Могу ли я использовать протокол Cisco ASA «NetFlow Security Event Logging» (NetFlow 9) для мониторинга пропускной способности

Ведение журнала событий безопасности отличается от того, что вам нужно. Я считаю, что вам нужен чистый NetFlow (подойдет v5) - экспортированный в какой-то анализатор.

Я использовал и могу рекомендовать ManageEngine Netflow Analyzer: http://www.manageengine.com/products/netflow/download-free.html

Возьмите бесплатную версию и запустите ее где-нибудь на сервере. Убедитесь, что брандмауэр сервера разрешает трафик на порт 9996 (UDP). Затем используйте следующую конфигурацию на вашем ASA для экспорта данных сетевого потока:

flow-export destination outside_interface_name <netflow analyzer IP> 9996
flow-export template timeout-rate 1
flow-export delay flow-create 10

access-list netflow-export extended permit ip any any

class-map netflow-export-class
 match access-list netflow-export

policy-map global_policy
 class netflow-export-class
  flow-export event-type all destination <netflow analyzer IP>

Обратите внимание, что в моем примере я предполагал, что у вас определена карта политик global_policy.

Перейдите к Netflow Analyzer и войдите в систему. Анализатор Netflow разделит выходные данные ASA на соединения источника / назначения, включая трафик в мегабайтах на соединение, и даже выполнит анализ портов, чтобы показать вам, какие приложения используются.

Это позволяет особенно легко увидеть когда сотрудник торрент например. :-)

Какие подробности мониторинга пропускной способности вам нужны?

Если все, что вам нужно, это базовое использование интерфейса, тогда SNMP и что-то вроде Observium или Cacti - гораздо лучшее решение.

Если вам нужен, например, каждый клиент (в общей внутренней сети), вам нужно использовать Netflow и коллектор Netflow.

По моему опыту, мониторинг полосы пропускания, предоставляемый Cisco, ограничен в возможностях. Я использую и рекомендую Fire Plotter, который работает с межсетевыми экранами Cisco.

http://www.fireplotter.com/