[原创翻译]PIX/ASA的数据包捕获
使用指南
启用数据包捕获, 要在一个接口上附带接口选项关键字来捕获。捕获多个接口需要多个捕获语句。数据包必须通过以太网和访问列表过滤之后数据包才能存储在捕获缓冲区。
有用的捕获命令:
no capture 命令并附带 access-list 或 interface 可选关键字将清除相应的捕获。
no capture 而不带可选关键字将删除捕获。
如果指定 access-list 可选关键字,将从捕获中删除访问列表并保留捕获。如果指定 interface 关键字,将从指定的接口分离捕获并保留捕获。
clearcapture capture_name 命令将清除捕获缓冲区。注意:捕获命令不保存在配置中,在failover时也不会重复出现在备用设置上。
更多详细的捕捉命令参考捕获命令的客户文档
配置示例
捕获穿越内部和外部接口的数据包
步骤#1 -捕获穿过内部接口的数据包
access-list capture_in permit <protocol> host A host B
access-list capture_in permit <protocol> host B host A
capture inside access-list capture_in interface inside
步骤#2 –捕获穿过外部接口的数据包
access-list capture_out permit <protocol> host A hostB
access-list capture_out permit <protocol> host B hostA
capture outside access-list capture_out interface outside
从设备上获取数据包
选项# 1 –从PIX/ASA通过WEB浏览获取pcap格式的文件。
步骤#1 -如果http服务不可用那么使用“http”命令来启用http(s)
步骤#2– 然后开浏览器然后输入
https://<ASA_ip>/capture/<capture_name>/pcap
在连接ASA后将提示您保存文件。例如,
https://172.16.171.49/capture/inside/pcap
选项#2 – 从ASA发送pcap格式的文件到tftp服务器
步骤#1 -启动tftp应用程序和设置接收文件的tftp文件根目录
步骤#2 – 然后在ASA上输入如下命令copy /pcap capture:<capture_name>tftp://<ASA_ip>/temp。例如:
copy /pcap capture:inside tftp://172.16.89.8/temp copy /pcapcapture:outside tftp://172.16.89.8/temp
在PIX上查看捕获缓冲区
如果指定了数据包捕获的名称,那么在捕获缓冲区里能查看到它的内容。show capture <capture_name> 查看捕获。
重置和删除捕获命令来清除捕获缓冲区输入以下清除捕获命令
删除捕获命令:
clear capture inside
clear capture outside
在您完成捕获后别忘了删除捕获列表
no capture inside
no capture outside
no access-list capture_inno access-list capture_out
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
