Anticisco
http://anticisco.ru/forum/

Asa 8.2 + Netflow
http://anticisco.ru/forum/viewtopic.php?f=8&t=2107
Страница 1 из 1

Автор:  684 [ 09 авг 2011, 08:50 ]
Заголовок сообщения:  Asa 8.2 + Netflow

Пытаюсь прикрутить ASA к ManageEngine Netflow Analyzer. Сейчас, насколько я понял, он поддерживает v9 и должен как то работать с асой.
Настроил следующее для netflow:

Код:
flow-export destination inside 172.16.0.50 9996

policy-map inspect-h323
 class inspected-h323
  inspect h323 h225
  inspect h323 ras
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect netbios
  inspect rsh
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect icmp
  inspect pptp
  inspect rtsp
 class class-default
  flow-export event-type all destination 172.16.0.50


В результате в коллекторе появляются только 2 интерфейса - Null0 и неактивный физический. Есть некоторое подозрение, что траффик не попадает в класс. Я прав? Что можно сделать?

Автор:  imperorr [ 09 авг 2011, 09:29 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

а так? http://www.networkstraining.com/cisco-a ... ging-nsel/

Автор:  684 [ 09 авг 2011, 09:40 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow



Так я и настраивал, только у меня нет фильтрации по ACL.

Автор:  Fedia [ 09 авг 2011, 09:52 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

По дефолту на бесплатном Analizer видно только 2 интерфейса - какие первые подцепил, те и пользует.

Эту ситуацию можно поменять, зайдя на Analizer в закладку устройства. Там будут активные (ваш Нуль и еще один) и неактивные интерфейсы. Надо выбрать активными те, где реально идет трафик.

И еще: у меня на АСАшке НетФлоу с Netflow Analizer 8.6 не работал корректно до тех пор, пока я не прописал рекомендованное на сайте Analyzera

flow-export template timeout-rate 1
flow-export delay flow-create 60

________________________

UPD Подглядел, где я перемапливал активные и неактивные интрефейсы. Нифига не очевидная закладка:
License Management
и там 2 ярлыка сверху: Managed interfaces и UnManaged Interfaces

Автор:  684 [ 09 авг 2011, 10:07 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Fedia писал(а):
По дефолту на бесплатном Analizer видно только 2 интерфейса - какие первые подцепил, те и пользует.

Эту ситуацию можно поменять, зайдя на Analizer в закладку устройства. Там будут активные (ваш Нуль и еще один) и неактивные интерфейсы. Надо выбрать активными те, где реально идет трафик.

И еще: у меня на АСАшке НетФлоу с Netflow Analizer 8.6 не работал корректно до тех пор, пока я не прописал рекомендованное на сайте Analyzera

flow-export template timeout-rate 1
flow-export delay flow-create 60


У меня пока действует триальный период, так что ограничение на 2 интерфейсам пока не работает. В license management ни в одной вкладке нет интерфейсов, которые мне нужны.
Судя по всему АСА просто не шлет данные по ним на коллектор. Прописал рекомендованные вами настройки - не помогло, на коллекторе тишина.

Мне кажется, что по какой то причине траффик не попадает под class-default.

Автор:  Fedia [ 09 авг 2011, 10:36 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Да, у меня с этим тоже какой-то косяк был...

Я сделал в итоге топорно:
Код:
access-l ANY perm ip any any
!
class-map ANY
match acc ANY
!
policy-map global_policy
 class ANY
   flow-export event-type all destination 192.168.0.250

Автор:  684 [ 09 авг 2011, 11:05 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Fedia писал(а):
Да, у меня с этим тоже какой-то косяк был...

Я сделал в итоге топорно:
Код:
access-l ANY perm ip any any
!
class-map ANY
match acc ANY
!
policy-map global_policy
 class ANY
   flow-export event-type all destination 192.168.0.250


Не помогло, на коллекторе ничего не видно. Хотя у ACL хиты появляются:

Код:
access-list match-netflow line 1 extended permit ip any any (hitcnt=14919) 0xe3eec819


Можно как-то отдебажить работу MPF и/или NetFlow?

Автор:  ural_sm [ 09 авг 2011, 11:16 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Мои костыли, работает.

flow-export destination inside 192.168.1.190 2222
flow-export template timeout-rate 1
flow-export delay flow-create 30

class-map NetFlow-traffic
match access-list netflow
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
inspect pptp
inspect snmp
inspect dns TV-PLC
class NetFlow-traffic
class class-default
set connection decrement-ttl
flow-export event-type all destination 192.168.1.190
!
service-policy global_policy global

Автор:  684 [ 09 авг 2011, 12:13 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

ural_sm писал(а):
Мои костыли, работает.

flow-export destination inside 192.168.1.190 2222
flow-export template timeout-rate 1
flow-export delay flow-create 30

class-map NetFlow-traffic
match access-list netflow
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
inspect pptp
inspect snmp
inspect dns TV-PLC
class NetFlow-traffic
class class-default
set connection decrement-ttl
flow-export event-type all destination 192.168.1.190
!
service-policy global_policy global


У меня сейчас практически тоже самое в конфиге и не работает. Написал в поддержку ManageEngine, надеюсь что-нибудь подскажут. Если удастся побороть, напишу здесь.

Автор:  ural_sm [ 09 авг 2011, 12:58 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Сниферить на 172.16.0.50 пробывал?

Автор:  684 [ 09 авг 2011, 13:07 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Небольшое обновление - переустановить NF Analyzer - появился еще один интерфейс - inside. Однако все данные по нему - "unaccounted", и используемая полоса пропускания заметно ниже реальной.

Цитата:
Сниферить на 172.16.0.50 пробывал?


Я боюсь что не разгребу то что там наснифаю :)

Автор:  imperorr [ 09 авг 2011, 13:13 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

unaccounted - https://forums.manageengine.com/topic/q ... etflow-6-0
Но побороть до конца не удается, поставил 300, все равно 15% трафа туда попадает :(

Автор:  684 [ 09 авг 2011, 13:55 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

imperorr писал(а):
unaccounted - https://forums.manageengine.com/topic/q ... etflow-6-0
Но побороть до конца не удается, поставил 300, все равно 15% трафа туда попадает :(


У меня там 100% траффика так и висит. Внешний интерфейс появляться тоже не думает. Я уже не понимаю, это косяки анализатора или самой асы.

Автор:  imperorr [ 09 авг 2011, 14:11 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Хм. С ASA я еще не снимаю трафик, поэтому конкретно по данной ситуации не подскажу =(

Автор:  684 [ 10 авг 2011, 15:34 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Техподдержка помогла.
По поводу интерфейсов оказалось что это баг ASA, который исправлен в версии 8.2.3 (у меня более ранняя) - она неверно выдает названия интерфейсов.

По поводу unaccounted траффика проблема в ipv6, исправляется шаманством с настройками хранения в анализаторе. Мне вообще поставили на пробный период бета-версию библиотеки для работы с ipv6 - работает нормально.

Тему можно закрывать.

Автор:  Fedia [ 11 авг 2011, 13:26 ]
Заголовок сообщения:  Re: Asa 8.2 + Netflow

Ну и отлично!

А то странно: у кого-то работает на радость, а у кого-то нет.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/