ESA - Capturas de pacotes e investigação de rede

Opções de download

  • PDF     (162.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (85.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (75.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de março de 2020
ID do documento:117797

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar e coletar capturas de pacotes no Cisco Email Security Appliance (ESA) e executar investigação de rede e solução de problemas adicionais.

    Informações de Apoio

    Ao entrar em contato com o Suporte Técnico da Cisco com um problema, talvez seja solicitado que você forneça informações sobre as atividades de rede de saída e entrada do ESA. O dispositivo permite interceptar e exibir o TCP, IP e outros pacotes que são transmitidos ou recebidos pela rede à qual o dispositivo está conectado. Você pode querer executar uma captura de pacotes para depurar a configuração da rede ou verificar o tráfego de rede que chega ou sai do dispositivo.

    Note: Este documento faz referência ao software que não é mantido ou suportado pela Cisco. As informações foram disponibilizadas como cortesia para sua conveniência. Para obter mais assistência, entre em contato com o fornecedor do software.

    É importante observar que o tcpdump O comando CLI é substituído pelo novo packetcapture em AsyncOS versões 7.0 e posteriores. Esse comando oferece funcionalidade semelhante à tcpdump e também está disponível para uso na GUI.

    Se você executar o AsyncOS versão 6.x ou anterior, consulte as instruções sobre como usar o comando tcpdump na seção Capturas de pacote em AsyncOS versões 6.x e anteriores deste documento. Além disso, as opções de filtro descritas na seção Filtros de Captura de Pacotes também são válidas para o novo comando de captura de pacotes.

    Capturas de pacotes em AsyncOS versões 7.x e posterior

    Esta seção descreve o processo de captura de pacotes nas versões 7.x e posteriores do AsyncOS.

    Iniciar ou Parar uma Captura de Pacote

    Para iniciar uma captura de pacote da GUI, navegue até o menu Ajuda e suporte na parte superior direita, escolha Captura de pacote e clique em Iniciar captura. Para interromper o processo de captura de pacotes, clique em Parar Captura.

    Note: Uma captura que começa na GUI é preservada entre sessões.

    Para iniciar uma captura de pacote da CLI, insira o comando packetcapture > start comando. Para interromper o processo de captura de pacotes, insira o comando packetcapture > stop e o ESA interrompe a captura de pacotes quando a sessão termina.

    Funcionalidade de Captura de Pacotes

    Aqui está uma lista de informações úteis que você pode usar para manipular as capturas de pacotes:

    • O ESA salva a atividade do pacote capturado em um arquivo e o armazena localmente. Você pode configurar o tamanho máximo do arquivo de captura de pacote, o tempo durante o qual a captura de pacote é executada e em qual interface de rede a captura é executada. Você também pode usar um filtro para limitar a captura de pacotes ao tráfego através de uma porta ou tráfego específico de um cliente ou endereço IP do servidor específico.

    • Navegue até Help and Support > Packet Capture da GUI para exibir uma lista completa dos arquivos de captura de pacotes armazenados. Quando uma captura de pacote é executada, a página Captura de pacote exibe o status da captura em andamento com as estatísticas atuais, como o tamanho do arquivo e o tempo decorrido.

    • Escolha uma captura e clique em Baixar arquivo para baixar uma captura de pacote armazenada.

    • Para excluir um arquivo de captura de pacote, escolha um ou mais arquivos e clique em Excluir arquivos selecionados.

    • Para editar as configurações de captura de pacote com a GUI, escolha Captura de pacote no menu Ajuda e suporte e clique em Editar configurações.

    • Para editar as configurações de captura de pacote com a CLI, insira o comando packetcapture > setup comando.

    Note: A GUI exibe apenas as capturas de pacotes que começam na GUI, não aquelas que começam com a CLI. Da mesma forma, a CLI exibe apenas o status de uma captura de pacote atual que começou na CLI. Somente uma captura pode ser executada por vez.

    Tip: Para obter informações adicionais sobre opções de captura de pacotes e configurações de filtro, consulte a seção Filtros de Captura de Pacotes deste documento. Para acessar a Ajuda On-line do AsyncOS na GUI, navegue para Ajuda e suporte > Ajuda on-line > pesquisar por Captura de pacote > escolha Executando uma captura de pacote.

    Capturas de pacotes em AsyncOS versões 6.x e anteriores

    Esta seção descreve o processo de captura de pacotes nas versões 6.x e anteriores do AsyncOS.

    Iniciar ou Parar uma Captura de Pacote

    Você pode usar o comando tcpdump para capturar o TCP/IP e outros pacotes que são transmitidos ou recebidos através de uma rede à qual o ESA está conectado.

