Мониторинг использования полосы пропускания (для внутреннего IP) - Cisco ASA 5505
Я управляю небольшой сетью с Cisco ASA 5505 и общим соединением DSL. Я хотел бы иметь возможность контролировать использование полосы пропускания различными пользователями / устройствами в моей сети (по IP-адресу). Могу ли я сделать это с помощью ASA? Кто-нибудь получил это работает? Каков наилучший способ сделать это?
Некоторые идеи, которые я видел онлайн:
- SNMP с таким инструментом, как Cacti
Это дает на использование IP с ASA или только общее использование? - Netflow с таким инструментом, как ntop
Не могу заставить это работать. Кажется, что Netflows, отправленные ASA, не совсем стандартны. Ntop получает их, но, похоже, не знает, что с ними делать.
5 ответов
Если вы не хотите пытаться анализировать данные, поступающие от самого ASA, вы можете просто рассмотреть возможность создания зеркала порта коммутатора, к которому подключен ASA, и использовать часть программного обеспечения зонда для наблюдения за этим портом. Вы можете легко получить данные Netflow таким образом, используя что-то вроде nProbe.
Есть довольно хороший инструмент, PIX Logging Architecture, который настолько близок к тому, чтобы делать то, что вы хотите. Я развернул его на нескольких сайтах, и это довольно неплохо (хотя мне и наплевать на его тесную связь с MySQL), но статистику трафика по NAT, которую может сообщать ASA (и более новая версия PIXOS) полностью игнорируются! Вы получаете статистику об источнике, месте назначения, частоте и продолжительности трансляций (и, следовательно, потоков UDP / TCP), но не байты! Если бы у меня было много свободного времени, я бы подумал о добавлении функциональности. (Кстати: это лицензия GPL v2. Я бы хотел поговорить с кем-то, кто хотел бы добавить к продукту мониторинг количества байтов, чтобы бросить на него деньги, чтобы это произошло. серьезно об этом, и мы можем говорить о требованиях.)
Согласно веб- сайту http://ntop.org/, ntop поддерживает сетевые потоки ASA начиная с Januari 2010. Они жалуются на то, что это взлом, из-за нестандартного формата сетевого потока, используемого устройствами ASA.
Я еще не пробовал, но это может стоить посмотреть.
См. http://www.ntop.org/blog/?p=24 для объявления и реализации.
Использование Cacti на swithces, а не на роутере
Если вы знаете настройки сети и знаете порты ведьмы в ваших коммутаторах, что подключены различные маршрутизаторы / оборудование, вы можете контролировать свои коммутаторы с помощью Cacti. Используйте SNMP для извлечения сетевого трафика. порт...
Я делаю это в моей сети, где все пользователи имеют статические порты в коммутаторах. Это действительно легко настроить.
Но если вам нужен мониторинг по IP-адресу и ваши пользователи меняют месторасположение, отключите его, потому что вы не можете использовать это решение.
Br. Андерс
Вы не получите то, что вы хотите, используя SNMP. NETflow - хороший способ получить пропускную способность IP. Я не знаю инструмент, который может обрабатывать Netflow, отправленный ASA. Если вы просто хотите вести учет на основе IP, вы можете написать свой собственный инструмент. Это может быть довольно легко, если вы собираете только байты, отправленные по IP. Подробности о потоках, отправленных ASA, можно найти здесь.
Вы можете использовать экспорт ASF NetFlow 9 ("Регистрация событий безопасности Netflow" (NSEL)), чтобы получить эту информацию