URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12988
[ Назад ]

Исходное сообщение
"Cisco2801+vpdn+netflow нет экспорта исходящих запросов"
Отправлено rite , 06-Мрт-07 12:32

Настроил NetFlow. Получаю всю статистику движения пакетов (по LAN и из интернета в LAN) кроме исходящих в интернет запросов от хоста, который подключается к роутеру по vpdn.
Чтоб выйти в инет хост запускает vpn-соедниение, подключается со стороны FaEth 0/0, успешно авторизуется на радиусе и выходит в Инет со стороны FaEth 0/1, но ни FaEth 0/1 (с командой ip flow egress), ни virtual-template 1 (с командой ip flow ingress) не экспортируют инфу о запросах на внешние адреса.
Подскажите где рыть дальше?
Конф:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime
service password-encryption
!
hostname Cisco2801
!
boot-start-marker
boot-end-marker
!
enable password 7 05080F1C22431C514954
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
!
aaa session-id common
ip cef
!
!
no ip domain lookup
ip rcmd rsh-enable
ip rcmd remote-host root 192.168.0.2 root enable
vpdn enable
vpdn aaa attribute nas-ip-address vpdn-nas
vpdn aaa attribute nas-port vpdn-nas
!
vpdn-group 0
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
voice-card 0
!
virtual-template 1 pre-clone 1
!
!
username *** password 7 104D000A061840535C55
username *** password 7 1541585F
!
!
interface FastEthernet0/0
description to LAN
ip address 192.168.0.201 255.255.255.0
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1
description to WAN
ip address 10.0.0.13 255.255.255.0
ip flow egress
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/3/0
!
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
!
interface FastEthernet0/3/3
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip flow ingress
ip flow egress
ip route-cache flow
no peer default ip address
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
interface Vlan1
no ip address
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.0.2 9996
!
no ip http server
no ip http secure-server
!
no cdp run
!
!
radius-server host 192.168.0.2 auth-port 1812 acct-port 1813
radius-server retransmit 1
radius-server key 7 00171605165E1F
!
control-plane
!
!
gateway
timer receive-rtp 1200
!
!
line con 0
line aux 0
line vty 0 4
session-timeout 30
password 7 094F471A1A0A454A5B5D
!
scheduler allocate 20000 1000
end

Содержание

Cisco2801+vpdn+netflow нет экспорта исходящих запросов,rite, 05:15 , 13-Мрт-07
- Cisco2801+vpdn+netflow нет экспорта исходящих запросов,kir22, 06:43 , 13-Мрт-07
  - Cisco2801+vpdn+netflow нет экспорта исходящих запросов,rite, 09:08 , 13-Мрт-07
Cisco2801+vpdn+netflow нет экспорта исходящих запросов,rite, 08:03 , 23-Мрт-07
- Cisco2801+vpdn+netflow нет экспорта исходящих запросов,rite, 11:07 , 04-Июл-07

Сообщения в этом обсуждении

"Cisco2801+vpdn+netflow нет экспорта исходящих запросов"
Отправлено rite , 13-Мрт-07 05:15

Решения так и не нашел, подозрение пало на ios, однако на других версиях все то же.
Народ поскажите кто-нибудь, как посчитать трафик в vpdn канале по netflow!

"Cisco2801+vpdn+netflow нет экспорта исходящих запросов"
Отправлено kir22 , 13-Мрт-07 06:43

>Решения так и не нашел, подозрение пало на ios, однако на других
>версиях все то же.
>Народ поскажите кто-нибудь, как посчитать трафик в vpdn канале по netflow!
Шепни
int virtual-templ 1
ip route-cache flow
ip flow ing
ip flow egr

"Cisco2801+vpdn+netflow нет экспорта исходящих запросов"
Отправлено rite , 13-Мрт-07 09:08

>Шепни
>int virtual-templ 1
>ip route-cache flow
>ip flow ing
>ip flow egr
Так в том-то и дело, что такая настройка по какой-то причине не работает (см. конфиг выше)

"Cisco2801+vpdn+netflow нет экспорта исходящих запросов"
Отправлено rite , 23-Мрт-07 08:03

Люди, подскажите, плиз, что делать!
Как оказалось, причиной сего явления стало самопроизвольное отключение IP fast switching и IP CEF switching на интерфейсе virtual-access, при том только у одного хоста!! (подымал с 4 хостов на cisco vpdn-соединение - на всех все нормально, CEF включен, траф учитывается по netflow, но только у одного из них такая проблема)
Проявляется это так:
Cisco2801#sh ip int vi3
Virtual-Access3 is up, line protocol is up
<...>
  Peer address is *.*.*.131
  MTU is 1400 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
<...>
  IP fast switching is disabled
  IP fast switching on the same interface is disabled
  IP Flow switching is enabled
  IP CEF switching is disabled
  IP Null turbo vector
  IP multicast fast switching is disabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, Flow cache, CEF, Full Flow
<...>
  Policy routing is disabled
  Network address translation is disabled
<...>
Соединения с другого хоста, на котором все работает нормально:
Cisco2801#sh ip int vi4
Virtual-Access4 is up, line protocol is up
<...>
  Peer address is *.*.*.132
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
<...>
  IP fast switching is enabled
  IP fast switching on the same interface is enabled
  IP Flow switching is enabled
  IP CEF switching is enabled
  IP CEF Flow Fast switching turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, Flow cache, CEF, Full Flow
<...>
  Policy routing is disabled
  Network address translation is disabled
<...>
В результате, трафик, который должен попасть на vi3 уходит зачем-то на null, а инфо об исходящем не отображается вовсе:
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/1         87.250.251.8    Null          *.*.*.131  01 0000 0000   147
Fa0/1         205.188.7.130   Vi4           *.*.*.132  06 01BB F60A     1
Vi4           *.*.*.132      Fa0/1         205.188.7.130   06 F60A 01BB     1
Еще одна интересная вещь во время debug cef receive:
CEF-Receive: Not supported for *.*.*.131 thru Virtual-Access3 - receive
CEF-Receive: Packet for *.*.*.131 -- unsupported feature
Еще могу сказать, что проблема только у одной машины (vpn-настройки на ней такие же как и на остальных (все по умолчанию)), от места подключения в ЛВС не зависит.
Помогите кто может!

"Cisco2801+vpdn+netflow нет экспорта исходящих запросов"
Отправлено rite , 04-Июл-07 11:07

Собака оказалась зарыта в следующем месте:
"ppp encrypt mppe auto" - на моей циске хардверно не поддерживается шифрование, из-за этого происходит такой глюк.
Решение:
на циске - no ppp encrypt mppe auto;
в настройках vpn-подключения клиента - подключаться даже без шифрования.