    Conclua estes passos para iniciar ou parar uma captura de pacote:

    1. Digite o diagnostic > network > tcpdump no CLI do ESA. Aqui está um exemplo de saída:

      example.com> diagnostic

      Choose the operation you want to perform:
      - RAID - Disk Verify Utility.
      - DISK_USAGE - Check Disk Usage.
      - NETWORK - Network Utilities.
      - REPORTING - Reporting Utilities.
      - TRACKING - Tracking Utilities.
      []> network

      Choose the operation you want to perform:
      - FLUSH - Flush all network related caches.
      - ARPSHOW - Show system ARP cache.
      - SMTPPING - Test a remote SMTP server.
      - TCPDUMP - Dump ethernet packets.
      []> tcpdump

      - START - Start packet capture
      - STOP - Stop packet capture
      - STATUS - Status capture
      - FILTER - Set packet capture filter
      - INTERFACE - Set packet capture interface
      - CLEAR - Remove previous packet captures
      []>
    2. Defina a interface (Dados 1, Dados 2 ou Gerenciamento) e o filtro.

      Note: O filtro usa o mesmo formato do Unix tcpdump comando.

    3. Escolha START para iniciar a captura e STOP para terminá-la.

      Note: Não saia do menu tcpdump enquanto a captura estiver em andamento. Você deve usar uma segunda janela CLI para executar qualquer outro comando. Quando o processo de captura estiver concluído, você deverá usar a cópia segura (SCP) ou o protocolo de transferência de arquivos (FTP) de sua área de trabalho local para fazer o download dos arquivos do diretório chamado Diagnostic (consulte a seção Filtros de captura de pacotes para obter detalhes). Os arquivos usam o formato de Captura de Pacotes (PCAP) e podem ser revisados com um programa como Ethereal ou Wireshark.

    Filtros de Captura de Pacotes

    O Diagnostic > NET O comando CLI usa a sintaxe de filtro tcpdump padrão. Esta seção fornece informações sobre os filtros de captura tcpdump e fornece alguns exemplos.

    Estes são os filtros padrão usados:

    • ip - Filtros para todo o tráfego de protocolo IP
    • tcp - Filtros para todo o tráfego do protocolo TCP
    • ip host - Filtros para uma origem ou um destino de endereço IP específico

    Aqui estão alguns exemplos dos filtros em uso:

    • ip host 10.1.1.1 - Este filtro captura qualquer tráfego que inclua 10.1.1.1 como origem ou destino.
    • ip host 10.1.1.1 ou ip host 10.1.1.2 - Esse filtro captura o tráfego que contém 10.1.1.1 ou 10.1.1.2 como origem ou destino.

    Para recuperar o arquivo capturado, navegue para var > log > diagnostic ou data > pub > diagnostic para acessar o diretório Diagnostic.

    Note: Quando esse comando é usado, ele pode fazer com que o espaço em disco do ESA seja preenchido e também pode causar degradação no desempenho. A Cisco recomenda que você use esse comando apenas com a ajuda de um engenheiro do TAC da Cisco.

    Detecção e investigação de rede adicionais

    Note: Os métodos abaixo só podem ser utilizados na CLI.

    TCPSERVICES

    O tcpservices exibirá informações de TCP/IP para os processos atuais do sistema e do recurso.

    example.com> tcpservices

System Processes (Note: All processes may not always be present)
  ftpd.main    - The FTP daemon
  ginetd       - The INET daemon
  interface    - The interface controller for inter-process communication
  ipfw         - The IP firewall
  slapd        - The Standalone LDAP daemon
  sntpd        - The SNTP daemon
  sshd         - The SSH daemon
  syslogd      - The system logging daemon
  winbindd     - The Samba Name Service Switch daemon

Feature Processes
  euq_webui    - GUI for ISQ
  gui          - GUI process
  hermes       - MGA mail server
  postgres     - Process for storing and querying quarantine data
  splunkd      - Processes for storing and querying Email Tracking data

COMMAND      USER         TYPE NODE   NAME
postgres     pgsql        IPv4 TCP    127.0.0.1:5432
interface    root         IPv4 TCP    127.0.0.1:53
ftpd.main    root         IPv4 TCP    10.0.202.7:21
gui          root         IPv4 TCP    10.0.202.7:80
gui          root         IPv4 TCP    10.0.202.7:443
ginetd       root         IPv4 TCP    10.0.202.7:22
java         root         IPv6 TCP    [::127.0.0.1]:18081
hermes       root         IPv4 TCP    10.0.202.7:25
hermes       root         IPv4 TCP    10.0.202.7:7025
api_serve    root         IPv4 TCP    10.0.202.7:6080
api_serve    root         IPv4 TCP    127.0.0.1:60001
api_serve    root         IPv4 TCP    10.0.202.7:6443
nginx        root         IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
java         root         IPv4 TCP    127.0.0.1:9999

    NETSTAT

    Este utilitário exibe conexões de rede para o Transmission Control Protocol (entrada e saída), tabelas de roteamento e várias estatísticas de interface de rede e protocolo de rede.

    example.com> netstat

Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.

