Konfigurálása Cisco ASA NetFlow Export keresztül CLI
az elmúlt hetekben vettem számos támogatási hívások az ügyfelek, akik kerestek némi segítséget konfigurálása Cisco ASA. Úgy gondoltam, hogy megragadom az alkalmat, hogy újra megnézzek néhány régebbi blog témát.
véleményem szerint az NSEL exportálásának legegyszerűbb módja ezekből a biztonsági készülékekből az ASDM interfész használata. Ez az egyszerű, GUI-alapú tűzfalkezelő eszköz lehetővé teszi a Cisco ASA gyors konfigurálását anélkül, hogy a nehézkes parancssori felületet kellene használnia.
és ez elvezet a blog témájához.
a Cisco ASA konfigurálása a CLI használatával valójában nem annyira különbözik a NetFlow konfigurálásától bármely más útválasztón vagy kapcsolón. Megadhatja az időtúllépés értékét, a folyamat exportálási célját, valamint azt, hogy melyik felület fogja elküldeni az exportálást. A különbség az, hogy be kell állítania egy szolgáltatási házirendet, valamint az exportálást lehetővé tevő hozzáférési szabályokat. Valamint meghatározza, hogy mely eseményeket exportálják és hol.
Tehát kezdjük el.
először be kell állítanunk egy ACL – t, hogy elkapjuk az összes IP-forgalmat-meg kell adnunk az érdeklődő forgalmat
(config)#hozzáférés-lista flow_export_acl kiterjesztett engedély ip bármilyen bármilyen
ha korlátozni szeretné a naplózást, beállíthatja az ACL-t, hogy csak bizonyos gazdagépek közötti eseményeket naplózjon. És opcionálisan elküldheti ezeket az eseményeket egy gyűjtőberendezésnek, és naplózhatja az összes többi eseményt egy második gyűjtőnek.
(config)# hozzáférési lista flow_export_acl engedély IP host 210.165.200.2 host 210.165.201.3
ezután beállítottuk a célszerver ip-jét és a sablon sebességét
(config)# flow-export cél
(config)# flow-export delay flow-create 15
(config)# flow-export sablon timeout-rate 1
** ha az FW 8.4.5 verziót futtatja, akkor most beállíthat egy aktív áramlási időtúllépést. Ez létrehoz egy frissítési eseményt, amely delta bitszámot küld az aktív beszélgetésekhez.
(config) # flow-export aktív frissítési intervallum 60
most meg akarjuk építeni az osztály-térképet az ACL-nek megfelelő folyamathoz
(config)# class-map flow_export_class
(config-cmap)# match access-list flow_export_acl
OK, most itt az ideje, hogy hozzáadjuk a flow_export_class-t az alapértelmezett globális házirend-térképhez, vagy építsünk egy új export házirendet – térkép
Hozzáadás az alapértelmezett globális házirend-térképhez ** megjegyzés-a globális házirend-térképnek más neve is lehet (pl. global-policy vagy global_policy)
(config)# policy-map global
(config-pmap)# class flow_export_class
és adja meg azokat az eseménytípusokat, amelyeket exportálni fogunk, és ahová
(config-pmap-c)# flow-export esemény-írja be az összes rendeltetési helyet
vagy hozzon létre egy új exportálási policy
(config)# policy-map flow_export_policy
(config-PMAP)# class flow_export_class
és adja meg azokat az eseménytípusokat, amelyeket exportálni fogunk, és ahová
(config-PMAP-C)# Flow-export esemény-írja be az összes rendeltetési helyet
majdnem végeztünk
utolsó dolog, ami meg kell tennünk, ha létrehoztunk egy flow_export_policy-t, alkalmazzuk a házirend-térképet bármilyen globális politikánkra. Ellenkező esetben hagyja ki ezt a lépést, és az aktuális globális szolgáltatás-házirend
(config)# szolgáltatás-házirend flow_export_policy global
a következő parancsokkal kaphat információt arról, hogy az ASA mit csinál az áramlási kimenet szempontjából:
folyamat-exportszámlálók megjelenítése
szolgáltatás-házirend globális folyamat ip-host host
show access-list flow_export_acl
ez nem volt túl rossz, ugye?
a Cisco ASA 5500 sorozatú konfigurációs útmutató további információkat tartalmaz ezen parancsok használatáról, ha szüksége van rá.
nyilvánvalóan szükséged lesz valamilyen NetFlow kollektor készülékre. Javaslom a NetFlow és az sFlow elemző eszköz használatát. Mi voltunk az iparág vezető, amikor a NetFlow jelentési biztonsági események exportált a Cisco ASA.
ha bármilyen segítségre van szüksége a Cisco security appliance, vagy szeretne többet megtudni a hálózati elemző eszközök, hívjon. (207)324-8805
május 29, 2012 Cisco ASA frissítés: új Cisco NSEL jelentések Scrutinizer v9. Nézd meg őket.
Scott
Scott értékesítés előtti technikai támogatást nyújt a Plixer értékesítési csapatának. Scott technikai támogatási háttérből származik,több éves tapasztalattal rendelkezik az ügyfélfiók-kezeléstől a rendszerprogramozásig. Néhány érdeklődési körébe tartozik az ifjúsági sportprogramok edzése itt Sanfordban, dobok és gitározás a helyi jam zenekarokban, valamint a szomszédos lawn dart versenyeken való játék.