Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:13



Ответить на тему  [ Сообщений: 16 ] 
Asa 8.2 + Netflow 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Пытаюсь прикрутить ASA к ManageEngine Netflow Analyzer. Сейчас, насколько я понял, он поддерживает v9 и должен как то работать с асой.
Настроил следующее для netflow:

Код:
flow-export destination inside 172.16.0.50 9996

policy-map inspect-h323
 class inspected-h323
  inspect h323 h225
  inspect h323 ras
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect netbios
  inspect rsh
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect icmp
  inspect pptp
  inspect rtsp
 class class-default
  flow-export event-type all destination 172.16.0.50


В результате в коллекторе появляются только 2 интерфейса - Null0 и неактивный физический. Есть некоторое подозрение, что траффик не попадает в класс. Я прав? Что можно сделать?


09 авг 2011, 08:50
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
а так? http://www.networkstraining.com/cisco-a ... ging-nsel/


09 авг 2011, 09:29
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15


Так я и настраивал, только у меня нет фильтрации по ACL.


09 авг 2011, 09:40
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
По дефолту на бесплатном Analizer видно только 2 интерфейса - какие первые подцепил, те и пользует.

Эту ситуацию можно поменять, зайдя на Analizer в закладку устройства. Там будут активные (ваш Нуль и еще один) и неактивные интерфейсы. Надо выбрать активными те, где реально идет трафик.

И еще: у меня на АСАшке НетФлоу с Netflow Analizer 8.6 не работал корректно до тех пор, пока я не прописал рекомендованное на сайте Analyzera

flow-export template timeout-rate 1
flow-export delay flow-create 60

________________________

UPD Подглядел, где я перемапливал активные и неактивные интрефейсы. Нифига не очевидная закладка:
License Management
и там 2 ярлыка сверху: Managed interfaces и UnManaged Interfaces


09 авг 2011, 09:52
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Fedia писал(а):
По дефолту на бесплатном Analizer видно только 2 интерфейса - какие первые подцепил, те и пользует.

Эту ситуацию можно поменять, зайдя на Analizer в закладку устройства. Там будут активные (ваш Нуль и еще один) и неактивные интерфейсы. Надо выбрать активными те, где реально идет трафик.

И еще: у меня на АСАшке НетФлоу с Netflow Analizer 8.6 не работал корректно до тех пор, пока я не прописал рекомендованное на сайте Analyzera

flow-export template timeout-rate 1
flow-export delay flow-create 60


У меня пока действует триальный период, так что ограничение на 2 интерфейсам пока не работает. В license management ни в одной вкладке нет интерфейсов, которые мне нужны.
Судя по всему АСА просто не шлет данные по ним на коллектор. Прописал рекомендованные вами настройки - не помогло, на коллекторе тишина.

Мне кажется, что по какой то причине траффик не попадает под class-default.


09 авг 2011, 10:07
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да, у меня с этим тоже какой-то косяк был...

Я сделал в итоге топорно:
Код:
access-l ANY perm ip any any
!
class-map ANY
match acc ANY
!
policy-map global_policy
 class ANY
   flow-export event-type all destination 192.168.0.250


09 авг 2011, 10:36
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Fedia писал(а):
Да, у меня с этим тоже какой-то косяк был...

Я сделал в итоге топорно:
Код:
access-l ANY perm ip any any
!
class-map ANY
match acc ANY
!
policy-map global_policy
 class ANY
   flow-export event-type all destination 192.168.0.250


Не помогло, на коллекторе ничего не видно. Хотя у ACL хиты появляются:

Код:
access-list match-netflow line 1 extended permit ip any any (hitcnt=14919) 0xe3eec819


Можно как-то отдебажить работу MPF и/или NetFlow?


09 авг 2011, 11:05
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 55
Мои костыли, работает.

flow-export destination inside 192.168.1.190 2222
flow-export template timeout-rate 1
flow-export delay flow-create 30

class-map NetFlow-traffic
match access-list netflow
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
inspect pptp
inspect snmp
inspect dns TV-PLC
class NetFlow-traffic
class class-default
set connection decrement-ttl
flow-export event-type all destination 192.168.1.190
!
service-policy global_policy global


09 авг 2011, 11:16
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
ural_sm писал(а):
Мои костыли, работает.

flow-export destination inside 192.168.1.190 2222
flow-export template timeout-rate 1
flow-export delay flow-create 30

class-map NetFlow-traffic
match access-list netflow
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
inspect pptp
inspect snmp
inspect dns TV-PLC
class NetFlow-traffic
class class-default
set connection decrement-ttl
flow-export event-type all destination 192.168.1.190
!
service-policy global_policy global


У меня сейчас практически тоже самое в конфиге и не работает. Написал в поддержку ManageEngine, надеюсь что-нибудь подскажут. Если удастся побороть, напишу здесь.


09 авг 2011, 12:13
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 55
Сниферить на 172.16.0.50 пробывал?


09 авг 2011, 12:58
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Небольшое обновление - переустановить NF Analyzer - появился еще один интерфейс - inside. Однако все данные по нему - "unaccounted", и используемая полоса пропускания заметно ниже реальной.

Цитата:
Сниферить на 172.16.0.50 пробывал?


Я боюсь что не разгребу то что там наснифаю :)


09 авг 2011, 13:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
unaccounted - https://forums.manageengine.com/topic/q ... etflow-6-0
Но побороть до конца не удается, поставил 300, все равно 15% трафа туда попадает :(


09 авг 2011, 13:13
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
imperorr писал(а):
unaccounted - https://forums.manageengine.com/topic/q ... etflow-6-0
Но побороть до конца не удается, поставил 300, все равно 15% трафа туда попадает :(


У меня там 100% траффика так и висит. Внешний интерфейс появляться тоже не думает. Я уже не понимаю, это косяки анализатора или самой асы.


09 авг 2011, 13:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Хм. С ASA я еще не снимаю трафик, поэтому конкретно по данной ситуации не подскажу =(


09 авг 2011, 14:11
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Техподдержка помогла.
По поводу интерфейсов оказалось что это баг ASA, который исправлен в версии 8.2.3 (у меня более ранняя) - она неверно выдает названия интерфейсов.

По поводу unaccounted траффика проблема в ipv6, исправляется шаманством с настройками хранения в анализаторе. Мне вообще поставили на пробный период бета-версию библиотеки для работы с ipv6 - работает нормально.

Тему можно закрывать.


10 авг 2011, 15:34
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ну и отлично!

А то странно: у кого-то работает на радость, а у кого-то нет.


11 авг 2011, 13:26
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 16 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB