如何在接口上捕获 ARP 数据包

概述

本文档介绍如何在帕洛阿尔托网络防火墙的接口上捕获 ARP 数据包。

步骤

从 WebGUI

1. 转到监视器 > 数据包捕获。
2. 单击 "管理筛选器" 并创建筛选器。
   1. 为入口接口选择接口
   2. 为非 IP 列选择 "仅"
      

      

3. 启用筛选 (设置为 ON)。
   
4. 配置数据包捕获的阶段。为每个配置的阶段输入一个文件名。

   

5. 启用捕获。出现数据包捕获警告时, 单击 "确定"。

   

6. 刷新该页, 将显示数据包捕获文件。通过单击相应的链接下载数据包捕获文件。

   

从 CLI

运行以下 CLI 命令以捕获 ARP 数据包。

1. >> 调试 dataplane 包诊断集筛选器匹配非 ip 仅入口接口 ethernet1/1
2. > 调试 dataplane 数据包 diag 集上的筛选器
3. >> 调试 dataplane 包诊断集捕获阶段丢弃文件 dx
4. >> 调试 dataplane 包诊断集捕获阶段传输文件 tx
5. >> 调试 dataplane 包诊断集捕获阶段接收文件 rx
6. >> 调试 dataplane 包诊断集捕获阶段防火墙文件 fx
7. >> 调试 dataplane 包诊断集捕获 on

rx 文件包含由广播的外部主机启动的 ARP 请求。接口 ethernet1/1 发送的 arp 请求的 arp 应答是单播的。

tx 文件包含从防火墙接口发送的 ARP 应答。

注意:上面描述的过程不会捕获从防火墙启动的 ARP 请求. 检查下一跃点设备以获取从帕洛阿尔托网络防火墙启动的 ARP 请求的信息。

示例

帕洛阿尔托网络防火墙 (10.66.24.87) 没有10.66.24.86 的 ARP 条目。

>> ping 源10.66.24.87 主机10.66.24.86

PING 10.66.24.86 (10.66.24.86) 来自 10.66.24.87:56 (84) 字节的数据。

10.66.24.86 64 个字节: icmp_seq=2 ttl=64 时间 = 0.936 毫秒

10.66.24.86 64 个字节: icmp_seq=3 ttl=64 时间 = 0.875 毫秒

使用接口启动的 arp 请求的 arp 应答的 rx 文件:

接收来自其他主机的 ARP 请求的 rx 文件:

tx 文件包含从防火墙接口发送的 arp 应答, 这是对防火墙接口 MAC 地址的 arp 请求的响应。

注意:与这些数据包一起, pcap 文件包含诸如 CDP、生成树等非 IP 通信.

所有者： hshah