Konfigurowanie Cisco ASA do eksportu NetFlow za pośrednictwem CLI
w ciągu ostatnich kilku tygodni odebrałem szereg połączeń z Pomocą techniczną od klientów, którzy szukali pomocy w konfigurowaniu swojego Cisco ASA. Pomyślałem więc, że skorzystam z okazji, aby ponownie odwiedzić niektóre starsze tematy blogów.
moim zdaniem najłatwiej uzyskać eksport NSEL z tych urządzeń bezpieczeństwa poprzez użycie interfejsu ASDM. To proste, oparte na GUI narzędzie do zarządzania zaporą sieciową pozwala szybko skonfigurować Cisco ASA bez konieczności korzystania z uciążliwego interfejsu wiersza poleceń.
i to sprowadza mnie do tematu tego bloga.
Konfigurowanie Cisco ASA za pomocą CLI nie różni się tak bardzo, jak konfigurowanie NetFlow na dowolnym innym routerze lub przełączniku. Definiujesz wartość limitu czasu, miejsce docelowe eksportu przepływów i interfejs, który wyśle eksport. Różnica polega na tym, że musisz skonfigurować zasady usług i reguły dostępu, które zezwalają na eksport. Jak również określić, które zdarzenia zostaną wyeksportowane i gdzie.
więc zaczynajmy.
najpierw musimy skonfigurować ACL, aby przechwytywał cały ruch IP-aby określić ruch, który Cię interesuje
(config)#access-list flow_export_acl extended permit ip any any
jeśli chcesz ograniczyć to, co jest rejestrowane, możesz ustawić ACL, aby rejestrował tylko zdarzenia między określonymi hostami. Opcjonalnie wysyłaj te zdarzenia do jednego urządzenia kolektora i zapisuj wszystkie inne zdarzenia do drugiego kolektora.
(config) # access-list flow_export_acl permit ip host 210.165.200.2 host 210.165.201.3
następnie ustawiamy adres IP serwera docelowego i szybkość szablonu
(config)# flow-export destination
(config)# flow-export delay flow-create 15
(config)# flow-export template timeout-rate 1
** jeśli używasz wersji FW 8.4.5, możesz teraz ustawić aktywny timeout przepływu. Spowoduje to utworzenie zdarzenia aktualizacji, które wysyła liczbę bitów delta dla aktywnych rozmów.
(config)# flow-export active refresh-interval 60
teraz chcemy zbudować class-map dla przepływu, który pasuje do ACL
(config)# class-map flow_export_class
(config-cmap)# match access-list flow_export_acl
OK, Teraz nadszedł czas, aby albo dodać naszą klasę flow_export_class do domyślnej globalnej mapy zasad, albo zbudować nową Politykę eksportu-map
Dodaj do domyślnej mapy zasad globalnych ** Uwaga-Twoja mapa zasad globalnych może mieć inną nazwę (np. global-policy lub global_policy)
(config)# policy-map global
(config-pmap)# class flow_export_class
i określ typy zdarzeń, które będziemy eksportować i gdzie
(config-pmap-c)# flow-export event-type all destination
lub utwórz nowy eksport policy
(config)# policy-map flow_export_policy
(config-PMAP)# class flow_export_class
i określ typy zdarzeń, które będziemy eksportować i gdzie
(config-PMAP-C)# flow-export event-type all destination
jesteśmy prawie skończeni
ostatnia rzecz, która musimy zrobić, jeśli stworzyliśmy flow_export_policy, to zastosować policy-map do jakiejkolwiek globalnej polityki Mamy. W przeciwnym razie pomiń ten krok, a użyjemy aktualnej globalnej polityki usług
(config)# service-policy flow_export_policy global
możesz uzyskać informacje o tym, co robi ASA w zakresie wyjścia przepływu, używając następujących poleceń:
show Flow-export counters
show service-policy global flow ip host host
Show access-list flow_export_acl
nie było tak źle, prawda?
Przewodnik Konfiguracji Cisco ASA 5500 Series zawiera więcej informacji na temat korzystania z tych poleceń, jeśli jest to potrzebne.
oczywiście będziesz potrzebował jakiegoś urządzenia do kolektora NetFlow. Polecam korzystanie z naszego narzędzia do analizy NetFlow i sFlow. Jesteśmy liderem w branży, jeśli chodzi o raportowanie NetFlow z zdarzeń bezpieczeństwa wyeksportowanych z Cisco ASA.
jeśli potrzebujesz pomocy w konfigurowaniu urządzenia Cisco security appliance lub chcesz dowiedzieć się więcej o naszych narzędziach do analizy sieci, zadzwoń do mnie. (207)324-8805
maj 29th, 2012 Aktualizacja Cisco ASA: nowe raporty Cisco Nsel w Scrutinizer v9. Sprawdź je.
Scott
Scott zapewnia przedsprzedażowe wsparcie techniczne dla zespołu sprzedaży w Plixer. Scott pochodzi z zaplecza technicznego i ma wieloletnie doświadczenie we wszystkim, od zarządzania kontem Klienta po programowanie systemu. Niektóre z jego zainteresowań obejmują trenowanie programów sportowych dla młodzieży tutaj w Sanford, grę na perkusji i gitarze w lokalnych zespołach dżemowych oraz grę w lokalnych turniejach lawn dart.