Добрый день всем!Помогите пожалуйста со следующей проблемой. Есть циска 7301. Она работает в качестве NetFlow Collector. Раз в 30 минут биллингом генерится ACL, запрещающий выход в инет тем польбзователям у которых кончились деньги на счету. Этот ACL применяется к downstream интерфейсу 7301. Но по какой то непонятной причине, тем пользователям, которым ACL запрещает выход в инет все равно на счет капают деньги. Я слышал где-то что это нормально. Т.е. ACL отправляет пакеты на интерфейс Null, т.е. фактически дропает, но трафик этот все равно считается. Но рекоммендаций как бороться с этим я не нашел. Помогите побороть проблему пожалуйста.
>Добрый день всем!Помогите пожалуйста со следующей проблемой. Есть циска 7301. Она работает
>в качестве NetFlow Collector. Раз в 30 минут биллингом генерится ACL,
>запрещающий выход в инет тем польбзователям у которых кончились деньги на
>счету. Этот ACL применяется к downstream интерфейсу 7301. Но по какой
>то непонятной причине, тем пользователям, которым ACL запрещает выход в инет
>все равно на счет капают деньги. Я слышал где-то что это
>нормально. Т.е. ACL отправляет пакеты на интерфейс Null, т.е. фактически дропает,
>но трафик этот все равно считается. Но рекоммендаций как бороться с
>этим я не нашел. Помогите побороть проблему пожалуйста.По NetFlow снимается только входящий на физический интерфейс трафик, так что Null здесь ни при чем. При этом нет разницы, отфильтровался трафик на ACL или нет. Однако, есть способ снимать netflow с каждого виртуального интерфейса отдельно (ip flow egress и ip flow ingress). Так что если напрягает входящий к отключенным клиентам трафик - снимай с клиенткого интерфейса - там уж посчитается только если будет фактически отправлен клиенту. Но этот способ не поможет против исходящего от клиентов трафика - он будет в любом случае отсылаться в биллинг, даже если клиент отключен, но шлет пакеты.
Вариантов решения масса, начиная от отключения интерфейсов на маршрутизаторе, портов на коммутаторе, оцепления IP от клиента в биллинге на время отключения и заканчивая поднятием фильтрующего NetFlow-прокси.
>По NetFlow снимается только входящий на физический интерфейс трафик, так что Null
>здесь ни при чем. При этом нет разницы, отфильтровался трафик на
>ACL или нет. Однако, есть способ снимать netflow с каждого виртуального
>интерфейса отдельно (ip flow egress и ip flow ingress). Так что
>если напрягает входящий к отключенным клиентам трафик - снимай с клиенткого
>интерфейса - там уж посчитается только если будет фактически отправлен клиенту.
>Но этот способ не поможет против исходящего от клиентов трафика -
>он будет в любом случае отсылаться в биллинг, даже если клиент
>отключен, но шлет пакеты.
>
>Вариантов решения масса, начиная от отключения интерфейсов на маршрутизаторе, портов на коммутаторе,
>оцепления IP от клиента в биллинге на время отключения и заканчивая
>поднятием фильтрующего NetFlow-прокси.
А средствами NetFlow Collector это сделать можно? Например NetFlow Export Source Access List?
>>По NetFlow снимается только входящий на физический интерфейс трафик, так что Null
>>здесь ни при чем. При этом нет разницы, отфильтровался трафик на
>>ACL или нет. Однако, есть способ снимать netflow с каждого виртуального
>>интерфейса отдельно (ip flow egress и ip flow ingress). Так что
>>если напрягает входящий к отключенным клиентам трафик - снимай с клиенткого
>>интерфейса - там уж посчитается только если будет фактически отправлен клиенту.
>>Но этот способ не поможет против исходящего от клиентов трафика -
>>он будет в любом случае отсылаться в биллинг, даже если клиент
>>отключен, но шлет пакеты.
>>
>>Вариантов решения масса, начиная от отключения интерфейсов на маршрутизаторе, портов на коммутаторе,
>>оцепления IP от клиента в биллинге на время отключения и заканчивая
>>поднятием фильтрующего NetFlow-прокси.
>
>
>А средствами NetFlow Collector это сделать можно? Например NetFlow Export Source Access
>List?
В newflow пакетах передается номера входящего и исходящего интерфейса(физического или виртуального). Если исходящий интерфейс 0 значит пакет никуда не ушел (дропнулся ACLем/не знает маршрут/ит.д.)
>В newflow пакетах передается номера входящего и исходящего интерфейса(физического или виртуального). Если
>исходящий интерфейс 0 значит пакет никуда не ушел (дропнулся ACLем/не знает
>маршрут/ит.д.)
Пакет дропнулся, но статистика о нем ушла и деньги посчитались. Можно как то на NetFlow Collector ее отфильтровать или это делается только средствами биллинга?