ASA Cisco obsługują wersję NetFlow o nazwie NetFlow Secure Event Logging (NSEL). Czy wymagane jest specjalne wsparcie protokołu dla kolektorów, aby wyświetlić przepływy? Czy protokół jest zgodny z tradycyjnymi kolektorami NetFlow? W mojej implementacji planuję wysyłanie tylko udanych przepływów do kolektora.
Odpowiedzi:
Nasze ASA (wersja 8.2 (x)) wysyłają do kolektora SolarWinds Orion przy użyciu Netflow w wersji 9. Nie musieliśmy robić nic specjalnego, aby działał. SolarWinds ma dokument z dobrym wyjaśnieniem różnic między „normal” i „ASA” Netflow tutaj: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .
Jeśli to pomoże, to przykładowa konfiguracja:
access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
match access-list flow_export_acl
description Netflow
class flow_export_class
flow-export event-type all destination collector_IP-address
Rekordy NSEL są wysyłane tylko podczas tworzenia przepływu, porzucania lub odmowy ACL i wykorzystują pola i szablony NetFlow v9. Oto dokument, który Cisco posiada na temat Netflow na ASA, a na koniec mówi o interoperacyjności kolektora. Ja osobiście użyłem Scrutinizera i wszystko działało idealnie.
Edycja: Również Plixer wykonał „głębokie zanurzenie” na temat tego, czym jest NSEL.