Привет всем!Снимаю по Netflow трафик NAT-клиентов с Cisco 2811 известным способом с Loopback-интерфейсом.
Мой Inside Global, например, 1.1.1.1.
Штука в том, что для некоторых видов трафика (например, DNS UDP Response) "переворота" Inside Global в Inside Local не происходит - и по Netflow льется трафик от ns.xxxxxx.ru до моего 1.1.1.1, вместо 192.168.* Причем фактически-то NAT отрабатывает и клиент получает ответ - только в NetFlow внутреннего адреса клиента нет.Для трафика, flow которого нормально переворачивается, вижу следующую картину в кеше:
(идет пинг от 192.168.1.5 до 64.233.187.99)# sh ip cache flow | incl 192.168.1.125
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.13 64.233.187.99 Null 192.168.1.5 01 0000 0000 13
Fa0/1.20 192.168.1.5 Fa0/0.13 64.233.187.99 01 0000 0800 13
А вот для DNS-трафика (ns-сервер 62.183.127.3) вижу такое:
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.13 62.183.127.3 Local 1.1.1.1 11 0035 080A 1
Fa0/1.20 192.168.1.5 Null 62.183.127.3 11 0807 0035 1Кстати, не могу еще понять, почему у меня DstIf Null. В доке написано, что этот пакет никуда не уйдет, зарубается на роутере и в netflow не попадает. Но у меня коллектор их получает нормально.
Вот вкратце конфиг циски:
interface Loopback0
ip address 10.10.10.10 255.255.255.224
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
no ip address
ip route-cache policy
ip route-cache flow
no ip mroute-cache
no cdp enable
no mop enabled
!
interface FastEthernet0/0.13
encapsulation dot1Q 13
ip address 1.1.1.1 255.255.255.252
ip nat outside
ip virtual-reassembly
ip policy route-map MAP_NetUP
no ip mroute-cache
!
interface FastEthernet0/1
no ip address
ip route-cache policy
ip route-cache flow
no ip mroute-cache
no cdp enable
no mop enabled
!
interface FastEthernet0/1.20
encapsulation dot1Q 20
ip address 192.168.1.12 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly
no ip mroute-cache
no snmp trap link-status
!
ip nat pool GoldenNAT 1.1.1.1 1.1.1.1 netmask 255.255.255.0
ip nat inside source list ACL_Golden_NAT pool GoldenNAT overload
!
ip access-list extended ACL_Golden_NAT
deny ip host 192.168.1.125 any
permit ip 192.168.0.0 0.0.255.255 any
!
route-map MAP_NetUP permit 10
description ---------- Retrasmit to calculate traffic for private addresses ----------
match ip address ACL_netflow_rev
set interface Loopback0
!
endБуду благодарен за любую помощь.
а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
>а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
>
Да, забыл написать.version 12.4
Есть новее для 2811? И как там это реализовано?
>>а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...
>>
>Да, забыл написать.
>
>version 12.4
>
>Есть новее для 2811? И как там это реализовано?в 2811 не знаю. у меня просто 7200
там реализовано очень просто... пишется в конфе интерфейса, где надо считать исходящий/входящий трафик...ip flow ingress
ip flow engress
>в 2811 не знаю. у меня просто 7200
>там реализовано очень просто... пишется в конфе интерфейса, где надо считать исходящий/входящий
>трафик...
>
>ip flow ingress
>ip flow engress
Нет, сейчас специально проверил. Отключил ip cache policy и ip cache flow на интерфейсах, убрал заворот на Loopback0 и включил ip flow ingress и ip flow engress на одном из сабинтерфейсов. Трафик полился, но снова без ответов DNS. В sh ip cache flow то же самое. Короче, эти варианты с ingress/egress тут ни при чем.
>Отключил ip cache flow на интерфейсах...
А вот этого НЕ НАДО!
>>Отключил ip cache flow на интерфейсах...
>А вот этого НЕ НАДО!Так ведь я же все равно видел трафик на коллекторе. Насколько я понял из доки, ip flow egress/ingress позволяют генерить netflow на сабах и без включенного ip cache flow на физическом интерфейсе. А вот как раз при включенном ip cache flow они уже не играют роли.