Configurare la funzione Ignora elenco dell'agente di raccolta flusso

Opzioni per il download

  • PDF     (292.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (148.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (102.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:15 novembre 2023
ID documento:221215

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

In questo documento viene descritto come configurare l'agente di raccolta del flusso SNA in modo che rifiuti il flusso di rete in arrivo da un particolare esportatore utilizzando Ignora elenco.

Premesse

Spesso ci si pone la domanda: "C'è un modo per dire al mio SNA flow collector di rifiutare il netflow in entrata da un particolare esportatore?"

La risposta è sì, questa operazione viene eseguita mediante l'uso della funzione dei raccoglitori di flusso "Ignora lista".

Configurazione

La funzione Ignora elenco è specifica del raccoglitore di flusso.  Nella versione più recente di SNA 7.x, questa funzione è disponibile all'interno della pagina di configurazione dell'agente di raccolta del flusso nell'interfaccia utente Web di SNA Manager.

Utilizzare questa pagina per specificare un numero illimitato di host o subnet per i quali il traffico Flow Collectorcompletelyignorestic.  Se il Flow Collector rileva traffico attribuibile a questi indirizzi IP, esclude il traffico da qualsiasi grafico o tabella.  Accertarsi di poter ignorare tutto il traffico in arrivo o in partenza dagli host.Secure Network Analytics non analizza questo traffico né quelli oggetto di spoofing per includere uno di questi host. Se sulla rete viene lanciato un attacco che coinvolge uno di questi host/subnet, il Flow Collector non può segnalarlo.

Flow Collector Configuration UI

Wireless LAN Controller serie 9800

Qual è l'effetto dell'opzione Ignora elenco sui calcoli Flusso al secondo (FPS) per Smart Licensing? 

Risposta: l'aggiunta di indirizzi IP host o intervalli all'elenco di indirizzi da ignorare impedisce a questi flussi di essere conteggiati rispetto alla frequenza FPS calcolata inviata al centro SMC e utilizzata per il report delle licenze Smart.  I flussi NON vengono più visualizzati/conteggiati nel grafico dell'andamento del flusso visualizzato nel dashboard SMC.

Come viene utilizzata la funzione dell'elenco di esclusione durante l'elaborazione del flusso NVM quando il client è in modalità split tunnel?

Un cliente può configurare AnyConnect in modo che ci invii il traffico in rete e fuori rete (o split tunnel). Il traffico fuori rete utilizza l'indirizzo IP locale dell'endpoint che probabilmente contiene IP sovrapposti. La SNA non supporta IP sovrapposti, tSi consiglia quindi di utilizzare la funzione Ignora elenco per aggirare il problema della suddivisione del tunnel e preservare i vantaggi dei flussi NVM per i rilevamenti.

In questo caso, si configura l’"elenco di esclusione" per impedire che i flussi NVM esterni alla rete provengano dalla flow cache → flow_stats, Flow Search, Custom Security Events

  1. Aggiungere l'indirizzo IP e la maschera di rete (ad esempio, aggiungere 192.168.1.0/24, 127.0.0.1/24) nell'elenco Ignora
  2. Verificare che i nvm_flows siano ancora popolati con i flussi NVM
  3. Verificare che flow_stats non disponga dei flussi NVM se src o dst IP è presente nell'elenco Ignora

È possibile utilizzare un elenco Ignora per ignorare i flussi di un intero esportatore? No, poiché l'elenco di esclusione si basa sui dati di flusso e non sui dati dell'esportatore, l'aggiunta di un indirizzo IP dell'esportatore all'elenco di esclusione ignorerebbe i dati di flusso in cui l'indirizzo IP dell'esportatore era indicato come origine o destinazione del flusso, invece di ignorare tutti i record di flusso di quel particolare esportatore

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
01-Dec-2023
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Kevin Bartoletta
  • John Henline

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti