The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Снова Cisco NAT + Netflow, !*! Alan_2004, 07-Июн-07, 10:57  [смотреть все]
Привет всем!

Снимаю по Netflow трафик NAT-клиентов с Cisco 2811 известным способом с Loopback-интерфейсом.
Мой Inside Global, например, 1.1.1.1.
Штука в том, что для некоторых видов трафика (например, DNS UDP Response) "переворота" Inside Global в Inside Local не происходит - и по Netflow льется трафик от ns.xxxxxx.ru до моего 1.1.1.1, вместо 192.168.* Причем фактически-то NAT отрабатывает и клиент получает ответ - только в NetFlow внутреннего адреса клиента нет.

Для трафика, flow которого нормально переворачивается, вижу следующую картину в кеше:
(идет пинг от 192.168.1.5 до 64.233.187.99)

# sh ip cache flow | incl 192.168.1.125
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.13 64.233.187.99 Null 192.168.1.5 01 0000 0000 13
Fa0/1.20 192.168.1.5 Fa0/0.13 64.233.187.99 01 0000 0800 13


А вот для DNS-трафика (ns-сервер 62.183.127.3) вижу такое:
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.13 62.183.127.3 Local 1.1.1.1 11 0035 080A 1
Fa0/1.20 192.168.1.5 Null 62.183.127.3 11 0807 0035 1

Кстати, не могу еще понять, почему у меня DstIf Null. В доке написано, что этот пакет никуда не уйдет, зарубается на роутере и в netflow не попадает. Но у меня коллектор их получает нормально.

Вот вкратце конфиг циски:

interface Loopback0
ip address 10.10.10.10 255.255.255.224
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
no ip address
ip route-cache policy
ip route-cache flow
no ip mroute-cache
no cdp enable
no mop enabled
!
interface FastEthernet0/0.13
encapsulation dot1Q 13
ip address 1.1.1.1 255.255.255.252
ip nat outside
ip virtual-reassembly
ip policy route-map MAP_NetUP
no ip mroute-cache
!
interface FastEthernet0/1
no ip address
ip route-cache policy
ip route-cache flow
no ip mroute-cache
no cdp enable
no mop enabled
!
interface FastEthernet0/1.20
encapsulation dot1Q 20
ip address 192.168.1.12 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly
no ip mroute-cache
no snmp trap link-status
!
ip nat pool GoldenNAT 1.1.1.1 1.1.1.1 netmask 255.255.255.0
ip nat inside source list ACL_Golden_NAT pool GoldenNAT overload
!
ip access-list extended ACL_Golden_NAT
deny ip host 192.168.1.125 any
permit ip 192.168.0.0 0.0.255.255 any
!
route-map MAP_NetUP permit 10
description ---------- Retrasmit to calculate traffic for private addresses ----------
match ip address ACL_netflow_rev
set interface Loopback0
!
end

Буду благодарен за любую помощь.

Ответить | Сообщить модератору
  • Снова Cisco NAT + Netflow, !*! sda, 13:04 , 07-Июн-07 (1)
    а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
    Ответить | Сообщить модератору
    • Снова Cisco NAT + Netflow, !*! Alan_2004, 13:09 , 07-Июн-07 (2)
      >а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
      >
      Да, забыл написать.

      version 12.4

      Есть новее для 2811? И как там это реализовано?

      Ответить | Сообщить модератору
      • Снова Cisco NAT + Netflow, !*! sda, 13:11 , 07-Июн-07 (3)
        >>а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
        >>
        >Да, забыл написать.
        >
        >version 12.4
        >
        >Есть новее для 2811? И как там это реализовано?

        в 2811 не знаю. у меня просто 7200
        там реализовано очень просто... пишется в конфе интерфейса, где надо считать исходящий/входящий трафик...

        ip flow ingress
        ip flow engress


        Ответить | Сообщить модератору
        • Снова Cisco NAT + Netflow, !*! Alan_2004, 23:53 , 07-Июн-07 (4)
          >в 2811 не знаю. у меня просто 7200
          >там реализовано очень просто... пишется в конфе интерфейса, где надо считать исходящий/входящий
          >трафик...
          >
          >ip flow ingress
          >ip flow engress


          Нет, сейчас специально проверил. Отключил ip cache policy и ip cache flow на интерфейсах, убрал заворот на Loopback0 и включил ip flow ingress и ip flow engress на одном из сабинтерфейсов. Трафик полился, но снова без ответов DNS. В sh ip cache flow то же самое. Короче, эти варианты с ingress/egress тут ни при чем.

          Ответить | Сообщить модератору
          • Снова Cisco NAT + Netflow, !*! littlevik, 07:08 , 08-Июн-07 (5)
            >Отключил ip cache flow на интерфейсах...
            А вот этого НЕ НАДО!
            Ответить | Сообщить модератору
            • Снова Cisco NAT + Netflow, !*! Alan_2004, 09:31 , 08-Июн-07 (6)
              >>Отключил ip cache flow на интерфейсах...
              >А вот этого НЕ НАДО!

              Так ведь я же все равно видел трафик на коллекторе. Насколько я понял из доки, ip flow egress/ingress позволяют генерить netflow на сабах и без включенного ip cache flow на физическом интерфейсе. А вот как раз при включенном ip cache flow они уже не играют роли.

              Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру