Когда речь идет самогенерируемом NetFlow, параметры вывода не действуют на такие пакеты; поэтому пакеты NetFlow, приходящие из устройства, которое является источником туннеля, не будут шифроваться. Это мешает отправке пакетов NetFlow через IPsec-туннель по нужному адресу. Однако существует мало известная команда "output-feature", которая может быть добавлена в экспорт Flexible NetFlow (FnF) и помочь в разрешении проблемы. Это обязательно должно быть сделано в конфигурации FnF, если вы хотите установить DSCP или использовать шифрование (т.е. VPN-туннели) на устройстве ... Читать дальше »

Если вы произвели обновление Cisco ASA до версии 8.4 (5), то наверняка отметили, что ваша система отчетности на базе NetFlow от Cisco AS "сломалась". Это связано с тем, что команда Cisco произвела несколько изменений, вернее - улучшений, в экспорте потоков.

• Двунаправленные потоки зафиксированы. Экспорт обоих направлений потоков осуществляется в отдельных элементах, что позволяет повысить точность определения тенденций утилизации сети "туда/обратно".
• Введен активный таймаут. Теперь долгоживущие потоки (т.е. живущие больше 1 минуты) экспортируются каждую минуту, что позволяет предотвратить появление пиков в трендах и позволяет делать более точную отчетность.
• Тип "событие на файерволе" экспортируется с использованием нового элемента. Это позволяет создавать целую новую группу отчетов о том, почему потоки создаются, удаляются и ... Читать дальше »