ASA5505にNetFlow(v9)の設定をする
自宅のインターネット接続ルータとして使用しているCisco ASA5505でNetFlowの設定をする。
必要ライセンス
ASA5505は標準ライセンスでNetFlow対応しているため、ライセンスは不要。
NetFlow Collectorがあれば、簡単にNetFlowによるネットワークトラフィック可視化がを導入できる。
ASA5505 NetFlow Export設定
ASA5505では複数のCollector宛にフローデータを送信できる。
設定は簡単で、以下コマンドを投入するだけ。
IPアドレス、ポート番号はCollectorに合わせて指定する。
NetFlowのデフォルトUDPポート番号は2055。
他にも細かい設定ができるが、とりあえず動かすためにはこれだけで問題ない。
flow-export destination management 192.168.1.26 2055
policy-map global_policy
class class-default
flow-export event-type all destination 192.168.1.26
ASDMとの違い
Cisco ASAでは、標準でASDM(Appliance Security Device Manager)が搭載されている。
JavaのGUIで、機器管理、設定、モニタリングなど大部分の作業ができる。
このモニタリング部分が案外直感的で分かりやすい。
NetFlowを使用するメリットは次のような点かと思う。
- 複数製品を一元的にモニタリングできる
- 必要な情報を必要な形で使用できる
- ASA自身の負荷軽減
- Java不要でWebアクセス可能
FlowRecord(フローレコード)を見てみる
FlowRecordはFlowCollectorで受け取って分析するのが良いが、とりあえずWireSharkでパケットそのものも見ることができる。
ちなみに、まだFlowRecordを受け取る設定をしていないため、届いたパケットに対してPort Unreachableを返している。
NetFlow Collectorの設定
引き続き、NetFlow Collector(ネットフローコレクター)としてLinux ntopとWindows PRTGを設定していく。