Soporte de ASA Netflow

9

Los ASA de Cisco admiten una versión de netflow llamada NetFlow Secure Event Logging (NSEL). ¿Se requiere un soporte especial para el protocolo en los recolectores para ver los flujos? ¿Es el protocolo compatible con los colectores tradicionales de netflow? En mi implementación, planeo enviar solo los flujos exitosos al recopilador.

Henklu
fuente

Respuestas:

11

Nuestros ASA (versión 8.2 (x)) se envían a un colector SolarWinds Orion utilizando Netflow versión 9. No tuvimos que hacer nada especial para que funcione. SolarWinds tiene un documento con una buena explicación de las diferencias entre Netflow "normal" y "ASA" aquí: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .

Si ayuda aquí hay una configuración de muestra:

access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
 match access-list flow_export_acl
 description Netflow
 class flow_export_class
  flow-export event-type all destination collector_IP-address
VMEricAnderson
fuente
9

Los registros NSEL solo se envían durante la creación de flujo, el desmantelamiento o los eventos de denegación de ACL y utilizan campos y plantillas de NetFlow v9. Aquí es un doc que Cisco tiene alrededor de Netflow en el ASA y al final se habla de interoperabilidad colector. Personalmente he usado Scrutinizer y todo funcionó perfectamente.

Editar: También Plixer hizo una "inmersión profunda" en lo que es NSEL.

bigbash
fuente
1

He usado netflow en ASA antes, y solo requiere compatibilidad v9 en su colector.

BobL
fuente