Господа, извиняюсь, что вновь поднимаю избитую тему, но нужна помощь.....
Есть сisco 1760 (IOS - 12.4(10) - c1700-ipbasek9-mz.124-10a.bin), поддержка netflow egress в нем есть. Нужно корректно настроить отдачу статистики по netflow c учетом наличия NAT.
Собственно все настроено, кроме того что в статистике отображается единый IP NAT, а не IP конечного пользователя.
В инете и на opennet.ru есть много статей по поводу предыдущих версий ІOS (с заворачиванием через loopback и т.д.), но к сожалению loopback сильно влияет на производительность, а понятного описания как такое сделать с ip flow egress мне найти не удалось.....
cisco1760#show ip cache flow
IP packet size distribution (4629952 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .552 .053 .010 .009 .004 .006 .004 .002 .001 .001 .002 .005 .007 .004512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.004 .003 .012 .025 .286 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 278544 bytes
79 active, 4017 inactive, 645917 added
6819194 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 21640 bytes
47 active, 977 inactive, 420650 added, 420650 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-FTP 6427 0.0 15 69 0.2 11.9 2.6
TCP-WWW 212845 0.5 12 545 7.7 1.3 2.3
TCP-SMTP 4799 0.0 79 930 1.0 8.2 3.8
TCP-X 368 0.0 1 40 0.0 0.0 15.5
TCP-other 126109 0.3 8 384 2.9 3.6 11.4
UDP-DNS 7528 0.0 7 77 0.1 10.9 15.5
UDP-NTP 13103 0.0 1 76 0.0 0.0 15.1
UDP-other 39817 0.1 3 208 0.4 2.3 15.4
ICMP 9651 0.0 13 108 0.3 5.8 15.3
Total: 420647 1.1 10 500 13.0 2.6 7.2SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0 80.ЧЧ.ЧЧЧ.126 Se0/0 164.8.222.132 06 8149 1236 324
Fa0/0 80.ЧЧ.ЧЧЧ.126 Se0/0 83.26.232.144 06 CCB3 1236 301
Fa0/0 80.ЧЧ.ЧЧЧ.126 Null 88.153.201.145 06 A757 1236 1
Fa0/0 80.ЧЧ.ЧЧЧ.126 Se0/0 88.153.201.145 06 A757 1236 3
Fa0/0 80.ЧЧ.ЧЧЧ.126 Se0/0 62.43.64.198 06 D2CC 09F0 11
Fa0/0 80.ЧЧ.ЧЧЧ.126 Null 83.22.214.158 06 8976 656A 1
Fa0/0 80.ЧЧ.ЧЧЧ.126 Se0/0 83.22.214.158 06 8976 656A 14
Fa0/0 10.0.0.5 Local 10.1.0.2 11 D7C8 00A1 1
Fa0/0 10.0.0.102 Se0/0 194.186.121.76 06 11C2 0050 3
Fa0/0 80.ЧЧ.ЧЧЧ.126 Se0/0 200.150.41.90 06 D54C 1236 724
Fa0/0 80.ЧЧ.ЧЧЧ.126 Se0/0 201.235.1.253 06 9815 2270 2
Fa0/0 80.ЧЧ.ЧЧЧ.178 Se0/0 212.109.49.116 06 C5FE 0050 13
Что значит единый NAT? Покажите, что наконфигурили...
Вот полный конфиг:cisco1760#show running-config
Building configuration...Current configuration : 6085 bytes
!
! Last configuration change at 10:02:03 EET Wed Jan 10 2007 by adms
! NVRAM config last updated at 12:16:06 EET Tue Jan 9 2007 by alexis
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname cisco1760
!
boot-start-marker
boot system flash flash:c1700-ipbasek9-mz.124-10a.bin
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 8000 debugging
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
!
aaa session-id common
clock timezone EET 2
no ip source-route
ip cef
ip cef accounting per-prefix
!
!
ip tcp synwait-time 10
!
!
ip flow-egress input-interface
no ip bootp server
ip domain name XXXXXXXXXXXX.kiev.ua
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki trustpoint TP-self-signed-180360467
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-180360467
revocation-check none
rsakeypair TP-self-signed-180360467
!
