Поддержка ASA Netflow

9

ASA Cisco поддерживают версию netflow, называемую Безопасной регистрацией событий NetFlow (NSEL). Требуется ли специальная поддержка протокола для сборщиков для просмотра потоков? Совместим ли протокол с традиционными сборщиками сетевых потоков? В моей реализации я планирую только посылать успешные потоки сборщику.

henklu
источник

Ответы:

11

Наши ASA (версия 8.2 (x)) отправляют сборщику SolarWinds Orion с использованием Netflow версии 9. Нам не нужно было делать ничего особенного, чтобы заставить его работать. У SolarWinds есть документ с хорошим объяснением различий между «нормальным» и «ASA» сетевым потоком здесь: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .

Если это поможет, вот пример конфигурации:

access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
 match access-list flow_export_acl
 description Netflow
 class flow_export_class
  flow-export event-type all destination collector_IP-address
VMEricAnderson
источник
9

Записи NSEL отправляются только во время создания потока, разрыва или событий запрета ACL и используют поля и шаблоны NetFlow v9. Вот документ, который Cisco имеет о Netflow на ASA, и в конце он говорит о совместимости коллектора. Я лично использовал Scrutinizer и все работало отлично.

Изменить: Также Пликсер сделал "глубокое погружение" на том, что такое NSEL.

bigbash
источник
1

Ранее я использовал netflow на ASA, и он требует только совместимости v9 на вашем коллекторе.

Бобл
источник