我已经在我们的数据中心设置了一个 netflow 服务器,该服务器使用 Cisco ASA 5505 通过 VPN 连接到大约 40 个远程办公室。目的是分析使用数据并准确了解远程连接的使用方式。
我跟进了http://techowto.files.wordpress.com/2008/09/ntop-guide.pdf设置 ntop 和https://supportforums.cisco.com/docs/DOC-6114设置 ASA。我可以从插件 > Netflow > 统计信息页面看到,我的 ASA 正在接收 Netflow 数据包 - 计数器正在增加。但是,切换到 Netflow 接口后,我没有在全局流量统计页面上看到任何细分。我只看到一个饼图,显示 eth0 的流量为 100%。
界面和文档有点难以理解,所以我不确定我是否已正确配置。
设置我的 NetFlow-device.2 时,我可以指定虚拟 NetFlow 接口网络地址 - Web UI 显示
该值采用实际 NetFlow 探测器所在网络上的网络地址和掩码的形式。
- 这是一个网络地址(例如 192.168.0.0/24)还是实际主机 IP 地址(192.167.0.1/24)?
- 如果那应该是一个网络地址,这是我的一个 ASA 所在的网络还是我的 ntop 服务器所在的网络?
- 如果是主机 IP 地址,这是我的 ntop 服务器上 eth0 使用的 IP 地址、ASA 的 IP 地址还是其他地址?
- 我是否需要为从中收集 Netflow 数据的每个 ASA 设置单独的虚拟接口?
非常欢迎任何指导。
答案1
ntop 社区建议我更新到 ntop 的 SVN 版本,这确实开始填充图表,而无需进行不同的配置。
然而,我发现在收集了几周的数据后,我没有看到有用的结果。我读到过存在一定的限制使用来自 ASA 的 netflow 数据可能会导致这种情况。我认为为了更好地进行分析,我可能正在寻找不同的数据收集机制,而且 NTOP 缺乏最新和清晰的文档意味着我可能也在寻找其他地方来整理和解释数据。回到绘图板!