Cisco ASA configureren voor NetFlow Export via CLI
de afgelopen weken heb ik een aantal support calls aangenomen van klanten die op zoek waren naar hulp bij het configureren van hun Cisco ASA. Dus ik dacht dat ik deze gelegenheid zou nemen om een aantal oudere blog onderwerpen te herzien.
naar mijn mening is de eenvoudigste manier om nsel te laten exporteren van deze beveiligingsapparatuur door het gebruik van de ASDM-interface. Deze eenvoudige, GUI-gebaseerde firewall management tool kunt u snel configureren van de Cisco ASA zonder de omslachtige command-line interface te gebruiken.
en dat brengt me bij het onderwerp van deze blog.
het configureren van de Cisco ASA met behulp van de CLI is echt niet zo veel anders dan het configureren van NetFlow op een andere router of switch. U definieert uw timeout waarde, flow export bestemming, en welke interface gaat om de export te sturen. Het verschil is dat u een servicebeleid en toegangsregels moet instellen die de export toestaan. Evenals bepalen welke gebeurtenissen gaan worden geëxporteerd en waar.
dus laten we beginnen.
eerst moeten we een ACL Instellen om al het IP – verkeer op te vangen-om het verkeer op te geven waarin u geïnteresseerd bent
(config)#access-list flow_export_acl extended permit ip any
als u wilt beperken wat wordt gelogd, kunt u ACL Instellen om alleen gebeurtenissen tussen bepaalde hosts te loggen. En stuur deze gebeurtenissen optioneel naar één collector-apparaat en log alle andere gebeurtenissen naar een tweede collector.
(config) # access-list flow_export_acl permit ip host 210.165.200.2 host 210.165.201.3
vervolgens zetten we de doelserver ip en template rate
(config)# flow-export destination
(config)# flow-export delay flow-create 15
(config)# flow-export template timeout-rate 1
** Als u FW versie 8.4.5 draait, kunt u nu een actieve flow timeout instellen. Hiermee wordt een update-gebeurtenis gemaakt die een delta-bit-telling verzendt voor actieve gesprekken.
(config)# stroom-uitvoer actief vernieuwen-interval 60
Nu willen we bouwen de klasse-kaart voor de stroom die overeenkomt met de ACL
(config)# – klasse-kaart flow_export_class
(config-cmap)# match toegang-lijst flow_export_acl
OK, nu is het tijd voor het toevoegen van onze flow_export_class tot de standaard globale beleid-kaart, of het bouwen van een nieuwe export-beleid-kaart
toe te Voegen aan de standaard van global policy-kaart ** let op – uw algemene beleid-kaart kan een andere naam hebben (ie. global-beleid of global_policy)
(config)# beleid-kaart wereldwijde
(config-pmap)# klasse flow_export_class
En geef de soorten gebeurtenissen die we exporteren van en naar de plaats waar
(config-pmap-c)# stroom-export event-type bestemming
Of maak een nieuw beleid exporteren
(config)# politiek-kaart flow_export_policy
(config-pmap)# klasse flow_export_class
En geef de soorten gebeurtenissen die we exporteren van en naar de plaats waar
(config-pmap-c)# stroom-export event-type bestemming
We zijn er bijna klaar
Laatste ding dat we moeten doen als we een flow_export_policy creëerden, is de policy-map toepassen op elk mondiaal beleid dat we hebben. Anders slaat u deze stap over en gebruiken we het huidige global service-policy
(config)# service-policy flow_export_policy global
u kunt informatie krijgen over wat de ASA doet in termen van de flow-uitvoer met behulp van de volgende commando ‘ s:
toon flow-exporttellers
toon service-policy global flow ip host host
toon access-list flow_export_acl
de Cisco ASA 5500 Series Configuration guide bevat meer informatie over het gebruik van deze commando ‘ s als je het nodig hebt.
het is duidelijk dat u een soort NetFlow collector appliance nodig hebt. Ik zou het gebruik van onze NetFlow en sFlow analyse tool aanraden. Wij zijn de marktleider als het gaat om NetFlow rapportage van beveiligingsgebeurtenissen die worden geëxporteerd vanuit de Cisco ASA ‘ s.
als u hulp nodig hebt bij het opzetten van uw Cisco security appliance, of als u meer wilt weten over onze netwerkanalysetools, bel me dan. (207)324-8805
29 mei, 2012 Cisco ASA UPDATE: nieuwe Cisco Nsel rapporten in Scrutinizer v9. Moet je ze zien.
Scott
Scott biedt Pre-Sales Technische ondersteuning aan het verkoopteam van Plixer. Scott komt uit een achtergrond van technische ondersteuning, met jarenlange ervaring die alles doet, van klantaccountbeheer tot systeemprogrammering. Enkele van zijn interesses zijn het coachen van jeugd sportprogramma ‘ s hier in Sanford, het spelen van drums en gitaar in lokale jam bands, en spelen in de buurt lawn Dart toernooien.