为我的实验室配置NetFlow

这篇博客文章将很快。我将共享NetFlow的配置,以便可以导出到StealthWatch系统。在以前的帖子中,我提到我在实验室中使用的是Cisco Catalyst 3650,Nexus 1000v和ASA 5506,因此我将介绍它们上配置的内容。
 

3650 组态:

流记录配置:

流量记录LANCOPE-REC
匹配datalink mac源地址输入
匹配datalink mac目标地址输入
匹配数据链路VLAN输入
匹配ipv4 ttl
匹配ipv4 tos
匹配ipv4协议
匹配ipv4源地址
匹配ipv4目的地址
匹配传输源端口
匹配运输目的港
匹配界面输入
匹配传输icmp ipv4类型
匹配传输icmp ipv4代码
匹配流向
匹配流cts源组标签
<-注意:从IOS-XE 3.06.04开始,您现在可以通过NetFlow导出SGT。
匹配流cts目标组标签 <-注意:从IOS-XE 3.06.04开始,您现在可以通过NetFlow导出SGT。
收集接口输出
收集传输TCP标志
收集计数器字节长
长时间收集计数器数据包
绝对优先收集时间戳
收集时间戳绝对最后
收集计数器字节layer2 long

创建流导出器:

流量出口商LANCOPE-EXP
目的地10.1.100.8
<-您的Flowcollector的IP地址,而不是SMC
源vlan100
运输udp 2055
模板数据超时60

创建流量监视器:

流量监控器LANCOPE-MON
出口商LANCOPE-EXP
缓存超时有效30
记录LANCOPE-REC

将其应用于接口:

接口范围g1 / 0 / 1-48
ip流量监视器LANCOPE-MON输入

核实:

显示流量监控器 LANCOPE-MON cache:

如果您已建立StealthWatch管理中心,则应该开始看到流程进入。

连结1000v

启用功能:

功能流

创建流导出器:

目的地10.1.100.8 <-您的Flowcollector的IP地址,而不是SMC
运输udp 2055
版本9
来源mgmt0

创建流量监视器:

流量监控器LANCOPE-MON
出口商LANCOPE-EXP
记录原始流量
超时活动60
超时无效15

将其应用于端口配置文件:

端口配置文件ProductionServer
ip流量监视器LANCOPE-MON输入

作为一个

登录到ASDM并导航到 组态>Device Management>Logging>Netflow 并执行以下操作:

  • 将模板超时率更改为10
  • 在“流更新间隔”字段中,定义从ASA发送长寿命流的状态更新的频率(建议1分钟)
  • 选中复选框 延迟发送短暂流的流创建事件
  • 类型 60 在里面 延迟时间 字段-它将减少从ASA导出的流事件的数量并减少许可的影响,而不会显着更改数据报告
  • 请点击 在此屏幕上添加Netflow收集器并添加FlowCollector的IP地址
  • 选中复选框 禁用冗余系统日志消息。这有助于防止性能问题

导航 组态>Firewall>Service Policy Rules 然后点击 。将单选按钮更改为 全球 然后点击 下一页

在下一页上,选择单选按钮 创建一个新的流量类别,命名,然后选中复选框 任何流量 点击之前 下一页

在下一页上,单击 净流量 标签,然后单击 加。  选中Lancope FlowCollector的框:

请点击 并将您的更改保存在ASDM中