반응형

 

문제가 발생했을 때 분석을 위해 알아본 Cisco ASA VPN의 packet 캡처 방법.

ASDM의 Monitoring에서 실시간 logging을 제공하나, ACL/NAT단에서 걸릴 경우 아무런 패킷도 Trace 창에 보이지 않게되는데, 이럴 때 유용한 패킷 캡처 방법이다.

 

1. packet capture 방법(설명)

- 출처: Cisco사 CLI 설명서 1: Cisco ASA Series 일반 운영 CLI 구성 가이드, 9.10 : 1223 page ~ 1228 page

옵션 값이 매우 많아서 자료를 그대로 들고왔다.

 

 

 

이렇게 패킷캡처를 설정한 후에는 아래와 같이 패킷 캡처를 보는 명령어가 별도로 존재한다.

패킷 캡처 설정 후, 아래 명령어를 실행해야 실제 캡처되는 패킷을 확인할 수 있다.

 

 

2. 설정 및 실습 - CLI

그렇게 직접 실습해 본 packet capture.

현재 20.20.20.50 - 20.20.20.246은 NAT 설정 오류로 인해 20.20.20.246 -> 20.20.20.50으로 Ping을 실행할 경우 packet이 drop되는 상태이다. 그래서 20.20.20.50 -> 20.20.20.246 방향과 20.20.20.246 -> 20.20.20.50 패킷 캡처를 진행해보았다.

 

1) packet capture

ciscoasa# capture CAP_TEMP_AWS buffer 2048 interface AWS match icmp host 20.20.20.246 any
ciscoasa# capture LOG_DROP type asp-drop all match ip host 20.20.20.50 host 20.20.20.246
ciscoasa# capture LOG_DROP type asp-drop all match ip host 20.20.20.246 host 20.20.20.50

 

2) show capture

packet 캡처를 설정 후, show capture를 통해 패킷 캡처를 확인한다.

#show capture    // 전체 capture되고 있는 packet capture 확인

Result of the command: "show capture"
capture CAP_TEMP_AWS type raw-data buffer 2048 interface AWS [Capturing - 456 bytes] 
  match ip host 20.20.20.246 any 
  match ip host 20.20.20.248 any 
capture LOG_DROP type asp-drop all [Buffer Full - 524284 bytes] 
  match ip host 20.20.20.50 host 20.20.20.248 

 

2-1) 전체 packet capture 확인

#show capture // 전체 capture되고 있는 packet capture 확인 Result of the command: "show capture" capture

 

CAP_TEMP_AWS type raw-data buffer 2048 interface AWS [Capturing - 456 bytes] match ip host 20.20.20.246 any match ip host 20.20.20.248 any capture LOG_DROP type asp-drop all [Buffer Full - 524284 bytes] match ip host 20.20.20.50 host 20.20.20.248

 

2-2) 특정 packet capture 확인

Remove the captures when done.

ciscoasa# no capture CAP_TEMP_AWS
ciscoasa# no capture LOG_DROP


그리고 원인 파악을 위해 show nat로 NAT를 확인한다.

설정된 NAT에는 패킷이 걸렸으나, 다른 이슈로 인해 untranslate가 되었다.

현재 왜 untranslate가 되었는지 파악하는 중이다.

 

2-2. 설정 및 실습 - ASDM

패킷캡처는 ASDM에서도 아래 방법을 통해 진행할 수 있다.

1) Configuration > Firewall > NAT Rules > Packet Trace

 

 

 

Packet Trace를 클릭 후 interface와 packet Type을 설정 후 설정값들을 입력하면 애니메이션과 함께 어떤 부분에서 어떤 rule이 적용됐는지 + 버튼을 통해 확인할 수 있다.

 

어떤 단계들을 거쳐왔는지 + 버튼을 통해 확인해본다.

 

 

 

반응형
저작자표시

'직장생활 > VPN (Cisco, FortiGate)' 카테고리의 다른 글

리눅스(우분투)에서 VPN 접속하는 방법 / How to connect Cisco VPN in Ubuntu  (0) 2021.07.22
[Cisco VPN] Asymmetric NAT rules matched for forward and reverse flows; ... denied due to NAT reverse 해결 방법  (0) 2021.07.14
[Cisco VPN] Deny TCP (no connection) from ~ to ~ flags ACK on interface inside 현상 해결 (ASDM, CLI)  (0) 2021.07.14
[Cisco VPN] NAT, PAT 설명 및 VPN 설정 + Translate_hits, Untranslate_hits (ASDM)  (0) 2021.07.06
[Cisco VPN] Split Tunneling (Split VPN): VPN에서 트래픽 분리 설정 (ASDM)  (1) 2021.07.06

+ Recent posts

티스토리툴바