Comment capturer des paquets ARP sur une interface

Comment capturer des paquets ARP sur une interface

69606
Created On 09/25/18 19:50 PM - Last Modified 06/05/23 08:46 AM


Resolution


Vue d’ensemble

Ce document décrit comment capturer des paquets ARP sur une interface sur un pare-feu de Palo Alto Networks.

 

Étapes

De la WebGUI

  1. Allez à Monitor > capture de paquets.
  2. Cliquez sur gérer les filtres et créer un filtre.
    1. Sélectionnez une interface pour l'Interface d'inFiltration
    2. Sélectionnez'uniquement'pour la colonne non-IP

      Capture10. PNG. png

  3. Activer le filtrage (activé).
    Capture11. PNG. png
  4. Configurer les étapes pour les captures de paquets. Saisissez un nom de fichier pour chaque étape configurée.

    Capture12. PNG. png

  5. Activer la capture. Cliquez sur OK lorsque l'Avertissement de capture de paquets s'affiche.

    Capture13. PNG. png

  6. Actualisez la page et les fichiers de capture de paquets s'affichent. Téléchargez le fichier de capture de paquets en cliquant sur le lien correspondant.

    Capture15. PNG. png

 

De la CLI

Exécutez les commandes CLI suivantes pour capturer des paquets ARP.

      1. > Debug dataplane Packet-diag Set filtre match non-IP seulement infiltration-interface ethernet1/1
      2. > débogage dataplane paquets-diag régler le filtre sur
      3. > Debug dataplane paquet-diag Set capture stage Drop file DX
      4. > Debug dataplane Packet-diag Set capture stage transmettre le fichier TX
      5. > Debug dataplane Packet-diag Set capture stage recevoir le fichier RX
      6. > Debug dataplane Packet-diag Set capture étape Firewall fichier FX
      7. > Debug dataplane Packet-diag Set capture on

 

Le fichier RX contient une requête ARP initiée par un hôte externe qui est diffusé. La réponse ARP pour la requête ARP envoyée par l'interface ethernet1/1 est monoDiffusion.

Le fichier TX contient la réponse ARP envoyée à partir de l'interface du pare-feu.

Remarque: le processus décrit ci-dessus ne capturera pas les requêtes ARP lancées à partir du pare-feu. Vérifiez sur le périphérique hop suivant pour obtenir des informations sur les requêtes ARP lancées à partir du pare-feu de Palo Alto Networks.

 

Exemple

Le pare-feu de Palo Alto Networks (10.66.24.87) n'a pas d'entrée ARP pour 10.66.24.86

> ping source 10.66.24.87 hôte 10.66.24.86

PING 10.66.24.86 (10.66.24.86) à partir de 10.66.24.87:56 (84) octets de données.

64 octets de 10.66.24.86: icmp_seq = 2 TTL = 64 time = 0.936 ms

64 octets de 10.66.24.86: icmp_seq = 3 TTL = 64 time = 0.875 MS

 

Le fichier RX avec la réponse ARP pour une requête ARP initialisée par interface:

ARP1. png

 

Le fichier RX avec la demande ARP reçues d'autres hôtes:

ARP2. png

 

Le fichier TX contient la réponse ARP envoyée à partir de l'interface du pare-feu, qui est la réponse à la demande ARP pour l'adresse MAC de l'interface du pare-feu.

ARP3. png

Note: avec ces paquets, les fichiers PCAP contiennent du trafic non-IP comme CDP, enjambant-Tree, et ainsi de suite.

 

propriétaire : hshah
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfqCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language