パケットキャプチャ
パケット キャプチャ ツールは、接続と設定の問題のデバッグや、Firepower 4100/9300 シャーシを通過するトラフィック フローの理解に使用できる価値ある資産です。パケット キャプチャ ツールを使用すると、Firepower 4100/9300 シャーシの特定のインターフェイスを通過するトラフィックについてログを記録できます。
複数のパケット キャプチャ セッションを作成でき、各セッションで複数のインターフェイスのトラフィックをキャプチャできます。パケット キャプチャ セッションに含まれる各インターフェイス用に、個別のパケット キャプチャ(PCAP)ファイルが作成されます。
バックプレーン ポート マッピング
Firepower 4100/9300 シャーシでは、内部バックプレーン ポートに次のマッピング ポートを使用します。
セキュリティ モジュール |
ポート マッピング |
説明 |
---|---|---|
セキュリティ モジュール 1/セキュリティ エンジン |
Ethernet1/9 |
Internal-Data0/0 |
セキュリティ モジュール 1/セキュリティ エンジン |
Ethernet1/10 |
Internal-Data0/1 |
セキュリティ モジュール 2 |
Ethernet1/11 |
Internal-Data0/0 |
セキュリティ モジュール 2 |
Ethernet1/12 |
Internal-Data0/1 |
セキュリティ モジュール 3 |
Ethernet1/13 |
Internal-Data0/0 |
セキュリティ モジュール 3 |
Ethernet1/14 |
Internal-Data0/1 |
パケット キャプチャの注意事項および制限事項
パケット キャプチャ ツールには、次の制限事項があります。
-
キャプチャできるのは最大 100 Mbps までです。
-
パケット キャプチャ セッションの使用に使用可能な十分な記憶域がなくても、パケット キャプチャ セッションを作成できます。パケット キャプチャ セッションを開始する前に、使用可能な十分な記憶域があることを確認する必要があります。
-
シングル幅の 4x100Gbps または 2x100Gbps ネットワークモジュール(それぞれ部品番号 FPR-NM-4X100G および FPR-NM-2X100G)でのパケット キャプチャ セッションの場合、モジュールの
adminstate
がoff
に設定されると、キャプチャセッションが自動的に無効になり、「Oper State Reason: Unknown Error」というメッセージが生成されます。モジュールのadminstate
を再度on
に設定してから、キャプチャセッションを再起動する必要があります。他のすべてのネットワークモジュールでは、モジュールの
adminstate
が変更されてもパケット キャプチャ セッションが継続されます。 -
複数のアクティブなパケット キャプチャ セッションはサポートされません。
-
内部スイッチの入力の段階でのみキャプチャされます。
-
内部スイッチが認識できないパケット(セキュリティ グループ タグ、ネットワーク サービス ヘッダー パケットなど)にはフィルタの効果がありません。
-
1 つ以上の親で複数のサブインターフェイスを使用する場合でも、セッションごとに 1 つのサブインターフェイスのパケットのみをキャプチャできます。
-
EtherChannel 全体または EtherChannel のサブインターフェイスのパケットをキャプチャできません。ただし、論理デバイスに割り当てられている EtherChannel の場合、EtherChannel のメンバ インターフェイスごとにパケットをキャプチャできます。 親インターフェイスではなくサブインターフェイスを割り当てる場合は、メンバ インターフェイス上のパケットをキャプチャすることはできません。
-
キャプチャ セッションがアクティブな間は、PCAP ファイルをコピーしたり、エクスポートできません。
-
パケット キャプチャ セッションを削除すると、そのセッションに関連するすべてのパケット キャプチャ ファイルも削除されます。
パケット キャプチャ セッションの作成または編集
手順
ステップ 1 |
パケット キャプチャ モードを開始します。 Firepower-chassis # scope packet-capture |
||
ステップ 2 |
フィルタを作成します。パケット キャプチャのためのフィルタの設定を参照してください。 パケット キャプチャ セッションに含まれるインターフェイスのいずれかにフィルタを適用できます。 |
||
ステップ 3 |
パケット キャプチャ セッションを作成または編集するには、次の操作を行います。 Firepower-chassis /packet-capture # enter session session_name |
||
ステップ 4 |
このパケット キャプチャ セッションに使用するバッファ サイズを指定します。 Firepower-chassis /packet-capture/session* # set session-memory-usage session_size_in_megabytes 指定するバッファ サイズは 1 ~ 2048 MB にする必要があります。 |
||
ステップ 5 |
このパケット キャプチャ セッションでキャプチャするパケットの長さを指定します。 Firepower-chassis /packet-capture/session* # set session-pcap-snaplength session_snap_length_in_bytes スナップの指定長は、64 ~ 9006 バイトの範囲内にする必要があります。セッション スナップ長を設定しない場合のデフォルトのキャプチャ長は、1518 バイトです。 |
||
ステップ 6 |
このパケット キャプチャ セッションに含める必要がある物理ソース ポートを指定します。 複数のポートからキャプチャしたり、物理ポートやアプリケーション ポートの両方から同じパケット キャプチャ セッション中に取得することができます。別のパケット キャプチャ ファイルがセッションに含まれる各ポート用に作成されます。EtherChannel 全体のパケットをキャプチャすることはできません。ただし、論理デバイスに割り当てられている EtherChannel の場合、EtherChannel のメンバー インターフェイスごとにパケットをキャプチャできます。 親 EtherChannel ではなくサブインターフェイスを割り当てる場合は、メンバ インターフェイス上のパケットをキャプチャすることはできません。
