Configuré un servidor Netflow en nuestro centro de datos, que está conectado a través de VPN a ~40 oficinas remotas utilizando Cisco ASA 5505. El objetivo es analizar los datos de uso y descubrir exactamente cómo se utilizan las conexiones remotas.
Seguí hasta el finalhttp://techowto.files.wordpress.com/2008/09/ntop-guide.pdfpara configurar ntop yhttps://supportforums.cisco.com/docs/DOC-6114para establecer las ASA. Puedo ver en la página Complemento > Netflow > Estadísticas que se están recibiendo paquetes de netflow de mis ASA; el contador está aumentando. Sin embargo, no veo ningún desglose en la página de Estadísticas de tráfico global después de cambiar a la interfaz de Netflow. Solo veo un gráfico circular que muestra el 100% del tráfico para eth0.
Las interfaces y la documentación son un poco difíciles de seguir, por lo que no estoy seguro de haber configurado todo correctamente.
Al configurar mi dispositivo NetFlow.2, puedo especificar la dirección de red de la interfaz virtual NetFlow: la interfaz de usuario web dice
Este valor tiene el formato de una dirección de red y una máscara en la red donde se encuentra la sonda NetFlow real.
- ¿Es esta una dirección de red (por ejemplo, 192.168.0.0/24) o una dirección IP de host real (192.167.0.1/24)?
- Si debería ser una dirección de red, ¿es esta la red en la que está uno de mis ASA o la red en la que está mi servidor ntop?
- Si es una dirección IP de host, ¿es esta la dirección IP utilizada por eth0 en mi servidor ntop, la dirección IP de un ASA o algo más?
- ¿Necesito una interfaz virtual separada para cada ASA del que estoy recopilando datos de flujo de red?
Cualquier orientación sería muy bienvenida.
Respuesta1
La comunidad de ntop me recomendó que actualizara a la versión SVN de ntop y, de hecho, esto comenzó a llenar los gráficos sin configurar las cosas de manera diferente.
Sin embargo, descubrí que después de recopilar datos durante algunas semanas, no veo resultados útiles. he leído esohay ciertas limitacionescon los datos de flujo neto de los ASA que pueden resultar en esto. Creo que para un mejor análisis probablemente esté buscando un mecanismo diferente de recopilación de datos, y la falta de documentación actual y clara para NTOP significa que probablemente también esté buscando en otra parte para cotejar e interpretar los datos. ¡De vuelta a la mesa de dibujo!