Leaflet
5-21
思科 ASA 系列命令参考,A 至 H 命令
第 5 章 cache 至 clear compression 命令
capture
注意 在故障切换期间,capture 命令不会保存到运行配置,也不会复制到备用设备。
ASA 能跟踪所有流经它的 IP 流量,并能捕获所有以它为目标的 IP 流量,包括所有管理流量(如
SSH 和 Telnet 流量)。
ASA 架构包括三组不同的处理器进行数据包处理;这种架构对捕获功能具有某些限制。通常
ASA 中的大部分数据包转发功能由两个前端网络处理器处理,数据包仅在需要应用检查时才发送
到控制平面通用处理器。仅当加速路径处理器中缺少会话时,数据包才发送到会话管理路径网络
处理器。
由于 ASA 转发或丢弃的所有数据包都会到达两个前端网络处理器,因此在这两个网络处理器中
实施数据包捕获功能。所以如果为流量接口配置合适的捕获,到达 ASA 的所有数据包都会被这
两个前端处理器捕获。在入口端,在数据包到达 ASA 接口时捕获数据包,而在出口端,先捕获
数据包,再在线发出。
当执行集群范围的捕获后,要同时将相同捕获文件从集群中的所有设备复制到 TFTP 服务器,请
在主设备上输入以下命令:
ciscoasa# cluster exec copy /pcap capture: cap_name tftp://location/path/filename.pcap
多个 PCAP 文件(一个文件来自一个设备)将复制到 TFTP 服务器。目标捕获文件名会自动附加
设备名称,如 filename_A.pcap、filename_B.pcap 等。在此示例中,A 和 B 是集群设备名称。
注意 如果在文件名末尾添加设备名称,将生成不同的目标名称。
以下是一些捕获功能限制。大多数限制由 ASA 架构的分布式性质以及 ASA 中使用的硬件加速器
导致。
• 只能捕获 IP 流量;不能捕获非 IP 数据包(如 ARP)。
• 对于多情景模式下的集群控制链路捕获,只有在集群控制链路中发送的与情景关联的数据包
会被捕获。
• 在多情景模式下,只能在系统空间中使用 copy capture 命令。语法如下所示:
copy /pcap capture:Context-name/in-cap tftp:
Where in-cap is the capture configured in the context context-name
• 不支持 cluster exec capture realtime 命令。会显示以下错误信息:
Error: Real-time capture can not be run in cluster exec mode.
• 对于共享 VLAN,以下准则适用:
–
只能为 VLAN 配置一个捕获;如果在共享 VLAN 上的多个情景中配置捕获,则仅使用最
后配置的捕获。
–
如果删除最后配置的(活动)捕获,则没有捕获变为活动状态,即使之前已在其他情景
中配置了捕获也是如此;必须删除捕获再重新添加才能使其变为活动状态。
–
进入捕获所附加到的接口的所有流量(以及与捕获访问列表匹配的所有流量)都将被捕
获,包括到共享 VLAN 上其他情景的流量。
–
因此,如果在某个 VLAN 的情景 A 中启用捕获,而该 VLAN 也被情景 B 使用,则情景 A
和情景 B 的入口流量均会被捕获。
• 对于出口流量,只有具有活动捕获的情景的流量会被捕获。唯一的例外是当您未启用 ICMP
检查时(因此 ICMP 流量在加速路径中没有会话)。在这种情况下,共享 VLAN 上的所有情
景的入口和出口 ICMP 流量均会被捕获。