|
||
ステップ 7 |
このパケット キャプチャ セッションに含める必要があるアプリケーション ソース ポートを指定します。 複数のポートからキャプチャしたり、物理ポートやアプリケーション ポートの両方から同じパケット キャプチャ セッション中に取得することができます。別のパケット キャプチャ ファイルがセッションに含まれる各ポート用に作成されます。
|
||
ステップ 8 |
パケット キャプチャ セッションをすぐに開始するには、次の操作を行います。 Firepower-chassis /packet-capture/session* # enable 新しく作成したパケット キャプチャ セッションはデフォルトでは無効になっています。セッションを明示的に有効にすると、変更がコミットされたときにパケット キャプチャ セッションがアクティブになります。別のセッションがすでにアクティブになっている場合、セッションを有効にするとエラーが生成されます。このセッションを有効にする前に、すでにアクティブなパケット キャプチャ セッションを無効にする必要があります。 |
||
ステップ 9 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /packet-capture/session* # commit-buffer パケット キャプチャ セッションを有効にすると、システムはパケットのキャプチャを開始します。セッションから PCAP ファイルをダウンロードする前に、キャプチャを停止する必要があります。 |
例
Firepower-chassis# scope packet-capture
Firepower-chassis packet-capture # create session asa1inside
Firepower-chassis packet-capture/session # set session-memory-usage 256
Firepower-chassis packet-capture/session* # create phy-port Ethernet3/1
Firepower-chassis packet-capture/session* # create phy-aggr-port Ethernet2/1/1
Firepower-chassis packet-capture/session* # create app-port 1 link1 Ethernet 1/1 asa
Firepower-chassis packet-capture/session* # exit
Firepower-chassis packet-capture* # create filter interface1vlan100
Firepower-chassis packet-capture/filter* # set ivlan 100
Firepower-chassis packet-capture/filter* # set srcIP 6.6.6.6
Firepower-chassis packet-capture/filter* # set srcPort 80
Firepower-chassis packet-capture/filter* # set destIP 10.10.10.10
Firepower-chassis packet-capture/filter* # set destPort 5050
Firepower-chassis packet-capture/filter* # exit
Firepower-chassis packet-capture/session* # scope phy-port Ethernet3/1
Firepower-chassis packet-capture/session/phy-port* # set src-filter interface1vlan100
Firepower-chassis packet-capture/session/phy-port* # exit
Firepower-chassis packet-capture/session* # scope app-port 1 link1 Ethernet1/1 asa
Firepower-chassis packet-capture/session/app-port* # set src-filter interface1vlan100
Firepower-chassis packet-capture/session/app-port* # exit
Firepower-chassis packet-capture/session* # enable
Firepower-chassis packet-capture/session* # commit-buffer
Firepower-chassis packet-capture/session #
パケット キャプチャのためのフィルタの設定
パケット キャプチャ セッションに含まれるトラフィックを制限するためにフィルタを作成できます。パケット キャプチャ セッションの作成中にどのインターフェイスが特定のフィルタを使用するかを選択できます。
(注) |
現在実行中のパケット キャプチャ セッションに適用されているフィルタを変更または削除する場合、そのセッションを無効にしてから再度有効にするまでは実行されません。 |
手順
ステップ 1 |
パケット キャプチャ モードを開始します。 Firepower-chassis # scope packet-capture |
||||||||||||||||||||||||||
ステップ 2 |
新しいソフトウェア キャプチャ フィルタを作成するには、次の操作を行います。 Firepower-chassis /packet-capture # create filter filter_name 既存のパケット キャプチャ フィルタを編集するには、次の操作を行います。 Firepower-chassis /packet-capture # enter filter filter_name 既存のパケット キャプチャ フィルタを削除するには、次の操作を行います。 Firepower-chassis /packet-capture # delete filter filter_name |
||||||||||||||||||||||||||
ステップ 3 |
1 つ以上のフィルタ プロパティを設定することによってフィルタの詳細を指定します。 Firepower-chassis /packet-capture/filter* # set <filterprop filterprop_value
|
例
Firepower-chassis# scope packet-capture
Firepower-chassis packet-capture # create filter interface1vlan100
Firepower-chassis packet-capture/filter* # set ivlan 100
Firepower-chassis packet-capture/filter* # set srcip 6.6.6.6
Firepower-chassis packet-capture/filter* # set srcport 80
Firepower-chassis packet-capture/filter* # set destip 10.10.10.10
Firepower-chassis packet-capture/filter* # set destport 5050
Firepower-chassis packet-capture/filter* # commit-buffer
パケット キャプチャ セッションの開始および停止
手順
ステップ 1 |
パケット キャプチャ モードを開始します。 Firepower-chassis # scope packet-capture |
||
ステップ 2 |
停止または開始するパケット キャプチャ セッションの範囲を入力します。 Firepower-chassis /packet-capture # enter session session_name |
||
ステップ 3 |
パケット キャプチャ セッションを開始するには、次の操作を行います。 Firepower-chassis /packet-capture/session* # enable [append | overwrite]
パケット キャプチャ セッションの実行中は、トラフィックをキャプチャするにつれて個々の PCAP ファイルのファイル サイズが増加します。バッファのサイズ制限に達すると、システムがパケットの廃棄を開始し、廃棄カウント フィールドの値が増加します。 |
||
ステップ 4 |
パケット キャプチャ セッションを停止するには、次の操作を行います。 Firepower-chassis /packet-capture/session* # disable |
||
ステップ 5 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /packet-capture/session* # commit-buffer パケット キャプチャ セッションを有効にすると、セッションに含まれるインターフェイスの PCAP ファイルがトラフィックの収集を開始します。セッションがセッション データを上書きするように設定されている場合、既存の PCAP データは消去されます。そうでない場合、データは(もしあれば)既存のファイルに追加されます。 |
例
Firepower-chassis# scope packet-capture
Firepower-chassis packet-capture # scope session asa1inside
Firepower-chassis packet-capture/session # enable append
Firepower-chassis packet-capture/session* # commit-buffer
Firepower-chassis packet-capture/session #
パケット キャプチャ ファイルのダウンロード
セッションからローカル コンピュータにパケット キャプチャ(PCAP)ファイルをダウンロードできます。これでネットワーク パケット アナライザを使用して分析できるようになります。
PCAP ファイルは workspace://packet-capture ディレクトリに保存されており、以下の命名規則を使用します。
workspace://packet-capture/session-<id>/<session-name>-<interface-name>.pcap
手順
Firepower 4100/9300 シャーシから PCAP ファイルをコピーするには、次の操作を行います。
|
例
Firepower-chassis# connect localmgmt
# copy workspace:/packet-capture/session-1/test-ethernet-1-1-0.pcap scp://user@10.10.10.1:/workspace/
パケット キャプチャ セッションの削除
個々のパケット キャプチャ セッションは、現在実行していなければ削除できます。非アクティブ パケット キャプチャ セッションは、いずれも削除できます。
手順
ステップ 1 |
パケット キャプチャ モードを開始します。 Firepower-chassis # scope packet-capture |
ステップ 2 |
特定のパケット キャプチャ セッションを削除するには、次の手順を実行します。 Firepower-chassis /packet-capture # delete session session_name |
ステップ 3 |
すべての非アクティブ パケット キャプチャ セッションを削除するには、次のようにします。 Firepower-chassis /packet-capture # delete-all-sessions |
ステップ 4 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /packet-capture* # commit-buffer |
例
Firepower-chassis# scope packet-capture
Firepower-chassis packet-capture # delete session asa1inside
Firepower-chassis packet-capture* # commit-buffer
Firepower-chassis packet-capture #