저는 Cisco ASA 5505를 사용하여 VPN을 통해 ~40개의 원격 사무실에 연결된 데이터 센터에 netflow 서버를 설정했습니다. 목표는 사용 데이터를 분석하고 원격 연결이 어떻게 사용되고 있는지 정확히 알아내는 것입니다.
나는 따라 갔다.http://techowto.files.wordpress.com/2008/09/ntop-guide.pdfntop을 설정하고https://supportforums.cisco.com/docs/DOC-6114ASA를 설정합니다. 플러그인 > Netflow > 통계 페이지에서 내 ASA의 netflow 패킷이 수신되고 있음을 확인할 수 있습니다. 카운터가 증가하고 있습니다. 그러나 Netflow 인터페이스로 전환한 후 글로벌 트래픽 통계 페이지에 어떤 분석도 표시되지 않습니다. eth0에 대한 100% 트래픽을 보여주는 원형 차트가 표시됩니다.
인터페이스와 문서는 따라가기가 약간 어렵기 때문에 올바르게 구성했는지 확신할 수 없습니다.
NetFlow-device.2를 설정할 때 가상 NetFlow 인터페이스 네트워크 주소를 지정할 수 있습니다. 웹 UI에 다음과 같이 표시됩니다.
이 값은 실제 NetFlow 프로브가 위치한 네트워크의 네트워크 주소 및 마스크 형식입니다.
- 이것은 네트워크 주소(예: 192.168.0.0/24)입니까, 아니면 실제 호스트 IP 주소(192.167.0.1/24)입니까?
- 네트워크 주소여야 하는 경우 이것이 내 ASA 중 하나가 있는 네트워크입니까, 아니면 내 ntop 서버가 있는 네트워크입니까?
- 호스트 IP 주소인 경우 이는 내 ntop 서버의 eth0에서 사용하는 IP 주소입니까, ASA의 IP 주소입니까, 아니면 다른 것입니까?
- Netflow 데이터를 수집하는 각 ASA에 대해 별도의 가상 인터페이스가 필요합니까?
어떤 지침이라도 대단히 환영받을 것입니다.
답변1
저는 ntop 커뮤니티로부터 ntop의 SVN 버전으로 업데이트하라는 조언을 받았고, 이는 실제로 다르게 구성하지 않고도 그래프를 채우기 시작했습니다.
그러나 몇 주 동안 데이터를 수집한 결과 유용한 결과가 나오지 않는다는 사실을 발견했습니다. 나는 그것을 읽었다특정한 제한이 있습니다ASA의 netflow 데이터를 사용하면 이러한 결과가 발생할 수 있습니다. 나는 더 나은 분석을 위해 아마도 데이터에 대한 다른 수집 메커니즘을 찾고 있다고 생각하며, NTOP에 대한 최신의 명확한 문서가 부족하다는 것은 아마도 데이터를 대조하고 해석하기 위해 다른 곳을 찾고 있음을 의미합니다. 다시 드로잉 보드로 돌아가세요!