Konfigurere Cisco ASA For NetFlow-Eksport via CLI

Konfigurere Cisco ASA For NetFlow-Eksport via CLI

I løpet av de siste ukene har jeg tatt en rekke støttesamtaler fra kunder som lette etter hjelp med å konfigurere Cisco ASA. Så jeg tenkte at jeg ville benytte anledningen til å besøke noen eldre blogg fag.

etter min mening er den enkleste måten Å få nsel-eksport fra disse sikkerhetsapparatene gjennom BRUK AV asdm-grensesnittet. Denne enkle, GUI-baserte brannmur styringsverktøy lar deg raskt konfigurere Cisco ASA uten å måtte bruke tungvint kommandolinjegrensesnitt.

og det bringer meg til emnet i denne bloggen.

Konfigurere Cisco ASA ved HJELP AV CLI er egentlig ikke så mye annerledes som konfigurerer NetFlow på en annen ruter eller bryter. Du definerer tidsavbruddsverdien, flyteksportdestinasjonen og hvilket grensesnitt som skal sende eksporten. Forskjellen er at du må sette opp en servicepolicy og tilgangsregler som tillater eksport. I tillegg til å definere hvilke hendelser som skal eksporteres og hvor.

så la oss komme i gang.

først må vi sette OPP EN ACL for å fange ALL IP – trafikk-for å spesifisere trafikken du er interessert i

(config)#access-list flow_export_acl utvidet tillatelse ip noen noen

hvis du vil begrense hva som blir logget, kan DU sette ACL til å logge bare hendelser mellom bestemte verter. Og eventuelt sende disse hendelsene til en samler apparatet og logge alle andre hendelser til en annen samler.

(config) # access-liste flow_export_acl tillate ip vert 210.165.200.2 vert 210.165.201.3

Deretter setter vi opp destinasjonsserveren ip og malhastighet

(config)# flow-export destination

(config)# flow-export delay flow-create 15
(config) # flow-export template timeout-rate 1

** hvis DU kjører FW versjon 8.4.5, kan du nå angi en aktiv tidsavbrudd for flyt. Dette oppretter en oppdateringshendelse som sender et deltabitantall for aktive samtaler.

(config) # flyt-eksporter aktiv oppdateringsintervall 60

Nå ønsker vi å bygge class-map for flyten som samsvarer MED ACL

(config)# class-map flow_export_class
(config-cmap)# match access-list flow_export_acl

OK, nå er det på tide å enten legge til vår flow_export_class til standard global policy-map, eller bygge en ny eksportpolicy-map

Legg til standard global policy-kart ** merk – din globale policy-KART kan ha et annet navn (dvs. global-policy eller global_policy)

(config)# policy-kart global
(config-pmap)# class flow_export_class

og angi hendelsestyper som vi skal eksportere og til hvor

(config-pmap-c)# flow-export event-skriv inn alle mål

eller opprett en ny eksportpolicy

(config)# policy-kart flow_export_policy
(config-pmap)# klasse flow_export_class

og angi hendelsestyper som vi skal eksportere og til hvor

(config-pmap-c)# flyt-eksport hendelsestype alle mål

vi er nesten ferdige

siste ting som vi må gjøre hvis vi opprettet en flow_export_policy, gjelder policykartet til hvilken global policy vi har. Ellers hopper du over dette trinnet, og vi vil bruke gjeldende globale tjenestepolicy

(config)# tjenestepolicy flow_export_policy global

DU kan få informasjon om HVA ASA gjør i form av flytutgangen ved å bruke følgende kommandoer:

vis flyt-eksport tellere

vis tjenestepolicy global flyt ip host host

vis access-list flow_export_acl

nå var det ikke så ille, var det?

Konfigurasjonsveiledningen For Cisco ASA 5500 Series har mer informasjon om bruken av disse kommandoene hvis du trenger det.

Åpenbart kommer Du til å trenge En Slags NetFlow-kollektorapparat. Jeg vil anbefale å bruke Vårt NetFlow Og sFlow Analyseverktøy. Vi har vært bransjeledende når Det gjelder NetFlow-rapportering fra sikkerhetshendelser eksportert fra Cisco ASA.

hvis du trenger hjelp med å sette Opp Cisco security appliance, eller ønsker å lære mer om våre nettverksanalyseverktøy, ring meg. (207)324-8805

29 Mai 2012 Cisco ASA OPPDATERING: Nye Cisco NSEL Rapporter I Scrutinizer v9. Sjekk dem ut.