Diese Webseite nutzt Cookies

Diese Webseite nutzt Cookies zur Verbesserung des Erlebnisses unserer Besucher. Indem Sie weiterhin auf dieser Webseite navigieren, erklären Sie sich mit unserer Verwendung von Cookies einverstanden.

Einige dieser Cookies sind technisch zwingend notwendig, um gewissen Funktionen der Webseite zu gewährleisten.

Darüber hinaus verwenden wir einige Cookies, die dazu dienen, Informationen über das Benutzerverhalten auf dieser Webseite zu gewinnen und unsere Webseite auf Basis dieser Informationen stetig zu verbessern.

IsarNet IsarFlow IsarFlow-Partner NetFlow.de

Netflow ASA

Die Netflow-Konfiguration der ASA unterscheidet sich ebenso wie die übertragenen Daten von "normalem" Netflow. Im Wesentlichen dient Netflow hier dazu, den Status der Flows zu reporten (flow create, flow teardown, flow denied). Insofern ist Netflow auf den ASA's eher als Ersatz für einen klassischen Syslog-Server zu sehen, der mit den Datenmengen überfordert ist.

Netflow einschalten:

flow-export enable

IP-Adresse(n) definieren, an die die Netflow-Pakete geschickt werden sollen (z.B. Isarflow-Kollector):

flow-export destination <interface-name> <IP-collector> <port>

Da im Syslog die Meldungen nach wie vor auftauchen würden, können diese jetzt abgeschalten werden:

logging flow-export syslogs disable

Mittels Policy-Map kann dann die Konfiguration noch an die konkreten Wünsche angepaßt werden. So kann z.B. eine bestimmte Verbindung nach Kollektor A und alle anderen nach Kollektor B geschickt werden (siehe Beispiel) oder auch alle "denied flows" an einen Kollektor und den Rest an einen anderen.

Beispiel:

asa (config)# access-list flow_export_acl permit ip host 209.165.200.224 host 209.165.201.224
asa (config)# class-map flow_export_class
asa (config-cmap)# match access-list flow_export_acl
asa (config)# policy-map flow_export_policy
asa (config-pmap)# class flow_export_class
! alle Daten über die durch die ACL beschriebene Verbindung werden an Kollektor A geschickt
asa (config-pmap-c)# flow-export event-type all destination 209.165.200.230
asa (config-pmap)# class class-default
! alle anderen an Kollektor B
asa (config-pmap-c)# flow-export event-type all destination 209.165.201.29
asa (config)# service-policy flow_export_policy global

siehe auch:

http://www.cisco.com/en/US/customer/docs/security/asa/asa82/configuration/guide/monitor_nsel.html

 
Sie finden uns auf Stand 58 der "World of Solutions"

Wir sind jedes Jahr auf der auf der CiscoLive vertreten.