Inleiding
In dit document worden de best practices en de basisconfiguratie beschreven van NetFlow/IPFIX die Secure Network Analytics (SNA) nodig heeft voor telemetrische invoer.
Voorwaarden
- Cisco SNA-kennis
- Kennis van NetFlow/IPFIX
Vereisten
- Secure Network Analytics in 7.2.1 of nieuwer
- Flow Collector in 7.2.1 of nieuwer
- CLI-toegang als root voor de Flow Collector
Gebruikte componenten
- Dit hangt volledig af van uw netwerkontwerp en de apparaten die u hebt geselecteerd om NetFlow/IPFIX naar Secure Network Analytics te verzenden. NetFlow/IPFIX configuratie is verschillend op elke exporteur, voor gedetailleerde configuratie gelieve het ondersteuningsteam van elke exporteur te contacteren.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
De Flow Collector is een SNA-apparaat dat verantwoordelijk is voor het verzamelen, verwerken en opslaan van stromen die naar Secure Network Analytics worden verzonden. Voor NetFlow versie 9 of IPFIX kunnen er verschillende velden worden opgenomen in NetFlow/IPFIX sjabloon om meer informatie toe te voegen met betrekking tot netwerkverkeer, maar er zijn 9 specifieke velden die moeten worden opgenomen in NetFlow/IPFIX sjabloon voor de Flow Collector om die stromen te verwerken. Flow Collector verwerkt geen inkomende stromen die een niet-geldige sjabloon omvatten, daarom geeft SNA geen stroominformatie weer van die exporteurs onder Web UI of Desktop Client.
Configureren
Verplichte velden
Volgende velden moeten worden opgenomen in NetFlow/IPFIX sjabloon voor telemetrie inname. Zorg ervoor dat deze 9 velden zijn opgenomen in NetFlow/IPFIX-sjabloon, zodat Secure Network Analytics inkomende stromen kan verwerken.
- IP-bronadres
- IP-adres van bestemming
- Bronpoort
- Doelpoort
- Layer 3-protocol
- aantal bytes
- PacketCount
- Stroombegintijd
- Flow End-tijd
Opmerking: er kunnen meer velden worden opgenomen in NetFlow/IPFIX-configuratie, maar de vorige velden zijn de minimumvereisten van Secure Network Analytics voor Telemetry Ingest.
Aanbevolen velden
Het wordt aanbevolen de volgende velden op NetFlow/IPFIX-sjabloon op te nemen om informatie te verzamelen over interface-informatie. Deze configuratie is vereist om interface-informatie zoals naam en snelheid weer te geven:
- Interface-ingang
- Interface-uitgang
Best practices
Bovendien worden de volgende instellingen aanbevolen als best practices om een goede uitvoering van Secure Network Analytics te garanderen.
- Actieve timeout instellen op 60 seconden
- Inactieve timeout instellen op 15 seconden
- Time-out sjabloon instellen op 30 seconden
Opmerking: de standaardpoort voor NetFlow is 2055. U kunt echter ook een andere poort selecteren. Zorg ervoor dat u dezelfde poort gebruikt tijdens het LC-astproces voor Flow Collector(s).
Verifiëren
Om de configuratie van NetFlow/IPFIX-sjabloon te valideren, kunt u een pakketopname uitvoeren tussen de exporteur en Flow Collector. Log in de Flow Collector met root-gebruiker via SSH en voer de opdracht uit:
tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap
- Gebruik een SCP-gereedschap om de pakketopname van de Flow Collector (bevindt zich in /lancope/var/tcpdump) naar uw lokale machine te exporteren en open deze vervolgens op Wireshark
- Identificeer het kader waarin het NetFlow/IPFIX-sjabloon is ontvangen en open het om de velden die het sjabloon bevat te valideren
Opmerking: de weergegeven veldnamen kunnen er per exporteur anders uitzien. Dit is slechts een verwijzing naar hoe u deze velden kunt valideren.