Configurazione di NetFlow/IPFIX per l'acquisizione della telemetria sulla SNA

Opzioni per il download

  • PDF     (676.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (496.4 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (318.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:15 giugno 2023
ID documento:220518

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive le best practice e la configurazione di base di Netflow/IPFIX necessarie per Secure Network Analytics (SNA) per il caricamento della telemetria.

    Prerequisiti

    • Conoscenza SNA Cisco
    • Conoscenze NetFlow/IPFIX

    Requisiti

    • Secure Network Analytics versione 7.2.1 o successive
    • Flow Collector in 7.2.1 o versioni successive
    • Accesso CLI come root a Flow Collector

    Componenti usati

    • Ciò dipende completamente dalla progettazione della rete e dai dispositivi selezionati per inviare NetFlow/IPFIX a Secure Network Analytics. La configurazione di NetFlow/IPFIX varia a seconda dell'esportatore. Per informazioni dettagliate sulla configurazione, rivolgersi al team di supporto di ciascun esportatore.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Flow Collector è un'appliance SNA incaricata di raccogliere, elaborare e archiviare i flussi che vengono inviati a Secure Network Analytics. Per NetFlow versione 9 o IPFIX, è possibile includere diversi campi nel modello NetFlow/IPFIX per aggiungere ulteriori informazioni relative al traffico di rete. Tuttavia, sono disponibili 9 campi specifici che devono essere inclusi nel modello NetFlow/IPFIX affinché il Flow Collector possa elaborare tali flussi. Flow Collector non elabora i flussi in ingresso che includono un modello non valido, pertanto SNA non visualizza le informazioni sul flusso di tali esportatori sotto interfaccia utente Web o client desktop.

    Configurazione

    Campi obbligatori

    I campi successivi devono essere inclusi nel modello NetFlow/IPFIX per il caricamento della telemetria. Verificare che questi 9 campi siano inclusi nel modello NetFlow/IPFIX per consentire a Secure Network Analytics di elaborare i flussi in ingresso.

    • Source IP Address
    • Indirizzo IP di destinazione
    • Porta di origine
    • Porta di destinazione
    • Protocollo di livello 3
    • Conteggio byte
    • Conteggio pacchetti
    • Ora inizio flusso
    • Ora fine flusso
    note-icon

    Nota: è possibile includere più campi nella configurazione NetFlow/IPFIX, tuttavia i campi precedenti rappresentano i requisiti minimi di Secure Network Analytics per il caricamento della telemetria.

    Campi consigliati

    Si consiglia di includere i campi successivi nel modello NetFlow/IPFIX per raccogliere informazioni sull'interfaccia. Questa configurazione è necessaria per visualizzare le informazioni sull'interfaccia, ad esempio il nome e la velocità:

    • Ingresso interfaccia
    • Uscita interfaccia

    Procedure ottimali

    Inoltre, le impostazioni successive sono consigliate come best practice per garantire le prestazioni corrette di Secure Network Analytics.

    • Imposta timeout attivo su 60 secondi
    • Impostare il timeout di inattività su 15 secondi
    • Impostare il timeout del modello su 30 secondi
    note-icon

    Nota: la porta predefinita per NetFlow è 2055. Tuttavia, è possibile selezionare un'altra porta. Accertarsi di utilizzare la stessa porta durante il processo lc-ast sui Flow Collector.

    Verifica

    Per convalidare la configurazione del modello NetFlow/IPFIX, è possibile eseguire un'acquisizione di pacchetto tra l'utilità di esportazione e Flow Collector. Accedere al Flow Collector con l'utente root tramite SSH ed eseguire il comando:

    tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap
    • Usare uno strumento SCP per esportare l'acquisizione del pacchetto dal Flow Collector (situato in /lancope/var/tcpdump) al computer locale e aprirla su Wireshark

    Identificazione del modello in un'acquisizione pacchetto

    • Identificare il frame in cui è stato ricevuto il modello NetFlow/IPFIX e aprirlo per convalidare i campi inclusi nel modello

    Lettura dei campi in un modello

    note-icon

    Nota: i nomi dei campi visualizzati possono avere un aspetto diverso in ogni funzione di esportazione. Si tratta solo di un riferimento al modo in cui è possibile convalidare tali campi.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    15-Jun-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Antonio Hernandez Almanza
      Cisco Security TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti