Packet Capture Procedures gebruiken op FirePOWER-apparaat

Downloadopties

  • PDF     (254.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (82.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (68.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:6 juni 2024
Document-id:117778

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe de opdracht tcpdump moet worden gebruikt om pakketten op te nemen die worden gezien door een netwerkinterface van uw FirePOWER-apparaat.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van het Cisco Firepower-apparaat en de modellen van virtuele apparaten.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies. Het gebruikt de syntaxis van Berkeley Packet Filter (BPF).

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Waarschuwing: als u tcpdump commando op een productiesysteem uitvoert, kan dit van invloed zijn op de netwerkprestaties.

    Stappen om pakketten op te nemen

    Log in op de CLI van uw FirePOWER-apparaat.

    Voer in versie 6.1 en hoger opnameverkeer in. Voorbeeld,

    > capture-traffic

    Please choose domain to capture traffic from:
    0 - eth0
    1 - Default Inline Set  (Interfaces s2p1, s2p2)

    In versies 6.0.x.x en hoger voert u systeemondersteuning en opnameverkeer in. Voorbeeld,

    > system support capture-traffic

    Please choose domain to capture traffic from:
    0 - eth0
    1 - Default Inline Set  (Interfaces s2p1, s2p2)

    Nadat u een selectie hebt gemaakt, wordt u gevraagd om opties:

    Please specify tcpdump options desired.
    (or enter '?' for a list of supported options)
    Options:

    Om voldoende gegevens van de pakketten op te nemen, is het nodig om de -s optie te gebruiken om de snaplength correct in te stellen. De snaplength kan worden ingesteld op een waarde die overeenkomt met de geconfigureerde maximale transmissie-unit (MTU) waarde van de Interface Set-configuratie, die standaard op 1518 staat.

    Waarschuwing: wanneer u verkeer op het scherm opneemt, kan dit de prestaties van het systeem en netwerk nadelig beïnvloeden. Cisco raadt u aan de -w <filename>optie met de opdracht tcpdump te gebruiken. De pakketten worden in een bestand opgenomen. Als u de opdracht zonder de -w-optie uitvoert, drukt u op de toetsencombinatie Ctrl-C om de opdracht te beëindigen.

    Voorbeeld van -w <filename>optie:

    -w capture.pcap -s 1518

    Waarschuwing: gebruik geen pad elementen wanneer u de bestandsnaam voor pakketopname (pcap) specificeert. U moet alleen de bestandsnaam voor de dop opgeven die in het apparaat moet worden gemaakt.

    Als het wenselijk is om een beperkt aantal pakketten op te nemen, kunt u de -c <packets>-vlag gebruiken om het aantal op te nemen pakketten te specificeren. Bijvoorbeeld, om precies 5000 pakketten te vangen:

    -w capture.pcap -s 1518 -c 5000

    Daarnaast kan er een BPF-filter worden toegevoegd aan het einde van de opdracht om te beperken welke pakketten worden opgenomen. U kunt bijvoorbeeld deze opties gebruiken om de pakketopname te beperken tot 5000 pakketten met een IP-adres voor bron of bestemming van 192.0.2.1:

    -w capture.pcap -s 1518 -c 5000 host 192.0.2.1

    Wanneer u verkeer opneemt dat is gelabeld voor Virtual LAN (VLAN), moet u het VLAN opgeven met de BPF-syntaxis. Anders bevat de pcap geen van de VLAN getagde pakketten. Dit voorbeeld beperkt de opname bijvoorbeeld tot verkeer dat VLAN-tags vanaf 192.0.2.1 bevat:

    -w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1

    Als u niet zeker weet of verkeer VLAN-tags heeft, kan deze syntaxis worden gebruikt om verkeer vanaf 192.0.2.1 op te nemen dat VLAN-tags is en niet is:

    -w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'

    Opmerking: in het vorige voorbeeld zijn de haakjes nodig zodat de of niet alleen van toepassing is op VLAN. De enkele noteringen zijn dan nodig om mogelijke verkeerde interpretatie van de haakjes door de schelp te voorkomen.

    Specificatie van een VLAN-tag legt al het VLAN-verkeer vast dat overeenkomt met de rest van uw BPF. Als u echter een specifieke VLAN-tag wilt vastleggen, kunt u opgeven welke VLAN-tag u als volgt wilt vastleggen:

    -w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1

    Nadat u de gewenste opties hebt gespecificeerd en op Enter hebt gedrukt, begint tcpdump verkeer op te nemen.

    Tip: Als de -c-optie niet is gebruikt, druk dan op de toetscombinatie Ctrl-C om de opname te stoppen.

    Zodra u de opname stopt, ontvangt u bevestiging. Voorbeeld:

    Please specify tcpdump options desired.
    (or enter '?' for a list of supported options)
    Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
    
Cleaning up.
    Done.

    Een PCAP-bestand kopiëren

    Gebruik deze opdracht om een pcap-bestand van een FirePOWER-applicatie te kopiëren naar een ander systeem dat inkomende SSH-verbindingen accepteert:

    > system file secure-copy hostname username destination_directory pcap_file

    Nadat u op Enter hebt gedrukt, wordt u gevraagd het wachtwoord op te geven naar het externe systeem. Het bestand kan worden gekopieerd naar het netwerk.

    Opmerking: in dit voorbeeld verwijst de hostnaam naar de naam of het IP-adres van de externe doelhost, de gebruikersnaam specificeert de naam van de gebruiker op de externe host, de destination_directory specificeert het bestemmingspad op de externe host, en het pcap_bestand specificeert het lokale pcap-bestand voor overdracht.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    06-Jun-2024
    Bijgewerkte opmaak.
    2.0
    11-May-2023
    Bijgewerkt Titel, Inleiding, Juridische Disclaimer, Machinevertaling, Stijlvereisten en Opmaak.
    1.0
    12-Jun-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nazmul Rajib
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten