Configurar o NetFlow/IPFIX para a inclusão de telemetria em SNA

Introdução

Este documento descreve as práticas recomendadas e a configuração básica do Netflow/IPFIX que o Secure Network Analytics (SNA) precisa para a inclusão de telemetria.

Pré-requisitos

• Conhecimento de SNA da Cisco
• Conhecimento de NetFlow/IPFIX

Requisitos

• Análise de rede segura na versão 7.2.1 ou mais recente
• Flow Collector em 7.2.1 ou mais recente
• Acesso CLI como raiz para o Flow Collector

Componentes Utilizados

• Isso depende totalmente do seu projeto de rede e dos dispositivos que você selecionou para enviar o NetFlow/IPFIX para o Secure Network Analytics. A configuração do NetFlow/IPFIX é diferente em cada exportador; para obter uma configuração detalhada, entre em contato com a equipe de suporte de cada exportador.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O Flow Collector é um dispositivo SNA encarregado de coletar, processar e armazenar fluxos que são enviados para o Secure Network Analytics. Para o NetFlow versão 9 ou IPFIX, vários campos podem ser incluídos no modelo NetFlow/IPFIX para adicionar mais informações relacionadas ao tráfego de rede. No entanto, há 9 campos específicos que devem ser incluídos no modelo NetFlow/IPFIX para que o Flow Collector processe esses fluxos. O Flow Collector não processa fluxos de entrada que incluam um modelo não válido, portanto, o SNA não exibe informações de fluxo desses exportadores na IU da Web ou no Desktop Client.

Configurar

Campos Obrigatórios

Os próximos campos devem ser incluídos no modelo NetFlow/IPFIX para inclusão de telemetria. Certifique-se de que esses 9 campos estejam incluídos no modelo NetFlow/IPFIX, para que o Secure Network Analytics processe os fluxos de entrada.

• Endereço IP origem
• Endereço IP de destino
• Porta de origem
• Porta de Destino
• Protocolo de Camada 3
• Contagem de Bytes
• Contagem de pacotes
• Hora de início do fluxo
• Hora de término do fluxo

Observação: mais campos podem ser incluídos na configuração NetFlow/IPFIX, no entanto, os campos anteriores são os requisitos mínimos do Secure Network Analytics para Ingestão de Telemetria.

Campos recomendados

Recomenda-se incluir os próximos campos no modelo NetFlow/IPFIX para coletar informações sobre as informações de interface. Essa configuração é necessária para mostrar informações de interface, como nome e velocidade:

• Entrada de interface
• Saída da interface

Prática recomendada

Além disso, as próximas configurações são recomendadas como práticas recomendadas para garantir um desempenho adequado do Secure Network Analytics.

• Definir o tempo limite ativo como 60 segundos
• Definir o tempo limite inativo para 15 segundos
• Definir o tempo limite do modelo como 30 segundos

Observação: a porta padrão do NetFlow é 2055, no entanto, você pode selecionar outra porta. Certifique-se de usar a mesma porta durante o processo lc-ast em Flow Collector(s).

Verificar

Para validar a configuração do modelo NetFlow/IPFIX, você pode executar uma captura de pacote entre o exportador e o Flow Collector. Faça login no Flow Collector com o usuário root via SSH e execute o comando:

tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap

• Use uma ferramenta SCP para exportar a captura de pacotes do Flow Collector (localizado em /lancope/var/tcpdump) para sua máquina local e, em seguida, abra-a no Wireshark

• Identificar o quadro em que o modelo NetFlow/IPFIX foi recebido e abri-lo para validar os campos que o modelo inclui

Observação: os nomes de campo mostrados podem parecer diferentes em cada exportador, essa é apenas uma referência de como você pode validar esses campos.