Cisco 在 ASA 防火墙的最新软件版本中引入了 NetFlow 9 导出功能。但它似乎仅用于安全事件的事件记录(作为系统日志消息的替代品)。
但是它还能用于带宽监控吗?如果可以,ASA 应该如何配置?
这里相关信息摘自思科网站:
答案1
安全事件日志记录与您所追求的不同。我相信您想要直接使用 NetFlow(v5 可以) - 导出到某种类型的分析器。
我已经使用过并推荐ManageEngine Netflow Analyzer:http://www.manageengine.com/products/netflow/download-free.html
获取免费版本,并在某台服务器上启动它。确保服务器的防火墙允许端口 9996 (UDP) 上的流量。然后,在 ASA 上使用以下配置导出网络流数据:
flow-export destination outside_interface_name <netflow analyzer IP> 9996
flow-export template timeout-rate 1
flow-export delay flow-create 10
access-list netflow-export extended permit ip any any
class-map netflow-export-class
match access-list netflow-export
policy-map global_policy
class netflow-export-class
flow-export event-type all destination <netflow analyzer IP>
请注意,在我的示例中,我假设您已经定义了 global_policy 策略图。
浏览到 Netflow Analyzer 并登录。Netflow 分析器将把 ASA 输出分解为源/目标连接,包括每个连接的兆字节流量,甚至会执行端口分析以向您显示正在使用的应用程序。
这使得我们特别容易看到当员工正在下载种子时例如。 :-)
答案2
就我的经验而言,思科提供的带宽监控功能有限。我使用并推荐 Fire Plotter,它可与思科防火墙配合使用。
答案3
您需要哪些详细的带宽监控?
如果您需要的只是基本的每个接口使用,那么 SNMP 和 Observium 或 Cacti 之类的东西是更好的解决方案。
例如,如果您需要每个客户端(在共享的内部网络上),那么您需要使用 Netflow 和 Netflow 收集器。