前言:
部署FTD之后庐橙,如果您的網絡出現(xiàn)任何連通性問題亲善,首先要做的就是驗證配置是否正確伐蒋。但是,如果無法確定任何配置錯誤架谎,則可能需要捕獲實時流量并分析它們。本文將討論使用FTD內置工具捕獲流量的過程辟躏。
Chapter 1 - 流量捕獲的要點
一. 當Firepower阻止從入向接口發(fā)往出向接口的數(shù)據包時谷扣,這個行為實際上是由防火墻引擎或Firepower引擎執(zhí)行的。因此捎琐,如果兩個主機在通過FTD發(fā)送流量時遇到任何連通性問題時会涎,則必須分析來自兩個引擎的數(shù)據包,以確定問題的根本原因瑞凑。
下圖展示了穿越FTD設備的數(shù)據流在塔,防火墻引擎從入接口接收到一個數(shù)據包,并將其重定向到Firepower引擎拨黔。
二. 在考慮捕獲流量時,您需要確保以下幾點:
Firepower系統(tǒng)主要不是隨時捕獲實時流量绰沥,除了控制流量和檢測流量外篱蝇,F(xiàn)irepower還支持捕獲實時流量僅僅用于排錯,不推薦長時間使用徽曲,來捕獲流量零截。
在生產環(huán)境中捕獲實時流量會降低系統(tǒng)性能。
不要在Console 會話中希納是捕獲的數(shù)據包秃臣,推薦把捕獲的數(shù)據包重定向到一個文件中涧衙,然后用第三方抓包軟件打開哪工。
Chapter 2 - 配置Firepower系統(tǒng)進行流量分析
根據您希望探測的位置,流量的捕獲過程會有所不同弧哎,接下來雁比,我們會介紹從以下硬件和軟件組件上捕獲數(shù)據包的任務:
- Firepower引擎
- 防火墻引擎
- FMC
下圖,展示了本文將使用到的流量捕獲場景使用的實驗拓撲撤嫩。
一.從Firepower引擎捕獲流量
從Firepower引擎捕獲流量步驟如下:
登陸到FTD CLI中
在Shell上執(zhí)行命令 capture-traffic
當系統(tǒng)提示選擇一個域時偎捎,選擇“Router“域來捕獲數(shù)據接口的流量,(br1域捕獲管理接口的流量)序攘。
> capture-traffic
Please choose domain to capture traffic from:
0 - br1
1 - Router
Selection? 1
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:
當FTD提示指定TCPdump時茴她,可以使用下表中的選項來確定你的選擇,如果您沒有提供任何選項程奠,默認也 可以不適用任何過濾器來捕獲流量
在您添加了選項后丈牢,點擊回車鍵開始捕獲∶樯常可隨時點擊Ctrl+C組合鍵結束己沛。
a.tcpdump提供了大量選項,您可以使用這些選項來管理捕獲到的數(shù)據包帕识,還提供了BPF過濾參數(shù)泛粹,您可 以使用BPF控制并提升數(shù)據包的顯示。具體參數(shù)如表1肮疗,表2所示:
表1:TCP dump選項
| 選項 | 描述 |
|---|---|
| -c | 捕獲到一定數(shù)量的數(shù)據包后停止 |
| -e | 捕獲中顯示以太網頭部 |
| -n | 不解析主機名或端口名稱 |
| -s | 定義捕獲數(shù)據包的大小 |
| -v | 顯示額外數(shù)據包數(shù)據 |
| -w | 在文件中保存捕獲的數(shù)據包晶姊,而不是在Console終端上顯示 |
| -x | 以16進制顯示數(shù)據包內容 |
表2:BPF選項
| 選項 | 用途 |
|---|---|
| host.net | 分別用來過濾去往和來自特定主機或整個網絡的流量 |
| port,portrange | 分別用來過濾去往和來自特定端口或特定端口范圍的流量 |
| src,dst | 選擇流量的方向伪货,源或目的 |
| and.or,not | 把具體的條件結合在一起或獨立起來 |
| vlan | 捕獲與指定vlan相關的流量 |
使用tcpdump選項捕獲流量
! To capture the 5 HTTP transactions between a web server and a host with IP address
192.168.1.2:
Options: -n -c 5 host 192.168.1.2 and port 80
03:42:23.479970 IP 192.168.1.2.44694 > 172.16.1.2.80: Flags [S], seq 2622260089, win
29200, options [mss 1380,sackOK,TS val 2174057 ecr 0,nop,wscale 7],
Technet24
length 0
03:42:23.479970 IP 172.16.1.2.80 > 192.168.1.2.44694: Flags [S.], seq 2877405527, ack
2622260090, win 28960, options [mss 1380,sackOK,TS val 1270689 ecr 2174057,nop,wscale
7], length 0
03:42:23.479970 IP 192.168.1.2.44694 > 172.16.1.2.80: Flags [.], ack 1, win 229, options
[nop,nop,TS val 2174058 ecr 1270689], length 0
03:42:23.479970 IP 192.168.1.2.44694 > 172.16.1.2.80: Flags [P.], ack 1, win 229, options
[nop,nop,TS val 2174058 ecr 1270689], length 436
03:42:23.479970 IP 172.16.1.2.80 > 192.168.1.2.44694: Flags [.], ack 437, win 235, options
[nop,nop,TS val 1270689 ecr 2174058], length 0
b.下載Firepower引擎生產的.pcap文件
除了使用Console終端查看以外们衙,還可以將數(shù)據包保存到一個.pcap文件中,然后通過數(shù)據包分析軟件查看 次文件碱呼,進一步分析蒙挑。如下所示,捕獲去往和去往192.168.1.2的流量愚臀,在捕獲數(shù)據包時忆蚀,系統(tǒng)會把這些數(shù) 據包保存到traffic.pcap文件中。
Options: -w traffic.pcap -s 1518 host 192.168.1.2
Caught interrupt signal
Exiting.
>
! The following command confirms that the pcap file is created and stored on the disk.
> file list
Feb 15 05:03 886 /traffic.pcap
捕獲到流量且創(chuàng)建了.pcap文件后姑裂,可以通過GUI或CLI下載整個文件(本文以FMC為例)馋袜。
c.FTD沒有自己的GUI,但可以使用FMC的GUI下載文件整個文件
步驟1:登陸FMC的GUI舶斧,打開System > Health > Monitor 欣鳖,這時會顯示出Appliance Status Summary(設備狀態(tài)匯總)圖標
步驟2:找到捕獲流量的FTD設備,如果沒有看到設備茴厉,可以展開安全狀態(tài)旁的箭頭圖標泽台,如下圖所示:
步驟3:找到相應FTD設備后什荣,單擊設備名稱,會出現(xiàn)這臺FTD設備的Health Monitor(健康監(jiān)控)頁面怀酷。
步驟4:單擊Advanced Troubleshooting(高級排錯)按鈕稻爬,出現(xiàn)如圖4,圖5胰坟,界面因篇,下載文件。
二.從防火墻引擎捕獲流量
前面我們介紹了如何從Firepower引擎捕獲流量笔横,但您無法在防火墻引擎上使用相同的命令竞滓,接下來我們接入如何從防火墻引擎捕獲流量
步驟1:確認您希望捕獲流量的接口名稱。本例我們以GE1/1為例吹缔,捕獲次接口流量商佑。如下圖所示:
步驟2:使用如下命令捕獲接口流量
> capture icmp_traffic interface INSIDE_INTERFACE match icmp host 192.168.1.2 any
表示從一臺主機(192.168.1.2)捕獲發(fā)往任意目的地的ICMP流量∠崽粒“ icmp_traffic“capture名稱茶没,”NSIDE_INTERFACE“為接口名稱。
下圖晚碾,中清晰展示了從防火墻引擎捕獲流量和從Firepower捕獲流量的區(qū)別抓半。
步驟3:執(zhí)行一些穿越FTD的ping測試,使用show capture進行查看捕獲的流量格嘁。
> show capture
capture icmp_traffic type raw-data interface INSIDE_INTERFACE [Capturing - 1140 bytes]
match icmp host 192.168.1.2 any
>
下載防火墻引擎生產的.pacp文件的方式同F(xiàn)irepower引擎方式一樣
三.從FMC捕獲流量
要想排查FMC和FTD之間的復雜通信問題笛求,其中一項重要排錯工具是對管理流量進行分析。
步驟1:在FMC的管理接口使用tcpdump命令來捕獲流量糕簿。也可以使用BPF語法探入,以及Firepower引擎上應用 的類似過濾選項。如下所示懂诗,展示了FTD和FMC之間的ICMP流量捕獲內容蜂嗽,host選項限制設備 只 捕獲從特定主機10.1.1.2發(fā)來的流量。該主機位FTD設備殃恒,選項-i eth0允許tcpdump工具只偵聽
eth0管理接口
admin@FMC:~$ sudo tcpdump -i eth0 host 10.1.1.2
Password:
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes Technet24
11:11:52.121238 IP 10.1.1.2 > FMC: ICMP echo request, id 16625, seq 1, length 64
11:11:52.121293 IP FMC > 10.1.1.2: ICMP echo reply, id 16625, seq 1, length 64
11:11:53.121786 IP 10.1.1.2 > FMC: ICMP echo request, id 16625, seq 2, length 64
11:11:53.121856 IP FMC > 10.1.1.2: ICMP echo reply, id 16625, seq 2, length 64
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel
admin@FMC:~$
步驟2:下載FMC生成的.pcap文件植旧。為了使用第三方軟件分析捕獲的流量,需要把流量保存為.pcap文件离唐,然 后把文件傳輸?shù)奖镜赜嬎銠C隆嗅。如下所示,捕獲了10個數(shù)據包侯繁,并將文件保存在/var/common/路徑 下。
admin@FMC:~$ sudo tcpdump -i eth0 host 10.1.1.2 -w /var/common/fmc_traffic.pcap
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
10 packets captured
10 packets received by filter
0 packets dropped by kernel
admin@FMC:~$
捕獲的流量文件泡躯,必須存儲在FMC上的/var/common目錄下贮竟,F(xiàn)MC才允許直接從GUI中下載這些文件丽焊。文件下載方法同從Firepower引擎捕獲流量下載方法一致。
