM1: in_data_uplink1 |
in_mgmt_uplink1 |
Poort 0/18 Poort 0/19 |
Interne gegevens0/1 Beheer1/1 |
Secure-firewall 4200 |
1 |
SM1: in_data_uplink1 SM1: in_data_uplink2 (alleen 4245) |
in_mgmt_uplink1 in_mgmt_uplink2 |
Poort 0/11 Poort 0/12 (alleen 4245) Poort 0/13 Poort 0/14 |
Interne gegevens0/1 Internal-Data 0/2 (alleen 4245) Beheer1/1 Beheer1/2 |
In het geval Firepower 4100/9300 met 2 backplane interfaces per module of Secure Firewall 4245 met 2 data uplink interfaces, de switch en de applicaties op de modules voeren verkeerstaakverdeling uit over de 2 interfaces.
Gebruik de opdracht show interface detail om interne interfaces te verifiëren:
> show interface detail | grep Interface
Interface Internal-Control0/0 "ha_ctl_nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Interface Internal-Data0/0 "", is up, line protocol is up
Control Point Interface States:
Interface number is 2
Interface config status is active
Interface state is active
Interface Internal-Data0/1 "", is up, line protocol is up
Control Point Interface States:
Interface number is 3
Interface config status is active
Interface state is active
Interface Internal-Data0/2 "nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 4
Interface config status is active
Interface state is active
Interface Internal-Data0/3 "ccl_ha_nlp_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 5
Interface config status is active
Interface state is active
Interface Internal-Data0/4 "cmi_mgmt_int_tap", is up, line protocol is up
Control Point Interface States:
Interface number is 7
Interface config status is active
Interface state is active
Interface Port-channel6.666 "", is up, line protocol is up
Interface Ethernet1/1 "diagnostic", is up, line protocol is up
Control Point Interface States:
Interface number is 8
Interface config status is active
Interface state is active
FirePOWER-applicatie 4100/9300
Om een doorsturen besluit te nemen gebruikt de switch een interface-VLAN-tag, of poort-VLAN-tag, en een Virtual Network-tag (VN-tag).
De port VLAN-tag wordt gebruikt door de interne switch om een interface te identificeren. De switch voegt de poort VLAN-tag in op elk toegangspakket dat op de voorinterfaces kwam. De VLAN-tag wordt automatisch geconfigureerd door het systeem en kan niet handmatig worden gewijzigd. De waarde van de tag kan in de fxos opdrachtshell worden gecontroleerd:
firepower# connect fxos
…
firepower(fxos)# show run int e1/2
!Command: show running-config interface Ethernet1/2
!Time: Tue Jul 12 22:32:11 2022
version 5.0(3)N2(4.120)
interface Ethernet1/2
description U: Uplink
no lldp transmit
no lldp receive
no cdp enable
switchport mode dot1q-tunnel
switchport trunk native vlan 102
speed 1000
duplex full
udld disable
no shutdown
De VN-tag wordt ook door de inwendige switch ingevoegd en gebruikt om de pakketten door te sturen naar de applicatie. Het wordt automatisch ingesteld door het systeem en kan niet handmatig worden gewijzigd.
De port VLAN-tag en de VN-tag worden gedeeld met de applicatie. De applicatie voegt de respectievelijke uitgaande interface VLAN-tags en de VN-tags in elk pakket in. Wanneer een pakketje van de applicatie wordt ontvangen door de switch op de backplane interfaces, leest de switch de VLAN-tag voor de uitgaande interface en de VN-tag, identificeert de toepassing en de uitgangsinterface, stript de VLAN-tag voor de poort en de VN-tag en stuurt het pakketbestand door naar het netwerk.
Secure-firewall 3100/4200
Net zoals in Firepower 4100/9300, wordt de poort VLAN tag gebruikt door de switch om een interface te identificeren.
De poort VLAN-tag wordt gedeeld met de toepassing. De toepassing voegt de respectievelijke uitgaande interface VLAN-tags in elk pakket in. Wanneer een pakketje uit de applicatie wordt ontvangen door de switch op de uplink-interface, leest de switch de VLAN-tag van de uitgaande interface, identificeert hij de uitgangsinterface, stript hij de VLAN-tag van de poort en stuurt hij het pakketje door naar het netwerk.
Firepower 4100/9300 en Secure Firewall 3100
Firepower 4100/9300 en Secure Firewall 3100 ondersteunen pakketvastlegging op de interfaces van de switch.
Dit getal toont de pakketopnamepunten langs het pakketpad in het chassis en de toepassing:
De opnamepunten zijn:
De interne switch ondersteunt alleen ingangsinterfaceopnamen. Dat wil zeggen dat alleen de pakketten die van het netwerk of van de ASA/FTD-toepassing worden ontvangen, kunnen worden opgenomen. Uitgangspakket-opnamen worden niet ondersteund.
Secure-firewall 4200
Het Secure Firewall 4200-ondersteuningspakket voor firewalls legt vast op de interfaces van de interne switch. Dit getal toont de pakketopnamepunten langs het pakketpad in het chassis en de toepassing:
De opnamepunten zijn:
De inwendige switch ondersteunt optioneel bidirectionele - zowel ingangen als uitgangen - opnamen. Standaard neemt de switch binnen pakketten op in de invoerrichting.
De interne switch Firepower 4100/9300 kan worden geconfigureerd in Tools > Packet Capture op FCM of in scope packet-capture in FXOS CLI. Raadpleeg voor de beschrijving van de pakketopnameopties de configuratiehandleiding voor Cisco Firepower 4100/9300 FXOS Chassis Manager of de configuratiehandleiding voor Cisco Firepower 4100/9300 FXOS CLI, hoofdstuk Problemen oplossen, sectie Packet Capture.
Deze scenario's behandelen de gemeenschappelijke gevallen van het gebruik van Firepower 4100/9300 interne switch vangt.
Gebruik de FCM en CLI om een pakketopname op interface Ethernet1/2 of Portchannel1 interface te configureren en te verifiëren. Zorg er in het geval van een poort-kanaal interface voor dat u alle fysieke lidinterfaces selecteert.
Topologie, pakketstroom en de opnamepunten
Configuratie
FCM
Voer deze stappen uit op FCM om een pakketopname te configureren op interfaces Ethernet1/2 of Portchannel1:
FXOS CLI
Voer deze stappen uit op FXOS CLI om een pakketopname te configureren op interfaces Ethernet1/2 of Portchannel1:
firepower# scope ssa
firepower /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/4(P) Eth1/5(P)
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Voor poort-kanaal interfaces wordt een afzonderlijke opname voor elke lidinterface geconfigureerd:
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/5
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificatie
FCM
Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:
Portchannel1 met lid interfaces Ethernet1/4 en Ethernet1/5:
FXOS CLI
Controleer de opnamedetails in scope-pakketopname:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 75136 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Poortkanaal 1 met lidinterfaces Ethernet1/4 en Ethernet1/5:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 4
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
Pcapsize: 310276 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 5
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-5-0.pcap
Pcapsize: 160 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.
Capture file analyse
Gebruik een applicatie voor pakketopname om het opnamebestand voor Ethernet1/2 te openen. Selecteer het eerste pakket en controleer de belangrijkste punten:
Selecteer het tweede pakket en controleer de belangrijkste punten:
Open de opnamebestanden voor Portchannel1-lidinterfaces. Selecteer het eerste pakket en controleer de belangrijkste punten:
Selecteer het tweede pakket en controleer de belangrijkste punten:
Toelichting
Wanneer een pakketopname op een frontinterface is geconfigureerd, neemt de switch elk pakket tweemaal tegelijk op:
In de volgorde van bewerkingen wordt de VN-tag in een later stadium ingevoegd dan de invoeging van de VLAN-tag in de poort. In het opnamebestand wordt het pakket met de VN-tag echter eerder weergegeven dan het pakket met de poort-VLAN-tag.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Interne poort VLAN in opgenomen pakketten |
Richting |
Opgenomen verkeer |
Configureer en controleer een pakketopname op interface Ethernet1/2 |
Ethernet1/2 |
102 |
Alleen inspringen |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
Configureer en controleer een pakketopname op interface Portchannel1 met lidinterfaces Ethernet1/4 en Ethernet1/5 |
Ethernet1/4 Ethernet1/Ethernet5 |
1001 |
Alleen inspringen |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
Gebruik de FCM en CLI om een pakketopname op backplane interfaces te configureren en te verifiëren.
Topologie, pakketstroom en de opnamepunten
Configuratie
FCM
Voer deze stappen uit op FCM om pakketopnamen op backplane interfaces te configureren:
FXOS CLI
Voer deze stappen uit op FXOS CLI om pakketopnamen op backplane interfaces te configureren:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/9
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/10
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificatie
FCM
Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:
FXOS CLI
Controleer de opnamedetails in scope-pakketopname:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-10-0.pcap
Pcapsize: 1017424 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-9-0.pcap
Pcapsize: 1557432 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.
Capture file analyse
Gebruik een applicatie voor pakketvastlegging om de opnamebestanden te openen. Zorg er bij meer dan 1 backplane interface voor dat alle opnamebestanden voor elke backplane interface worden geopend. In dit geval worden de pakketten opgenomen op de backplane interface Ethernet1/9.
Selecteer het eerste en het tweede pakket en controleer de belangrijkste punten:
Selecteer het derde en vierde pakket en controleer de belangrijkste punten:
Toelichting
Wanneer een pakketopname op een backplane interface is geconfigureerd, neemt de switch elk pakket twee keer op. In dit geval ontvangt de switch binnen de poort pakketten die al door de toepassing op de beveiligingsmodule zijn gelabeld met de port VLAN-tag en de VN-tag. De VLAN-tag identificeert de uitgangsinterface die het interne chassis gebruikt om de pakketten naar het netwerk te doorsturen. De VLAN-tag 103 in ICMP-echoverdrachtpakketten identificeert Ethernet1/3 als de uitgangsinterface, terwijl VLAN-tag 102 in ICMP-echoantwoordpakketten Ethernet1/2 als de uitgangsinterface identificeert. De switch verwijdert de VN-tag en de interne VLAN-tag voordat de pakketten naar het netwerk worden doorgestuurd.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Interne poort VLAN in opgenomen pakketten |
Richting |
Opgenomen verkeer |
Configureer en controleer pakketopnamen op backplane interfaces |
Backplane interfaces |
102 103 |
Alleen inspringen |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 ICMP-echoantwoorden van host 198.51.100.100 op host 192.0.2.100 |
Het pakket van de toepassing of van de toepassingspoort wordt altijd gevormd op backplane interfaces en bovendien op de voorinterfaces als de gebruiker de richting van de toepassingsopname specificeert.
Er zijn voornamelijk 2 gevallen van gebruik:
Deze paragraaf behandelt beide gebruikscategorieën.
Taak 1
Gebruik de FCM en CLI om een pakketopname op de backplane interface te configureren en te verifiëren. Pakketten waarvoor de toepassingspoort Ethernet1/2 is geïdentificeerd als de uitgangsinterface worden opgenomen. In dit geval worden ICMP-antwoorden opgenomen.
Topologie, pakketstroom en de opnamepunten
Configuratie
FCM
Voer deze stappen uit op FCM om een pakketopname te configureren op de FTD-toepassing en de toepassingspoort Ethernet1/2:
FXOS CLI
Voer deze stappen uit op FXOS CLI om pakketopnamen op backplane interfaces te configureren:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create app-port 1 l12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session/app-port* # set filter ""
firepower /packet-capture/session/app-port* # set subinterface 0
firepower /packet-capture/session/app-port* # up
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificatie
FCM
Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:
FXOS CLI
Controleer de opnamedetails in scope-pakketopname:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Application ports involved in Packet Capture:
Slot Id: 1
Link Name: l12
Port Name: Ethernet1/2
App Name: ftd
Sub Interface: 0
Application Instance Identifier: ftd1
Application ports resolved to:
Name: vnic1
Eq Slot Id: 1
Eq Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
Pcapsize: 53640 bytes
Vlan: 102
Filter:
Name: vnic2
Eq Slot Id: 1
Eq Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
Pcapsize: 1824 bytes
Vlan: 102
Filter:
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.
Capture file analyse
Gebruik een applicatie voor pakketvastlegging om de opnamebestanden te openen. In het geval van meerdere backplane interfaces, zorg ervoor dat alle opnamebestanden voor elke backplane interface worden geopend. In dit geval worden de pakketten opgenomen op de backplane interface Ethernet1/9.
Selecteer het eerste en het tweede pakket en controleer de belangrijkste punten:
Toelichting
In dit geval is Ethernet1/2 met poort VLAN-tag 102 de uitgangsinterface voor de ICMP-echoantwoordpakketten.
Wanneer de richting van de toepassingsopname is ingesteld op Uitgang in de opnameopties, worden pakketten met de poort VLAN-tag 102 in de Ethernet-header opgenomen op de backplane interfaces in de toegangsrichting.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Interne poort VLAN in opgenomen pakketten |
Richting |
Opgenomen verkeer |
Configureren en verifiëren van opnamen op applicatie- en toepassingspoort Ethernet1/2 |
Backplane interfaces |
102 |
Alleen inspringen |
ICMP-echoantwoorden van host 198.51.100.100 op host 192.0.2.100 |
Taak 2
Gebruik de FCM en CLI om een pakketopname op de backplane interface en de voorinterface Ethernet1/2 te configureren en te verifiëren.
Gelijktijdige pakketopnamen worden geconfigureerd op:
Topologie, pakketstroom en de opnamepunten
Configuratie
FCM
Voer deze stappen uit op FCM om een pakketopname te configureren op de FTD-toepassing en de toepassingspoort Ethernet1/2:
FXOS CLI
Voer deze stappen uit op FXOS CLI om pakketopnamen op backplane interfaces te configureren:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port eth1/2
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # create app-port 1 link12 Ethernet1/2 ftd
firepower /packet-capture/session/app-port* # set app-identifier ftd1
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # commit
Verificatie
FCM
Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:
FXOS CLI
Controleer de opnamedetails in scope-pakketopname:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 410444 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Application ports involved in Packet Capture:
Slot Id: 1
Link Name: link12
Port Name: Ethernet1/2
App Name: ftd
Sub Interface: 0
Application Instance Identifier: ftd1
Application ports resolved to:
Name: vnic1
Eq Slot Id: 1
Eq Port Id: 9
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1036.pcap
Pcapsize: 128400 bytes
Vlan: 102
Filter:
Name: vnic2
Eq Slot Id: 1
Eq Port Id: 10
Pcapfile: /workspace/packet-capture/session-1/cap1-vethernet-1175.pcap
Pcapsize: 2656 bytes
Vlan: 102
Filter:
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.
Capture file analyse
Gebruik een applicatie voor pakketvastlegging om de opnamebestanden te openen. In het geval van meerdere backplane interfaces, zorg ervoor dat alle opnamebestanden voor elke backplane interface worden geopend. In dit geval worden de pakketten opgenomen op de backplane interface Ethernet1/9.
Open het opnamebestand voor de interface Ethernet1/2, selecteer het eerste pakket en controleer de belangrijkste punten:
Selecteer het tweede pakket en controleer de belangrijkste punten:
Open het opnamebestand voor de interface Ethernet1/9, selecteer de eerste en de tweede pakketten en controleer de belangrijkste punten:
Toelichting
Als de optie All Packets in de Application Capture Direction is geselecteerd, worden er 2 simultane pakketopnamen geconfigureerd met betrekking tot de geselecteerde toepassingspoort Ethernet1/2: een opname op de voorinterface Ethernet1/2 en een opname op geselecteerde backplane interfaces.
Wanneer een pakketopname op een frontinterface is geconfigureerd, neemt de switch elk pakket tweemaal tegelijk op:
In de volgorde van bewerkingen wordt de VN-tag in een later stadium ingevoegd dan de invoeging van de VLAN-tag in de poort. Maar in het opnamebestand wordt het pakket met de VN-tag eerder weergegeven dan het pakket met de poort VLAN-tag. In dit voorbeeld identificeert de VLAN-tag 102 in ICMP-echoverdrachtpakketten Ethernet1/2 als de toegangsinterface.
Wanneer een pakketopname op een backplane interface is geconfigureerd, neemt de switch elk pakket twee keer op. De internal switch ontvangt pakketten die al zijn getagd door de applicatie op de security module met de port VLAN-tag en de VN-tag. De port VLAN-tag identificeert de uitgangsinterface die het interne chassis gebruikt om de pakketten door te sturen naar het netwerk. In dit voorbeeld identificeert de VLAN-tag 102 in ICMP-echoantwoordpakketten Ethernet1/2 als de uitgangsinterface.
De switch verwijdert de VN-tag en de interne VLAN-tag voordat de pakketten naar het netwerk worden doorgestuurd.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Interne poort VLAN in opgenomen pakketten |
Richting |
Opgenomen verkeer |
Configureren en verifiëren van opnamen op applicatie- en toepassingspoort Ethernet1/2 |
Backplane interfaces |
102 |
Alleen inspringen |
ICMP-echoantwoorden van host 198.51.100.100 op host 192.0.2.100 |
Interface Ethernet1/2 |
102 |
Alleen inspringen |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
Gebruik de FCM en CLI om een pakketopname te configureren en te verifiëren op subinterface Ethernet1/2.205 of poortkanaal-subinterface Portchannel1.207. Subinterfaces en opnamen op subinterfaces worden alleen ondersteund voor de FTD-toepassing in containermodus. In dit geval wordt een pakketopname op Ethernet1/2.205 en Portchannel1.207 geconfigureerd.
Topologie, pakketstroom en de opnamepunten
Configuratie
FCM
Voer deze stappen uit op FCM om een pakketopname te configureren op de FTD-toepassing en de toepassingspoort Ethernet1/2:
3. In het geval van een poortkanaal-subinterface zijn vanwege de Cisco bug-ID CSC33119 subinterfaces niet zichtbaar in de FCM. Gebruik de FXOS CLI om opnamen te configureren op poortkanaal-subinterfaces.
FXOS CLI
Voer deze stappen uit op FXOS CLI om een pakketopname te configureren op subinterfaces Ethernet1/2.205 en Portchannel1.207:
firepower# scope ssa
firepower /ssa # show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Container No RP20 Not Applicable None
ftd ftd2 1 Enabled Online 7.2.0.82 7.2.0.82 Container No RP20 Not Applicable None
firepower# connect fxos
<output skipped>
firepower(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(SU) Eth LACP Eth1/3(P) Eth1/3(P)
firepower# scope packet-capture
firepower /packet-capture # create session cap1
firepower /packet-capture/session* # create phy-port Eth1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 205
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Voor poort-kanaal subinterfaces, maak een pakketopname voor elke poort-kanaal lidinterface:
firepower# scope packet-capture
firepower /packet-capture # create filter vlan207
firepower /packet-capture/filter* # set ovlan 207
firepower /packet-capture/filter* # up
firepower /packet-capture* # create session cap1
firepower /packet-capture/session* create phy-port Eth1/3
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # create phy-port Eth1/4
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set subinterface 207
firepower /packet-capture/session/phy-port* # up
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificatie
FCM
Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:
Poortkanaal subinterface-opnamen die op FXOS CLI zijn geconfigureerd, zijn ook zichtbaar op FCM; ze kunnen echter niet worden bewerkt:
FXOS CLI
Controleer de opnamedetails in scope-pakketopname:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 9324 bytes
Filter:
Sub Interface: 205
Application Instance Identifier: ftd1
Application Name: ftd
Poortkanaal 1 met lidinterfaces Ethernet1/3 en Ethernet1/4:
firepower# scope packet-capture
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 3
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-3-0.pcap
Pcapsize: 160 bytes
Filter:
Sub Interface: 207
Application Instance Identifier: ftd1
Application Name: ftd
Slot Id: 1
Port Id: 4
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-4-0.pcap
Pcapsize: 624160 bytes
Filter:
Sub Interface: 207
Application Instance Identifier: ftd1
Application Name: ftd
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.
Capture file analyse
Gebruik een applicatie voor pakketvastlegging om het opnamebestand te openen. Selecteer het eerste pakket en controleer de belangrijkste punten:
Selecteer het tweede pakket en controleer de belangrijkste punten:
Open nu de opnamebestanden voor Portchannel1.207. Selecteer het eerste pakket en controleer de belangrijkste punten
Selecteer het tweede pakket en controleer de belangrijkste punten:
Toelichting
Wanneer een pakketopname op een frontinterface is geconfigureerd, neemt de switch elk pakket tweemaal tegelijk op:
In de volgorde van bewerkingen wordt de VN-tag in een later stadium ingevoegd dan de invoeging van de VLAN-tag in de poort. Maar in het opnamebestand wordt het pakket met de VN-tag eerder weergegeven dan het pakket met de poort VLAN-tag. Bovendien, in het geval van subinterfaces, in de opnamebestanden, bevat elk tweede pakket niet de poort VLAN-tag.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Interne poort VLAN in opgenomen pakketten |
Richting |
Opgenomen verkeer |
Configureer en controleer een pakketopname op subinterface Ethernet1/2.205 |
Ethernet1/2.2005 |
102 |
Alleen inspringen |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
Configureer en controleer een pakketopname op Portchannel1 subinterface met lidinterfaces Ethernet1/3 en Ethernet1/4 |
Ethernet1/3G Ethernet 1/4 |
1001 |
Alleen inspringen |
ICMP-echoverzoeken van 192.168.207.100 voor host 192.168.207.102 |
Gebruik FCM en CLI om een pakketopname op interface Ethernet1/2 met een filter te configureren en te verifiëren.
Topologie, pakketstroom en de opnamepunten
Configuratie
FCM
Voer deze stappen uit op FCM om een opnamefilter te configureren voor ICMP-echoverdrachtpakketten van host 192.0.2.100 naar host 198.51.100.100 en pas deze toe op pakketopname op interface Ethernet1/2:
Gebruik Gereedschappen > Packet Capture > Filterlijst > Filter toevoegen om een opnamefilter te maken.
FXOS CLI
Voer deze stappen uit op FXOS CLI om pakketopnamen op backplane interfaces te configureren:
firepower# scope ssa
firepower /ssa# show app-instance
App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd ftd1 1 Enabled Online 7.2.0.82 7.2.0.82 Native No Not Applicable None
2. Identificeer het IP-protocolnummer in https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml. In dit geval is het ICMP-protocolnummer 1.
3. Een opnamesessie maken:
firepower# scope packet-capture
firepower /packet-capture # create filter filter_icmp
firepower /packet-capture/filter* # set destip 198.51.100.100
firepower /packet-capture/filter* # set protocol 1
firepower /packet-capture/filter* # set srcip 192.0.2.100
firepower /packet-capture/filter* # exit
firepower /packet-capture* # create session cap1
firepower /packet-capture/session* # create phy-port Ethernet1/2
firepower /packet-capture/session/phy-port* # set app ftd
firepower /packet-capture/session/phy-port* # set app-identifier ftd1
firepower /packet-capture/session/phy-port* # set filter filter_icmp
firepower /packet-capture/session/phy-port* # exit
firepower /packet-capture/session* # enable
firepower /packet-capture/session* # commit
firepower /packet-capture/session #
Verificatie
FCM
Controleer de interfacenaam, zorg ervoor dat de operationele status omhoog is en dat de bestandsgrootte (in bytes) toeneemt:
Controleer de interfacenaam, het filter, controleer of de operationele status is ingesteld en of de bestandsgrootte (in bytes) toeneemt in Gereedschappen > Packet Capture > Capture Session:
FXOS CLI
Controleer de opnamedetails in scope-pakketopname:
firepower# scope packet-capture
firepower /packet-capture # show filter detail
Configure a filter for packet capture:
Name: filter_icmp
Protocol: 1
Ivlan: 0
Ovlan: 0
Src Ip: 192.0.2.100
Dest Ip: 198.51.100.100
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Src Ipv6: ::
Dest Ipv6: ::
firepower /packet-capture # show session cap1
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Enabled
Oper State: Up
Oper State Reason: Active
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 213784 bytes
Filter: filter_icmp
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel Firepower 4100/9300 Internal Switch Capture Files.
Capture file analyse
Gebruik een applicatie voor pakketvastlegging om het opnamebestand te openen. Selecteer het eerste pakket en controleer de belangrijkste punten
Selecteer het tweede pakket en controleer de belangrijkste punten:
Toelichting
Wanneer een pakketopname op een frontinterface is geconfigureerd, neemt de switch elk pakket tweemaal tegelijk op:
In de volgorde van bewerkingen wordt de VN-tag in een later stadium ingevoegd dan de invoeging van de VLAN-tag in de poort. Maar in het opnamebestand wordt het pakket met de VN-tag eerder weergegeven dan het pakket met de poort VLAN-tag.
Wanneer een opnamefilter wordt toegepast, worden alleen de pakketten opgenomen die overeenkomen met het filter in de invoerrichting.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Interne poort VLAN in opgenomen pakketten |
Richting |
Eigen filter |
Opgenomen verkeer |
Configureer en controleer een pakketopname met een filter op de voorinterface Ethernet1/2 |
Ethernet1/2 |
102 |
Alleen inspringen |
Protocol: ICMP Bron:192.0.2.100 Bestemming: 198.51.100.100 |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
FCM
Voer de volgende stappen uit op FCM om interne switch-opnamebestanden te verzamelen:
In het geval van poort-kanaal interfaces, herhaal deze stap voor elke lidinterface.
FXOS CLI
Voer deze stappen uit op de FXOS CLI om opnamebestanden te verzamelen:
firepower# scope packet-capture
firepower /packet-capture # scope session cap1
firepower /packet-capture/session # disable
firepower /packet-capture/session* # commit
firepower /packet-capture/session # up
firepower /packet-capture # show session cap1 detail
Traffic Monitoring Session:
Packet Capture Session Name: cap1
Session: 1
Admin State: Disabled
Oper State: Down
Oper State Reason: Admin Disable
Config Success: Yes
Config Fail Reason:
Append Flag: Overwrite
Session Mem Usage: 256 MB
Session Pcap Snap Len: 1518 Bytes
Error Code: 0
Drop Count: 0
Physical ports involved in Packet Capture:
Slot Id: 1
Port Id: 2
Pcapfile: /workspace/packet-capture/session-1/cap1-ethernet-1-2-0.pcap
Pcapsize: 115744 bytes
Filter:
Sub Interface: 0
Application Instance Identifier: ftd1
Application Name: ftd
firepower# connect local-mgmt
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ?
ftp: Dest File URI
http: Dest File URI
https: Dest File URI
scp: Dest File URI
sftp: Dest File URI
tftp: Dest File URI
usbdrive: Dest File URI
volatile: Dest File URI
workspace: Dest File URI
firepower(local-mgmt)# copy /packet-capture/session-1/cap1-ethernet-1-2-0.pcap ftp://ftpuser@10.10.10.1/cap1-ethernet-1-2-0.pcap
Password:
In het geval van poort-kanaal interfaces, kopieer het opnamebestand voor elke lidinterface.
