Cisco ASA [Lab 6.1] Config Netflow Cisco ASA via CLI

[root]

Config Netflow Cisco ASA 8.4 via CLI

Để xem cách thức hoạt động của Netflow các bạn có thể xem tại đây

I. Mô hình và yêu cầu
1. Mô hình
- Mô hình Lab cấu hình Netflow trên Cisco ASA 8.4

​

2. yêu cầu lab config Netflow Cisco ASA 8.4 via CLI
- Thiết lập mô hình theo sơ đồ

​

- Cấu hình cho inside và Dmz ra internet bằng NAT
- Cấu hình Netflow để giám sát tất cả các traffic trong hệ thống mạng
- Cài đặt Netflow analyzer trên Windows server 2k8
- Monitor traffic trong hệ thống mạng bằng Netflow Analyzer

II. Triển khai Netflow Cisco ASA 8.4 via CLI

1. Cấu hình Ip và default Router trên Cisco ASA
- Trên ASA: Cấu hình IP và default Route

ciscoasa(config)# int gigabitEthernet 0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address dhcp

ciscoasa(config-if)# int gigabitEthernet 1
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 192.169.20.254 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int gigabitEthernet 2
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.80.254 255.255.255.0
ciscoasa(config-if)# no shutdown

//default route trên ASA ra internet

ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 192.168.10.2

//cho phép ping

ciscoasa(config)#fixup protocol icmp

​

- Sử dụng NAT port(PAT) để NAT cho các vùng inside, dmz ra internet

//inside ra internet

ciscoasa(config)# object network inside
ciscoasa(config-network-object)#subnet 192.168.80.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

//dmz ra internet

ciscoasa(config)# object network dmz
ciscoasa(config-network-object)#subnet 192.168.20.0 255.255.255.0
ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface

2. Config Netflow Cisco ASA 8.4 via CLI

- Để cấu hình Netflow trên ASA đẩy traffic thống kê về cho Netflow collector có các bước nư sau
Bước 1:
- Câu hình ACL để cho biết bạn cần thống kê những network hay host nào, từ đâu đi đến đâu ...
- Ở đây mình thống kê tất cả mọi traffic đi qua ASA

ciscoasa(config)# access-list netflow extended permit ip any any

- Nếu bạn thích bạn có thể chỉ thống kê 1 host hay 1 subnet, hay là traffic đi từ source từ đâu và des đến đâu thì chỉnh ở ACL này nhé.
Bước 2:
- Nơi traffic của Netflow trên ASA sẽ đẩy về collection server. Ở đây mình dùng windows server 2k8 cài Netflow analyzer làm Netflow Collection
- Server Netflow Collection nằm trong vùng inside có IP là 192.168.80.100/24
- Tools để thống kê là Netflow Analyzer nó mở port 9996. Cái này lúc bạn cài Netflow Analyzer sẽ thấy, bạn có thể thay đổi nó và khi thay đổi nhớ thay đổi cả trong câu lệnh ở đây.

ciscoasa(config)# flow-export destination inside 192.168.80.100 9996
ciscoasa(config)# flow-export template timeout-rate 1

- Timeout-rate: chỉnh là cái thời gian mà nó sẽ export dữ liệu xuống cho Netflow Collection server. Mặc định là 30 phút, mình chỉnh lại thành 1 phút cho nó mau còn đi ăn cơm :
- Nếu bạn sử dụng ASA 8.4.5 bạn có thể cấu hình thêm việc export dữ liệu xuống liên tục theo thời gian thực. Nghĩa là trên trên Netflow Collection Server bạn chỉ việc F5 là nó fresh mới chứ ko cần đợi 1 phút như trên

(config)# flow-export active refresh-interval 60

Bước 3:
- Tiến hành tạo "Route-map" để đưa ACL vào

//netflow_export_class: tên class-map mà bạn muốn tạo
ciscoasa(config)# class-map netflow_export_class

//netflow: tên của ACL phía trên mà bạn tạo ra
ciscoasa(config-cmap)# match access-list netflow
​

Bước 4
- Đưa nó vào policy-map mặc định của bạn là: global.
- Ở đây bạn nào ko thích áp vào policy-map mặc định thì có thể đặt tên khác như: "policy-map svuit" chẳng hạn

//globa:tên policy-map, tùy bạn đặt

ciscoasa(config)# policy-map global

//netflow_export_class: cái này phải là tên class-map mà bạn muốn add vào policy-map nhé

ciscoasa(config-pmap)# class netflow_export_class

Bước 5:
- Đẩy traffic về cho Netflow Collection server. Là máy 2k8(192.168.80.100/24)

ciscoasa(config-pmap-c)# flow-export event-type all destination 192.168.80.100
​

Bước 6: khởi động máy
- các bạn có thể bỏ qua bước này nếu bạn sử dụng polic-map mặc định của nó "global"
- Nếu bạn tạo tên khác thì phải khởi động nó theo lệnh sau nhé

//global : là tên policy-map lúc nãy bạn đặt
ciscoasa(config)# service-policy global global

​

II. Show hàng
- Các bạn vào máy trong vùng inside và DMZ ra internet bằng web, ping ... để lấy traffic cho nó thống kê nhé

1. Netflow Cisco ASA via CLI

- Nếu bạn nào thích trắng đen thì dùng cách này, tuy ko đẹp nhưng hiệu quả vì nó real-time

ciscoasa# show flow-export counters

ciscoasa# show service-policy global flow ip host [source IP] host [dest IP]

ciscoasa# show access-list flow_export_acl