触发NetFlow -一个交易技巧

触发的NetFlow：一个Woland-Santuka Pro尖端

维韦克Santuka，CCIE＃17621，是思科系统公司谁侧重于I​​SE思科的最大客户在世界各地的咨询系统工程师。我和他设计，测试并部署在这篇博客中讨论的方法，这是我们喜欢称之为“触发的NetFlow。”

NetFlow是一个非常有用但被低估的安全工具。本质上，它类似于电话账单。电话费不包括你所有的通话记录;它是所有电话发送和接收的简要记录。

Cisco路由器和交换机支持的NetFlow，发送该已被路由每个包的“记录”，包括端口和其他非常有用的信息。

+也在网络世界:有个足球雷竞技app使用NetFlow保护您的网络+

刚刚启用的NetFlow在你的基础设施，这一切转发到ISE PSN网络可以快速过度订阅您的策略服务节点。If you plan to use the NetFlow probe, it is highly recommended that you have a robust solution, such as Cisco Stealthwatch (from Cisco’s acquisition of Lancope), to perform de-duplication, filter out any unnecessary data and send only what you truly need to ISE.

使用NetFlow的挑战是，它需要重复数据删除功能，可扩展的流量采集等，但它在安全访问的部署是如此难以置信的可用于识别在环境，特定的方式使用一般用途的计算平台，比如基于医疗设备在Windows操作系统。这也是在确定事（物联网）是否则未知设备的互联网是非常有用的。

为了识别这些设备所特有的组织环境，你需要检查端点的流量模式。例如，它可能是一个医院的IV泵只能唯一地看到目标系统，它到医院数据中心内通信识别。

在这种情况下，NetFlow是完美的识别工具，因为它会匹配对交通流，而不是终点属性。虽然NetFlow是最适合这些系统，但这并不意味着它的操作上可行，以启用NetFlow在整个组织和风险压倒ISE与所有这些流量。

这个触发的NetFlow是什么?

触发NetFlow是一种部署方法，设计用于在需要的时候和位置打开NetFlow，并在之后立即关闭它。它不是一项新技术，而是ISE和思科交换基础设施中现有技术的结合。总体概念遵循图1所示的流程。

亚伦·t·Woland

对于任何成功验证的端点配置文件是未知的，认定结果将包括安全性组标签（让我们只需要调用SGT“ClassifyMe”）。当通过开关接收的SGT，嵌入式事件管理器（EEM）脚本被执行时，其使得该NetFlow的交换机端口上。

使用这种解决方案的要求，你必须的Cisco IOS内如何ISE认证和授权工作，如何使用的Cisco IOS的​​嵌入式事件管理器（EEM）的理解和NetFlow配置。如何TrustSec的（又名安全组标签）功能的知识不是必需的，但不能伤害。

请注意:有许多不同的方法来完成这个任务。我和Vivek概述和测试的方法就是这样一个例子。如果您有使用开关特性的经验，并且想要脱离这个特定的指定解决方案，请直接使用!请这样做，也许在这里的评论或公共ISE论坛所以其他人可能会从你的调整中受益。考虑到这一点，示例1展示了我们在设计解决方案时使用的EEM脚本，而示例2展示了我们使用的示例NetFlow配置。

实施例1 - 样EEM脚本用于触发的NetFlow

事件管理器的小程序CaptureData
事件syslog模式“客户端授权成功”
操作1.0 regexp "接口(.*)AuditSessionID" "$_syslog_msg"匹配intname
动作1.1 CLI命令“使能”
行动1.2 CLI命令 “显示身份验证SESS INT $ intname |我SGT”
操作1.3设置sgttag“0000-0”
行动1.4正则表达式 “000C-0” “$ sgttag”
动作1.5的正则表达式 “SGT：（。*）”， “$ _cli_result” 比赛sgttag
行动1.6正则表达式 “000C-0” “$ sgttag”
如果$_regexp_result eq "1"
操作1.8 cli命令“conf t”
操作1.9 cli命令“int $intname”
行动2.0 cli命令“ip流进入”
其他行动2.1
动作2.2 CLI命令“CONF吨”
操作2.3 cli命令“int $intname”
行动2.4 CLI命令“无IP流入口”
行动结束2.5

实施例2 - 样品的NetFlow配置

流记录ISE-流
只导出ise需要的流
匹配数据链路MAC源地址
匹配IPv4协议
匹配ipv4源地址
对IPv4目的地址
匹配传输源端口
比赛交通目的地端口
匹配传输TCP标志
！
伊势流出口国
说明导出到ISE PSN1
目的地10.1.100.234
源TenGigabitEthernet1/1/1
传输udp 9996
！
流出口国ISE-flows
！
流量监控ISE-流
用于伊势分析器的描述
记录伊势流
出口ISE
高速缓存超时活跃60
！
流量监控器CaptureData
记录伊势流
！
流量监控器测试

图2示出已创建触发端口上的NetFlow应用程序的安全组标签（SGT）。注意到它被示出，在这种情况下，将被命名CollectData并具有12的十进制值。

亚伦·t·Woland

图3显示了未知端点的授权规则，它允许有限的网络访问，并包括CollectData SGT。

亚伦·t·Woland

我希望这篇专业技巧文章对您有用——即使它只是帮助您考虑如何利用现有技术，以便更好地针对您组织中的特定需求进行ISE部署。