!
crypto pki certificate chain TP-self-signed-180360467
certificate self-signed 01
XXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXX
quit
username adms password 7 XXXXXXXXXXXXXXXXXXXXXXX
username alexis privilege 15 view root secret 5 XXXXXXXXXXXXXXXXXXX
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0/0
description $ETH-LAN$$FW_INSIDE$
ip address 10.1.0.2 255.0.0.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip route-cache flow
speed auto
no cdp enable
!
interface Serial0/0
description $FW_OUTSIDE$
ip address 80.XX.XXX.126 255.255.255.252
ip access-group InternetIn in
ip access-group InternetOut out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation frame-relay IETF
ip route-cache flow
load-interval 30
frame-relay interface-dlci 440
!
interface Serial0/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 80.XX.XXX.125
ip flow-export version 5
ip flow-export destination 10.0.0.3 9996
ip flow-top-talkers
top 15
sort-by bytes
!
ip http server
ip http access-class 1
no ip http secure-server
ip nat inside source list NAT interface Serial0/0 overload
ip nat inside source static 10.0.0.5 80.XX.XXX.178
ip nat inside source static 10.0.0.6 80.XX.XXX.179
ip nat inside source static 10.0.0.3 80.XX.XXX.180
ip nat inside source static 10.0.0.77 80.XX.XXX.181
ip nat inside source static 10.0.0.50 80.XX.XXX.182
!
ip access-list extended InternetIn
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq www
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit icmp any any echo-reply
permit icmp any any echo
permit tcp any host 80.XX.XXX.178 eq smtp
permit tcp host 212.XX.XXX.147 host 80.XX.XXX.179 eq 1352
permit tcp host 193.XX.XXX.194 host 80.XX.XXX.179 eq 1352
permit tcp host 212.XX.XXX.134 host 80.XX.XXX.179 eq 1352
evaluate InternetTraffic
deny ip any any log
ip access-list extended InternetOut
permit tcp any any reflect InternetTraffic
permit udp any any reflect InternetTraffic
permit icmp any any reflect InternetTraffic
ip access-list extended NAT
permit ip host 10.0.0.50 any
permit ip host 10.0.0.77 any
permit ip host 10.0.0.222 any
permit ip host 10.0.0.5 any
permit ip host 10.0.0.3 any
permit ip host 10.0.0.55 any
permit ip host 10.0.0.4 any
permit ip host 10.0.0.107 any
permit ip host 10.0.0.100 any
permit ip host 10.0.30.7 any
permit ip host 10.0.4.81 any
permit ip host 10.0.3.12 any
!
access-list 1 permit 10.0.0.50
access-list 1 permit 10.0.0.77
access-list 1 permit 10.0.0.222
access-list 100 deny tcp any any eq 881 log
access-list 100 deny tcp any eq 881 any log
access-list 100 deny udp any any eq 881 log
access-list 100 deny udp any eq 881 any log
access-list 100 permit ip any any
snmp-server community public RO
snmp-server host 10.1.0.222 public
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!^C
!
line con 0
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 1 in
transport input ssh
!
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17208089
ntp server 10.0.0.2 source FastEthernet0/0 prefer
ntp server 10.0.0.4 source FastEthernet0/0
ntp server 10.0.0.5 source FastEthernet0/0
end
А вот часть вывода show ip cache flow
....
Fa0/0 80.XX.XXX.178 Se0/0 213.180.199.22 06 8D23 0050 8
Fa0/0 80.XX.XXX.126 Null 87.19.39.49 06 8EA9 1236 1
Fa0/0 80.XX.XXX.126 Se0/0 87.19.39.49 06 8EA9 1236 9
Fa0/0 80.XX.XXX.126 Se0/0 195.131.153.36 06 AB6B 1236 1
Fa0/0 80.XX.XXX.126 Se0/0 88.118.205.14 06 941E 1236 3456
Fa0/0 80.XX.XXX.126 Se0/0 212.7.28.195 06 DC30 26AA 8
Fa0/0 80.XX.XXX.126 Null 212.7.28.195 06 DC30 26AA 1
Fa0/0 80.XX.XXX.126 Se0/0 85.85.2.181 06 8304 1236 8
Т.е. вместо 10.0.*.*** имеем в статистике один ИР 80.XX.XXX.126, за исключением тех которые статически в NATе (ip nat inside source static 10.0.0.5 80.XX.XXX.178), они видятся отдельно:
Fa0/0 80.XX.XXX.178 Se0/0 217.20.163.247 06 8D55 0050 7
Fa0/0 80.XX.XXX.178 Se0/0 205.188.1.120 06 ECAB 01BB 1В итоге почтитать трафик по пользователям - нереально :(
И что с этим делать пока найти не смог....
interface FastEthernet0/0
no ip route-cache flow
interface Serial0/0
no ip route-cache flow
>interface FastEthernet0/0
>no ip route-cache flow
>interface Serial0/0
>no ip route-cache flowсделал как вы написали - т.е. убрал ip route-cache flow на всех интерфейсах, не помогает...
