Leaflet
5-22
思科 ASA 系列命令参考,A 至 H 命令
第 5 章 cache 至 clear compression 命令
capture
• 配置捕获通常包括配置与需要捕获的流量匹配的访问列表。在配置与流量模式匹配的访问列
表之后,您需要定义一个捕获并将此访问列表与该捕获以及需要配置的捕获所在的接口相关
联。请注意,仅当访问列表和接口与捕获关联来捕获 IPv4 流量时,捕获才会工作。对于 IPv6
流量,不需要访问列表。
• 对于 ASA CX 模块流量,捕获的数据包包含一个附加的 AFBP 标头,您的 PCAP 查看器可能
不了解该标头;请确保使用合适的插件以查看这些数据包。
• 对于内联 SGT 标记数据包,捕获的数据包包含一个附加的 CMD 标头,您的 PCAP 查看器可
能不了解该标头。
• 如果没有入口接口并因而没有全局接口,则在背板上发送的数据包将被视为系统情景中的控
制数据包。这些数据包将绕过访问列表检查并始终被捕获。此行为适用于单情景模式和多情
景模式。
示例 要捕获数据包,请输入以下命令:
ciscoasa# capture captest interface inside
ciscoasa# capture captest interface outside
在 Web 浏览器中,可以在以下名为 “captest” 的位置查看发出的 capture 命令的内容:
https://171.69.38.95/admin/capture/captest
要将 libpcap 文件(Web 浏览器使用的文件)下载到本地机器,请输入以下命令:
https://171.69.38.95/capture/http/pcap
以下示例展示将位于 171.71.69.234 的外部主机的流量捕获到内部 HTTP 服务器:
ciscoasa# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
ciscoasa# access-list http permit tcp host 171.71.69.234 host 10.120.56.15 eq http
ciscoasa# capture http access-list http packet-length 74 interface inside
以下示例展示如何捕获 ARP 数据包:
ciscoasa# capture arp ethernet-type arp interface outside
以下示例将五个跟踪数据包插入数据流,其中 access-list 101 定义了与 TCP 协议 FTP 匹配的流量:
hostname# capture ftptrace interface outside access-list 101 trace 5
要以易于阅读的方式查看跟踪的数据包以及有关数据包处理的信息,请使用 show capture
ftptrace 命令。
以下示例展示如何实时显示捕获的数据包:
ciscoasa# capture test interface outside real-time
Warning: Using this option with a slow console connection may result in an excess amount
of non-displayed packets due to performance limitations.
Use ctrl-c to terminate real-time capture.
10 packets displayed
12 packets not displayed due to performance limitations
以下示例展示如何配置与需要捕获的 IPv4 流量匹配的扩展访问列表:
ciscoasa (config)# access-list capture extended permit ip any any
以下示例展示如何配置捕获:
ciscoasa (config)# capture name access-list acl_name interface interface_name