Theo dõi gói tin (Packet Tracer) trên tường lửa Firewall Cisco để khắc phục sự cố mạng

Một trong những tính năng khắc phục sự cố hữu ích nhất của tường lửa Cisco ASA là sử dụng lệnh “packet-tracer” để theo dõi và mô phỏng cách một gói sẽ đi qua thiết bị Firewall Cisco ASA để xác định các sự cố có thể xảy ra (chẳng hạn như tại sao gói bị chặn, v.v.) .

Tính năng theo dõi gói đã được giới thiệu trong tường lửa Cisco ASA phiên bản 7.2 (1) và vẫn có sẵn cho đến nay trong các Firewall Cisco mới hơn.

Với lệnh này, bạn có thể nắm bắt thông tin gói chi tiết qua tường lửa để phân tích và khắc phục sự cố kết nối.

​

Cú pháp lệnh Packet-Tracer

Để chạy một phiên theo dõi gói để khắc phục sự cố gói và cách ly lỗi mạng, hãy sử dụng lệnh theo dõi gói như hình dưới đây:

packet-tracer input [src_int] protocol src_addr src_port dest_addr dest_port [detailed] [xml]

Có nhiều tùy chọn hơn trong lệnh trên, nhưng trong bài viết này chỉ ra cú pháp đơn giản nhất và hữu ích nhất (chúng ta sẽ xem thêm các ví dụ chi tiết bên dưới).

• [src_int]: Chỉ định giao diện nguồn (nhập) mà từ đó gói mô phỏng sẽ bắt đầu.
• protocol: Đây có thể là “tcp” hoặc “udp” hoặc “icmp”.
• src_addr: Tại đây nhập địa chỉ IP nguồn của gói tin.
• src_port: Cổng nguồn của gói tin (có thể là bất kỳ số nào tùy ý, tốt nhất là trên 1024).
• dest_addr: Địa chỉ IP đích của gói tin.
• dest_port: Cổng đích của gói tin.
• [detailed]: Cung cấp thông tin đầu ra theo dõi chi tiết.
• [xml]: Hiển thị kết quả theo dõi ở định dạng XML.

Packet Tracer trên Firewall Cisco ASA là gì

Với lệnh “packet-tracer”, có thể theo dõi thời gian của một gói thông qua thiết bị bảo mật để xem liệu nó có hoạt động như mong đợi hay không. Lệnh theo dõi gói cho phép bạn thực hiện những việc sau:

• Gỡ lỗi tất cả các gói drops trong mạng.
• Xác minh cấu hình đang hoạt động như dự định không.
• Hiển thị tất cả các quy tắc áp dụng cho một gói tin.
• Hiển thị dòng thời gian của các gói thay đổi trong đường dẫn dữ liệu.
• Đưa các gói theo dõi vào đường dẫn dữ liệu.

Lệnh theo dõi gói cung cấp thông tin chi tiết về các gói và cách chúng được thiết bị bảo mật xử lý.

Trong trường hợp một lệnh từ cấu hình không làm cho gói tin bị drops, lệnh theo dõi gói tin sẽ cung cấp thông tin về nguyên nhân theo cách dễ đọc.

Ví dụ: nếu một gói bị bỏ do xác thực tiêu đề không hợp lệ, một thông báo sẽ hiển thị cho biết “gói bị rớt do tiêu đề ip không hợp lệ (lý do)”.

Hơn nữa, nếu gói bị bỏ do Danh sách kiểm soát truy cập (ACL) chặn gói, điều này cũng sẽ được hiển thị trong đầu ra.

Tóm lại, lệnh theo dõi gói đưa một gói vào tường lửa ASA để theo dõi luồng của gói qua thiết bị.

Gói tin đi qua tất cả các bước đánh giá và thực thi mà tường lửa áp dụng như tra cứu tuyến đường, Danh sách điều khiển truy cập, NAT, kiểm tra giao thức, v.v. để mô phỏng luồng lưu lượng trong thế giới thực.

Ví dụ về truy vết thực tế (Practical Trace Examples)

Ví dụ 1

Để kích hoạt tính năng theo dõi gói từ máy chủ bên trong 10.2.25.3 đến máy chủ bên ngoài 209.165.202.158 với thông tin chi tiết, hãy nhập như sau:

ASA# packet-tracer input inside tcp 10.2.25.3 1025 209.165.202.158 80 detailed

Lệnh trên sẽ tạo một gói TCP ảo sẽ bắt đầu từ giao diện “bên trong” và có IP nguồn “10.2.25.3” và cổng nguồn “1025” và IP đích “209.165.202.158” với cổng đích “80”.

Tường lửa sẽ mô phỏng luồng gói ở trên và cho bạn biết chính xác cách tường lửa ASA sẽ hoạt động như thế nào trong các bước khác nhau của luồng gói (ví dụ gói ĐƯỢC PHÉP, DROPPED, v.v.).

Ví dụ 2

Ở đây chúng ta sẽ thấy một ví dụ sử dụng cả ASA CLI và GUI quản lý ASDM.

Chúng ta sẽ tạo một lưu lượng gói tin mô phỏng đến từ giao diện bên ngoài của ASA (ví dụ: Internet) địa chỉ IP của giao diện ASA WAN (209.165.200.226).

CLI Example:

ASA# packet-tracer input outside tcp 209.165.200.225 1500 209.165.200.226 23

Lệnh trên sẽ tạo một gói tcp ảo đến từ giao diện “bên ngoài”. Gói tin này sẽ có IP nguồn 209.165.200.225 (cổng nguồn 1500) và IP đích sẽ là 209.165.200.226 (cổng đích 23).

Vì luồng lưu lượng trên không được phép trên Firewal Cisco ASA (bởi ACL), nó sẽ bị loại bỏ.

Xem thêm cách chạy theo dõi này với ASDM bên dưới.

ASDM Example:

​

Chúc các bạn thành công!