Manualsbrain.com
  1. 份说明书
  2. 个品牌
  3. Cisco
  4. Cisco ASA 5555-X Adaptive Security Appliance
  5. 产品宣传页

Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

下载
页码 904
 
35-4
Cisco ASA Series 
일반적인 작업 CLI 구성 가이드
 
35 
장     테스트 및 문제 해결
  
패킷 캡처
이그레스 트래픽의 경우 활성 캡처의 상황 트래픽만 캡처됩니다. 유일한 예외는 ICMP 검사를 
활성화하지 않은 경우입니다. 그러면 ICMP 트래픽은 가속 경로에 세션이 없습니다. 그러한 
경우 공유 VLAN의 모든 상황에 대한 인그레스 및 이그레스 ICMP 트래픽이 캡처됩니다. 
일반적으로 캡처 구성은 캡처되어야 하는 트래픽을 일치하는 ACL을 구성하는 것입니다. 트
래픽 패턴을 일치하는 ACL이 구성된 다음에는 캡처를 정의하고 이 ACL을 캡처에 연결하며 
캡처가 구성될 인터페이스와도 연결해야 합니다. 
클러스터 전체의 캡처를 수행한 다음 동일한 클러스터 전체 캡처 파일을 TFTP 서버에 복사하
려면 마스터 유닛에서 다음 명령을 입력합니다.
ciscoasa (cfg-cluster)# cluster exec copy /pcap capturecap_name 
tftp
://location/path/filename.pcap
유닛당 하나씩인 여러 PCAP 파일이 TFTP 서버에 복사됩니다. 대상 캡처 파일 이름에는 유닛 
이름이 자동으로 추가됩니다(예: filename_A.pcap, filename_B.pcap 등). 이 예에서는 A와 B
가 클러스터 유닛 이름입니다. 파일 이름의 끝에 유닛 이름을 추가하면 다른 대상 이름이 생성
됩니다.
지정된 인터페이스에서 클러스터 전체의 캡처를 활성화하려는 경우, 예에 나온 각 명령의 앞
에 cluster exec 키워드를 추가하면 됩니다. 이 capture 명령은 마스터 유닛에서 슬레이브 유
닛으로만 복제될 수 있습니다. 그러나 이 capture 명령 중 하나를 사용하여 로컬 유닛에 대해 
지정된 인터페이스의 캡처를 구성하는 것은 가능합니다.
다음 예는 클러스터 전체의 LACP 캡처를 생성하는 방법을 보여 줍니다.
ciscoasa (config)# cluster exec capture lacp type lacp interface gigabitEthernet0/0
다음 예는 클러스터링 링크에서 제어 경로 패킷의 캡처를 생성하는 방법을 보여 줍니다.
ciscoasa (config)# capture cp interface cluster match udp any eq 49495 any 
ciscoasa (config)# capture cp interface cluster match udp any any eq 49495 
다음 예는 클러스터링 링크에서 데이터 경로 패킷의 캡처를 생성하는 방법을 보여 줍니다.
ciscoasa (config)# access-list cc1 extended permit udp any any eq 4193
ciscoasa (config)# access-list cc1 extended permit udp any eq 4193 any
ciscoasa (config)# capture dp interface cluster access-list ccl
다음 예는 클러스터를 지나는 데이터 경로 트래픽을 캡처하는 방법을 보여 줍니다.
ciscoasa (config)# capture abc interface inside match tcp host 1.1.1.1 host 2.2.2.2 eq www
ciscoasa (config)# capture abc interface inside match udp host 1.1.1.1 any
ciscoasa (config)# capture abc interface inside access-list xxx
다음 예는 실제 소스를 실제 대상에 일치하는 흐름의 로직 업데이트 메시지를 캡처하는 방법과, 
실제 소스를 실제 대상에 일치하는 CCL을 통해 전달되는 패킷을 캡처하는 방법을 보여 줍니다.
ciscoasa (config)# access-list dp permit ip real_src real_dst
다음 예는 icmp echo request/response와 같이 한 ASA에서 다른 ASA로 전달되는 특정 유형의 
데이터 플레인 메시지를 match 키워드 또는 그 메시지 유형의 ACL을 사용하여 캡처하는 방법을 
보여 줍니다. 
ciscoasa (config)# capture capture_name interface cluster access-list match icmp any any 
다음 예는 클러스터 제어 링크에서 ACL 103을 사용하여 캡처를 생성하는 방법을 보여 줍니다.
ciscoasa (config)# access-list 103 permit ip A B
ciscoasa (config)# capture example1 interface cluster access-list 103