简介
本文档介绍安全网络分析(SNA)遥测接收所需的Netflow/IPFIX的最佳实践和基本配置。
先决条件
- Cisco SNA知识
- NetFlow/IPFIX知识
要求
- 7.2.1或更高版本中的安全网络分析
- 7.2.1或更高版本中的流量收集器
- 作为流量收集器的根的CLI访问
使用的组件
- 这完全取决于您的网络设计和您选择将NetFlow/IPFIX发送到安全网络分析的设备。每个导出器上的NetFlow/IPFIX配置不同,有关详细配置,请与每个导出器的支持团队联系。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
流量收集器是一种SNA设备,负责收集、处理和存储发送到安全网络分析的流量。对于NetFlow版本9或IPFIX,NetFlow/IPFIX模板上可以包含多个字段,以添加有关网络流量的详细信息,但是,对于流量收集器,NetFlow/IPFIX模板中必须包含9个特定字段,才能处理这些流量。流量收集器不会处理包含无效模板的传入流量,因此SNA不会在Web UI或桌面客户端下显示这些导出器的流量信息。
配置
必需字段
NetFlow/IPFIX模板中必须包含用于遥测接收的下一个字段。确保这9个字段包含在NetFlow/IPFIX模板中,以便安全网络分析处理传入流量。
- 源 IP 地址
- 目的 IP 地址
- 源端口
- 目标端口
- 第3层协议
- 字节计数
- 数据包计数
- 流开始时间
- 流结束时间
注意:NetFlow/IPFIX配置中可以包含更多字段,但之前的字段是遥测接收的安全网络分析的最低要求。
推荐字段
建议在NetFlow/IPFIX模板上添加以下字段,以收集有关接口信息的信息,此配置是显示接口信息(如名称和速度)所必需的:
最佳实践
此外,建议使用后续设置作为最佳实践,以确保安全网络分析的正确性能。
- 将活动超时设置为60秒
- 将非活动超时设置为15秒
- 将模板超时设置为30秒
注意:NetFlow的默认端口是2055,但是您可以选择其他端口,请确保在流量收集器上的lc-ast过程中使用同一端口。
验证
要验证NetFlow/IPFIX模板配置,您可以在导出器和流量收集器之间运行数据包捕获。通过SSH使用root用户登录流量收集器并运行命令:
tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap
- 使用SCP工具将数据包捕获从流量收集器(位于/lancope/var/tcpdump中)导出到本地计算机,然后在Wireshark上将其打开
- 确定接收NetFlow/IPFIX模板的帧,然后打开该帧以验证模板包含的字段
注意:显示的字段名称在每个导出器上可能看起来不同,这只是对如何验证这些字段的参考。