我在我們的資料中心設定了一台 Netflow 伺服器,該伺服器使用 Cisco ASA 5505 透過 VPN 連接到約 40 個遠端辦公室。
我跟進了http://techowto.files.wordpress.com/2008/09/ntop-guide.pdf設定 ntop 和https://supportforums.cisco.com/docs/DOC-6114設定 ASA。我可以從插件 > Netflow > 統計頁面看到正在接收來自我的 ASA 的 Netflow 封包 - 計數器正在增加。但是,切換到 Netflow 介面後,我在「全域流量統計」頁面上沒有看到任何細分。我只看到一個圓餅圖,顯示 eth0 的流量是 100%。
介面和文件有點難以理解,所以我不確定我的配置是否正確。
設定 NetFlow-device.2 時,我可以指定虛擬 NetFlow 介面網路位址 - Web UI 顯示
此值採用實際 NetFlow 探針所在網路上的網路位址和遮罩的形式。
- 這是網路位址(例如 192.168.0.0/24)還是實際的主機 IP 位址(192.167.0.1/24)?
- 如果它應該是網路位址,那麼這是我的 ASA 之一所在的網路還是我的 ntop 伺服器所在的網路?
- 如果是主機 IP 位址,這是我的 ntop 伺服器上的 eth0 使用的 IP 位址、ASA 的 IP 位址還是其他位址?
- 我是否需要為每個從中收集網路流資料的 ASA 提供單獨的虛擬介面?
任何指導都將受到極大的歡迎。
答案1
ntop 社群建議我更新到 ntop 的 SVN 版本,這確實開始填充圖表,而無需進行不同的配置。
然而,我發現在收集了幾週的數據後,我沒有看到有用的結果。我讀過有一定的限制使用來自 ASA 的網路串流資料可能會導致這種情況。我認為為了更好的分析,我可能正在尋找不同的資料收集機制,而 NTOP 缺乏最新且清晰的文件意味著我可能也在其他地方尋找資料的整理和解釋。回到繪圖板!