Gli ASA Cisco supportano una versione di netflow chiamata NetFlow Secure Event Logging (NSEL). È necessario un supporto speciale per il protocollo sui collettori per visualizzare i flussi? Il protocollo è compatibile con i tradizionali collettori netflow? Nella mia implementazione sto pianificando di inviare solo i flussi di successo al collezionista.
Risposte:
I nostri ASA (versione 8.2 (x)) inviano a un raccoglitore SolarWinds Orion usando Netflow versione 9. Non abbiamo dovuto fare nulla di speciale per farlo funzionare. SolarWinds ha un documento con una buona spiegazione delle differenze tra Netflow "normale" e "ASA" qui: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .
Se aiuta qui è una configurazione di esempio:
access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
match access-list flow_export_acl
description Netflow
class flow_export_class
flow-export event-type all destination collector_IP-address
I record NSEL vengono inviati solo durante la creazione di flussi, lo smontaggio o gli eventi di rifiuto ACL e utilizzano i campi e i modelli NetFlow v9. Ecco un documento che Cisco ha su Netflow sull'ASA e alla fine parla dell'interoperabilità dei collezionisti. Personalmente ho usato Scrutinizer e tutto ha funzionato perfettamente.
Modifica: Anche Plixer ha fatto un "tuffo profondo" su cos'è NSEL.