Автор |
Сообщение |
684
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 15
|
Пытаюсь прикрутить ASA к ManageEngine Netflow Analyzer. Сейчас, насколько я понял, он поддерживает v9 и должен как то работать с асой. Настроил следующее для netflow: Код: flow-export destination inside 172.16.0.50 9996
policy-map inspect-h323 class inspected-h323 inspect h323 h225 inspect h323 ras policy-map global_policy class inspection_default inspect ftp inspect netbios inspect rsh inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect pptp inspect rtsp class class-default flow-export event-type all destination 172.16.0.50
В результате в коллекторе появляются только 2 интерфейса - Null0 и неактивный физический. Есть некоторое подозрение, что траффик не попадает в класс. Я прав? Что можно сделать?
|
09 авг 2011, 08:50 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
|
09 авг 2011, 09:29 |
|
|
684
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 15
|
Так я и настраивал, только у меня нет фильтрации по ACL.
|
09 авг 2011, 09:40 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
По дефолту на бесплатном Analizer видно только 2 интерфейса - какие первые подцепил, те и пользует.
Эту ситуацию можно поменять, зайдя на Analizer в закладку устройства. Там будут активные (ваш Нуль и еще один) и неактивные интерфейсы. Надо выбрать активными те, где реально идет трафик.
И еще: у меня на АСАшке НетФлоу с Netflow Analizer 8.6 не работал корректно до тех пор, пока я не прописал рекомендованное на сайте Analyzera
flow-export template timeout-rate 1 flow-export delay flow-create 60
________________________
UPD Подглядел, где я перемапливал активные и неактивные интрефейсы. Нифига не очевидная закладка: License Management и там 2 ярлыка сверху: Managed interfaces и UnManaged Interfaces
|
09 авг 2011, 09:52 |
|
|
684
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 15
|
Fedia писал(а): По дефолту на бесплатном Analizer видно только 2 интерфейса - какие первые подцепил, те и пользует.
Эту ситуацию можно поменять, зайдя на Analizer в закладку устройства. Там будут активные (ваш Нуль и еще один) и неактивные интерфейсы. Надо выбрать активными те, где реально идет трафик.
И еще: у меня на АСАшке НетФлоу с Netflow Analizer 8.6 не работал корректно до тех пор, пока я не прописал рекомендованное на сайте Analyzera
flow-export template timeout-rate 1 flow-export delay flow-create 60 У меня пока действует триальный период, так что ограничение на 2 интерфейсам пока не работает. В license management ни в одной вкладке нет интерфейсов, которые мне нужны. Судя по всему АСА просто не шлет данные по ним на коллектор. Прописал рекомендованные вами настройки - не помогло, на коллекторе тишина. Мне кажется, что по какой то причине траффик не попадает под class-default.
|
09 авг 2011, 10:07 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, у меня с этим тоже какой-то косяк был... Я сделал в итоге топорно: Код: access-l ANY perm ip any any ! class-map ANY match acc ANY ! policy-map global_policy class ANY flow-export event-type all destination 192.168.0.250
|
09 авг 2011, 10:36 |
|
|
684
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 15
|
Fedia писал(а): Да, у меня с этим тоже какой-то косяк был... Я сделал в итоге топорно: Код: access-l ANY perm ip any any ! class-map ANY match acc ANY ! policy-map global_policy class ANY flow-export event-type all destination 192.168.0.250 Не помогло, на коллекторе ничего не видно. Хотя у ACL хиты появляются: Код: access-list match-netflow line 1 extended permit ip any any (hitcnt=14919) 0xe3eec819 Можно как-то отдебажить работу MPF и/или NetFlow?
|
09 авг 2011, 11:05 |
|
|
ural_sm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 55
|
Мои костыли, работает.
flow-export destination inside 192.168.1.190 2222 flow-export template timeout-rate 1 flow-export delay flow-create 30
class-map NetFlow-traffic match access-list netflow policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp inspect icmp error inspect pptp inspect snmp inspect dns TV-PLC class NetFlow-traffic class class-default set connection decrement-ttl flow-export event-type all destination 192.168.1.190 ! service-policy global_policy global
|
09 авг 2011, 11:16 |
|
|
684
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 15
|
ural_sm писал(а): Мои костыли, работает.
flow-export destination inside 192.168.1.190 2222 flow-export template timeout-rate 1 flow-export delay flow-create 30
class-map NetFlow-traffic match access-list netflow policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp inspect icmp error inspect pptp inspect snmp inspect dns TV-PLC class NetFlow-traffic class class-default set connection decrement-ttl flow-export event-type all destination 192.168.1.190 ! service-policy global_policy global У меня сейчас практически тоже самое в конфиге и не работает. Написал в поддержку ManageEngine, надеюсь что-нибудь подскажут. Если удастся побороть, напишу здесь.
|
09 авг 2011, 12:13 |
|
|
ural_sm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 55
|
Сниферить на 172.16.0.50 пробывал?
|
09 авг 2011, 12:58 |
|
|
684
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 15
|
Небольшое обновление - переустановить NF Analyzer - появился еще один интерфейс - inside. Однако все данные по нему - "unaccounted", и используемая полоса пропускания заметно ниже реальной. Цитата: Сниферить на 172.16.0.50 пробывал? Я боюсь что не разгребу то что там наснифаю
|
09 авг 2011, 13:07 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
unaccounted - https://forums.manageengine.com/topic/q ... etflow-6-0Но побороть до конца не удается, поставил 300, все равно 15% трафа туда попадает
|
09 авг 2011, 13:13 |
|
|
684
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 15
|
У меня там 100% траффика так и висит. Внешний интерфейс появляться тоже не думает. Я уже не понимаю, это косяки анализатора или самой асы.
|
09 авг 2011, 13:55 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
Хм. С ASA я еще не снимаю трафик, поэтому конкретно по данной ситуации не подскажу =(
|
09 авг 2011, 14:11 |
|
|
684
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 15
|
Техподдержка помогла. По поводу интерфейсов оказалось что это баг ASA, который исправлен в версии 8.2.3 (у меня более ранняя) - она неверно выдает названия интерфейсов.
По поводу unaccounted траффика проблема в ipv6, исправляется шаманством с настройками хранения в анализаторе. Мне вообще поставили на пробный период бета-версию библиотеки для работы с ipv6 - работает нормально.
Тему можно закрывать.
|
10 авг 2011, 15:34 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ну и отлично!
А то странно: у кого-то работает на радость, а у кого-то нет.
|
11 авг 2011, 13:26 |
|
|