Raadpleeg voor de richtlijnen en beperkingen met betrekking tot Firepower 4100/9300 interne switch-opname de configuratiehandleiding voor Cisco Firepower 4100/9300 FXOS Chassis Manager of de configuratiehandleiding voor Cisco Firepower 4100/9300 FXOS CLI, hoofdstuk Problemen oplossen, paragraaf Packet Capture.
Dit is de lijst met best practices op basis van het gebruik van pakketvastlegging in TAC-gevallen:
In tegenstelling tot Firepower 4100/9300, legt de switch in de Secure Firewall 3100/4200 zijn geconfigureerd op de opdrachtregelinterface van de applicatie via de opdracht Capture <name> switch , waarin de switch optie aangeeft dat de opnamen op de switch zijn geconfigureerd.
Dit is de opnameopdracht met de switch optie:
> capture cap_sw switch ?
buffer Configure size of capture buffer, default is 256MB
ethernet-type Capture Ethernet packets of a particular type, default is IP
interface Capture packets on a specific interface
ivlan Inner Vlan
match Capture packets based on match criteria
ovlan Outer Vlan
packet-length Configure maximum length to save from each packet, default is
64 bytes
real-time Display captured packets in real-time. Warning: using this
option with a slow console connection may result in an
excessive amount of non-displayed packets due to performance
limitations.
stop Stop packet capture
trace Trace the captured packets
type Capture packets based on a particular type
<cr>
De algemene stappen voor de configuratie van de pakketopname zijn als volgt:
Switch Capture Configuration accepteert de ingangsinterface nameif. De gebruiker kan namen van gegevensinterfaces, interne uplink, of de beheersinterfaces specificeren:
> capture capsw switch interface ?
Available interfaces to listen:
in_data_uplink1 Capture packets on internal data uplink1 interface
in_mgmt_uplink1 Capture packets on internal mgmt uplink1 interface
inside Name of interface Ethernet1/1.205
management Name of interface Management1/1
De Secure Firewall 4200 ondersteunt bidirectionele opnamen. De standaardwaarde is toegang, tenzij anders aangegeven:
> capture capi switch interface inside direction
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
Bovendien heeft Secure Firewall 4245 2 interne gegevens en 2 beheeruplinks:
> capture capsw switch interface
eventing Name of interface Management1/2
in_data_uplink1 Capture packets on internal data uplink1 interface
in_data_uplink2 Capture packets on internal data uplink2 interface
in_mgmt_uplink1 Capture packets on internal mgmt uplink1 interface
in_mgmt_uplink2 Capture packets on internal mgmt uplink2 interface
management Name of interface Management1/1
> capture capsw switch interface inside ethernet-type ?
802.1Q
<0-65535> Ethernet type
arp
ip
ip6
pppoed
pppoes
rarp
sgt
vlan
> capture capsw switch interface inside match ?
<0-255> Enter protocol number (0 - 255)
ah
eigrp
esp
gre
icmp
icmp6
igmp
igrp
ip
ipinip
ipsec
mac Mac-address filter
nos
ospf
pcp
pim
pptp
sctp
snp
spi SPI value
tcp
udp
<cr>
> capture capsw switch interface inside match ip
> no capture capsw switch stop
> show capture capsw
27 packet captured on disk using switch capture
Reading of capture file from disk is not supported
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 18838
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
> capture capsw switch stop
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 24
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
8. Verzamel de opnamebestanden. Voer de stappen in het gedeelte Verzamel beveiligde Switch-opnamebestanden met firewall.
In Secure Firewall-softwareversie 7.4 wordt de switch-opnameconfiguratie niet ondersteund door het VCC of de FDM. Switch In het geval van ASA-softwareversie 9.18(1) en hoger kunnen internethelefoonopnamen worden geconfigureerd in ASDM-versies 7.18.1.x en hoger.
Deze scenario's dekken veel gebruikte cases van Secure Firewall 3100/4200 interne switch.
Gebruik de FTD of ASA CLI om een pakketopname op interface Ethernet1/1 of Portchannel1 interface te configureren en te verifiëren. Beide interfaces hebben de naam vanbinnen.
Topologie, pakketstroom en de opnamepunten
Secure-firewall 3100:
Secure Firewall 4200 met bidirectionele opnamen:
Configuratie
Voer deze stappen uit op ASA of FTD CLI om een pakketopname te configureren op interface Ethernet1/1 of poortkanaal1:
> show nameif
Interface Name Security
Ethernet1/1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> show nameif
Interface Name Security
Port-channel1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside
De Secure Firewall 4200 ondersteunt opnamerichtlijnen:
> capture capsw switch interface inside direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface inside direction both
> no capture capsw switch stop
Verificatie
Controleer de naam van de opnamesessie, de administratieve en operationele status, de interfacekaart en de identificatie. Zorg ervoor dat de waarde van Capsize in bytes toeneemt en dat het aantal opgenomen pakketten niet-nul is:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 12653
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
79 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Secure-firewall 4200:
> show cap capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Direction: both
Drop: disable
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
33 packet captured on disk using switch capture
Reading of capture file from disk is not supported
In het geval van Port-channel1 wordt de opname op alle lidinterfaces geconfigureerd:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 2
Physical port:
Slot Id: 1
Port Id: 4
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
Pcapsize: 28824
Filter: capsw-1-4
Packet Capture Filter Info
Name: capsw-1-4
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Physical port:
Slot Id: 1
Port Id: 3
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
Pcapsize: 18399
Filter: capsw-1-3
Packet Capture Filter Info
Name: capsw-1-3
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
56 packet captured on disk using switch capture
Reading of capture file from disk is not supported
De poortkanaals lidinterfaces kunnen in de FXOS local-mgmt commando shell worden geverifieerd via de show portchannel summiere opdracht:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
Channel PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1 Po1(U) False
Cluster LACP Status:
--------------------------------------------------------------------------------
Channel ClusterSpanned ClusterDetach ClusterUnitID ClusterSysID
--------------------------------------------------------------------------------
1 Po1(U) False False 0 clust
Om toegang te krijgen tot de FXOS op ASA, voert u de opdracht connect fxos admin uit. In het geval van multi-context, stel het bevel in de admincontext in werking.
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel beveiligde Switch-opnamebestanden met firewall.