Example of Option 1 (List of active sockets)

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.0.202.7.10275       10.0.201.4.6025        ESTABLISHED
tcp4       0      0 10.0.202.7.22          10.0.201.4.57759       ESTABLISHED
tcp4       0      0 10.0.202.7.10273       a96-17-177-18.deploy.static.akamaitechnologies.com.80  TIME_WAIT
tcp4       0      0 10.0.202.7.10260       10.0.201.5.443     ESTABLISHED
tcp4       0      0 10.0.202.7.10256       10.0.201.5.443     ESTABLISHED

Example of Option 2 (State of network interfaces)

Show the number of dropped packets? [N]> y

Name    Mtu Network       Address              Ipkts Ierrs Idrop     Ibytes    Opkts Oerrs     Obytes  Coll  Drop
Data 1    - 10.0.202.0    10.0.202.7        110624529     -     - 117062552515 122028093     - 30126949890     -     -

Example of Option 3 (Contents of routing tables)

Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            10.0.202.1         UGS         Data 1
10.0.202.0         link#2             U           Data 1
10.0.202.7         link#2             UHS         lo0
localhost.example. link#4             UH          lo0

Example of Option 4 (Size of the listen queues)

Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen         Local Address
tcp4  0/0/50         localhost.exampl.9999
tcp4  0/0/50         10.0.202.7.7025
tcp4  0/0/50         10.0.202.7.25
tcp4  0/0/15         10.0.202.7.6443
tcp4  0/0/15         localhost.exampl.60001
tcp4  0/0/15         10.0.202.7.6080
tcp4  0/0/20         localhost.exampl.18081
tcp4  0/0/20         10.0.202.7.443
tcp4  0/0/20         10.0.202.7.80
tcp4  0/0/10         10.0.202.7.21
tcp4  0/0/10         10.0.202.7.22
tcp4  0/0/10         localhost.exampl.53
tcp4  0/0/208        localhost.exampl.5432

Example of Option 5 (Packet traffic information)

            input           nic1           output
   packets  errs idrops      bytes    packets  errs      bytes colls drops
        49     0     0       8116         55     0       7496     0     0

    REDE

    O subcomando network em diagnóstico fornece acesso a opções adicionais. Você pode usá-lo para limpar todos os caches relacionados à rede, mostrar o conteúdo do cache ARP, mostrar o conteúdo do cache NDP (se aplicável) e permitir que você teste a conectividade SMTP remota usando SMTPPING.

    example.com> diagnostic


    Choose the operation you want to perform:
    - RAID - Disk Verify Utility.
    - DISK_USAGE - Check Disk Usage.
    - NETWORK - Network Utilities.
    - REPORTING - Reporting Utilities.
    - TRACKING - Tracking Utilities.
    - RELOAD - Reset configuration to the initial manufacturer values.
    - SERVICES - Service Utilities.
    []> network


    Choose the operation you want to perform:
    - FLUSH - Flush all network related caches.
    - ARPSHOW - Show system ARP cache.
    - NDPSHOW - Show system NDP cache.
    - SMTPPING - Test a remote SMTP server.
    - TCPDUMP - Dump ethernet packets.
    []>

    ETHERCONFIG

    O etherconfig permite que você visualize e configure algumas das configurações relacionadas a duplex e informações MAC para interfaces, VLANs, interfaces de loopback, tamanhos de MTU e aceitação ou rejeição de respostas ARP com um endereço multicast.

    example.com> etherconfig


    Choose the operation you want to perform:
    - MEDIA - View and edit ethernet media settings.
    - VLAN - View and configure VLANs.
    - LOOPBACK - View and configure Loopback.
    - MTU - View and configure MTU.
    - MULTICAST - Accept or reject ARP replies with a multicast address.
    []>

    TRACEROUTE

    Exibe a rota de rede para um host remoto. Como alternativa, você pode usar o comando traceroute6 se você tiver um endereço IPv6 configurado em pelo menos uma interface.

    example.com> traceroute google.com

    Press Ctrl-C to stop.
    traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
    1 68.232.129.2 (68.232.129.2) 0.902 ms
    68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
    2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
    3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
    4 139.138.24.42 (139.138.24.42) 0.703 ms
    208.90.63.209 (208.90.63.209) 1.413 ms
    139.138.24.42 (139.138.24.42) 1.219 ms
    5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
    6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
    7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
    108.170.243.1 (108.170.243.1) 2.852 ms
    8 108.170.242.225 (108.170.242.225) 2.097 ms
    108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
    9 108.170.237.105 (108.170.237.105) 1.974 ms
    sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms

    PING

    O ping permite testar a acessibilidade de um host usando o endereço IP ou o nome do host e fornece estatísticas relacionadas à possível latência e/ou quedas na comunicação.

    example.com> ping google.com

Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms

--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Dennis McCabe Jr
      Cisco TAC Engineer
    • Robert Sherwin
      Cisco TAC Engineer
    • Vibhor Amrodia
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos