为SNA上的遥测接收配置NetFlow/IPFIX

简介

本文档介绍安全网络分析(SNA)遥测接收所需的Netflow/IPFIX的最佳实践和基本配置。

先决条件

• Cisco SNA知识
• NetFlow/IPFIX知识

要求

• 7.2.1或更高版本中的安全网络分析
• 7.2.1或更高版本中的流量收集器
• 作为流量收集器的根的CLI访问

使用的组件

• 这完全取决于您的网络设计和您选择将NetFlow/IPFIX发送到安全网络分析的设备。每个导出器上的NetFlow/IPFIX配置不同，有关详细配置，请与每个导出器的支持团队联系。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

流量收集器是一种SNA设备，负责收集、处理和存储发送到安全网络分析的流量。对于NetFlow版本9或IPFIX，NetFlow/IPFIX模板上可以包含多个字段，以添加有关网络流量的详细信息，但是，对于流量收集器，NetFlow/IPFIX模板中必须包含9个特定字段，才能处理这些流量。流量收集器不会处理包含无效模板的传入流量，因此SNA不会在Web UI或桌面客户端下显示这些导出器的流量信息。

配置

必需字段

NetFlow/IPFIX模板中必须包含用于遥测接收的下一个字段。确保这9个字段包含在NetFlow/IPFIX模板中，以便安全网络分析处理传入流量。

• 源 IP 地址
• 目的 IP 地址
• 源端口
• 目标端口
• 第3层协议
• 字节计数
• 数据包计数
• 流开始时间
• 流结束时间

注意:NetFlow/IPFIX配置中可以包含更多字段，但之前的字段是遥测接收的安全网络分析的最低要求。

推荐字段

建议在NetFlow/IPFIX模板上添加以下字段，以收集有关接口信息的信息，此配置是显示接口信息（如名称和速度）所必需的：

• 接口输入
• 接口输出

最佳实践

此外，建议使用后续设置作为最佳实践，以确保安全网络分析的正确性能。

• 将活动超时设置为60秒
• 将非活动超时设置为15秒
• 将模板超时设置为30秒

注意：NetFlow的默认端口是2055，但是您可以选择其他端口，请确保在流量收集器上的lc-ast过程中使用同一端口。

验证

要验证NetFlow/IPFIX模板配置，您可以在导出器和流量收集器之间运行数据包捕获。通过SSH使用root用户登录流量收集器并运行命令：

tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap

• 使用SCP工具将数据包捕获从流量收集器(位于/lancope/var/tcpdump中)导出到本地计算机，然后在Wireshark上将其打开

• 确定接收NetFlow/IPFIX模板的帧，然后打开该帧以验证模板包含的字段

注意：显示的字段名称在每个导出器上可能看起来不同，这只是对如何验证这些字段的参考。