Capture file analyse
Gebruik een applicatie voor pakketopnamebestanden om de opnamebestanden voor Ethernet1/1 te openen. In dit voorbeeld worden de pakketopnamen voor de Secure Firewall 3100 geanalyseerd. Selecteer het eerste pakket en controleer de belangrijkste punten:
Open de opnamebestanden voor Portchannel1-lidinterfaces. Selecteer het eerste pakket en controleer de belangrijkste punten:
Toelichting
De switch Captures worden geconfigureerd op interfaces Ethernet1/1 of Portchannel1.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Intern filter |
Richting |
Opgenomen verkeer |
Configureer en controleer een pakketopname op interface Ethernet1/1 |
Ethernet1/E1 |
None |
Alleen inspringen* |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
Configureer en controleer een pakketopname op interface Portchannel1 met lidinterfaces Ethernet1/3 en Ethernet1/4 |
Ethernet1/3G Ethernet 1/4 |
None |
Alleen inspringen* |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
* In tegenstelling tot de 3100, ondersteunt de Secure Firewall 4200 bidirectionele opnamen (toegang en uitgang).
Gebruik de FTD of ASA CLI om een pakketopname op subinterfaces Ethernet1/1.205 of Portchannel1.205 te configureren en te verifiëren. Beide subinterfaces hebben de naam erin.
Topologie, pakketstroom en de opnamepunten
Secure-firewall 3100:
Secure-firewall 4200:
Configuratie
Voer deze stappen uit op ASA of FTD CLI om een pakketopname te configureren op interface Ethernet1/1 of poortkanaal1:
> show nameif
Interface Name Security
Ethernet1/1.205 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> show nameif
Interface Name Security
Port-channel1.205 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside
De Secure Firewall 4200 ondersteunt opnamerichtlijnen:
> capture capsw switch interface inside direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface inside direction both
3. Schakel de opnamesessie in:
> no capture capsw switch stop
Verificatie
Controleer de naam van de opnamesessie, de administratieve en operationele status, de interfacekaart en de identificatie. Zorg ervoor dat de waarde Pcapsize in bytes toeneemt en dat het aantal opgenomen pakketten niet-nul is:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 6360
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
46 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In dit geval wordt een filter met router VLAN Ovlan=205 gemaakt en op de interface toegepast.
In het geval van Port-channel1 wordt de opname met een filter Ovlan=205 geconfigureerd op alle lidinterfaces:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 2
Physical port:
Slot Id: 1
Port Id: 4
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-4-0.pcap
Pcapsize: 23442
Filter: capsw-1-4
Packet Capture Filter Info
Name: capsw-1-4
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Physical port:
Slot Id: 1
Port Id: 3
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-3-0.pcap
Pcapsize: 5600
Filter: capsw-1-3
Packet Capture Filter Info
Name: capsw-1-3
Protocol: 0
Ivlan: 0
Ovlan: 205
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
49 packet captured on disk using switch capture
Reading of capture file from disk is not supported
De poortkanaals lidinterfaces kunnen in de FXOS local-mgmt commando shell worden geverifieerd via de show portchannel summiere opdracht:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
Channel PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
1 Po1(U) False
Cluster LACP Status:
--------------------------------------------------------------------------------
Channel ClusterSpanned ClusterDetach ClusterUnitID ClusterSysID
--------------------------------------------------------------------------------
1 Po1(U) False False 0 clust
Om toegang te krijgen tot de FXOS op ASA, voert u de opdracht connect fxos admin uit. In het geval van multi-context, stel dit bevel in de admincontext in werking.
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel beveiligde Switch-opnamebestanden met firewall.
Capture file analyse
Gebruik een applicatie voor pakketopnamebestanden om de opnamebestanden voor Ethernet1/1.205 te openen. In dit voorbeeld worden de pakketopnamen voor de Secure Firewall 3100 geanalyseerd. Selecteer het eerste pakket en controleer de belangrijkste punten:
Open de opnamebestanden voor Portchannel1-lidinterfaces. Selecteer het eerste pakket en controleer de belangrijkste punten:
Toelichting
De switch neemt op worden geconfigureerd op subinterfaces Ethernet1/1.205 of Portchannel1.205 met een filter dat overeenkomt met router VLAN 205.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Intern filter |
Richting |
Opgenomen verkeer |
Configureer en controleer een pakketopname op subinterface Ethernet1/1.205 |
Ethernet1/E1 |
Buiten VLAN 2015 |
Alleen inspringen* |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
Configureer en controleer een pakketopname op subinterface Portchannel1.205 met lidinterfaces Ethernet1/3 en Ethernet1/4 |
Ethernet1/3G Ethernet 1/4 |
Buiten VLAN 2015 |
Alleen inspringen* |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 |
* In tegenstelling tot de 3100, ondersteunt de Secure Firewall 4200 bidirectionele opnamen (toegang en uitgang).
De Secure Firewall 3100 heeft 2 interne interfaces:
De Secure Firewall 4200 heeft maximaal 4 interne interfaces:
Taak 1
Gebruik de FTD of ASA CLI om een pakketopname te configureren en te verifiëren op de uplink-interface in_data_uplink1.
Topologie, pakketstroom en de opnamepunten
Secure-firewall 3100:
Secure-firewall 4200:
Configuratie
Voer deze stappen uit op ASA of FTD CLI om een pakketopname te configureren op interface in_data_uplink1:
> capture capsw switch interface in_data_uplink1
De Secure Firewall 4200 ondersteunt opnamerichtlijnen:
> capture capsw switch interface in_data_uplink1 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface in_data_uplink1 direction both
2. Schakel de opnamesessie in:
> no capture capsw switch stop
Verificatie
Controleer de naam van de opnamesessie, de administratieve en operationele status, de interfacekaart en de identificatie. Zorg ervoor dat de waarde Pcapsize in bytes toeneemt en dat het aantal opgenomen pakketten niet-nul is:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 18
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-data-uplink1.pcap
Pcapsize: 7704
Filter: capsw-1-18
Packet Capture Filter Info
Name: capsw-1-18
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
66 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In dit geval wordt er een opname gemaakt op de interface met een interne ID 18 die de in_data_uplink1 interface op de Secure Firewall 3130 is. De opdracht switch status van show portmanager in de opdrachtshell van FXOS local-mgmt toont de interface-ID’s:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode Port Manager
--------- ---------------- ----- ----- ------ ------------- ------------
0/1 SGMII Up 1G Full None Link-Up
0/2 SGMII Up 1G Full None Link-Up
0/3 SGMII Up 1G Full None Link-Up
0/4 SGMII Up 1G Full None Link-Up
0/5 SGMII Down 1G Half None Mac-Link-Down
0/6 SGMII Down 1G Half None Mac-Link-Down
0/7 SGMII Down 1G Half None Mac-Link-Down
0/8 SGMII Down 1G Half None Mac-Link-Down
0/9 1000_BaseX Down 1G Full None Link-Down
0/10 1000_BaseX Down 1G Full None Link-Down
0/11 1000_BaseX Down 1G Full None Link-Down
0/12 1000_BaseX Down 1G Full None Link-Down
0/13 1000_BaseX Down 1G Full None Link-Down
0/14 1000_BaseX Down 1G Full None Link-Down
0/15 1000_BaseX Down 1G Full None Link-Down
0/16 1000_BaseX Down 1G Full None Link-Down
0/17 1000_BaseX Up 1G Full None Link-Up
0/18 KR2 Up 50G Full None Link-Up
0/19 KR Up 25G Full None Link-Up
0/20 KR Up 25G Full None Link-Up
0/21 KR4 Down 40G Full None Link-Down
0/22 n/a Down n/a Full N/A Reset
0/23 n/a Down n/a Full N/A Reset
0/24 n/a Down n/a Full N/A Reset
0/25 1000_BaseX Down 1G Full None Link-Down
0/26 n/a Down n/a Full N/A Reset
0/27 n/a Down n/a Full N/A Reset
0/28 n/a Down n/a Full N/A Reset
0/29 1000_BaseX Down 1G Full None Link-Down
0/30 n/a Down n/a Full N/A Reset
0/31 n/a Down n/a Full N/A Reset
0/32 n/a Down n/a Full N/A Reset
0/33 1000_BaseX Down 1G Full None Link-Down
0/34 n/a Down n/a Full N/A Reset
0/35 n/a Down n/a Full N/A Reset
0/36 n/a Down n/a Full N/A Reset
Om toegang te krijgen tot de FXOS op ASA, voert u de opdracht connect fxos admin uit. In het geval van multi-context, stel dit bevel in de admincontext in werking.
