キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA/PIX/FWSM:CLI および ASDM を使用したパケットのキャプチャの設定例

概要

このドキュメントでは、Adaptive Security Device Manager(ASDM)か CLI  を使用して、目的のパケットをキャプチャするために、Cisco 5500 シリーズ Adaptive Security  Appliance(ASA)を設定する方法について説明しています。ASDM では、直感的で使用が容易な Web  ベースの管理インターフェイスにより、ワールドクラスのセキュリティ管理と監視機能が提供されています。

前提条件

要件

このドキュメントでは、ASA が完全に動作していて、Cisco ASDM か CLI で設定を変更できるように設定されていることを想定しています。

注:ASDM 用の HTTPS アクセスの許可」(英語)または『PIX/ASA 7.x:Inside および Outside インターフェイスの SSH/Telnet の設定例』で、ASDM か Secure Shell(SSH)によるデバイスのリモートでの設定を許可する方法を参照できます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

- Cisco 適応型セキュリティ アプライアンス ソフトウェア バージョン 7.x 以降

- Adaptive Security Device Manager バージョン 6.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用す るすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、そ の潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、次のシスコ製品にも使用できます。

- Cisco PIX セキュリティ アプライアンス バージョン 6.2(1) 以降

- Firewall Services Module(FWSM; ファイアウォール サービス モジュール)バージョン 2.2(1) 以降

注:パケット キャプチャ機能は、ASDM ではサポートされていないため(ASDM では capture コマンドがサポートされていない)、FWSM 上で CLI を使用することによってのみ設定できます。詳細は、「無視されるコマンドと読み取り専用コマンド」(英語)セクションを参照してください。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

パケットのキャプチャは、接続の問題をトラブルシューティングしたり、異常なアクティビティを監視するときに 役に立ちます。ユーザは複数のキャプチャを作成できます。パケット スニファリングやネットワーク障害の隔離を実行するために、パケット  キャプチャ機能をイネーブルにするには、特権 EXEC モードで capture コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、同じコマンドで no form を使用します。パケット キャプチャを表示するには、show capture name コマンドを使用します。キャプチャの内容をファイルに保存するには、copy capture コマンドを使用します。

ASA/PIX では、https://security appliance-ip-address/admin/capture/capture_name[/pcap] コマンドを使用して、Web ブラウザでパケット キャプチャ情報を表示します。pcap オプション キーワードを指定する場合は、libpcap-format ファイルは Web ブラウザにダウンロードされ、Web ブラウザを使用して保存できます。バッファの内容を ASCII 形式で TFTP  サーバにコピーする場合は、パケットの詳細情報や 16 進数形式のダンプは表示されず、ヘッダー部分だけが表示されます。詳細情報および 16  進数形式のダンプを読み取るには、バッファを PCAP 形式で転送し、TCPDUMP または Ethereal を使用して表示します。

FWSM の 3.1(7) および 3.2(2) より前のバージョンでは、https://fwsm-ip-address/capture/capture_name[/pcap] コマンドを使用して、Web ブラウザでパケット キャプチャ情報を表示します。

FWSM の 3.1(7) および 3.2(2) 以降のバージョンでは、https://fwsm-ip-address/capture/context_name/capture_name[/pcap] コマンドを使用して、Web ブラウザでパケット キャプチャ情報を表示します。

たとえば、captest という名前のキャプチャのキャプチャ内容は、Web ブラウザを使用して表示できますが、その場所に関しては、ファイアウォール モードおよびバージョンによって次のように異なります。

3.1(7) および 3.2(2) より前のバージョン:

https://fwsm-ip-address/capture/captest

3.1(7) または 3.2(2) 以降のバージョン、シングル コンテキスト モード:

https://fwsm-ip-address/capture/single_vf/captest

3.1(7) または 3.2(2) 以降のバージョン、マルチ コンテキスト モード:

https://fwsm-ip-address/capture/context_name/captest

注:WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに悪影響を及ぼします。トラブルシューティングに必要なキャプチャ ファイルの生成が終わったら、キャプチャをディセーブルにしてください。

