我使用 Cisco ASA 5505 和共享 DSL 连接管理一个小型网络。我希望能够监控网络上各种用户/设备的带宽使用情况(按 IP 地址)。我可以使用 ASA 做到这一点吗?有没有人有这个工作?做这个的最好方式是什么?
我在网上看到的一些想法:
- 使用 Cacti 之类的工具的 SNMP
这是否给出了 ASA 的每个 IP 使用情况或只是整体使用情况? - 使用 ntop 之类的工具的 Netflow
无法使其正常工作。ASA 发送的 Netflow 似乎并不完全标准。Ntop 收到它们,但似乎不知道如何处理它们。
如果您不想尝试分析来自 ASA 本身的数据,您可以考虑对 ASA 所连接的交换机进行端口镜像,并使用一个探测软件来监视该端口。您可以使用类似nProbe的方式轻松获取 Netflow 数据。
有一个相当不错的工具,PIX Logging Architecture接近做你想做的事。我已经在几个站点中部署了它,它相当不错(尽管我不太关心它与 MySQL 的紧密耦合),但是 ASA(和更新版本的 PIXOS)可以报告的 per-NAT 流量统计完全无视!您可以获得有关翻译的源、目标、频率和持续时间(以及因此 UDP / TCP 流)的统计信息,但不是字节!如果我有大量空闲时间,我会考虑添加该功能。(顺便说一句:它是 GPL v2 许可的。我愿意与想要在产品中添加字节计数监控的人谈谈,向他们投入一些钱来实现它。如果你有兴趣和认真对待,我们可以谈谈要求。)
根据ntop.org网站,自 2010 年 1 月以来,ntop 支持 ASA 网络流。由于 ASA 设备使用的非标准网络流格式,他们抱怨这是一种黑客攻击。
我还没有尝试过,但它可能值得一看。
有关公告和实施,请参见http://www.ntop.org/blog/?p=24。
在交换机上使用 Cacti 而不是路由器
如果您知道网络的设置并知道交换机中连接了不同路由器/设备的端口,那么您可以使用 Cacti 监控您的交换机。使用 SNMP 拉取网络流量公关。港口...
我在我的网络上这样做,所有用户在交换机中都有静态端口。这真的很容易设置。
但是,如果您需要监控每个 IP 并且您的用户完全交换位置,那么您将无法使用此解决方案。
兄弟。安德斯
使用 SNMP 将无法获得想要的结果。Netflow 是获取每个 IP 带宽的好方法。我不知道可以处理 ASA 发送的 Netflow 的工具。您是否只想根据IP进行会计处理,您可以编写自己的工具。如果您只收集 IP 发送的字节,这将非常容易。您可以在此处找到有关 ASA 发送的流的详细信息。
您可以使用 ASA 的 NetFlow 9 导出(“Netflow 安全事件日志”(NSEL))来获取此信息
请参阅: 我可以使用 Cisco ASA 的“NetFlow 安全事件日志记录”(NetFlow 9) 进行带宽监控吗