ASA Netflow-Unterstützung

9

Cisco ASAs unterstützen eine Netflow-Version namens NetFlow Secure Event Logging (NSEL). Ist für die Kollektoren eine spezielle Unterstützung für das Protokoll erforderlich, um die Flüsse anzuzeigen? Ist das Protokoll mit herkömmlichen Netflow-Kollektoren kompatibel? In meiner Implementierung plane ich, nur die erfolgreichen Flows an den Collector zu senden.

Henklu
quelle

Antworten:

11

Unsere ASAs (Version 8.2 (x)) werden mit Netflow Version 9 an einen SolarWinds Orion-Kollektor gesendet. Wir mussten nichts Besonderes tun, damit es funktioniert. SolarWinds hat ein Dokument mit einer guten Erklärung der Unterschiede zwischen "normalem" und "ASA" Netflow hier: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .

Wenn es hier hilft, ist eine Beispielkonfiguration:

access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
 match access-list flow_export_acl
 description Netflow
 class flow_export_class
  flow-export event-type all destination collector_IP-address
VMEricAnderson
quelle
9

NSEL-Datensätze werden nur während der Erstellung, dem Herunterfahren oder der ACL-Verweigerung von Ereignissen gesendet und verwenden NetFlow v9-Felder und -Vorlagen. Hier ist ein Dokument , das Cisco über Netflow auf dem ASA hat, und am Ende geht es um die Interoperabilität von Kollektoren. Ich persönlich habe Scrutinizer verwendet und alles hat perfekt funktioniert.

Edit: Auch Plixer hat einen "Deep Dive" über What NSEL gemacht.

Bigbash
quelle
1

Ich habe Netflow bereits für ASAs verwendet und es erfordert nur v9-Kompatibilität für Ihren Collector.

BobL
quelle