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel beveiligde Switch-opnamebestanden met firewall.
Capture file analyse
Gebruik een applicatie voor pakketopnamebestanden om de opnamebestanden voor de interface in_data_uplink1 te openen. In dit voorbeeld worden de pakketopnamen voor de Secure Firewall 3100 geanalyseerd.
Controleer het belangrijkste punt - in dit geval worden ICMP-echoverzoek en echo-antwoordpakketten opgenomen. Dit zijn de pakketten die van de applicatie naar de interne switch worden gestuurd.
Toelichting
Wanneer een switch op de uplink-interface is geconfigureerd, worden alleen pakketten die van de toepassing naar de interne switch zijn verzonden opgenomen. Pakketten die naar de toepassing worden verzonden, worden niet opgenomen.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Intern filter |
Richting |
Opgenomen verkeer |
Configureer en controleer een pakketopname op de uplink-interface in_data_uplink1 |
in_data_uplink1 |
None |
Alleen inspringen* |
ICMP-echoverzoeken van host 192.0.2.10 naar host 198.51.100.100 ICMP-echoantwoorden van host 198.51.100.100 op host 192.0.2.100 |
* In tegenstelling tot de 3100, ondersteunt de Secure Firewall 4200 bidirectionele (in- en uitgangen) opnamen.
Taak 2
Gebruik de FTD of ASA CLI om een pakketopname op de uplink-interface in_mgmt_uplink1 te configureren en te verifiëren. Alleen de pakketten met beheervliegtuigverbindingen worden opgenomen.
Topologie, pakketstroom en de opnamepunten
Secure-firewall 3100:
Secure-firewall 4200:
Configuratie
Voer deze stappen uit op ASA of FTD CLI om een pakketopname te configureren op interface in_mgmt_uplink1:
> capture capsw switch interface in_mgmt_uplink1
De Secure Firewall 4200 ondersteunt opnamerichtlijnen:
> capture capsw switch interface in_mgmt_uplink1 direction ?
both To capture switch bi-directional traffic
egress To capture switch egressing traffic
ingress To capture switch ingressing traffic
> capture capsw switch interface in_mgmt_uplink1 direction both
2. Schakel de opnamesessie in:
> no capture capsw switch stop
Verificatie
Controleer de naam van de opnamesessie, de administratieve en operationele status, de interfacekaart en de identificatie. Zorg ervoor dat de waarde Pcapsize in bytes toeneemt en dat het aantal opgenomen pakketten niet-nul is:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: enabled
Oper State: up
Oper State Reason: Active
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 19
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-mgmt-uplink1.pcap
Pcapsize: 137248
Filter: capsw-1-19
Packet Capture Filter Info
Name: capsw-1-19
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
281 packets captured on disk using switch capture
Reading of capture file from disk is not supported
In dit geval wordt er een opname gemaakt op de interface met een interne ID 19 die de in_mgmt_uplink1 interface is op de Secure Firewall 3130. De opdracht switch status van show portmanager in de opdrachtshell van FXOS local-mgmt toont de interface-ID's:
> connect fxos
…
firewall# connect local-mgmt
firewall(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode Port Manager
--------- ---------------- ----- ----- ------ ------------- ------------
0/1 SGMII Up 1G Full None Link-Up
0/2 SGMII Up 1G Full None Link-Up
0/3 SGMII Up 1G Full None Link-Up
0/4 SGMII Up 1G Full None Link-Up
0/5 SGMII Down 1G Half None Mac-Link-Down
0/6 SGMII Down 1G Half None Mac-Link-Down
0/7 SGMII Down 1G Half None Mac-Link-Down
0/8 SGMII Down 1G Half None Mac-Link-Down
0/9 1000_BaseX Down 1G Full None Link-Down
0/10 1000_BaseX Down 1G Full None Link-Down
0/11 1000_BaseX Down 1G Full None Link-Down
0/12 1000_BaseX Down 1G Full None Link-Down
0/13 1000_BaseX Down 1G Full None Link-Down
0/14 1000_BaseX Down 1G Full None Link-Down
0/15 1000_BaseX Down 1G Full None Link-Down
0/16 1000_BaseX Down 1G Full None Link-Down
0/17 1000_BaseX Up 1G Full None Link-Up
0/18 KR2 Up 50G Full None Link-Up
0/19 KR Up 25G Full None Link-Up
0/20 KR Up 25G Full None Link-Up
0/21 KR4 Down 40G Full None Link-Down
0/22 n/a Down n/a Full N/A Reset
0/23 n/a Down n/a Full N/A Reset
0/24 n/a Down n/a Full N/A Reset
0/25 1000_BaseX Down 1G Full None Link-Down
0/26 n/a Down n/a Full N/A Reset
0/27 n/a Down n/a Full N/A Reset
0/28 n/a Down n/a Full N/A Reset
0/29 1000_BaseX Down 1G Full None Link-Down
0/30 n/a Down n/a Full N/A Reset
0/31 n/a Down n/a Full N/A Reset
0/32 n/a Down n/a Full N/A Reset
0/33 1000_BaseX Down 1G Full None Link-Down
0/34 n/a Down n/a Full N/A Reset
0/35 n/a Down n/a Full N/A Reset
0/36 n/a Down n/a Full N/A Reset
Om toegang te krijgen tot de FXOS op ASA, voert u de opdracht connect fxos admin uit. In het geval van multi-context, stel dit bevel in de admincontext in werking.
