思科已经为最新的ASA防火墙软件版本引入了NetFlow 9导出function。 但它似乎只是为了事件logging安全事件(作为系统日志消息的替代)。
但它是否仍然可以用于带宽监控呢? 如果是这样,ASA必须如何configuration?
这里从思科网站的相关信息 :
安全事件logging与您之后的事情有所不同。 我相信你想直接NetFlow(V5将做) – 出口到某种types的分析仪。
我已经使用了,可以推荐使用ManageEngine Netflow Analyzer: http : //www.manageengine.com/products/netflow/download-free.html
抓住免费版,并在某个地方的服务器上启动。 确保服务器的防火墙允许端口9996(UDP)上的通信。 然后,在ASA上使用以下configuration导出networkingstream量数据:
flow-export destination outside_interface_name <netflow analyzer IP> 9996 flow-export template timeout-rate 1 flow-export delay flow-create 10 access-list netflow-export extended permit ip any any class-map netflow-export-class match access-list netflow-export policy-map global_policy class netflow-export-class flow-export event-type all destination <netflow analyzer IP> 请注意,在我的例子中,我假定你有一个global_policy策略映射的定义。
浏览到Netflow分析器并login。Netflow分析器会将ASA输出分解为源/目标连接,包括每个连接的兆字节stream量,甚至可以执行端口分析以显示正在使用的应用程序。
这使得当员工正在繁忙时尤其容易看到。 🙂
根据我的经验,思科提供的带宽监控在能力上是有限的。 我使用并推荐与Cisco防火墙一起使用的Fire Plotter。
你需要什么带宽监控的细节?
如果你所需要的只是每个接口的基本使用,那么SNMP和Observium或者Cacti是一个更好的解决scheme。
如果您需要每个客户端(在共享的内部networking上),则需要使用Netflow和Netflow收集器。