はじめに
このドキュメントでは、Firepower デバイスのネットワーク インターフェイスで確認されるパケットをキャプチャするために、tcpdump コマンドを使用する方法について説明します。
前提条件
要件
Cisco Firepowerデバイスと仮想デバイスのモデルに関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 Berkeley Packet Filter(BPF)構文を使用します。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
警告:実稼働システムでtcpdumpコマンドを実行すると、ネットワークのパフォーマンスに影響を与える可能性があります。
パケットをキャプチャする手順
FirepowerデバイスのCLIにログインします。
バージョン6.1以降では、capture-trafficと入力します。たとえば、
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
バージョン6.0.x.x以前では、system support capture-trafficと入力します。たとえば、
> system support capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set (Interfaces s2p1, s2p2)
選択を行うと、オプションの入力を求めるプロンプトが表示されます。
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
パケットから十分なデータをキャプチャするには、-s オプションを使用してsnaplengthを正しく設定する必要があります。snaplengthは、インターフェイスセット設定の最大伝送ユニット(MTU)の設定値と一致する値に設定できます。このデフォルト値は1518です。
警告:画面に表示されるトラフィックをキャプチャすると、システムおよびネットワークのパフォーマンスが低下する場合があります。-w <filename>オプションをtcpdump コマンドとともに使用することを推奨します。パケットをファイルにキャプチャする-wオプションを付けずにコマンドを実行した場合は、Ctrl+Cキーを同時に押して終了します。
-w <filename>オプションの例:
-w capture.pcap -s 1518
注意:パケットキャプチャ(pcap)ファイル名を指定する際は、パス要素を使用しないでください。アプライアンスで作成するpcapファイル名だけを指定する必要があります。
キャプチャするパケット数を制限したい場合は、-c <packets>フラグを使用してキャプチャするパケット数を指定できます。たとえば、正確に5000パケットをキャプチャするには、次のようにします。
-w capture.pcap -s 1518 -c 5000
また、キャプチャされるパケットを制限するために、コマンドの最後にBPFフィルタを追加できます。たとえば、送信元IPアドレスまたは宛先IPアドレスが192.0.2.1のパケットを5000パケットにキャプチャするように制限するには、次のオプションを使用できます。
-w capture.pcap -s 1518 -c 5000 host 192.0.2.1
仮想LAN(VLAN)タグ付きのトラフィックをキャプチャする場合は、BPF構文を使用してVLANを指定する必要があります。それ以外の場合、pcapにはVLANタグ付きパケットは含まれません。たとえば、次の例では、キャプチャを192.0.2.1からのVLANタグ付きトラフィックに制限しています。
-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1
トラフィックにVLANタグが付いているかどうかわからない場合は、次の構文を使用して、VLANタグが付いている192.0.2.1と付いていない192.0.2.1からのトラフィックをキャプチャできます。
-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'
注:前の例では、orがvlanのみに適用されないよう、カッコが必要です。この場合、シェルが括弧を間違って解釈するのを防ぐために、一重引用符が必要になります。
VLANタグを指定すると、BPFの残りの部分と一致するすべてのVLANトラフィックがキャプチャされます。ただし、特定のVLANタグをキャプチャする場合は、キャプチャするVLANタグを次のように指定できます。
-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1
必要なオプションを指定してEnterキーを押すと、tcpdumpはトラフィックのキャプチャを開始します。
ヒント:-cオプションを使用しなかった場合は、キャプチャを停止するためにCtrl-Cキーを組み合わせて押します。
キャプチャを停止すると、確認メッセージが表示されます。例:
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
Cleaning up.
Done.
Pcapファイルのコピー
pcapファイルをFirePOWERアプライアンスから、インバウンドSSH接続を受け入れる別のシステムにコピーするには、次のコマンドを使用します。
> system file secure-copy hostname username destination_directory pcap_file
Enterキーを押すと、リモートシステムへのパスワードの入力を求められます。ファイルはネットワーク経由でコピーできます。
注:この例では、hostnameはターゲットリモートホストの名前またはIPアドレスを参照し、usernameはリモートホスト上のユーザ名を指定し、destination_directoryはリモートホスト上の宛先パスを指定し、pcap_fileは転送用のローカルpcapファイルを指定します。