URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11262
[ Назад ]

Исходное сообщение
"ip flow egress && nat ?"
Отправлено Rom1kz , 15-Авг-06 17:38

Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе включен ip nat inside. Как только включаю нетфлов сразу начинает глючить нат, не проходят tcp соединения...
Здесь есть камни, которых я не знаю ?

Содержание

ip flow egress && nat ?,sm00th, 18:16 , 15-Авг-06
- ip flow egress && nat ?,Rom1kz, 19:08 , 15-Авг-06
ip flow egress && nat ?,ilya, 18:22 , 15-Авг-06
- ip flow egress && nat ?,Rom1kz, 19:10 , 15-Авг-06
  - ip flow egress && nat ?,ilya, 08:31 , 16-Авг-06
    - ip flow egress && nat ?,Rom1kz, 09:19 , 16-Авг-06
      - ip flow egress && nat ?,vinni_jopa, 11:38 , 16-Авг-06
        
        ip flow egress && nat ?,Rom1kz, 15:30 , 21-Авг-06
        
        ip flow egress && nat ?,vinni_jopa, 15:33 , 21-Авг-06
        
        ip flow egress && nat ?,Rom1kz, 16:16 , 21-Авг-06
        
        ip flow egress && nat ?,Rom1kz, 11:03 , 10-Ноя-06

Сообщения в этом обсуждении

"ip flow egress && nat ?"
Отправлено sm00th , 15-Авг-06 18:16

>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>нат, не проходят tcp соединения...
>Здесь есть камни, которых я не знаю ?
странно всё это
глянь пример конфигов сбора flow с натом
http://www.netup.ru/articles.php?n=10
у меня после этого работал и flow и всё проходило вроде как.

"ip flow egress && nat ?"
Отправлено Rom1kz , 15-Авг-06 19:08

>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>>нат, не проходят tcp соединения...
>>Здесь есть камни, которых я не знаю ?
>
>странно всё это
>глянь пример конфигов сбора flow с натом
>
>http://www.netup.ru/articles.php?n=10
>
>у меня после этого работал и flow и всё проходило вроде как.
>
Через loopback работает, но вариант этот мне не нравится по некоторым причинам.
Хочется проще и грамотней через ip flow egress, тем более железка и софт позволяют

"ip flow egress && nat ?"
Отправлено ilya , 15-Авг-06 18:22

>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>нат, не проходят tcp соединения...
>Здесь есть камни, которых я не знаю ?

что за железка и какой софт?
в версии 12.4 есть возможность и ingress и egress нетфлоу с одного интерфейса снимать.

"ip flow egress && nat ?"
Отправлено Rom1kz , 15-Авг-06 19:10

>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>>нат, не проходят tcp соединения...
>>Здесь есть камни, которых я не знаю ?
>
>
>что за железка и какой софт?
>в версии 12.4 есть возможность и ingress и egress нетфлоу с одного
>интерфейса снимать.

Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(3c), RELEASE SOFTWARE (fc1)
Позволять-то позволяет, и по установившимся трансляциям ната траф снимает, а вот новые потоки нат уже не создаёт.

"ip flow egress && nat ?"
Отправлено ilya , 16-Авг-06 08:31

>>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>>>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>>>нат, не проходят tcp соединения...
>>>Здесь есть камни, которых я не знаю ?
>>
>>
>>что за железка и какой софт?
>>в версии 12.4 есть возможность и ingress и egress нетфлоу с одного
>>интерфейса снимать.
>
>
>Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(3c), RELEASE SOFTWARE (fc1)
>
>Позволять-то позволяет, и по установившимся трансляциям ната траф снимает, а вот новые
>потоки нат уже не создаёт.
это скорее баг чем фича.
конфиг в студию. и попробуйте софт поменять на более свежий

"ip flow egress && nat ?"
Отправлено Rom1kz , 16-Авг-06 09:19

>это скорее баг чем фича.
>конфиг в студию. и попробуйте софт поменять на более свежий

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname host
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip cef
!
!
!
ip domain name host.ru
vpdn enable
!
vpdn-group 1
!
vpdn-group 2
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key xxx address x.x.x.x
!
!
crypto ipsec transform-set ts1 esp-des esp-md5-hmac
!
crypto map xxx 1 ipsec-isakmp
description name
set peer x.x.x.x
set transform-set ts1
set pfs group1
match address 102
!
!
!
interface Tunnel0
description ipsec
ip address x.x.x.x x.x.x.x
tunnel source x.x.x.x
tunnel destination x.x.x.x
tunnel mode ipip
crypto map xxx
!
interface FastEthernet0/0
description external
mac-address 0021.1234.4325
ip address x.x.x.x 255.255.255.240
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface FastEthernet0/1
description $ETH-WAN$
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Virtual-Template1
ip unnumbered Vlan1
ip mroute-cache
peer default ip address pool PPTP
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!
interface Vlan1
ip address 192.168.150.61 255.255.255.0
ip nat inside
ip virtual-reassembly
ip flow egress
!
!
ip local pool PPTP 192.168.150.196 192.168.150.224
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip flow-export version 5
ip flow-export destination x.x.x.x 9996
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source list 10 interface FastEthernet0/0 overload
!
access-list 10 permit 192.168.150.0 0.0.0.255
access-list 102 permit ip host 192.168.190.131 host 192.168.190.130
access-list 110 permit ip any any
access-list 199 deny   ip any any
route-map FLOW permit 10
match ip address 199
!
!
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
exec-timeout 0 0
privilege level 15
login local
transport input ssh
line vty 5 15
privilege level 15
login local
transport input ssh
!
end
если включить на vlan1 ip route-cache flow, то нат работает, но трафик экспортируется и исходящий с интерфейса и входящий, игрался с ip policy route-map -- не помогло.

"ip flow egress && nat ?"
Отправлено vinni_jopa , 16-Авг-06 11:38

на интерфейсах (ip nat outside и ip nat inside ) включи ip route-cache flow - была такая грабля - решилась именно так

"ip flow egress && nat ?"
Отправлено Rom1kz , 21-Авг-06 15:30

>на интерфейсах (ip nat outside и ip nat inside ) включи ip
>route-cache flow - была такая грабля - решилась именно так

Траф снимается как приходящий так и уходящий, а нужно только egress.

"ip flow egress && nat ?"
Отправлено vinni_jopa , 21-Авг-06 15:33

ip flow-egress input-interface - почитай, не уверен что это оно

"ip flow egress && nat ?"
Отправлено Rom1kz , 21-Авг-06 16:16

>ip flow-egress input-interface - почитай, не уверен что это оно
Пока проблему решил через no ip route-cache cef на нужном интерфейсе..

"ip flow egress && nat ?"
Отправлено Rom1kz , 10-Ноя-06 11:03

>>ip flow-egress input-interface - почитай, не уверен что это оно
>
>Пока проблему решил через no ip route-cache cef на нужном интерфейсе..

Рано я радовался, не весь траф попадает в кэш.. Попадает только 1 пакет. Например тяну с фтп файло, а в кэше вижу такое
Tu51 x.x.x.x Vl1* 192.168.150.101 06 0014 040E 1
И значение пакетов не растёт.