cisco防火墙抓包

时间：2010-07-28 来源：sorghum_cu

可以在防火墙抓取包：
首先定义需要抓报的类型，使用acl：
access-list capture permit icmp any any
capture test access-list capture interface outside
这样当有icmp包经过outside接口时，就会被抓取下来 copy /pcap capture: test tftp: Source capture name [test]? Address or name of remote host []? 10.10.166.27 Destination filename [test]? test1 这样就会把原始包抓取下来，然后扩展名改为dmp 如果不加/pcap ，那copy下来的是描述：
show capture test
或者通过：https://10.10.166.138/capture/captest/pcap
直接可以查看
通过这个地址：https://10.10.166.138/capture/http/pcap
来下载 no capture test
删除capture test缓存在抓取包的时候，如果是TCP，UDP数据包（基于状态）的时候，只有初始数据包处理，后续包直接进入加速处理器，不会被抓到。
例如从一个接口1进入，从2口出来，然后返回数据包从2口进入，从1口出来。这个时候数据包只有1口进的时候才被抓取。
而当专区icmp（没有状态）的时候，不管是进还是出都会被抓到，就是说，在1，2口的进出口都会被抓到。