Konfigurieren von NetFlow/IPFIX für Telemetry Ingest auf SNA

Download-Optionen

  • PDF     (678.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (494.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (315.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. Juni 2023
Dokument-ID:220518

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Best Practices und die grundlegende Konfiguration von Netflow/IPFIX beschrieben, die Secure Network Analytics (SNA) für die Telemetrie-Erfassung benötigt.

    Voraussetzungen

    • Kenntnisse über Cisco SNA
    • NetFlow/IPFIX-Kenntnisse

    Anforderungen

    • Sichere Netzwerkanalysen ab Version 7.2.1
    • FlowCollector in Version 7.2.1 oder höher
    • CLI-Zugriff als Root auf Flow Collector

    Verwendete Komponenten

    • Dies hängt vollständig von Ihrem Netzwerkdesign und den Geräten ab, die Sie ausgewählt haben, um NetFlow/IPFIX an Secure Network Analytics zu senden. Die NetFlow/IPFIX-Konfiguration unterscheidet sich je nach Exporteur. Für eine detaillierte Konfiguration wenden Sie sich bitte an das Support-Team jedes Exporteurs.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Flow Collector ist eine SNA-Appliance, die für das Erfassen, Verarbeiten und Speichern von Flows zuständig ist, die an Secure Network Analytics gesendet werden. Für NetFlow-Version 9 oder IPFIX können mehrere Felder in der NetFlow/IPFIX-Vorlage enthalten sein, um weitere Informationen zum Netzwerkverkehr hinzuzufügen. Es gibt jedoch neun spezifische Felder, die in der NetFlow/IPFIX-Vorlage enthalten sein müssen, damit Flow Collector diese Flows verarbeiten kann. Flow Collector verarbeitet keine eingehenden Datenflüsse, die eine ungültige Vorlage enthalten. Aus diesem Grund zeigt SNA keine Datenflussinformationen dieser Exporteure unter Web UI oder Desktop Client an.

    Konfigurieren

    Pflichtfelder

    Die nächsten Felder müssen in der NetFlow/IPFIX-Vorlage für die Telemetrie-Erfassung enthalten sein. Stellen Sie sicher, dass diese 9 Felder in der NetFlow/IPFIX-Vorlage enthalten sind, damit Secure Network Analytics eingehende Datenflüsse verarbeiten kann.

    • IP-Quelladresse
    • Ziel-IP-Adresse
    • Quellport
    • Zielport
    • Layer-3-Protokoll
    • Byte Anzahl
    • Paketanzahl
    • Flow-Startzeit
    • Flow-Endzeit
    note-icon

    Hinweis: Die NetFlow/IPFIX-Konfiguration könnte weitere Felder enthalten. Die vorherigen Felder stellen jedoch die Mindestanforderungen für Secure Network Analytics für Telemetry Ingest dar.

    Empfohlene Felder

    Es wird empfohlen, die nächsten Felder in der NetFlow/IPFIX-Vorlage einzuschließen, um Informationen zu Schnittstelleninformationen zu sammeln. Diese Konfiguration ist erforderlich, um Schnittstelleninformationen wie Name und Geschwindigkeit anzuzeigen:

    • Schnittstelleneingang
    • Schnittstellenausgang

    Best Practices

    Darüber hinaus werden die nächsten Einstellungen als Best Practices empfohlen, um eine ordnungsgemäße Durchführung von Secure Network Analytics sicherzustellen.

    • Aktives Timeout auf 60 Sekunden setzen
    • Inaktives Timeout auf 15 Sekunden setzen
    • Zeitüberschreitung für Vorlage auf 30 Sekunden festlegen
    note-icon

    Hinweis: Der Standard-Port für NetFlow ist 2055. Sie können jedoch einen anderen Port auswählen. Stellen Sie sicher, dass derselbe Port während des letzten Prozesses für Flow Collector(s) verwendet wird.

    Überprüfung

    Zur Validierung der NetFlow/IPFIX-Vorlagenkonfiguration können Sie eine Paketerfassung zwischen dem Exporter und FlowCollector ausführen. Melden Sie sich bei Flow Collector mit dem Root-Benutzer über SSH an, und führen Sie den folgenden Befehl aus:

    tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap
    • Verwenden Sie ein SCP-Tool, um die Paketerfassung vom Flow Collector (in /lancope/var/tcpdump) auf Ihren lokalen Computer zu exportieren und dann in Wireshark zu öffnen.

    Identifizieren der Vorlage bei einer Paketerfassung

    • Identifizieren Sie den Frame, in dem die NetFlow/IPFIX-Vorlage empfangen wurde, und öffnen Sie sie, um die in der Vorlage enthaltenen Felder zu überprüfen.

    Lesen von Feldern in einer Vorlage

    note-icon

    Hinweis: Die angezeigten Feldnamen können je nach Exporteur unterschiedlich aussehen. Dies ist nur ein Hinweis darauf, wie Sie diese Felder validieren können.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    15-Jun-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Antonio Hernandez Almanza
      Cisco Security TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.