Introdução
Este documento descreve as práticas recomendadas e a configuração básica do Netflow/IPFIX que o Secure Network Analytics (SNA) precisa para a inclusão de telemetria.
Pré-requisitos
- Conhecimento de SNA da Cisco
- Conhecimento de NetFlow/IPFIX
Requisitos
- Análise de rede segura na versão 7.2.1 ou mais recente
- Flow Collector em 7.2.1 ou mais recente
- Acesso CLI como raiz para o Flow Collector
Componentes Utilizados
- Isso depende totalmente do seu projeto de rede e dos dispositivos que você selecionou para enviar o NetFlow/IPFIX para o Secure Network Analytics. A configuração do NetFlow/IPFIX é diferente em cada exportador; para obter uma configuração detalhada, entre em contato com a equipe de suporte de cada exportador.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
O Flow Collector é um dispositivo SNA encarregado de coletar, processar e armazenar fluxos que são enviados para o Secure Network Analytics. Para o NetFlow versão 9 ou IPFIX, vários campos podem ser incluídos no modelo NetFlow/IPFIX para adicionar mais informações relacionadas ao tráfego de rede. No entanto, há 9 campos específicos que devem ser incluídos no modelo NetFlow/IPFIX para que o Flow Collector processe esses fluxos. O Flow Collector não processa fluxos de entrada que incluam um modelo não válido, portanto, o SNA não exibe informações de fluxo desses exportadores na IU da Web ou no Desktop Client.
Configurar
Campos Obrigatórios
Os próximos campos devem ser incluídos no modelo NetFlow/IPFIX para inclusão de telemetria. Certifique-se de que esses 9 campos estejam incluídos no modelo NetFlow/IPFIX, para que o Secure Network Analytics processe os fluxos de entrada.
- Endereço IP origem
- Endereço IP de destino
- Porta de origem
- Porta de Destino
- Protocolo de Camada 3
- Contagem de Bytes
- Contagem de pacotes
- Hora de início do fluxo
- Hora de término do fluxo
Observação: mais campos podem ser incluídos na configuração NetFlow/IPFIX, no entanto, os campos anteriores são os requisitos mínimos do Secure Network Analytics para Ingestão de Telemetria.
Campos recomendados
Recomenda-se incluir os próximos campos no modelo NetFlow/IPFIX para coletar informações sobre as informações de interface. Essa configuração é necessária para mostrar informações de interface, como nome e velocidade:
- Entrada de interface
- Saída da interface
Prática recomendada
Além disso, as próximas configurações são recomendadas como práticas recomendadas para garantir um desempenho adequado do Secure Network Analytics.
- Definir o tempo limite ativo como 60 segundos
- Definir o tempo limite inativo para 15 segundos
- Definir o tempo limite do modelo como 30 segundos
Observação: a porta padrão do NetFlow é 2055, no entanto, você pode selecionar outra porta. Certifique-se de usar a mesma porta durante o processo lc-ast em Flow Collector(s).
Verificar
Para validar a configuração do modelo NetFlow/IPFIX, você pode executar uma captura de pacote entre o exportador e o Flow Collector. Faça login no Flow Collector com o usuário root via SSH e execute o comando:
tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap
- Use uma ferramenta SCP para exportar a captura de pacotes do Flow Collector (localizado em /lancope/var/tcpdump) para sua máquina local e, em seguida, abra-a no Wireshark
- Identificar o quadro em que o modelo NetFlow/IPFIX foi recebido e abri-lo para validar os campos que o modelo inclui
Observação: os nomes de campo mostrados podem parecer diferentes em cada exportador, essa é apenas uma referência de como você pode validar esses campos.