root
Specialist
Config Netflow Cisco ASA 8.4 via CLI
Để xem cách thức hoạt động của Netflow các bạn có thể xem tại đây
I. Mô hình và yêu cầu
1. Mô hình
- Mô hình Lab cấu hình Netflow trên Cisco ASA 8.4
2. yêu cầu lab config Netflow Cisco ASA 8.4 via CLI
- Thiết lập mô hình theo sơ đồ
- Cấu hình cho inside và Dmz ra internet bằng NAT
- Cấu hình Netflow để giám sát tất cả các traffic trong hệ thống mạng
- Cài đặt Netflow analyzer trên Windows server 2k8
- Monitor traffic trong hệ thống mạng bằng Netflow Analyzer
II. Triển khai Netflow Cisco ASA 8.4 via CLI
1. Cấu hình Ip và default Router trên Cisco ASA
- Trên ASA: Cấu hình IP và default Route
Mã:
ciscoasa(config)# int gigabitEthernet 0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address dhcp
ciscoasa(config-if)# int gigabitEthernet 1
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 192.169.20.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int gigabitEthernet 2
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.80.254 255.255.255.0
ciscoasa(config-if)# no shutdown
//default route trên ASA ra internet
Mã:
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 192.168.10.2
//cho phép ping
Mã:
ciscoasa(config)#fixup protocol icmp
//inside ra internet
//dmz ra internet
Mã:
ciscoasa(config)# object network inside
ciscoasa(config-network-object)#subnet 192.168.80.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
//dmz ra internet
Mã:
ciscoasa(config)# object network dmz
ciscoasa(config-network-object)#subnet 192.168.20.0 255.255.255.0
ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface
2. Config Netflow Cisco ASA 8.4 via CLI
- Để cấu hình Netflow trên ASA đẩy traffic thống kê về cho Netflow collector có các bước nư sauBước 1:
- Câu hình ACL để cho biết bạn cần thống kê những network hay host nào, từ đâu đi đến đâu ...
- Ở đây mình thống kê tất cả mọi traffic đi qua ASA
Mã:
ciscoasa(config)# access-list netflow extended permit ip any any
Bước 2:
- Nơi traffic của Netflow trên ASA sẽ đẩy về collection server. Ở đây mình dùng windows server 2k8 cài Netflow analyzer làm Netflow Collection
- Server Netflow Collection nằm trong vùng inside có IP là 192.168.80.100/24
- Tools để thống kê là Netflow Analyzer nó mở port 9996. Cái này lúc bạn cài Netflow Analyzer sẽ thấy, bạn có thể thay đổi nó và khi thay đổi nhớ thay đổi cả trong câu lệnh ở đây.
Mã:
ciscoasa(config)# flow-export destination inside 192.168.80.100 9996
ciscoasa(config)# flow-export template timeout-rate 1

- Nếu bạn sử dụng ASA 8.4.5 bạn có thể cấu hình thêm việc export dữ liệu xuống liên tục theo thời gian thực. Nghĩa là trên trên Netflow Collection Server bạn chỉ việc F5 là nó fresh mới chứ ko cần đợi 1 phút như trên
Mã:
(config)# flow-export active refresh-interval 60
Bước 3:
- Tiến hành tạo "Route-map" để đưa ACL vào
//netflow_export_class: tên class-map mà bạn muốn tạo
ciscoasa(config)# class-map netflow_export_class
//netflow: tên của ACL phía trên mà bạn tạo ra
ciscoasa(config-cmap)# match access-list netflow
Bước 4ciscoasa(config)# class-map netflow_export_class
//netflow: tên của ACL phía trên mà bạn tạo ra
ciscoasa(config-cmap)# match access-list netflow
- Đưa nó vào policy-map mặc định của bạn là: global.
- Ở đây bạn nào ko thích áp vào policy-map mặc định thì có thể đặt tên khác như: "policy-map svuit" chẳng hạn

//globa:tên policy-map, tùy bạn đặt
//netflow_export_class: cái này phải là tên class-map mà bạn muốn add vào policy-map nhé
Mã:
ciscoasa(config)# policy-map global
//netflow_export_class: cái này phải là tên class-map mà bạn muốn add vào policy-map nhé
Mã:
ciscoasa(config-pmap)# class netflow_export_class
Bước 5:
- Đẩy traffic về cho Netflow Collection server. Là máy 2k8(192.168.80.100/24)
ciscoasa(config-pmap-c)# flow-export event-type all destination 192.168.80.100
- các bạn có thể bỏ qua bước này nếu bạn sử dụng polic-map mặc định của nó "global"
- Nếu bạn tạo tên khác thì phải khởi động nó theo lệnh sau nhé
//global : là tên policy-map lúc nãy bạn đặt
ciscoasa(config)# service-policy global global
II. Show hàngciscoasa(config)# service-policy global global
- Các bạn vào máy trong vùng inside và DMZ ra internet bằng web, ping ... để lấy traffic cho nó thống kê nhé
1. Netflow Cisco ASA via CLI
- Nếu bạn nào thích trắng đen thì dùng cách này, tuy ko đẹp nhưng hiệu quả vì nó real-time
Mã:
ciscoasa# show flow-export counters
ciscoasa# show service-policy global flow ip host [source IP] host [dest IP]
ciscoasa# show access-list flow_export_acl
Sửa lần cuối:
Bài viết liên quan
Bài viết mới