購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2631
閲覧回数
20
いいね!
0
コメント

FMC: FTD: LINA(ASA)エンジンCLIの GUIからの確認や パケットキャプチャ方法

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2020-03-16 11:05 AM ‎2020-03-16 11:24 AM 更新

 

はじめに

FMCでFTDを管理時、FTD内部で稼働するLINA(ASA)エンジンの動作状況を確認するためのCLIを GUIから確認することができます。LINA(ASA)エンジンは主にL2-L4のBasicなFirewallやルーティング、NAT、リモートアクセスVPNなどの処理を担当し、従来にCisco Adaptive Security Appliance (ASA)製品とほぼ同じCLIを利用可能です。

 

LINA(ASA)エンジンの CLI確認方法

1. System > Health > Monitor から、対象デバイスをクリック
(各デバイスは NormalやCriticalなど何れかのステータスに属しているため、任意ステータスをクリックしデバイスを確認)

FMC-FTD-CLI-check-01.JPG

2. 対象デバイスのHealth Monitorページに遷移するため、Advanced Troubleshootingボタンをクリック

FMC-FTD-CLI-check-02.JPG

 

3. 以下のような画面に遷移するため、「Thret Defense CLI」タブをクリックします。Commandは "show","ping","traceroute"から選ぶことができる
以下は、FTDや 内部LINA(ASA)エンジンのバージョンなどを確認するための"show version"コマンドの実行例です。FTDバージョンが 6.4.0.7、LINA(ASA)エンジンバージョンが 9.12(2)151 であること、稼働時間が48日17時間であることを確認できる

FMC-FTD-CLI-check-show-version.JPG

 

以下は、コネクション処理状態を確認するための"show perfmon"コマンドの実行例です。通信が流れていないため 0 cpsである事を確認できる

FMC-FTD-CLI-check-show-perfmon.JPG


以下は、Failover設定や動作状況を確認するための"show failover"コマンドの実行例です。FTD HAのFailover設定がされていないため、Failover Offであることを確認できる

FMC-FTD-CLI-check-show-failover.JPG

 

以下は、"show tech"コマンドの実行例です。包括的なLINA(ASA)エンジンのトラブルシューティングを行うときに非常に便利なコマンド

FMC-FTD-CLI-check-show-tech.JPG

 

LINA(ASA)エンジンの パケットキャプチャ実施方法

1. Advanced Troubleshootingの「Capture w/Trace」タブにアクセスし、画面右上のAdd Captureボタンをクリック

FMC-FTD-CLI-check-packet-capture-01.JPG

 
2. Capture設定欄のポップアップがあるため、任意のキャプチャ設定を実施。以下例の場合、Diagnosticインターフェイス(=LINAの管理インターフェイス)のIP Any Anyのキャプチャを有効化し、バッファーサイズは512KB(=524288bytes)のデフォルト値

FMC-FTD-CLI-check-packet-capture-02.JPG

 
3. 自動でキャプチャが開始され、キャプチャパケットの詳細処理状況が画面下欄に出力。以下例の場合、送信元IP 1.100.0.24からのDHCP(=UDP67)のブロードキャストのキャプチャ

FMC-FTD-CLI-check-packet-capture-03.2.JPG

 

4. キャプチャ設定の画面右"Save"アイコンをクリックすれば、PCAPもしくはASCIIでキャプチャファイルをローカルPCに保存可能。以下例の場合、PCAP形式でダウンロードしたファイルを Wiresharkで開いた場合となり、1行目にDHCPパケットがキャプチャされている事をPCAPファイルからも確認可能

FMC-FTD-CLI-check-packet-capture-03.5.JPG

FMC-FTD-CLI-check-packet-capture-04.JPG

FMC-FTD-CLI-check-packet-capture-05-pcap.JPG

 

5. キャプチャ作業が終了したら 必ずキャプチャ設定は削除ボタンをクリックし削除すること (キャプチャ設定が有効なままだと パケットの分別処理が有効なままでLINA(ASA)エンジンに負荷が発生し続けるため)

FMC-FTD-CLI-check-packet-capture-06-delete.JPG

FMC-FTD-CLI-check-packet-capture-07-delete.JPG

 

Advanced Troubleshootingのその他利用方法

パケットトレーサ

「Packet Tracer」タブから 従来のASAのパケットトレーサーと同様の試験を実施できます。通信が想定のNATルールやRouting、ACL、SNORT処理にマッチしてるかの確認に非常に便利です。

FMC-FTD-CLI-check-packet-tracer.JPG

 

FTD内部ファイルのダウンロード

「File Download」タブから FTDの/ngfw/var/common/に保存されたファイルの取り出しが可能です。クラッシュ時のコアファイルの取り出しなどのトラブルシューティングに利用することがあります。

FMC-FTD-CLI-check-file-download.JPG

 

参考情報

Work with Firepower Threat Defense Captures and Packet Tracer
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents