在Firepower裝置上使用資料包捕獲過程

下載選項

  • PDF     (350.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (77.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (63.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 6 月 6 日
文件 ID:117778

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何使用tcpdump 命令捕獲Firepower裝置的網路介面所看到的資料包。

    必要條件

    需求

    思科建議您瞭解Cisco Firepower裝置和虛擬裝置型號。

    採用元件

    本文件所述內容不限於特定軟體和硬體版本。 它使用Berkeley Packet Filter (BPF)語法。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    警告:如果在生產系統上運行tcpdump命令,則可能影響網路效能。

    捕獲資料包的步驟

    登入到Firepower裝置的CLI。

    在版本6.1及更高版本中,輸入capture-traffic。例如,

    > capture-traffic

    Please choose domain to capture traffic from:
    0 - eth0
    1 - Default Inline Set  (Interfaces s2p1, s2p2)

    在版本6.0.x.x及更低版本中,輸入system support capture-traffic。例如,

    > system support capture-traffic

    Please choose domain to capture traffic from:
    0 - eth0
    1 - Default Inline Set  (Interfaces s2p1, s2p2)

    進行選取後,系統會提示您輸入選項:

    Please specify tcpdump options desired.
    (or enter '?' for a list of supported options)
    Options:

    要從資料包捕獲足夠的資料,必須使用-s選項才能正確設定長度。可以將snaplength設定為與介面集配置的配置最大傳輸單元(MTU)值匹配的值,預設值為1518。

    警告:捕獲到螢幕的流量時,可能會降低系統和網路的效能。Cisco建議您將-w <filename>選項與tcpdump 命令配合使用。將資料包捕獲到檔案中。如果運行的不帶-w選項的命令,請按Ctrl-C組合鍵退出。

    -w <filename>選項示例:

    -w capture.pcap -s 1518

    注意:指定資料包捕獲(pcap)檔名時,請勿使用任何路徑元素。您必須只指定要在裝置中建立的pcap檔案名稱。

    如果需要捕獲有限數量的資料包,可以使用-c <packets>標誌指定要捕獲的資料包數量。例如,若要擷取5000個封包:

    -w capture.pcap -s 1518 -c 5000

    此外,可以在命令末尾增加BPF過濾器以限制捕獲的資料包。例如,為了將資料包捕獲限制為源或目標IP地址為192.0.2.1的5000個資料包,可以使用以下選項:

    -w capture.pcap -s 1518 -c 5000 host 192.0.2.1

    當捕獲標籤了虛擬LAN (VLAN)的流量時,必須使用BPF語法指定VLAN。否則,pcap不包含任何VLAN標籤的資料包。例如,以下示例將捕獲限制為從192.0.2.1標籤為VLAN的流量:

    -w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1

    如果不確定流量是否具有VLAN標籤,可以使用以下語法來捕獲來自192.0.2.1的流量,該流量已經和沒有VLAN標籤:

    -w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'

    注意:在上一個示例中,需要括弧,以便不僅適用於vlan。然後需要單引號,以防止外殼可能對括弧進行錯誤解釋。

    指定VLAN標籤可捕獲與您的BPF其餘部分匹配的所有VLAN流量。但是,如果要捕獲特定的VLAN標籤,可以指定要捕獲的VLAN標籤如下:

    -w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1

    指定所需的選項並按Enter後,tcpdump將開始捕獲流量。

    提示:如果未使用-c選項,請按Ctrl-C組合鍵停止捕獲。

    停止捕獲後,您將收到確認。舉例來說:

    Please specify tcpdump options desired.
    (or enter '?' for a list of supported options)
    Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1
    
Cleaning up.
    Done.

    複製Pcap檔案

    要將pcap檔案從FirePOWER裝置複製到接受入站SSH連線的另一個系統,請使用以下命令:

    > system file secure-copy hostname username destination_directory pcap_file

    Enter後,系統會提示您輸入遠端系統的口令。檔案可在網路上複製。

    注意:在此示例中,主機名是指目標遠端主機的名稱或IP地址,使用者名稱指定遠端主機上的使用者名稱稱,destination_directory指定遠端主機上的目標路徑,pcap_file指定用於傳輸的本地pcap檔案。

    修訂記錄

    修訂 發佈日期 意見
    3.0
    06-Jun-2024
    已更新格式。
    2.0
    11-May-2023
    已更新標題、簡介、法律免責宣告、機器翻譯、樣式要求和格式。
    1.0
    12-Jun-2014
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Nazmul Rajib
      Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品