CLI
を介したNetFlowエクスポート用のCISCO ASAの設定ここ数週間、Cisco ASAの設定に関するサポートを探していたお客様から、数多くのサポートコールがありました。 だから私はいくつかの古いブログの科目を再訪するこの機会を取るだろうと考えました。
私の意見では、これらのセキュリティアプライアンスからNSELエクスポートを取得する最も簡単な方法は、ASDMインターフェイスを使用することです。 このシンプルなGUIベースのファイアウォール管理ツールを使用すると、煩雑なコマンドラインインターフェイスを使用せずにCisco ASAをすばやく設定できます。
そして、それはこのブログの主題に私をもたらします。CLIを使用してCISCO ASAを設定することは、他のルータまたはスイッチでNetFlowを設定することとあまり変わりません。 タイムアウト値、フローのエクスポート先、およびエクスポートを送信するインターフェイスを定義します。 違いは、サービスポリシーと、エクスポートを許可するアクセスルールを設定する必要があることです。 どのイベントがエクスポートされ、どこで取得されるかを定義するだけでなく、。
だから始めましょう。
まず、すべてのIPトラフィックをキャッチするためのACLを設定する必要があります–あなたが興味のあるトラフィックを指定するには
(config)#access-list flow_export_acl extended permit ip any any
ログに記録されるものを制限したい場合は、特定のホスト間のイベントのみをログに記録するようにACLを設定することができます。 また、必要に応じて、これらのイベントをあるコレクタアプライアンスに送信し、他のすべてのイベントを別のコレクタにログに記録します。
(config)#access-list flow_export_acl許可ipホスト210.165.200.2ホスト210.165.201.3
次に、宛先サーバーのipとテンプレートレートを設定します
(config)#flow-export destination
(config)#flow-export delay flow-create15
(config)#flow-export template timeout-rate1
**FWバージョン8.4.5を実行している場合、アクティブなフロータイムアウトを設定できるようになりました。 これにより、アクティブな会話のデルタビット数を送信するupdateイベントが作成されます。
(config)#flow-export active refresh-interval60
次に、ACLに一致するフローのクラスマップを作成します
(config)#class-map flow_export_class
(config-cmap)#match access-list flow_export_acl
OK、次は、flow_export_classをデフォルトのグローバルポリシーマップに追加するか、新しいエクスポートポリシーマップを作成します
デフォルトのグローバルポリシーマップに追加しますPolicy-map**注-あなたのグローバルpolicy-mapは別の名前を持つことができます(すなわち。 global-policyまたはglobal_policy)
(config)#policy-map global
(config-pmap)#class flow_export_class
エクスポートするイベントタイプを指定し、
(config-pmap-c)#flow-export event-type all destination
または、新しいエクスポートポリシーを作成します
(config)#policy-map flow_export_policy
(config-pmap)#class flow_export_class
そして、エクスポートするイベントタイプを指定し、どこに
(config-pmap-c)#flow-export event-type all destination
私たちはほぼ終了しています
最後のことは 私たちはflow_export_policyを作成した場合、私たちが持っているグローバルポリシーにpolicy-mapを適用する必要があります。 次のコマンドを使用して、ASAがフロー出力に関して行っていることについての情報を取得できます。
show flow-export counters
show service-policy global flow ip host host
show access-list flow_export_acl
今はそれほど悪くはありませんでしたか?『CISCO ASA5500シリーズ設定ガイド』には、必要に応じて、これらのコマンドの使用方法に関する詳細が記載されています。
明らかに、NetFlow collectorアプライアンスのいくつかの並べ替えが必要になるだろう。 NetFlowおよびsFlow分析ツールを使用することをお勧めします。 Cisco ASAからエクスポートされたセキュリティイベントからのNetFlowレポートに関しては、当社が業界をリードしてきました。
Cisco security applianceのセットアップに関す (207)324-8805
2012年5月29日Cisco ASAの更新:Scrutinizer v9の新しいCisco NSELレポート。 それらをチェックアウトします。
Scott
ScottはPlixerの営業チームに事前販売技術サポートを提供しています。 Scottは技術サポートの背景から来、顧客の記述管理からのシステムプログラミングにすべてをする経験の年を過す。 彼の興味のいくつかは、サンフォードでここに若者のスポーツプログラムをコーチング、地元のジャムバンドでドラムやギターを演奏し、近所の芝生のダートトーナメントで遊ぶことが含まれています。