為SNA上的遙測接收配置NetFlow/IPFIX

簡介

本檔案介紹安全網路分析(SNA)遙測接收所需的Netflow/IPFIX的最佳實踐和基本組態。

必要條件

• Cisco SNA知識
• NetFlow/IPFIX知識

需求

• 7.2.1或更高版本中的安全網路分析
• 7.2.1或更高版本中的流量收集器
• 作為流量收集器的根的CLI訪問

採用元件

• 這完全取決於您的網路設計和您選擇將NetFlow/IPFIX傳送到Secure Network Analytics的裝置。每個匯出器上的NetFlow/IPFIX配置不同，有關詳細配置，請與每個匯出器的支援團隊聯絡。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

流量收集器是一種SNA裝置，負責收集、處理和儲存傳送到安全網路分析的流量。對於NetFlow版本9或IPFIX，可以在NetFlow/IPFIX模板上包含多個欄位，以新增與網路流量相關的詳細資訊，但是，對於流量收集器處理這些流量，必須在NetFlow/IPFIX模板中包含9個特定欄位。流量收集器不會處理包含無效模板的傳入流，因此SNA不會在Web UI或案頭客戶端下顯示這些匯出器的流資訊。

設定

必填欄位

下一個欄位必須包含在NetFlow/IPFIX模板上，用於遙測接收。確保這9個欄位包含在NetFlow/IPFIX模板中，以便Secure Network Analytics處理傳入流量。

• 來源IP位址
• 目標IP地址
• 來源連線埠
• 目的地連線埠
• 第3層通訊協定
• 位元組數
• 資料包計數
• 流開始時間
• 流結束時間

注意:NetFlow/IPFIX配置中可能包含更多欄位，但之前的欄位是遙測接收的安全網路分析的最低要求。

推薦欄位

建議在NetFlow/IPFIX模板上新增以下欄位，以收集有關介面資訊的資訊，此配置是顯示介面資訊（如名稱和速度）所必需的：

• 介面輸入
• 介面輸出

最佳實踐

此外，建議使用後續設定作為最佳實踐，以確保安全網路分析的正確效能。

• 將活動超時設定為60秒
• 將非活動超時設定為15秒
• 將模板超時設定為30秒

註:NetFlow的預設埠是2055，但是您可以選擇其他埠，請確保在流量收集器上的lc-ast過程中使用同一埠。

驗證

要驗證NetFlow/IPFIX模板配置，可以在匯出器和流量收集器之間運行資料包捕獲。使用root使用者通過SSH登入流量收集器並運行命令：

tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap

• 使用SCP工具將資料包捕獲從流量收集器(位於/lancope/var/tcpdump中)匯出到本地電腦，然後在Wireshark上將其開啟

• 確定接收NetFlow/IPFIX模板的幀，然後將其開啟以驗證模板包含的欄位

注意：顯示的欄位名稱在每個匯出器上可能看起來不同，這只是您如何驗證這些欄位的參考。