はじめに
このドキュメントでは、Secure Network Analytics(SNA)がテレメトリ取り込みに必要とするNetflow/IPFIXのベストプラクティスと基本設定について説明します。
前提条件
- Cisco SNAの知識
- NetFlow/IPFIXの知識
要件
- 7.2.1以降のSecure Network Analytics
- 7.2.1以降のフローコレクタ
- フローコレクタへのルートとしてのCLIアクセス
使用するコンポーネント
- これは、ネットワーク設計と、NetFlow/IPFIXをSecure Network Analyticsに送信するために選択したデバイスに完全に依存します。NetFlow/IPFIXの設定は各エクスポータで異なります。詳細な設定については、各エクスポータのサポートチームに問い合わせてください。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
フローコレクタは、Secure Network Analyticsに送信されるフローの収集、処理、および保存を担当するSNAアプライアンスです。NetFlowバージョン9またはIPFIXの場合、ネットワークトラフィックに関連する情報を追加するためにNetFlow/IPFIXテンプレートにいくつかのフィールドを含めることができますが、Flow Collectorがこれらのフローを処理するためにNetFlow/IPFIXテンプレートに含める必要がある特定のフィールドが9つあります。フローコレクタは、無効なテンプレートを含む着信フローを処理しません。そのため、SNAはWeb UIまたはデスクトップクライアントでこれらのエクスポータのフロー情報を表示しません。
設定
必須フィールド
次のフィールドは、テレメトリ取り込み用のNetFlow/IPFIXテンプレートに含める必要があります。Secure Network Analyticsで着信フローを処理するために、これら9つのフィールドがNetFlow/IPFIXテンプレートに含まれていることを確認します。
- 送信元 IP アドレス
- 宛先 IP アドレス
- 送信元ポート
- 宛先ポート
- レイヤ3プロトコル
- バイト数
- パケット数
- フロー開始時間
- フロー終了時間
注:NetFlow/IPFIX設定には他のフィールドを含めることもできますが、前述のフィールドはSecure Network Analytics for Telemetry Ingestの最小要件です。
推奨フィールド
インターフェイス情報に関する情報を収集するために、NetFlow/IPFIXテンプレートに次のフィールドを含めることをお勧めします。この設定は、名前や速度などのインターフェイス情報を表示するために必要です。
ベスト プラクティス
また、Secure Network Analyticsを適切に実行するためのベストプラクティスとして、次の設定を推奨します。
- アクティブタイムアウトを60秒に設定
- 非アクティブタイムアウトを15秒に設定
- テンプレートのタイムアウトを30秒に設定する
注:NetFlowのデフォルトポートは2055ですが、別のポートを選択することもできます。フローコレクタでのlc-astプロセスでは、必ず同じポートを使用してください。
確認
NetFlow/IPFIXテンプレートの設定を検証するために、エクスポータとフローコレクタ間でパケットキャプチャを実行できます。SSH経由でrootユーザを使用してフローコレクタにログインし、次のコマンドを実行します。
tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap
- SCPツールを使用して、フローコレクタ(/lancope/var/tcpdump内にあります)からローカルマシンにパケットキャプチャをエクスポートし、Wiresharkで開きます
- NetFlow/IPFIXテンプレートが受信されたフレームを特定し、それを開いてテンプレートに含まれるフィールドを検証します
注:表示されるフィールド名はエクスポータごとに異なる場合があります。これは、これらのフィールドを検証する方法を示すだけです。