Konfigurera Cisco ASA för NetFlow Export via CLI

under de senaste veckorna har jag tagit ett antal supportsamtal från kunder som letade efter lite hjälp med att konfigurera sin Cisco ASA. Så jag tänkte att jag skulle ta tillfället i akt att återkomma till några äldre bloggämnen.

enligt min mening är det enklaste sättet att få NSEL att exportera från dessa säkerhetsapparater genom att använda ASDM-gränssnittet. Detta enkla, GUI-baserade brandväggshanteringsverktyg gör att du snabbt kan konfigurera Cisco ASA utan att behöva använda det besvärliga kommandoradsgränssnittet.

och det leder mig till ämnet för denna blogg.

konfigurera Cisco ASA med CLI är verkligen inte så mycket annorlunda att konfigurera NetFlow på någon annan router eller switch. Du definierar ditt timeout-värde, flödesexportdestination och vilket gränssnitt som ska skicka exporten. Skillnaden är att du måste ställa in en serviceprincip och åtkomstregler som tillåter export. Samt definiera vilka händelser kommer att få exporteras och där.

så låt oss komma igång.

först måste vi ställa in en ACL för att fånga all IP-trafik – för att ange den trafik du är intresserad av

(config)#access-list flow_export_acl extended permit ip any any

om du vill begränsa vad som loggas kan du ställa in ACL för att bara logga händelser mellan vissa värdar. Och eventuellt skicka dessa händelser till en samlare apparat och logga alla andra händelser till en andra samlare.

(config) # access-lista flow_export_acl tillstånd ip värd 210.165.200.2 värd 210.165.201.3

därefter ställer vi in destinationsserverns ip och mallhastighet

(config)# flow-exportdestination

(config)# flow-export delay flow-Skapa 15
(config)# flow-export template timeout-rate 1

** om du kör FW version 8.4.5 kan du nu ställa in en aktiv flödes timeout. Detta skapar en uppdateringshändelse som skickar ett delta – bitantal för aktiva konversationer.

(config) # flödesexport aktiv uppdateringsintervall 60

nu vill vi bygga klasskartan för flödet som matchar ACL

(config)# class-map flow_export_class
(config-cmap)# match access-list flow_export_acl

OK, nu är det dags att antingen lägga till vår flow_export_class till standard global policy-map, eller bygga en ny exportpolicy-map

Lägg till standard Global Policy-karta ** Obs-din Global Policy – karta kan ha ett annat namn (dvs. global-policy eller global_policy)

(config)# policy-map global
(config-pmap)# class flow_export_class

och ange händelsetyper som vi kommer att exportera och där

(config-pmap-c)# flow-export händelse-Typ alla destination

eller skapa en ny exportpolicy

(config)# policy-map flow_export_policy
(config-PMAP)# klass flow_export_class

och ange händelsetyper som vi kommer att exportera och där

(config-PMAP-C)# flow-export händelse-typ alla destination

vi är nästan färdiga

sista sak som vi måste göra om vi skapade en flow_export_policy, är tillämpa policykartan på vilken global policy Vi har. Annars hoppar du över det här steget och vi kommer att använda den nuvarande globala servicepolicyn

(config)# service-policy flow_export_policy global

du kan få information om vad ASA gör när det gäller flödesutgången med hjälp av följande kommandon:

visa flödesexporträknare

Visa service-policy global flow ip host host

visa åtkomstlista flow_export_acl

nu var det inte så illa, var det?

Cisco ASA 5500 Series konfigurationsguide har mer information om användningen av dessa kommandon om du behöver det.

självklart kommer du att behöva någon form av NetFlow collector appliance. Jag rekommenderar att du använder vårt analysverktyg NetFlow och sFlow. Vi har varit branschledande när det gäller NetFlow-rapportering från säkerhetshändelser som exporteras från Cisco ASA: s.

om du behöver hjälp med att konfigurera din Cisco security appliance eller vill lära dig mer om våra nätverksanalysverktyg, ring mig. (207)324-8805

29 maj, 2012 Cisco ASA uppdatering: nya Cisco NSEL rapporter i Scrutinizer v9. Kolla in dem.

Scott

Scott ger teknisk Support före försäljning till säljteamet på Plixer. Scott kommer från en teknisk supportbakgrund, med många års erfarenhet av att göra allt från kundkontohantering till systemprogrammering. Några av hans intressen inkluderar coaching ungdomsidrottsprogram här i Sanford, spela trummor och gitarr i lokala jamband, och spela i grannskaps gräsmatta dart turneringar.

Leave a Reply

Din e-postadress kommer inte publiceras.