どのようにインターフェイス上の ARP パケットをキャプチャする

概要

このドキュメントでは、パロアルトネットワークファイアウォールのインターフェイス上で ARP パケットをキャプチャする方法について説明します。

手順

WebGUI から

1. モニタ > パケットキャプチャに移動します。
2. [フィルタの管理] をクリックし、フィルタを作成します。
   1. 進入インタフェースのインタフェースの選択
   2. 非 IP 列の場合は [のみ] を選択します。
      

      

3. フィルタリングを有効にする (オンに設定)。
   
4. パケットキャプチャのステージを構成します。構成された各ステージのファイル名を入力します。

   

5. キャプチャを有効にします。パケットキャプチャの警告が表示されたら、[OK] をクリックします。

   

6. ページを更新し、パケットキャプチャファイルが表示されます。それぞれのリンクをクリックして、パケットキャプチャファイルをダウンロードします。

   

CLI から

次の CLI コマンドを実行して、ARP パケットをキャプチャします。

1. > デバッグ dataplane パケット diag セットフィルタ一致非 ip のみの進入インタフェース ethernet1/1
2. > にフィルターを設定するデバッグ データ プレーン ・のパケット diag
3. > デバッグ dataplane パケット-diag セットキャプチャステージドロップファイル dx
4. > デバッグ dataplane パケット-diag セットキャプチャステージ送信ファイル tx
5. > デバッグ dataplane パケット-diag セットキャプチャステージ受信ファイル rx
6. > デバッグ dataplane パケット-diag セットキャプチャステージファイアウォールファイル fx
7. > dataplane パケット-diag セットキャプチャのデバッグ

rx ファイルには、ブロードキャストされる外部ホストによって開始された ARP 要求が含まれています。インターフェイス ethernet1/1 によって送信された arp 要求の arp 応答はユニキャストです。

tx ファイルには、ファイアウォールインターフェイスから送信された ARP 応答が含まれています。

注:上記のプロセスは、ファイアウォールから開始された ARP 要求をキャプチャしません。次ホップデバイスをチェックして、パロアルトネットワークファイアウォールから開始された ARP 要求に関する情報を取得します。

例

パロアルトネットワークファイアウォール (10.66.24.87) 10.66.24.86 の ARP エントリがありません。

> ping ソース10.66.24.87 ホスト10.66.24.86

10.66.24.87 からの PING 10.66.24.86 (10.66.24.86):56 (84) バイトのデータ。

10.66.24.86 から64バイト: icmp_seq = 2 ttl = 64 時間 = 0.936 ミリ秒

10.66.24.86 から64バイト: icmp_seq = 3 ttl = 64 時間 = 0.875 ミリ秒

インターフェイスによって開始された arp 要求の arp 応答を持つ rx ファイル:

他のホストから受信した ARP 要求を含む rx ファイル:

tx ファイルには、ファイアウォールインターフェイスから送信された arp 応答が含まれており、これはファイアウォールインターフェイスの MAC アドレスに対する arp 要求に対する応答です。

注:これらのパケットと共に、pcap ファイルには CDP、スパニングツリーなどの非 IP トラフィックが含まれています。

所有者: hshah