в выводе show ip cache flow все по-прежнему :(
Опс. Давайте еще no ip flow-egress input-interface попробуем. :)
>Опс. Давайте еще no ip flow-egress input-interface попробуем. :)К сожалению тоже не помогло, сейчас ситуация следющая (то, что имеет отношение к теме, полностью конф вверху):
ip cef
!
ip flow-export version 5
ip flow-export destination 10.0.0.3 9996
!
interface FastEthernet0/0 (LAN)
ip address 10.1.0.2 255.0.0.0
ip flow ingress
ip flow egress
ip nat inside
....
!
interface Serial0/0 (WAN)
ip address 80.XX.XXX.126 255.255.255.252
ip nat outside
....
!Т.е. ничего лишенего
sh ip cache flow
Fa0/0 10.0.0.77 Local 10.1.0.2 06 06DF 0017 23
Fa0/0 10.0.0.222 Null 80.91.160.2 11 84F6 0035 1
Fa0/0 10.0.0.5 Null 195.137.203.194 06 B584 0015 2
Fa0/0 80.XX.XXX.126 Se0/0 87.1.17.242 06 E25F 9591 1
Fa0/0 80.XX.XXX.126 Se0/0 82.149.1.82 06 8077 4201 18
Fa0/0 80.XX.XXX.126 Se0/0 72.141.13.183 06 B0B7 3946 2646
Fa0/0 80.XX.XXX.126 Se0/0 82.55.181.3 06 99D8 1232 12и т.д......
Первая строка - правильно - это я на циске telnet'ом сижу,
Воторая - тоже правильно (запос к DNS провайдера), третья - ОК, а остальное лажа....
Т.е. исходящий трафик вроде как отображается правильно, а входящий - нет :(
>>Опс. Давайте еще no ip flow-egress input-interface попробуем. :)
>
>К сожалению тоже не помогло, сейчас ситуация следющая (то, что имеет отношение
>к теме, полностью конф вверху):
>
>ip cef
>!
>ip flow-export version 5
>ip flow-export destination 10.0.0.3 9996
>!
>interface FastEthernet0/0 (LAN)
>ip address 10.1.0.2 255.0.0.0
>ip flow ingress
>ip flow egress
>ip nat inside
>....
>!
>interface Serial0/0 (WAN)
>ip address 80.XX.XXX.126 255.255.255.252
>ip nat outside
>....
>!
>
>Т.е. ничего лишенего
>sh ip cache flow
>Fa0/0 10.0.0.77
> Local
> 10.1.0.2 06
>06DF 0017 23
>Fa0/0 10.0.0.222
> Null
> 80.91.160.2 11 84F6 0035
> 1
>Fa0/0 10.0.0.5
> Null
> 195.137.203.194 06 B584 0015
> 2
>Fa0/0 80.XX.XXX.126
>Se0/0 87.1.17.242
> 06 E25F 9591 1
>
>Fa0/0 80.XX.XXX.126
>Se0/0 82.149.1.82
> 06 8077 4201 18
>Fa0/0 80.XX.XXX.126
>Se0/0 72.141.13.183
> 06 B0B7 3946 2646
>Fa0/0 80.XX.XXX.126
>Se0/0 82.55.181.3
> 06 99D8 1232 12
>
>и т.д......
>Первая строка - правильно - это я на циске telnet'ом сижу,
>Воторая - тоже правильно (запос к DNS провайдера), третья - ОК, а
>остальное лажа....
>Т.е. исходящий трафик вроде как отображается правильно, а входящий - нет :(
>
ну так сделай через роуте мап и будет счастие.
не первый раз слышу что ip flow egress в 12.4 не пашет толком.
на 12.3 все нормально через лупбек работает замечательно.
Попробуй софтег поменять. У меня на IP Base 12.4 работает.2weris
Тормозит оно сильно через lopback
>Попробуй софтег поменять. У меня на IP Base 12.4 работает.
>
>2weris
>Тормозит оно сильно через lopbackА я именно на IP BASE 12.4 и пробую (c1700-ipbasek9-mz.124-10a.bin), сегодня вечером попробую на ADVANCED SECURITY 12.4(12) - c1700-advsecurityk9-mz.124-12.bin, может действительно в IOS дело....
Добрый день!
Удалось решить проблему? Недавно столкнулся с подобным.