Cisco ASA防火墙抓包命令Capture

在日常运维中，遇到故障时经常需要在ASA上抓包进行诊断。

1. 从抓包中可以看到流量是否经过ASA
2. 流量是否被ASA放行，或block，
3. 匹配的哪一条ACL

capture在Firepower平台上同样适用，无论跑的是ASA还是FTD

1 抓包命令

capture

2 配置方法

2.1 语法：

capture <抓包文件名字> interface <接口名称> buffer match host host eq

2.2 抓包示例1

抓outside接口的流量

1. source IP: 200.1.1.1
2. destination IP: 203.130.41.39
3. destination port: tcp 56816

ASA# capture outside interface outside buffer 3000000 match tcp host 200.1.1.1 host 203.130.41.39 eq 56816 

查看已经配置的抓包
语法：show capture

ASA#  show capture 
capture outside type raw-data buffer 3000000 interface outside [Capturing - 150 bytes]   match tcp host 200.1.1.1 host 203.130.41.39 eq 56816 
//这里的150byte，表示已经抓到了150字节流量

2.3 抓包示例2

实际工作中，一般会抓2个接口的包，即数据包穿越的接口，
比如： outside和inside都抓包，用来确认穿越防火墙时是否正常转发，还是被丢弃

ASA# capture outside interface outside buffer 3000000 match tcp host 200.1.1.1 host 203.130.41.39 eq 56816 ASA# capture inside interface inside buffer 3000000 match tcp host 200.1.1.1 host 203.130.41.39 eq 56816 

如何知道流量有没有被ASA drop掉？
这里的drop指的是穿越ASA时，被ASA丢弃，比如ACL DROP, 缺少路由等
可以抓asp drop的包
命令如下：

ASA#  cap asp type asp-drop buffer 3000000 match tcp host 200.1.1.1 host 203.130.41.39 eq 56816 

ASA上直接查看抓包文件内容

抓包的文件可以下载到本地电脑上，再使用wireshark打开查看。
但有时我们希望从ASA上直接查看抓到的明细内容

Show capture <文件名>
Show capture inside

如何清空抓包记录？
使用场景： 用于重新抓包前的清空，会将已经抓到的流量清空
这个命令是将抓到的内容清空，不会删除抓包配置

ASA# Clear capture /all     //这是清空所有的抓包数据
ASA# clear capture inside     // 只清空名称为inside抓包中的数据

如何停止抓包
语法：
Capture <名称> stop
这个只是将抓包停止 ，不会删除掉已经抓到的内容。
Capture inside stop
Capture outside stop

** 重新开始抓包**

用于上面已经stop的抓包，再次启用，不会删除掉已经抓到的内容。

Capture inside start
Capture outside start

如何删除抓包
将彻底删除抓包配置, 包含已经抓的数据

no capture outside
no capture inside

删除后再次show capture查看, 已经没有了

ASA# show capture      
ASA# 

抓包结果拷贝到flash
copy /pcap capture:outside flash:outside.pcap
copy /pcap capture:inside flash:inside.pcap

怎样导出抓包文件到本地电脑？
直接通过tftp 或 ftp就可以, 以下 tftp server IP: 10.248.1.1

ASA# copy flash:inside.pcap tftp://10.248.1.1