본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Cisco ESA(Email Security Appliance)에서 패킷 캡처를 구성 및 수집하고 추가 네트워크 조사 및 트러블슈팅을 수행하는 방법에 대해 설명합니다.
Cisco 기술 지원 부서에 문제를 문의하면 ESA의 아웃바운드 및 인바운드 네트워크 활동에 대한 통찰력을 제공하라는 메시지가 표시될 수 있습니다.어플라이언스는 어플라이언스가 연결된 네트워크를 통해 전송되거나 수신된 TCP, IP 및 기타 패킷을 가로채고 표시하는 기능을 제공합니다.네트워크 설정을 디버깅하거나 어플라이언스에 도달하거나 나가는 네트워크 트래픽을 확인하기 위해 패킷 캡처를 실행할 수 있습니다.
참고:이 문서는 Cisco에서 유지 관리하거나 지원하지 않는 소프트웨어를 참조합니다.이 정보는 귀하의 편의를 위해 제공됩니다.자세한 내용은 소프트웨어 공급업체에 문의하십시오.
이전에 사용한 tcpdump
CLI 명령이 새로운 packetcapture
명령을 실행합니다.이 명령은 tcpdump
명령을 사용하여 GUI에서 사용할 수도 있습니다.
AsyncOS 버전 6.x 이하를 실행하는 경우, 사용 방법에 대한 지침을 참조하십시오. tcpdump
이 문서의 AsyncOS 버전 6.x 및 이전 섹션의 Packet Captures에 있는 명령또한 Packet Capture Filters 섹션에 설명된 필터 옵션은 새 packetcapture 명령에도 유효합니다.
이 섹션에서는 AsyncOS 버전 7.x 이상에서 패킷 캡처 프로세스에 대해 설명합니다.
GUI에서 패킷 캡처를 시작하려면 오른쪽 위의 Help and Support(도움말 및 지원) 메뉴로 이동하여 Packet Capture(패킷 캡처)를 선택한 다음 Start Capture(캡처 시작)를 클릭합니다.패킷 캡처 프로세스를 중지하려면 Stop Capture를 클릭합니다.
참고:GUI에서 시작되는 캡처는 세션 간에 유지됩니다.
CLI에서 패킷 캡처를 시작하려면 packetcapture > start
명령을 사용합니다.패킷 캡처 프로세스를 중지하려면 packetcapture > stop
명령이 실행되고 ESA는 세션이 종료될 때 패킷 캡처를 중지합니다.
패킷 캡처를 조작하기 위해 사용할 수 있는 유용한 정보 목록은 다음과 같습니다.
packetcapture > setup
명령을 사용합니다.참고:GUI는 CLI로 시작하는 패킷 캡처를 표시하지 않고 GUI에서 시작하는 패킷 캡처를 표시합니다.마찬가지로 CLI는 CLI에서 시작된 현재 패킷 캡처의 상태만 표시합니다.한 번에 하나의 캡처만 실행할 수 있습니다.
팁:패킷 캡처 옵션 및 필터 설정에 대한 자세한 내용은 이 문서의 Packet Capture Filters 섹션을 참조하십시오.GUI에서 AsyncOS Online Help(AsyncOS 온라인 도움말)에 액세스하려면 Help and Support(도움말 및 지원) > Online Help(온라인 도움말) > Search for Packet Capture(패킷 캡처 검색) > Running a Packet Capture(패킷 캡처 실행)를 선택합니다.
이 섹션에서는 AsyncOS 버전 6.x 및 이전 버전의 패킷 캡처 프로세스에 대해 설명합니다.
사용 가능한 tcpdump
명령을 사용하여 ESA가 연결된 네트워크를 통해 전송되거나 수신된 TCP/IP 및 기타 패킷을 캡처합니다.
패킷 캡처를 시작하거나 중지하려면 다음 단계를 완료합니다.
diagnostic > network > tcpdump
명령을 사용하여 ESA의 CLI에 연결합니다.다음은 출력의 예입니다.example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
[]> network
Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]> tcpdump
- START - Start packet capture
- STOP - Stop packet capture
- STATUS - Status capture
- FILTER - Set packet capture filter
- INTERFACE - Set packet capture interface
- CLEAR - Remove previous packet captures
[]>
참고:필터는 Unix와 동일한 형식을 사용합니다. tcpdump
명령을 사용합니다.
참고:캡처가 진행 중인 동안에는 tcpdump 메뉴를 종료하지 마십시오. 다른 명령을 실행하려면 두 번째 CLI 창을 사용해야 합니다.캡처 프로세스가 완료되면 로컬 데스크톱에서 SCP(Secure Copy) 또는 FTP(File Transfer Protocol)를 사용하여 Diagnostic이라는 디렉토리에서 파일을 다운로드해야 합니다(자세한 내용은 Packet Capture Filters 섹션 참조). 파일은 PCAP(Packet Capture) 형식을 사용하며 Ethereal 또는 Wireshark와 같은 프로그램으로 검토할 수 있습니다.
더 Diagnostic > NET
CLI 명령은 표준 tcpdump 필터 구문을 사용합니다.이 섹션에서는 tcpdump 캡처 필터에 대한 정보를 제공하고 몇 가지 예를 제공합니다.
다음은 사용되는 표준 필터입니다.
다음은 사용 중인 필터의 몇 가지 예입니다.
캡처된 파일을 검색하려면 var > log > diagnostic 또는 data > pub > diagnostic으로 이동하여 진단 디렉토리에 연결합니다.
참고:이 명령을 사용하면 ESA 디스크 공간이 가득 차고 성능이 저하될 수 있습니다.Cisco에서는 Cisco TAC 엔지니어의 도움을 받는 경우에만 이 명령을 사용하는 것이 좋습니다.
참고:아래 방법은 CLI에서만 사용할 수 있습니다.
더 tcpservices
명령은 현재 기능 및 시스템 프로세스에 대한 TCP/IP 정보를 표시합니다.
example.com> tcpservices System Processes (Note: All processes may not always be present) ftpd.main - The FTP daemon ginetd - The INET daemon interface - The interface controller for inter-process communication ipfw - The IP firewall slapd - The Standalone LDAP daemon sntpd - The SNTP daemon sshd - The SSH daemon syslogd - The system logging daemon winbindd - The Samba Name Service Switch daemon Feature Processes euq_webui - GUI for ISQ gui - GUI process hermes - MGA mail server postgres - Process for storing and querying quarantine data splunkd - Processes for storing and querying Email Tracking data COMMAND USER TYPE NODE NAME postgres pgsql IPv4 TCP 127.0.0.1:5432 interface root IPv4 TCP 127.0.0.1:53 ftpd.main root IPv4 TCP 10.0.202.7:21 gui root IPv4 TCP 10.0.202.7:80 gui root IPv4 TCP 10.0.202.7:443 ginetd root IPv4 TCP 10.0.202.7:22 java root IPv6 TCP [::127.0.0.1]:18081 hermes root IPv4 TCP 10.0.202.7:25 hermes root IPv4 TCP 10.0.202.7:7025 api_serve root IPv4 TCP 10.0.202.7:6080 api_serve root IPv4 TCP 127.0.0.1:60001 api_serve root IPv4 TCP 10.0.202.7:6443 nginx root IPv4 TCP *:4431 nginx nobody IPv4 TCP *:4431 nginx nobody IPv4 TCP *:4431 java root IPv4 TCP 127.0.0.1:9999
이 유틸리티는 전송 제어 프로토콜(수신 및 발신 모두), 라우팅 테이블, 다수의 네트워크 인터페이스 및 네트워크 프로토콜 통계에 대한 네트워크 연결을 표시합니다.
example.com> netstat Choose the information you want to display: 1. List of active sockets. 2. State of network interfaces. 3. Contents of routing tables. 4. Size of the listen queues. 5. Packet traffic information. Example of Option 1 (List of active sockets) Active Internet connections (including servers) Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp4 0 0 10.0.202.7.10275 10.0.201.4.6025 ESTABLISHED tcp4 0 0 10.0.202.7.22 10.0.201.4.57759 ESTABLISHED tcp4 0 0 10.0.202.7.10273 a96-17-177-18.deploy.static.akamaitechnologies.com.80 TIME_WAIT tcp4 0 0 10.0.202.7.10260 10.0.201.5.443 ESTABLISHED tcp4 0 0 10.0.202.7.10256 10.0.201.5.443 ESTABLISHED Example of Option 2 (State of network interfaces) Show the number of dropped packets? [N]> y Name Mtu Network Address Ipkts Ierrs Idrop Ibytes Opkts Oerrs Obytes Coll Drop Data 1 - 10.0.202.0 10.0.202.7 110624529 - - 117062552515 122028093 - 30126949890 - - Example of Option 3 (Contents of routing tables) Routing tables Internet: Destination Gateway Flags Netif Expire default 10.0.202.1 UGS Data 1 10.0.202.0 link#2 U Data 1 10.0.202.7 link#2 UHS lo0 localhost.example. link#4 UH lo0 Example of Option 4 (Size of the listen queues) Current listen queue sizes (qlen/incqlen/maxqlen) Proto Listen Local Address tcp4 0/0/50 localhost.exampl.9999 tcp4 0/0/50 10.0.202.7.7025 tcp4 0/0/50 10.0.202.7.25 tcp4 0/0/15 10.0.202.7.6443 tcp4 0/0/15 localhost.exampl.60001 tcp4 0/0/15 10.0.202.7.6080 tcp4 0/0/20 localhost.exampl.18081 tcp4 0/0/20 10.0.202.7.443 tcp4 0/0/20 10.0.202.7.80 tcp4 0/0/10 10.0.202.7.21 tcp4 0/0/10 10.0.202.7.22 tcp4 0/0/10 localhost.exampl.53 tcp4 0/0/208 localhost.exampl.5432 Example of Option 5 (Packet traffic information) input nic1 output packets errs idrops bytes packets errs bytes colls drops 49 0 0 8116 55 0 7496 0 0
diagnostic 아래의 network 하위 명령은 추가 옵션에 대한 액세스를 제공합니다.이 옵션을 사용하여 모든 네트워크 관련 캐시를 플러시하고, ARP 캐시의 내용을 표시하고, NDP 캐시의 내용을 표시하고(해당되는 경우), SMTPPING을 사용하여 원격 SMTP 연결을 테스트할 수 있습니다.
example.com> diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network
Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]>
더 etherconfig
명령을 사용하면 인터페이스, VLAN, 루프백 인터페이스, MTU 크기, 멀티캐스트 주소로 ARP 회신의 수락 또는 거부에 대한 이중 및 MAC 정보와 관련된 일부 설정을 보고 구성할 수 있습니다.
example.com> etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>
원격 호스트에 대한 네트워크 경로를 표시합니다.또는 traceroute6
하나 이상의 인터페이스에 IPv6 주소가 구성된 경우 명령을 사용합니다.
example.com> traceroute google.com
Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms
Ping을 사용하면 IP 주소 또는 호스트 이름을 사용하여 호스트의 연결성을 테스트할 수 있으며, 통신 중 레이턴시 및/또는 삭제와 관련된 통계를 제공합니다.
example.com> ping google.com Press Ctrl-C to stop. PING google.com (216.58.194.206): 56 data bytes 64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms 64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms 64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms 64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms 64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms 64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms --- google.com ping statistics --- 6 packets transmitted, 6 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms