帯域幅の監視にCiscoASAの「NetFlowセキュリティイベントロギング」(NetFlow9)を使用できますか
シスコは、ASAファイアウォールの最新のソフトウェアバージョンでNetFlow9エクスポートを導入しました。ただし、これはセキュリティイベントのイベントロギングのみを目的としているようです(syslogメッセージの代わりとして)。
しかし、それでも帯域幅の監視に使用できますか?その場合、ASAをどのように構成する必要がありますか?
ここで 関連情報 シスコのWebサイトから:
セキュリティイベントログは、あなたが求めているものとは異なるものです。ストレートなNetFlow(v5でもかまいません)が必要だと思います-ある種のアナライザーにエクスポートします。
私はManageEngineNetflow Analyzerを使用しており、推奨できます: http://www.manageengine.com/products/netflow/download-free.html
無料版を入手して、どこかのサーバーでこれを起動します。サーバーのファイアウォールがポート9996(UDP)でのトラフィックを許可していることを確認してください。次に、ASAで次の設定を使用して、ネットワークフローデータをエクスポートします。
flow-export destination outside_interface_name <netflow analyzer IP> 9996
flow-export template timeout-rate 1
flow-export delay flow-create 10
access-list netflow-export extended permit ip any any
class-map netflow-export-class
match access-list netflow-export
policy-map global_policy
class netflow-export-class
flow-export event-type all destination <netflow analyzer IP>
私の例では、global_policyポリシーマップが定義されていると想定していることに注意してください。
Netflow Analyzerを参照してログインします。NetflowAnalyzerは、ASA出力を送信元/宛先接続に分解します。これには、接続あたりのメガバイト単位のトラフィックが含まれ、ポート分析を実行して、使用中のアプリケーションを表示します。
これにより、たとえば従業員が急いでいるときが特に見やすくなります。 :-)
私の経験では、シスコが提供する帯域幅の監視は、実行できる機能が制限されています。 Ciscoファイアウォールで動作するFirePlotterを使用してお勧めします。
帯域幅監視のどのような詳細が必要ですか?
必要なのが基本的なインターフェイスごとの使用法だけである場合は、SNMPとObserviumやCactiなどがはるかに優れたソリューションです。
たとえば、クライアントごと(共有内部ネットワーク上)が必要な場合は、NetflowとNetflowコレクターを使用する必要があります。