ASA 防火墙上的数据包捕获与为捕获设置系统日志服务器有何不同或相似之处。
我想在 FW 上捕获有趣的流量并存储它们以在故障排除期间进行分析,目前缓冲区大小仅允许我记录 3 小时的捕获,因此,我们继续设置了一个系统日志服务器,它有很多噪音而且我看不到任何有意义的信息,例如丢包和 3 路 tcp 握手。
将捕获从 ASA 发送到 tftp 服务器,保护显示在 ASA FW 上的格式 a,因此会更有用吗?
Cisco ASA 上的数据包捕获
网络工程
思科
思科
2021-07-17 01:32:03
2个回答
抓包功能以pcap格式存储数据,可以被Wireshark等分析工具读取。所以,是的,这可能比系统日志消息对数据包分析更有用。
您可以将端口设置为监控模式(IE 将其设置为跨端口),然后使用外部设备来捕获和分析流量。
交换机端口监视器
对于带有内置交换机的型号,例如 ASA 5505 自适应安全设备,请在接口配置模式下使用 switchport monitor 命令启用 SPAN,也称为交换机端口监控。您输入此命令的端口(称为目标端口)接收在指定源端口上传输或接收的每个数据包的副本。SPAN 功能允许您将嗅探器连接到目标端口,以便您可以监控流量。多次输入该命令可以指定多个源端口。您只能为一个目标端口启用 SPAN。要禁用对源端口的监视,请使用此命令的 no 形式。
switchport 监视器 source_port [tx | 接收| 两个都]
没有 switchport 监视器 source_port [tx | 接收| 两者] 语法说明
源端口
指定要监视的端口。您可以指定任何以太网端口以及在 VLAN 接口之间传递流量的 Internal-Data0/1 背板端口。由于 Internal-Data0/1 端口是千兆以太网端口,您可能会因流量超载快速以太网目标端口。小心监视端口 Internal-Data0/1。
发送
(可选)指定仅监控传输的流量。
接收
(可选)指定仅监视接收的流量。
两个都
(可选)指定传输和接收的流量都受到监控。两者都是默认值。默认值
要监控的默认流量类型是两者。
其它你可能感兴趣的问题