Cisco ASA підтримують версію netflow під назвою NetFlow Secure Logging Logging (NSEL). Чи потрібна спеціальна підтримка протоколу колекторам для перегляду потоків? Чи сумісний протокол із традиційними колекторами netflow? У своїй реалізації я планую лише надсилати успішні потоки колектору.
Відповіді:
Наші ASA (версія 8.2 (x)) надсилають до колектора SolarWinds Orion за допомогою Netflow версії 9. Нам не потрібно було робити нічого особливого, щоб він працював. SolarWinds має документ з хорошим поясненням відмінностей між "нормальним" та "ASA" Netflow тут: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .
Якщо це допомагає, це зразок конфігурації:
access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
match access-list flow_export_acl
description Netflow
class flow_export_class
flow-export event-type all destination collector_IP-address
Записи NSEL надсилаються лише під час створення потоку, вилучення або ACL відмовляють події та використовує поля та шаблони NetFlow v9. Ось документ, який має Cisco про Netflow в ASA, і наприкінці йдеться про сумісність колектора. Я особисто використовував Scrutinizer і все працювало чудово.
Редагувати: Також Plixer "глибоко пірнав" про те, що таке NSEL.