設定

このセクションでは、このドキュメントで説明するパケット キャプチャ機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワークダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

asa-capture-asdm-config1.gif

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 でのアドレスであり、ラボ環境で使用されたものです。

ASDMを使用したパケットキャプチャの設定

ASA でパケット キャプチャ機能を設定するには、次の手順を実行します。たとえば、次の設定例では、User1(Inside ネットワーク)から Router1(Outside ネットワーク)に ping を送信する間に転送されるパケットをキャプチャします。

1. 次のように、[Wizards] > [Packet Capture Wizard] を選択して、パケット キャプチャの設定を開始します。

asa-capture-asdm-config2.gif

2. キャプチャ ウィザードが表示されます。次のように [Next] をクリックします。

asa-capture-asdm-config3.gif

3. 新しいウィンドウで、INGRESS トラフィックをキャプチャするためのパラメータを指定します。[Ingress interface] を [Inside] に 選択します。キャプチャされるパケットの送信元 IP と宛先 IP  のアドレス、およびサブネットマスクを、指定されたそれぞれの場所に入力します。また、次のように、ASA  によってキャプチャされるパケットのタイプを選択します。この例では、パケット タイプは IP です。

asa-capture-asdm-config4.gif

[Next] をクリックします。

4. [Egress interface] を [Outside] に選択します。キャプチャされるパケットの送信元 IP と宛先 IP のアドレス、およびサブネットマスクを、指定されたそれぞれの場所に入力します。

asa-capture-asdm-config5.gif

[Next] をクリックします。

5. キャプチャの実行に必要なデータとして、[Packet Size] と [Buffer Size] を指定されたそれぞれの場所に入力します。また、循環バッファ オプションを使用する場合は、[User circular bugger] チェック ボックスにチェックマークを付けます。この例では、循環バッファは使用されないため、チェックマークは付けていません。

asa-capture-asdm-config6.gif

[Next] をクリックします。

6. 次のウィンドウには、Access-lists が表示されています。これは、ASA が目的のパケットをキャプチャできるようにするために構成されています。また、パケットのタイプも表示されます(この例では IP パケットがキャプチャされます)。[Next] をクリックします。

asa-capture-asdm-config7.gif

7. 次のように、[Start] をクリックして、パケットのキャプチャを開始します。

asa-capture-asdm-config8.gif

8. パケットのキャプチャが開始されたら、Inside ネットワークから Outside ネットワークに ping を実行して、発信元から宛先に送信されるパケットが、ASA の Capture Buffer によってキャプチャされるようにします。

9. [Get Capture Buffer] をクリックして、ASA のキャプチャ バッファによってキャプチャされたパケットを表示します。

asa-capture-asdm-config9.gif

10. IngressEgress の両方のトラフィックについて、キャプチャされたパケットがウィンドウに表示されます。次のように、[Save captures] をクリックして、キャプチャ情報を保存します。

asa-capture-asdm-config10.gif

11. [Save Captures] ウィンドウで、キャプチャ バッファが保存されるデータ形式を選択します。選択可能な形式は、ASCII または PCAP のどちらかです。形式名の横にあるオプション ボタンをクリックします。さらに、必要に応じて、[Save ingress capture] または [Save egress capture] をクリックします。

asa-capture-asdm-config11.gif

pcap 形式を指定した場合は、TCPDUMP または Ethereal のどちらかを使用してファイルを開きます。ASCII 形式で保存されたキャプチャ ファイルは、Web ブラウザを使用して表示できます。

12. 次のように、[Save capture file] ウィンドウにキャプチャ ファイルの名前と保存される場所が表示されたら、[Save] をクリックします。

asa-capture-asdm-config12.gif

13. [Finish] をクリックします。

asa-capture-asdm-config13.gif

パケット キャプチャの手順は、これで終わりです。

ASA/PIXでのCLIを使用したパケットキャプチャの設定手順

CLI を使用して ASA/PIX でのパケット キャプチャを設定するには、次の手順を実行します。

1. ネットワーク ダイアグラムと同じように IP アドレスとセキュリティ レベルを指定して、Inside インターフェイスと Outside インターフェイスを設定します。

2. Inside ネットワークから Outside ネットワーク、そして Outside ネットワークから Inside ネットワークへと転送されるパケットをキャプチャするために、access-lists asdm_cap_selector_insideasdm_cap_selector_outside を設定します。

access-list asdm_cap_selector_inside extended permit ip host 10.20.10.2 host 172.16.1.2
access-list asdm_cap_selector_inside extended permit ip host 172.16.1.2 host 10.20.10.2
access-list asdm_cap_selector_outside extended permit ip host 172.16.1.2 host 10.20.10.2
access-list asdm_cap_selector_outside extended permit ip host 10.20.10.2 host 172.16.1.2
  • 3. 特権 EXEC モードで capture コマンドを使用して、パケット キャプチャ プロセスを開始します。

  • capture コマンドは、ASA の設定で説明した access-lists が設定された後で、使用する必要があります。

  • この設定例では、capin という名前のキャプチャが定義されています。次のように、

  • それを inside インターフェイスにバインドし、access-list asdm_cap_selector_inside

  • 一致するパケットだけがキャプチャされるように指定します。

        
    ASA#capture capin interface inside access-list asdm_cap_selector_inside

    同様に、capout という名前のキャプチャが定義されています。次のように、それを outside

  • インターフェイスにバインドし、access-list asdm_cap_selector_outside に一致するパケットだけが

  • キャプチャされるように指定します。


    ASA#capture capout interface outside access-list asdm_cap_selector_outside
    ASA はインターフェイス間のトラフィック フローのキャプチャを開始します。どの時点でも、
  • キャプチャを停止するには、キャプチャ名を指定して no capture コマンドを使用します。
  • ASAでキャプチャされたパケットを表示する手順

    ASA デバイスでキャプチャされたパケットを表示する手順

    キャプチャされたパケットを表示するには、キャプチャ名を指定して show capture コマンドを使用します。次の出力例は、show コマンドを使用してキャプチャ バッファの内容を表示したものです。

    show capture capin コマンドは、capin という名前のキャプチャの内容を表示します。

    ASA#show capture capin
    20 packets captured
       1: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
       2: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
       3: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
       4: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
       5: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
       6: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
       7: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
       8: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
       9: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
      10: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
      11: 01:49:26.247042 172.16.1.2 > 10.20.10.2: icmp: echo request
      12: 01:49:26.247042 10.20.10.2 > 172.16.1.2: icmp: echo reply
      13: 01:49:26.247042 172.16.1.2 > 10.20.10.2: icmp: echo request
      14: 01:49:26.247042 10.20.10.2 > 172.16.1.2: icmp: echo reply
      15: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
      16: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
      17: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
      18: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
      19: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
      20: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
    20 packets shown
    ASA#

    show capture capout コマンドは、capout という名前のキャプチャ バッファの内容を表示します。

    ASA#show capture capout
    20 packets captured
       1: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
       2: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
       3: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
       4: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
       5: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
       6: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
       7: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
       8: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
       9: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
      10: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
      11: 01:49:26.247042 172.16.1.2 > 10.20.10.2: icmp: echo request
      12: 01:49:26.247042 10.20.10.2 > 172.16.1.2: icmp: echo reply
      13: 01:49:26.247042 172.16.1.2 > 10.20.10.2: icmp: echo request
      14: 01:49:26.247042 10.20.10.2 > 172.16.1.2: icmp: echo reply
      15: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
      16: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
      17: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
      18: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
      19: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
      20: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
    20 packets shown
    ASA#

    ---------------------------------------------

    Document ID: 110117

    バージョン履歴
    改訂番号
    1/1
    最終更新:
    ‎02-14-2011 09:54 PM
    更新者:
     
    ラベル(1)