Wie man ARP-Pakete auf einer SchnittStelle erfasst

Wie man ARP-Pakete auf einer SchnittStelle erfasst

69610
Created On 09/25/18 19:50 PM - Last Modified 06/05/23 08:46 AM


Resolution


Übersicht

Dieses Dokument beschreibt, wie ARP-Pakete auf einer Schnittstelle auf einer Palo Alto Networks-Firewall erfasst werden.

 

Schritte

Von der WebGui

  1. Gehen Sie zu Monitor > Paket Aufnahme.
  2. Klicken Sie auf Filter verwalten und einen Filter erstellen.
    1. Wählen Sie eine Schnittstelle für die Ingress-SchnittStelle
    2. Wählen Sie "nur" für die nicht-IP-Spalte

      Capture10. PNG. png

  3. Aktivieren Sie das Filtern (auf).
    Capture11. PNG. png
  4. Konfigurieren Sie die Stadien für Paketaufnahmen. Geben Sie für jede konfigurierte Stufe einen Dateinamen ein.

    Capture12. PNG. png

  5. Erfassen können. Klicken Sie auf OK, wenn die Paket Aufnahme Warnung erscheint.

    Capture13. PNG. png

  6. Aktualisieren Sie die Seite und die Paket Aufnahme Dateien werden angezeigt. Laden Sie die Paket Aufnahme Datei herunter, indem Sie auf den jeweiligen Link klicken.

    Capture15. PNG. png

 

Von der CLI

Laufen Sie die folgenden CLI-Befehle, um ARP-Pakete zu erfassen.

      1. > Debug-dataplane-Paket-Diag-Set-Filter-Match nicht-IP nur Ingress-Interface Ethernet1/1
      2. > Debug Dataplane Paket-Diag Filter setzen auf
      3. > Debug dataplane-Paket-Diag-Set-Capture-Stufe-Drop-Datei DX
      4. > Debug-dataplane-Paket-Diag-Set-Aufzeichnungs Stufe übertragen Datei TX
      5. > Debug-dataplane-Paket-Diag-Set-Capture-Stufe erhalten Datei RX
      6. > Debug-dataplane-Paket-Diag-Capture-Phase-Firewall-Datei FX
      7. > Debug-dataplane-Paket-Diag-Set-Capture auf

 

Die RX-Datei enthält ARP-Anfrage, die von einem externen Host initiiert wurde, der ausgestrahlt wird. Die ARP-Antwort für die ARP-Anfrage, die von Interface Ethernet1/1 gesendet wird, ist Unicast.

Die TX-Datei enthält ARP-Antwort von der Firewall-Schnittstelle.

Hinweis: der oben beschriebene Prozess wird die von Firewall INITIIERTEN ARP-Anfragen nicht erfassen. ÜberPrüfen Sie das nächste Hopfen Gerät, um Informationen über ARP-Anfragen zu erhalten, die von der Palo Alto Networks Firewall initiiert wurden.

 

Beispiel

Die Palo Alto Networks Firewall (10.66.24.87) hat keinen ARP-Eintrag für 10.66.24.86

> Ping Source 10.66.24.87 Host 10.66.24.86

PING 10.66.24.86 (10.66.24.86) aus 10.66.24.87:56 (84) Bytes Daten.

64 Bytes von 10.66.24.86: icmp_seq = 2 ttl = 64 time = 0.936 MS

64 Bytes von 10.66.24.86: icmp_seq = 3 TTL = 64 time = 0.875 MS

 

Die RX-Datei mit der ARP-Antwort auf eine ARP-Anfrage, die von Interface initiiert wurde:

ARP1. png

 

Die RX-Datei mit ARP-Anfrage von anderen Hosts erhalten:

ARP2. png

 

Die TX-Datei enthält die ARP-Antwort, die von der Firewall-Schnittstelle gesendet wird, was die Antwort auf die ARP-Anfrage für die MAC-Adresse der Firewall-Schnittstelle ist.

ARP3. png

Hinweis: zusammen mit diesen Paketen enthalten die pcap-Dateien nicht-IP-Traffic wie CDP, Spanning-Tree und so weiter.

 

Besitzer: Hshah
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfqCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language