Opnamebestanden verzamelen
Voer de stappen in het gedeelte Verzamel beveiligde Switch-opnamebestanden met firewall.
Capture file analyse
Gebruik een applicatie voor pakketopnamebestanden om de opnamebestanden voor de interface in_mgmt_uplink1 te openen. In dit voorbeeld worden de pakketopnamen voor de Secure Firewall 3100 geanalyseerd.
Controleer het belangrijkste punt - in dit geval worden alleen de pakketten van het IP-adres voor beheer 192.0.2.200 weergegeven. De voorbeelden zijn SSH, Sftunnel of ICMP echo antwoordpakketten. Dit zijn de pakketten die door de switch van de applicatie naar het netwerk worden verzonden.
Toelichting
Wanneer een switch op de uplink-interface voor beheer is geconfigureerd, worden alleen toegangspakketten die vanuit de toepassingsbeheerinterface zijn verzonden, opgenomen. Pakketten die bestemd zijn voor de interface voor toepassingsbeheer worden niet opgenomen.
In deze tabel wordt de taak samengevat:
Taak |
Opnamepunt |
Intern filter |
Richting |
Opgenomen verkeer |
Configureer en controleer een pakketopname op de beheeruplink-interface |
in_mgmt_uplink1 |
None |
Alleen inspringen* (van de beheerinterface naar het netwerk via de interne switch) |
ICMP-echoantwoorden van IP-adres voor FTD-beheer 192.0.2.200 op host 192.0.2.10 Sftunnel van FTD management IP adres 192.0.2.200 naar FMC IP adres 192.0.2.101 SSH van FTD management IP-adres 192.0.2.200 naar host 192.0.2.10 |
* In tegenstelling tot de 3100, ondersteunt de Secure Firewall 4200 bidirectionele (in- en uitgangen) opnamen.
De interne pakketopnamefilters van de switch worden geconfigureerd op dezelfde manier als het gegevensvlak opneemt. Gebruik de opties ethernettype en overeenkomende om filters te configureren.
Configuratie
Voer deze stappen uit op ASA of FTD CLI om een pakketopname te configureren met een filter die ARP-frames of ICMP-pakketten vanaf host 198.51.100.100 aanpast op interface Ethernet1/1:
> show nameif
Interface Name Security
Ethernet1/1 inside 0
Ethernet1/2 outside 0
Management1/1 diagnostic 0
> capture capsw switch interface inside ethernet-type arp
> capture capsw switch interface inside match icmp 198.51.100.100
Verificatie
Controleer de naam van de opnamesessie en het filter. De waarde van Ethertype is 2054 in decimaal en 0x0806 in hexadecimaal:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 2054
Total Physical breakout ports involved in Packet Capture: 0
0 packet captured on disk using switch capture
Reading of capture file from disk is not supported
Dit is de verificatie van het filter voor ICMP. IP-protocol 1 is de ICMP:
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 0
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 1
Ivlan: 0
Ovlan: 0
Src Ip: 198.51.100.100
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
0 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Gebruik ASA of FTD CLI om interne switch-opnamebestanden te verzamelen. Op FTD kan het opnamebestand ook via de CLI-kopieeropdracht worden geëxporteerd naar bestemmingen die via de gegevens- of diagnostische interfaces kunnen worden bereikt.
U kunt het bestand ook kopiëren naar /ngfw/var/common in de expert-modus en downloaden van FMC via de optie File Download.
In het geval van poort-kanaal interfaces zorg ervoor dat pakketopnamebestanden van alle lidinterfaces worden verzameld.
ASA
Voer de volgende stappen uit om interne switch-opnamebestanden te verzamelen op ASA CLI:
asa# capture capsw switch stop
asa# show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
Gebruik de CLI-kopieeropdracht om het bestand naar externe bestemmingen te exporteren:
asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
asa# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs
FTD
Voer deze stappen uit om internethelpbestanden voor switch op FTD CLI te verzamelen en deze naar servers te kopiëren die via gegevens- of diagnostische interfaces bereikbaar zijn:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Click 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password: <-- Enter
firepower#
firepower# capture capi switch stop
firepower# show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
firepower# copy flash:/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap tftp://198.51.100.10/
Source filename [/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap]?
Destination filename [sess-1-capsw-ethernet-1-1-0.pcap]?
Copy in progress...C
139826 bytes copied in 0.532 secs
Voer de volgende stappen uit om opnamebestanden bij VCC te verzamelen via de optie Bestand downloaden:
> capture capsw switch stop
> show capture capsw detail
Packet Capture info
Name: capsw
Session: 1
Admin State: disabled
Oper State: down
Oper State Reason: Session_Admin_Shut
Config Success: yes
Config Fail Reason:
Append Flag: overwrite
Session Mem Usage: 256
Session Pcap Snap Len: 1518
Error Code: 0
Drop Count: 0
Total Physical ports involved in Packet Capture: 1
Physical port:
Slot Id: 1
Port Id: 1
Pcapfile: /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap
Pcapsize: 139826
Filter: capsw-1-1
Packet Capture Filter Info
Name: capsw-1-1
Protocol: 0
Ivlan: 0
Ovlan: 0
Src Ip: 0.0.0.0
Dest Ip: 0.0.0.0
Src Ipv6: ::
Dest Ipv6: ::
Src MAC: 00:00:00:00:00:00
Dest MAC: 00:00:00:00:00:00
Src Port: 0
Dest Port: 0
Ethertype: 0
Total Physical breakout ports involved in Packet Capture: 0
886 packets captured on disk using switch capture
Reading of capture file from disk is not supported
> expert
admin@firepower:~$ sudo su
root@firepower:/home/admin
root@KSEC-FPR3100-1:/home/admin cp /mnt/disk0/packet-capture/sess-1-capsw-ethernet-1-1-0.pcap /ngfw/var/common/
root@KSEC-FPR3100-1:/home/admin ls -l /ngfw/var/common/sess*
-rwxr-xr-x 1 root admin 139826 Aug 7 20:14 /ngfw/var/common/sess-1-capsw-ethernet-1-1-0.pcap
-rwxr-xr-x 1 root admin 24 Aug 6 21:58 /ngfw/var/common/sess-1-capsw-ethernet-1-3-0.pcap
Richtsnoeren en beperkingen:
In het geval van multi-context ASA, wordt de switch op gegevensinterfaces geconfigureerd in gebruikerscontexten. De switch legt op interfaces in_data_uplink1 vast en in_mgmt_uplink1 worden alleen ondersteund in de admin context.
Dit is de lijst met best practices op basis van het gebruik van pakketvastlegging in TAC-gevallen:
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
17-Sep-2022 |
Eerste vrijgave |
1.0 |
27-Aug-2022 |
Eerste vrijgave |