Ich habe in unserem Rechenzentrum einen Netflow-Server aufgesetzt, der über VPN mit ~40 Remote-Büros über Cisco ASA 5505 verbunden ist. Ziel ist es, Nutzungsdaten zu analysieren und herauszufinden, wie die Remote-Verbindungen genau genutzt werden.
Ich habe es durchgezogenhttp://techowto.files.wordpress.com/2008/09/ntop-guide.pdfzum Einrichten von ntop undhttps://supportforums.cisco.com/docs/DOC-6114um die ASAs einzurichten. Ich kann auf der Seite „Plugin > Netflow > Statistiken“ sehen, dass Netflow-Pakete von meinen ASAs empfangen werden – der Zähler steigt. Allerdings sehe ich nach dem Wechsel zur Netflow-Schnittstelle keine Aufschlüsselung auf der Seite „Globale Verkehrsstatistik“. Ich sehe nur ein Kreisdiagramm, das 100 % Verkehr für eth0 anzeigt.
Die Schnittstellen und die Dokumentation sind etwas schwer verständlich, daher bin ich nicht sicher, ob ich alles richtig konfiguriert habe.
Beim Einrichten meines NetFlow-device.2 kann ich die Netzwerkadresse der virtuellen NetFlow-Schnittstelle angeben - die Web-Benutzeroberfläche sagt
Dieser Wert hat die Form einer Netzwerkadresse und -maske im Netzwerk, in dem sich die eigentliche NetFlow-Sonde befindet.
- Ist dies eine Netzwerkadresse (z. B. 192.168.0.0/24) oder eine tatsächliche Host-IP-Adresse (192.167.0.1/24)?
- Wenn dies eine Netzwerkadresse sein soll, ist dies das Netzwerk, in dem sich einer meiner ASAs befindet, oder das Netzwerk, in dem sich mein Ntop-Server befindet?
- Wenn es sich um eine Host-IP-Adresse handelt, ist dies die von eth0 auf meinem Ntop-Server verwendete IP-Adresse, die IP-Adresse einer ASA oder etwas anderes?
- Benötige ich für jede ASA, von der ich Netflow-Daten sammle, eine separate virtuelle Schnittstelle?
Jede Anleitung ist herzlich willkommen.
Antwort1
Die ntop-Community riet mir, auf die SVN-Version von ntop zu aktualisieren. Dadurch wurden die Diagramme tatsächlich aufgefüllt, ohne dass ich die Konfiguration ändern musste.
Ich habe jedoch festgestellt, dass ich nach dem Sammeln von Daten über mehrere Wochen keine nützlichen Ergebnisse sehe. Ich habe gelesen, dassEs gibt gewisse Einschränkungenmit den Netflow-Daten von ASAs, die dazu führen können. Ich denke, für eine bessere Analyse werde ich mir wahrscheinlich einen anderen Mechanismus zur Datenerfassung ansehen, und da es keine aktuelle und klare Dokumentation für NTOP gibt, werde ich mich wahrscheinlich auch woanders umsehen, um die Daten zu sammeln und zu interpretieren. Zurück zum Zeichenbrett!