Cómo capturar paquetes ARP en una interfaz

Cómo capturar paquetes ARP en una interfaz

69612
Created On 09/25/18 19:50 PM - Last Modified 06/05/23 08:46 AM


Resolution


Resumen

Este documento describe cómo capturar paquetes ARP en una interfaz en un cortafuegos Palo Alto Networks.

 

Pasos

Del webgui

  1. Ir al monitor > captura de paquetes.
  2. Haga clic en administrar filtros y crear un filtro.
    1. Seleccione una interfaz para la interfaz de ingreso
    2. Seleccione ' sólo ' para la columna no IP

      Capture10. png. png

  3. Activar filtrado (establecer en ON).
    Capture11. png. png
  4. Configure las etapas para las capturas de paquetes. Introduzca un nombre de archivo para cada etapa configurada.

    Capture12. png. png

  5. Habilitar la captura. Haga clic en Aceptar cuando aparezca la advertencia de captura de paquetes.

    Capture13. png. png

  6. Actualice la página y aparecerán los archivos de captura de paquetes. Descargue el archivo de captura de paquetes haciendo clic en el enlace respectivo.

    Capture15. png. png

 

Desde el CLI

Ejecute los siguientes comandos de CLI para capturar paquetes ARP.

      1. > paquete de plan de bits de depuración-Diag conjunto filtro coincidencia no IP sólo ingreso-interfaz ethernet1/1
      2. > debug dataplane paquete-diag conjunto filtro
      3. > paquete de plan de archivos de depuración-Diag conjunto captura etapa Drop archivo DX
      4. > paquete de plan de archivos de depuración-Diag conjunto captura etapa transmitir archivo TX
      5. > paquete de plan de archivos de depuración-Diag conjunto captura etapa recibir archivo RX
      6. > paquete de plan de archivos de depuración-Diag conjunto captura etapa Firewall archivo FX
      7. > paquete de plan de bits de depuración-Diag conjunto de captura en

 

El archivo Rx contiene la solicitud ARP iniciada por un host externo que se emite. La respuesta ARP para la solicitud ARP enviada por la interfaz ethernet1/1 es unicast.

El archivo TX contiene la respuesta ARP enviada desde la interfaz del cortafuegos.

Nota: el proceso descrito anteriormente no capturará las solicitudes ARP iniciadas desde el cortafuegos. Compruebe el siguiente dispositivo de salto para obtener información sobre las solicitudes ARP iniciadas desde el cortafuegos de Palo Alto Networks.

 

Ejemplo

El cortafuegos de Palo Alto Networks (10.66.24.87) no tiene entrada ARP para 10.66.24.86

> ping Source 10.66.24.87 host 10.66.24.86

PING 10.66.24.86 (10.66.24.86) de 10.66.24.87:56 (84) bytes de datos.

64 bytes de 10.66.24.86: icmp_seq = 2 TTL = 64 Time = 0.936 MS

64 bytes de 10.66.24.86: icmp_seq = 3 TTL = 64 Time = 0.875 MS

 

El archivo RX con la respuesta ARP para una solicitud ARP iniciada por la interfaz:

ARP1. png

 

El archivo RX con la solicitud ARP recibida de otros hosts:

ARP2. png

 

El archivo TX contiene la respuesta ARP enviada desde la interfaz del cortafuegos, que es la respuesta a la solicitud ARP de la dirección Mac de la interfaz del cortafuegos.

ARP3. png

Nota: junto con estos paquetes, los archivos pcap contienen tráfico no IP como CDP, árbol de expansión, etc.

 

Propietario: hshah
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfqCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language