Configurarea Cisco ASA pentru exportul NetFlow prin CLI
în ultimele săptămâni am luat o serie de apeluri de asistență de la clienții care căutau asistență pentru configurarea Cisco ASA. Așa că m-am gândit că voi profita de această ocazie pentru a revedea câteva subiecte mai vechi de pe blog.
în opinia mea, cel mai simplu mod de a obține NSEL exportul de la aceste aparate de securitate este prin utilizarea interfeței ASDM. Acest instrument simplu de gestionare a firewall-ului bazat pe GUI vă permite să configurați rapid Cisco ASA fără a fi nevoie să utilizați interfața greoaie a liniei de comandă.
și asta mă aduce la subiectul acestui blog.
Configurarea Cisco ASA folosind CLI nu este într-adevăr atât de diferită de configurarea NetFlow pe orice alt router sau switch. Definiți valoarea timeout, fluxul de destinație de export, și care Interfață se va trimite exportul. Diferența este că trebuie să configurați o politică de servicii și reguli de acces care să permită exportul. Precum și să definească evenimentele care vor fi exportate și în cazul în care.
deci, să începem.
mai întâi trebuie să configurăm un ACL pentru a prinde tot traficul IP – pentru a specifica traficul care vă interesează
(config)#access-list flow_export_acl permis extins IP orice
dacă doriți să limitați ceea ce se înregistrează, puteți seta ACL să înregistreze doar evenimente între anumite gazde. Și, opțional, trimite aceste evenimente la un aparat colector și conectați toate celelalte evenimente la un al doilea colector.
(config)# acces-listă flow_export_acl permis gazdă ip 210.165.200.2 gazdă 210.165.201.3
apoi am configurat IP-ul serverului de destinație și rata șablonului
(config)# flow-export destination
(config)# flow-export delay flow-create 15
(config)# flow-export template timeout-rate 1
** Dacă executați FW versiunea 8.4.5, puteți seta acum un timeout de flux activ. Aceasta creează un eveniment de actualizare care trimite un număr de biți delta pentru conversațiile active.
(config) # flux-export reîmprospătare activă-interval 60
acum vrem să construim harta de clasă pentru fluxul care se potrivește cu ACL
(config)# class-map flow_export_class
(config-cmap)# match access-list flow_export_acl
OK, acum este timpul fie să adăugăm flow_export_class la politica globală implicită-map, fie să construim o nouă politică de export-map
adăugați la politica globală implicită-harta ** notă-politica dvs. globală – harta poate avea un nume diferit (de exemplu. global-policy sau global_policy)
(config)# policy-map global
(Config-pmap)# class flow_export_class
și specificați tipurile de evenimente pe care le vom exporta și unde
(config-pmap-c)# flow-export event-type toate destinațiile
sau, creați o nouă politică de export
(config)# policy-map flow_export_policy
(config-PMAP)# class flow_export_class
și specificați tipurile de evenimente pe care le vom exporta și unde
(config-PMAP-c)# flow-export event-type toate destinațiile
suntem aproape terminați
ultimul lucru care trebuie să facem dacă am creat un flow_export_policy, se aplică politica-harta la orice politică globală avem. În caz contrar, săriți peste acest pas și vom folosi curent global service-policy
(config)# service-policy flow_export_policy global
puteți obține informații despre ceea ce face ASA în ceea ce privește fluxul de ieșire utilizând următoarele comenzi:
show flow-export contoare
show service-policy global flow ip gazdă gazdă
arată acces-lista flow_export_acl
acum, că nu a fost prea rău, nu-i așa?
Cisco ASA 5500 Series Ghidul de configurare are mai multe informații cu privire la utilizarea acestor comenzi, dacă aveți nevoie de ea.
evident, ai de gând să nevoie de un fel de aparat colector NetFlow. Aș recomanda utilizarea instrumentului nostru de analiză NetFlow și sFlow. Am fost lider în industrie când vine vorba de raportarea NetFlow de la evenimentele de securitate exportate de la Cisco ASA.
dacă aveți nevoie de asistență la configurarea aparatului de securitate Cisco sau doriți să aflați mai multe despre instrumentele noastre de analiză a rețelei, sunați-mă. (207)324-8805
29 Mai 2012 Cisco ASA UPDATE: noile rapoarte Cisco NSEL în Scrutinizer v9. Verifică-le.
Scott
Scott oferă suport tehnic pentru vânzări echipei de vânzări de la Plixer. Scott provine dintr-un mediu de asistență tehnică, având ani de experiență în a face totul, de la gestionarea contului de client până la programarea sistemului. Unele dintre interesele sale includ antrenarea programelor sportive pentru tineri aici în Sanford, cântând la tobe și chitară în trupe locale de gem și jucând în turnee de darts de gazon din cartier.