Cisco ASA [Lab 6.1] Config Netflow Cisco ASA via CLI

root

root

Moderator

Config Netflow Cisco ASA 8.4 via CLI


Để xem cách thức hoạt động của Netflow các bạn có thể xem tại đây

I. Mô hình và yêu cầu
1. Mô hình
- Mô hình Lab cấu hình Netflow trên Cisco ASA 8.4

Config Netflow Cisco ASA via CLI(1)


2. yêu cầu lab config Netflow Cisco ASA 8.4 via CLI
- Thiết lập mô hình theo sơ đồ

Config Netflow Cisco ASA via CLI(2)
- Cấu hình cho inside và Dmz ra internet bằng NAT
- Cấu hình Netflow để giám sát tất cả các traffic trong hệ thống mạng
- Cài đặt Netflow analyzer trên Windows server 2k8
- Monitor traffic trong hệ thống mạng bằng Netflow Analyzer

II. Triển khai Netflow Cisco ASA 8.4 via CLI


1. Cấu hình Ip và default Router trên Cisco ASA
- Trên ASA: Cấu hình IP và default Route
Mã: 
ciscoasa(config)# int gigabitEthernet 0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address dhcp

ciscoasa(config-if)# int gigabitEthernet 1
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 192.169.20.254 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int gigabitEthernet 2
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.80.254 255.255.255.0
ciscoasa(config-if)# no shutdown

//default route trên ASA ra internet
Mã: 
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 192.168.10.2

//cho phép ping
Mã: 
ciscoasa(config)#fixup protocol icmp

- Sử dụng NAT port(PAT) để NAT cho các vùng inside, dmz ra internet
//inside ra internet
Mã: 
ciscoasa(config)# object network inside
ciscoasa(config-network-object)#subnet 192.168.80.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

//dmz ra internet
Mã: 
ciscoasa(config)# object network dmz
ciscoasa(config-network-object)#subnet 192.168.20.0 255.255.255.0
ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface

2. Config Netflow Cisco ASA 8.4 via CLI

- Để cấu hình Netflow trên ASA đẩy traffic thống kê về cho Netflow collector có các bước nư sau
Bước 1:
- Câu hình ACL để cho biết bạn cần thống kê những network hay host nào, từ đâu đi đến đâu ...
- Ở đây mình thống kê tất cả mọi traffic đi qua ASA
Mã: 
ciscoasa(config)# access-list netflow extended permit ip any any
- Nếu bạn thích bạn có thể chỉ thống kê 1 host hay 1 subnet, hay là traffic đi từ source từ đâu và des đến đâu thì chỉnh ở ACL này nhé.
Bước 2:
- Nơi traffic của Netflow trên ASA sẽ đẩy về collection server. Ở đây mình dùng windows server 2k8 cài Netflow analyzer làm Netflow Collection
- Server Netflow Collection nằm trong vùng inside có IP là 192.168.80.100/24
- Tools để thống kê là Netflow Analyzer nó mở port 9996. Cái này lúc bạn cài Netflow Analyzer sẽ thấy, bạn có thể thay đổi nó và khi thay đổi nhớ thay đổi cả trong câu lệnh ở đây.
Mã: 
ciscoasa(config)# flow-export destination inside 192.168.80.100 9996
ciscoasa(config)# flow-export template timeout-rate 1
- Timeout-rate: chỉnh là cái thời gian mà nó sẽ export dữ liệu xuống cho Netflow Collection server. Mặc định là 30 phút, mình chỉnh lại thành 1 phút cho nó mau còn đi ăn cơm ::)
- Nếu bạn sử dụng ASA 8.4.5 bạn có thể cấu hình thêm việc export dữ liệu xuống liên tục theo thời gian thực. Nghĩa là trên trên Netflow Collection Server bạn chỉ việc F5 là nó fresh mới chứ ko cần đợi 1 phút như trên
Mã: 
(config)# flow-export active refresh-interval 60

Bước 3:
- Tiến hành tạo "Route-map" để đưa ACL vào
//netflow_export_class: tên class-map mà bạn muốn tạo
ciscoasa(config)# class-map netflow_export_class

//netflow: tên của ACL phía trên mà bạn tạo ra
ciscoasa(config-cmap)# match access-list netflow
Bước 4
- Đưa nó vào policy-map mặc định của bạn là: global.
- Ở đây bạn nào ko thích áp vào policy-map mặc định thì có thể đặt tên khác như: "policy-map svuit" chẳng hạn :)
//globa:tên policy-map, tùy bạn đặt
Mã: 
ciscoasa(config)# policy-map global

//netflow_export_class: cái này phải là tên class-map mà bạn muốn add vào policy-map nhé
Mã: 
ciscoasa(config-pmap)# class netflow_export_class

Bước 5:
- Đẩy traffic về cho Netflow Collection server. Là máy 2k8(192.168.80.100/24)

ciscoasa(config-pmap-c)# flow-export event-type all destination 192.168.80.100
Bước 6: khởi động máy
- các bạn có thể bỏ qua bước này nếu bạn sử dụng polic-map mặc định của nó "global"
- Nếu bạn tạo tên khác thì phải khởi động nó theo lệnh sau nhé
//global : là tên policy-map lúc nãy bạn đặt
ciscoasa(config)# service-policy global global

II. Show hàng
- Các bạn vào máy trong vùng inside và DMZ ra internet bằng web, ping ... để lấy traffic cho nó thống kê nhé

1. Netflow Cisco ASA via CLI

- Nếu bạn nào thích trắng đen thì dùng cách này, tuy ko đẹp nhưng hiệu quả vì nó real-time
Mã: 
ciscoasa# show flow-export counters

ciscoasa# show service-policy global flow ip host [source IP] host [dest IP]

ciscoasa# show access-list flow_export_acl
 
Sửa lần cuối:
Bài viết liên quan
[Lab 2.7] Upgrade IOS Cisco ASA 5545 bởi root,
[Lab 6.2] Configure netflow analyzer on cisco asa bởi root,
Tổng hợp các bài lab Config Cisco ASA bởi root,
[Lab 13.2] Configure Virtual Firewall Cisco with Draytek bởi root,
[Lab 14.1] Configure redundant interface cisco ASA bởi root,
[lab 10.1] Configure cisco ASA email proxy bởi root,
Bài viết mới
[Lab 2.7] Upgrade IOS Cisco ASA 5545 bởi root,
[Lab 6.2] Configure netflow analyzer on cisco asa bởi root,
Tổng hợp các bài lab Config Cisco ASA bởi root,
[Lab 13.2] Configure Virtual Firewall Cisco with Draytek bởi root,
[Lab 14.1] Configure redundant interface cisco ASA bởi root,
[lab 10.1] Configure cisco ASA email proxy bởi root,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top