Anticisco http://anticisco.ru/forum/ |
|
Asa 8.2 + Netflow http://anticisco.ru/forum/viewtopic.php?f=8&t=2107 |
Страница 1 из 1 |
Автор: | 684 [ 09 авг 2011, 08:50 ] |
Заголовок сообщения: | Asa 8.2 + Netflow |
Пытаюсь прикрутить ASA к ManageEngine Netflow Analyzer. Сейчас, насколько я понял, он поддерживает v9 и должен как то работать с асой. Настроил следующее для netflow: Код: flow-export destination inside 172.16.0.50 9996 policy-map inspect-h323 class inspected-h323 inspect h323 h225 inspect h323 ras policy-map global_policy class inspection_default inspect ftp inspect netbios inspect rsh inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect pptp inspect rtsp class class-default flow-export event-type all destination 172.16.0.50 В результате в коллекторе появляются только 2 интерфейса - Null0 и неактивный физический. Есть некоторое подозрение, что траффик не попадает в класс. Я прав? Что можно сделать? |
Автор: | imperorr [ 09 авг 2011, 09:29 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
а так? http://www.networkstraining.com/cisco-a ... ging-nsel/ |
Автор: | 684 [ 09 авг 2011, 09:40 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
imperorr писал(а): Так я и настраивал, только у меня нет фильтрации по ACL. |
Автор: | Fedia [ 09 авг 2011, 09:52 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
По дефолту на бесплатном Analizer видно только 2 интерфейса - какие первые подцепил, те и пользует. Эту ситуацию можно поменять, зайдя на Analizer в закладку устройства. Там будут активные (ваш Нуль и еще один) и неактивные интерфейсы. Надо выбрать активными те, где реально идет трафик. И еще: у меня на АСАшке НетФлоу с Netflow Analizer 8.6 не работал корректно до тех пор, пока я не прописал рекомендованное на сайте Analyzera flow-export template timeout-rate 1 flow-export delay flow-create 60 ________________________ UPD Подглядел, где я перемапливал активные и неактивные интрефейсы. Нифига не очевидная закладка: License Management и там 2 ярлыка сверху: Managed interfaces и UnManaged Interfaces |
Автор: | 684 [ 09 авг 2011, 10:07 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Fedia писал(а): По дефолту на бесплатном Analizer видно только 2 интерфейса - какие первые подцепил, те и пользует. Эту ситуацию можно поменять, зайдя на Analizer в закладку устройства. Там будут активные (ваш Нуль и еще один) и неактивные интерфейсы. Надо выбрать активными те, где реально идет трафик. И еще: у меня на АСАшке НетФлоу с Netflow Analizer 8.6 не работал корректно до тех пор, пока я не прописал рекомендованное на сайте Analyzera flow-export template timeout-rate 1 flow-export delay flow-create 60 У меня пока действует триальный период, так что ограничение на 2 интерфейсам пока не работает. В license management ни в одной вкладке нет интерфейсов, которые мне нужны. Судя по всему АСА просто не шлет данные по ним на коллектор. Прописал рекомендованные вами настройки - не помогло, на коллекторе тишина. Мне кажется, что по какой то причине траффик не попадает под class-default. |
Автор: | Fedia [ 09 авг 2011, 10:36 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Да, у меня с этим тоже какой-то косяк был... Я сделал в итоге топорно: Код: access-l ANY perm ip any any ! class-map ANY match acc ANY ! policy-map global_policy class ANY flow-export event-type all destination 192.168.0.250 |
Автор: | 684 [ 09 авг 2011, 11:05 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Fedia писал(а): Да, у меня с этим тоже какой-то косяк был... Я сделал в итоге топорно: Код: access-l ANY perm ip any any ! class-map ANY match acc ANY ! policy-map global_policy class ANY flow-export event-type all destination 192.168.0.250 Не помогло, на коллекторе ничего не видно. Хотя у ACL хиты появляются: Код: access-list match-netflow line 1 extended permit ip any any (hitcnt=14919) 0xe3eec819 Можно как-то отдебажить работу MPF и/или NetFlow? |
Автор: | ural_sm [ 09 авг 2011, 11:16 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Мои костыли, работает. flow-export destination inside 192.168.1.190 2222 flow-export template timeout-rate 1 flow-export delay flow-create 30 class-map NetFlow-traffic match access-list netflow policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp inspect icmp error inspect pptp inspect snmp inspect dns TV-PLC class NetFlow-traffic class class-default set connection decrement-ttl flow-export event-type all destination 192.168.1.190 ! service-policy global_policy global |
Автор: | 684 [ 09 авг 2011, 12:13 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
ural_sm писал(а): Мои костыли, работает. flow-export destination inside 192.168.1.190 2222 flow-export template timeout-rate 1 flow-export delay flow-create 30 class-map NetFlow-traffic match access-list netflow policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp inspect icmp error inspect pptp inspect snmp inspect dns TV-PLC class NetFlow-traffic class class-default set connection decrement-ttl flow-export event-type all destination 192.168.1.190 ! service-policy global_policy global У меня сейчас практически тоже самое в конфиге и не работает. Написал в поддержку ManageEngine, надеюсь что-нибудь подскажут. Если удастся побороть, напишу здесь. |
Автор: | ural_sm [ 09 авг 2011, 12:58 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Сниферить на 172.16.0.50 пробывал? |
Автор: | 684 [ 09 авг 2011, 13:07 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Небольшое обновление - переустановить NF Analyzer - появился еще один интерфейс - inside. Однако все данные по нему - "unaccounted", и используемая полоса пропускания заметно ниже реальной. Цитата: Сниферить на 172.16.0.50 пробывал? Я боюсь что не разгребу то что там наснифаю |
Автор: | imperorr [ 09 авг 2011, 13:13 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
unaccounted - https://forums.manageengine.com/topic/q ... etflow-6-0 Но побороть до конца не удается, поставил 300, все равно 15% трафа туда попадает |
Автор: | 684 [ 09 авг 2011, 13:55 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
imperorr писал(а): unaccounted - https://forums.manageengine.com/topic/q ... etflow-6-0 Но побороть до конца не удается, поставил 300, все равно 15% трафа туда попадает У меня там 100% траффика так и висит. Внешний интерфейс появляться тоже не думает. Я уже не понимаю, это косяки анализатора или самой асы. |
Автор: | imperorr [ 09 авг 2011, 14:11 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Хм. С ASA я еще не снимаю трафик, поэтому конкретно по данной ситуации не подскажу =( |
Автор: | 684 [ 10 авг 2011, 15:34 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Техподдержка помогла. По поводу интерфейсов оказалось что это баг ASA, который исправлен в версии 8.2.3 (у меня более ранняя) - она неверно выдает названия интерфейсов. По поводу unaccounted траффика проблема в ipv6, исправляется шаманством с настройками хранения в анализаторе. Мне вообще поставили на пробный период бета-версию библиотеки для работы с ipv6 - работает нормально. Тему можно закрывать. |
Автор: | Fedia [ 11 авг 2011, 13:26 ] |
Заголовок сообщения: | Re: Asa 8.2 + Netflow |
Ну и отлично! А то странно: у кого-то работает на радость, а у кого-то нет. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |