Konfigurace Cisco ASA pro NetFlow Export přes CLI

Konfigurace Cisco ASA pro NetFlow Export přes CLI

během posledních několika týdnů jsem přijal řadu volání podpory od zákazníků, kteří hledali nějakou pomoc při konfiguraci jejich Cisco ASA. Tak jsem si myslel, že bych využil této příležitosti a vrátil se k některým starším tématům blogu.

podle mého názoru je nejjednodušší způsob, jak získat export NSEL z těchto bezpečnostních zařízení, pomocí rozhraní ASDM. Tento jednoduchý nástroj pro správu brány firewall založený na GUI umožňuje rychle konfigurovat Cisco ASA, aniž byste museli používat těžkopádné rozhraní příkazového řádku.

a to mě přivádí k tématu tohoto blogu.

konfigurace Cisco ASA pomocí CLI se opravdu neliší od konfigurace NetFlow na jakémkoli jiném routeru nebo přepínači. Definujete hodnotu časového limitu, cíl exportu toku a rozhraní, které export odešle. Rozdíl je v tom, že je třeba nastavit zásady služby a pravidla přístupu, která umožňují export. Stejně jako definovat, které události se budou exportovat a kde.

tak začněme.

nejprve musíme nastavit ACL, aby zachytil veškerý provoz IP-abychom určili provoz, který vás zajímá

(config)#access-list flow_export_acl extended allow ip any any

pokud chcete omezit to, co se zaznamenává, můžete nastavit ACL tak, aby zaznamenával pouze události mezi určitými hostiteli. A volitelně poslat tyto události do jednoho kolektoru zařízení a zaznamenávat všechny ostatní události do druhého kolektoru.

(config)# access-list flow_export_acl povolení ip host 210.165.200.2 hostitel 210.165.201.3

dále jsme nastavili cílový server ip a template rate

(config)# flow-export cíl

(config)# flow-export delay flow-create 15
(config)# flow-export template timeout-rate 1

* * pokud používáte FW verze 8.4.5, můžete nyní Nastavit aktivní časový limit toku. Tím se vytvoří událost aktualizace, která odešle počet bitů delta pro aktivní konverzace.

(config)# flow-export active refresh-interval 60

nyní chceme vytvořit třídní mapu pro tok, který odpovídá ACL

(config)# class-map flow_export_class
(config-cmap)# match access-list flow_export_acl

OK, Nyní je čas buď přidat naši flow_export_class do výchozí globální politiky-map, nebo vytvořit novou exportní politiku-map

přidat do výchozí globální politiky-map ** poznámka-vaše Globální politika – mapa může mít jiný název (tj. global-policy nebo global_policy)

(config)# policy-map global
(config-pmap)# class flow_export_class

a zadejte typy událostí, které budeme exportovat a kam

(config-pmap-c)# flow-export event-type all destination

nebo vytvořte novou exportní politiku

(config)# policy-map flow_export_policy
(config-PMAP)# class flow_export_class

a zadejte typy událostí, které budeme exportovat a kam

(config-PMAP-C)# flow-export event-type all destination

jsme téměř hotovi

poslední věc, která musíme udělat, pokud jsme vytvořili flow_export_policy, je použít politiku-map na jakékoliv globální politiky máme. V opačném případě tento krok přeskočte a použijeme aktuální globální servisní zásady

(config)# service-policy flow_export_policy global

informace o tom, co ASA dělá z hlediska výstupu toku, získáte pomocí následujících příkazů:

Zobrazit čítače exportu toku

zobrazit servisní zásady globální tok ip hostitele hostitele

Zobrazit přístupový seznam flow_export_acl

teď to nebylo tak špatné, že?

Průvodce konfigurací řady Cisco ASA 5500 obsahuje více informací o použití těchto příkazů, pokud je potřebujete.

je zřejmé, že budete potřebovat nějaký druh kolektorového zařízení NetFlow. Doporučuji použít náš analytický nástroj NetFlow a sFlow. Byli jsme lídrem v oboru, pokud jde o reporting NetFlow z bezpečnostních událostí exportovaných z Cisco ASA.

pokud potřebujete pomoc s nastavením zařízení Cisco security appliance nebo se chcete dozvědět více o našich nástrojích pro analýzu sítě, zavolejte mi. (207)324-8805

29. května 2012 aktualizace Cisco ASA: nové zprávy Cisco NSEL v Scrutinizer v9. Podívejte se na ně.