Prise en charge ASA Netflow

9

Cisco ASA prend en charge une version de netflow appelée NetFlow Secure Event Logging (NSEL). Un support spécial pour le protocole est-il requis sur les collecteurs pour visualiser les flux? Le protocole est-il compatible avec les collecteurs Netflow traditionnels? Dans mon implémentation, je prévois d'envoyer uniquement les flux réussis au collecteur.

henklu
la source

Réponses:

11

Nos ASA (version 8.2 (x)) sont envoyés à un collecteur SolarWinds Orion à l'aide de Netflow version 9. Nous n'avons rien eu à faire de spécial pour le faire fonctionner. SolarWinds a un doc avec une bonne explication des différences entre Netflow "normal" et "ASA" ici: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .

Si cela aide, voici un exemple de configuration:

access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
 match access-list flow_export_acl
 description Netflow
 class flow_export_class
  flow-export event-type all destination collector_IP-address
VMEricAnderson
la source
9

Les enregistrements NSEL sont uniquement envoyés lors de la création de flux, de la suppression ou des événements de refus ACL et utilisent les champs et les modèles NetFlow v9. Voici un Doc que Cisco a sur Netflow sur l'ASA et à la fin il parle de l'interopérabilité des collecteurs. Personnellement, j'ai utilisé Scrutinizer et tout fonctionnait parfaitement.

Edit: Plixer a également fait une "plongée profonde" sur ce qu'est NSEL.

bigbash
la source
1

J'ai déjà utilisé netflow sur des ASA, et il ne nécessite que la compatibilité v9 sur votre collecteur.

BobL
la source