Configurei um servidor netflow em nosso data center, que está conectado via VPN a cerca de 40 escritórios remotos usando Cisco ASA 5505. O objetivo é analisar os dados de uso e descobrir exatamente como as conexões remotas estão sendo usadas.
Eu seguihttp://tehowto.files.wordpress.com/2008/09/ntop-guide.pdfpara configurar o ntop ehttps://supportforums.cisco.com/docs/DOC-6114para configurar os ASAs. Posso ver na página Plugin > Netflow > Statistics que os pacotes netflow dos meus ASAs estão sendo recebidos - o contador está aumentando. No entanto, não vejo nenhuma falha na página Estatística de tráfego global depois de mudar para a interface do Netflow. Acabei de ver um gráfico de pizza mostrando 100% do tráfego para eth0.
As interfaces e a documentação são um pouco difíceis de seguir, então não tenho certeza se configurei tudo corretamente.
Ao configurar meu dispositivo NetFlow.2, posso especificar o endereço de rede da interface Virtual NetFlow - a interface da web diz
Esse valor está na forma de um endereço de rede e uma máscara na rede onde o probe NetFlow real está localizado.
- este é um endereço de rede (por exemplo, 192.168.0.0/24) ou um endereço IP de host real (192.167.0.1/24)?
- Se esse deveria ser um endereço de rede, esta é a rede na qual está um dos meus ASAs ou a rede na qual está o meu servidor ntop?
- Se for um endereço IP de host, este é o endereço IP usado pela eth0 no meu servidor ntop, o endereço IP de um ASA ou algo mais?
- Preciso de uma interface virtual separada para cada ASA do qual estou coletando dados do netflow?
Qualquer orientação seria muito bem-vinda.
Responder1
Fui aconselhado pela comunidade ntop a atualizar para a versão SVN do ntop, e isso realmente começou a preencher os gráficos sem configurar as coisas de maneira diferente.
No entanto, descobri que depois de coletar dados por algumas semanas, não estou vendo resultados úteis. eu li issoexistem certas limitaçõescom os dados netflow dos ASAs que podem resultar nisso. Acho que, para uma melhor análise, provavelmente estou procurando um mecanismo diferente de coleta de dados, e a falta de documentação atual e clara para o NTOP significa que provavelmente também estou procurando outro lugar para agrupar e interpretar os dados. De volta à prancheta!