Configuring Cisco ASA for NetFlow Export via CLI

Configuring Cisco ASA for NetFlow Export via CLI

viime viikkoina olen ottanut useita tukipyyntöjä asiakkailta, jotka etsivät apua konfigurointi niiden Cisco ASA. Joten ajattelin, että käyttäisin tämän tilaisuuden uudelleen joitakin vanhempia blogin aiheita.

mielestäni helpoin tapa saada NSEL vientiin näistä turvalaitteista on ASDM-rajapinnan avulla. Tämä yksinkertainen, GUI-pohjainen palomuurin hallintatyökalu antaa sinulle mahdollisuuden määrittää nopeasti Cisco ASA ilman hankalaa komentoriviliitäntää.

ja siitä pääsenkin tämän blogin aiheeseen.

Cisco ASA: n määrittäminen CLI: llä ei oikeastaan eroa paljoakaan NetFlow: n määrittämisestä millään muulla reitittimellä tai kytkimellä. Määrittelet aikakatkaisun arvo, flow vienti määränpää, ja mikä käyttöliittymä aikoo lähettää vienti. Erona on, että sinun täytyy perustaa palvelupolitiikka, ja pääsy sääntöjä, jotka mahdollistavat viennin. Sekä määritellä, mitkä tapahtumat ovat menossa saada viedään ja missä.

joten aloitetaan.

ensin on määritettävä ACL, jotta kaikki IP-liikenne saadaan kiinni-määrittääksesi liikenteen, jota olet kiinnostunut

(config)#access-list flow_export_acl extended permit ip mikä tahansa

jos haluat rajoittaa sitä, mitä kirjautuu, voit asettaa ACL: n kirjaamaan vain tapahtumia tiettyjen isäntien välillä. Ja vaihtoehtoisesti lähettää nämä tapahtumat yhteen keräilylaite ja Loki kaikki muut tapahtumat toiselle keräilijä.

(config)# access-list flow_export_acl permit ip host 210.165.200.2 host 210.165.201.3

seuraavaksi määritämme kohdepalvelimen ip: n ja mallinopeuden

(config)# flow-export destination

(config)# flow-export delay flow-create 15
(config)# flow-export template timeout-rate 1

** Jos käytössä on FW-versio 8.4.5, voit nyt asettaa aktiivisen virtauksen aikakatkaisun. Tämä luo päivitystapahtuman, joka lähettää Delta-bittimäärän aktiivisille keskusteluille.

(config)# flow-export active refresh-interval 60

nyt halutaan rakentaa flow ’ lle LUOKKAKARTTA, joka vastaa ACL: ää

(config)# luokkakartta flow_export_class
(config-cmap)# match access-list flow_export_acl

OK, nyt on aika joko lisätä flow_export_class oletuskäytäntökarttaan tai rakentaa uusi vientikäytäntökartta

lisää oletuskäytäntö-kartta ** huomautus-yleinen käytäntö-kartta voi olla eri nimi (ts. global-policy tai global_policy)

(config)# policy-map global
(config-pmap)# class flow_export_class

and specify the event types that we will export and to where

(config-pmap-c)# flow-export event-type all destination

Or, create a new export policy

(config)# Policy-map flow_export_policy
(config-PMAP)# class flow_export_class

and specify the event types that we will export and to where

(config-PMAP-C)# flow-export event-type all destination

we ’ re almost ended

viimeinen asia, joka meidän täytyy tehdä, jos olemme luoneet flow_export_policy, on soveltaa politiikkaa-kartta mitä tahansa globaalia politiikkaa meillä on. Muussa tapauksessa Ohita tämä vaihe ja käytämme nykyistä globaalia palvelupolitiikkaa

(config)# service-policy flow_export_policy global

saat tietoa siitä, mitä ASA tekee flow-tuotoksen suhteen käyttämällä seuraavia komentoja:

Näytä flow-vientilaskurit

Näytä service-policy global flow ip host

näytä access-list flow_export_acl

no ei se nyt niin paha ollut, eihän?

Cisco ASA 5500 Series Configuration Guidessa on lisätietoa näiden komentojen käytöstä, jos tarvitset sitä.

ilmeisesti tarvitset jonkinlaisen NetFlow-keräilylaitteen. Suosittelen käyttämään NetFlow-ja sFlow-Analyysityökaluamme. Olemme olleet alan johtava Cisco ASA: lta vietyjen tietoturvatapahtumien NetFlow-raportoinnissa.

jos tarvitset apua Cisco security Appliancen perustamisessa tai haluat lisätietoja verkkoanalyysityökaluistamme, Soita minulle. (207)324-8805

29 toukokuu 2012 Cisco ASA UPDATE: Uusi Cisco NSEL raportit Scruinizer v9. Katso heitä.