The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Снова Cisco NAT + Netflow"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Снова Cisco NAT + Netflow"  
Сообщение от Alan_2004 email(ok) on 07-Июн-07, 10:57 
Привет всем!

Снимаю по Netflow трафик NAT-клиентов с Cisco 2811 известным способом с Loopback-интерфейсом.
Мой Inside Global, например, 1.1.1.1.
Штука в том, что для некоторых видов трафика (например, DNS UDP Response) "переворота" Inside Global в Inside Local не происходит - и по Netflow льется трафик от ns.xxxxxx.ru до моего 1.1.1.1, вместо 192.168.* Причем фактически-то NAT отрабатывает и клиент получает ответ - только в NetFlow внутреннего адреса клиента нет.

Для трафика, flow которого нормально переворачивается, вижу следующую картину в кеше:
(идет пинг от 192.168.1.5 до 64.233.187.99)

# sh ip cache flow | incl 192.168.1.125
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.13 64.233.187.99 Null 192.168.1.5 01 0000 0000 13
Fa0/1.20 192.168.1.5 Fa0/0.13 64.233.187.99 01 0000 0800 13


А вот для DNS-трафика (ns-сервер 62.183.127.3) вижу такое:
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.13 62.183.127.3 Local 1.1.1.1 11 0035 080A 1
Fa0/1.20 192.168.1.5 Null 62.183.127.3 11 0807 0035 1

Кстати, не могу еще понять, почему у меня DstIf Null. В доке написано, что этот пакет никуда не уйдет, зарубается на роутере и в netflow не попадает. Но у меня коллектор их получает нормально.

Вот вкратце конфиг циски:

interface Loopback0
ip address 10.10.10.10 255.255.255.224
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
no ip address
ip route-cache policy
ip route-cache flow
no ip mroute-cache
no cdp enable
no mop enabled
!
interface FastEthernet0/0.13
encapsulation dot1Q 13
ip address 1.1.1.1 255.255.255.252
ip nat outside
ip virtual-reassembly
ip policy route-map MAP_NetUP
no ip mroute-cache
!
interface FastEthernet0/1
no ip address
ip route-cache policy
ip route-cache flow
no ip mroute-cache
no cdp enable
no mop enabled
!
interface FastEthernet0/1.20
encapsulation dot1Q 20
ip address 192.168.1.12 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly
no ip mroute-cache
no snmp trap link-status
!
ip nat pool GoldenNAT 1.1.1.1 1.1.1.1 netmask 255.255.255.0
ip nat inside source list ACL_Golden_NAT pool GoldenNAT overload
!
ip access-list extended ACL_Golden_NAT
deny ip host 192.168.1.125 any
permit ip 192.168.0.0 0.0.255.255 any
!
route-map MAP_NetUP permit 10
description ---------- Retrasmit to calculate traffic for private addresses ----------
match ip address ACL_netflow_rev
set interface Loopback0
!
end

Буду благодарен за любую помощь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Снова Cisco NAT + Netflow"  
Сообщение от sda email(??) on 07-Июн-07, 13:04 
а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Снова Cisco NAT + Netflow"  
Сообщение от Alan_2004 email(ok) on 07-Июн-07, 13:09 
>а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
>
Да, забыл написать.

version 12.4

Есть новее для 2811? И как там это реализовано?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Снова Cisco NAT + Netflow"  
Сообщение от sda email(??) on 07-Июн-07, 13:11 
>>а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
>>
>Да, забыл написать.
>
>version 12.4
>
>Есть новее для 2811? И как там это реализовано?

в 2811 не знаю. у меня просто 7200
там реализовано очень просто... пишется в конфе интерфейса, где надо считать исходящий/входящий трафик...

ip flow ingress
ip flow engress


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Снова Cisco NAT + Netflow"  
Сообщение от Alan_2004 email(??) on 07-Июн-07, 23:53 
>в 2811 не знаю. у меня просто 7200
>там реализовано очень просто... пишется в конфе интерфейса, где надо считать исходящий/входящий
>трафик...
>
>ip flow ingress
>ip flow engress


Нет, сейчас специально проверил. Отключил ip cache policy и ip cache flow на интерфейсах, убрал заворот на Loopback0 и включил ip flow ingress и ip flow engress на одном из сабинтерфейсов. Трафик полился, но снова без ответов DNS. В sh ip cache flow то же самое. Короче, эти варианты с ingress/egress тут ни при чем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Снова Cisco NAT + Netflow"  
Сообщение от littlevik on 08-Июн-07, 07:08 
>Отключил ip cache flow на интерфейсах...
А вот этого НЕ НАДО!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Снова Cisco NAT + Netflow"  
Сообщение от Alan_2004 email(ok) on 08-Июн-07, 09:31 
>>Отключил ip cache flow на интерфейсах...
>А вот этого НЕ НАДО!

Так ведь я же все равно видел трафик на коллекторе. Насколько я понял из доки, ip flow egress/ingress позволяют генерить netflow на сабах и без включенного ip cache flow на физическом интерфейсе. А вот как раз при включенном ip cache flow они уже не играют роли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру