Себе я мозг уже взорвал, теперь ваша очередь )))В общем схема такая:
Есть роутер cisco 2811, к нему подключен свитч cisco 2960 который порты делит на VLAN-ы
На 112 VLAN висит сервер на FreeBSD со SQUID(WCCP) + DNS
Задача:
Подсчитывать трафик по NetFlow на VLAN от 200 и выше...
Бага:
Если включить Flow на всех VLAN то все работает, но пакет идущий по маршруту SQUID->CISCO->Client попадает в счетчик Flow 2 раза!!! Поэтому весь трафик на порт 80 получается что считается 2 раза (в детальном отчете видны 3 строки: 1-запрос и 2 одинаковых ответа). Чтож думаю ща вырублю Flow на 112 VLAN (Squid) и все будет как надо, так вот возникает 2я проблема, при выключении Flow на 112 VLAN, через него не проходят никакие пакеты UDP (DNS запросы и NTP синхронизация) TCP вроди как работает нормано, по SSH на сервак захожу и пинги в норме, файрвол на серваке временно открыт(чтоб не мешал решению данной проблемы).Конфиг роутера:
Building configuration...
Current configuration : 8311 bytes
!
version 12.4
service tcp-keepalives-in
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone YEKT 5
ip subnet-zero
no ip source-route
ip wccp check services all
ip wccp web-cache redirect-list fwd-2-squid
ip telnet source-interface FastEthernet0/1.111
!
(Аки _ вырезанно :D )
!
ip cef
!
!
no ip domain lookup
ip name-server 172.27.1.10
ip name-server 192.168.10.1
ip name-server 195.54.2.1
ip name-server 81.89.80.8
ip rcmd rsh-enable
ip rcmd remote-host netup 172.27.0.12 root enable
ip rcmd source-interface FastEthernet0/1.111
!
!
interface Loopback0
ip address 192.168.15.1 255.255.255.0
ip route-cache policy
!
interface FastEthernet0/0
ip address 192.168.10.27 255.255.255.0
ip wccp web-cache redirect out
ip nat outside
ip route-cache policy
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1.111
encapsulation dot1Q 111
ip address 172.27.0.1 255.255.255.224
ip access-group 130 out
ip flow ingress
ip flow egress
ip nat inside
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1.112
encapsulation dot1Q 112
ip address 172.27.1.1 255.255.255.0
ip nat inside
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1.206
encapsulation dot1Q 206
ip address 10.77.0.5 255.255.255.252
ip access-group 105 in
ip access-group 106 out
ip flow ingress
ip flow egress
ip nat inside
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1.207
encapsulation dot1Q 207
ip access-group 105 in
ip access-group 106 out
ip flow ingress
ip flow egress
ip nat inside
no snmp trap link-status
no cdp enable
!
.
. () все последующие VLAN одинаковые (клиенты).
.
!
interface FastEthernet0/1.224
encapsulation dot1Q 224
ip access-group 105 in
ip access-group 106 out
ip flow ingress
ip flow egress
ip nat inside
no snmp trap link-status
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip flow-export version 5
ip flow-export destination 172.27.0.12 9996
!
no ip http server
ip http port 1082
ip http access-class 2
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static 10.77.0.6 192.168.10.6
ip nat inside source static 10.77.0.2 192.168.10.100
!
ip access-list standard fwd-2-squid
deny 172.27.0.13
deny 172.27.1.0 0.0.0.255
permit any
!
logging 172.27.0.11
access-list 1 permit 10.77.0.0 0.0.255.255
access-list 1 permit 172.27.0.0 0.0.0.31
access-list 1 permit 172.27.1.0 0.0.0.255
access-list 1 permit 172.27.2.0 0.0.0.255
access-list 2 permit 172.27.0.0 0.0.0.31
access-list 105 permit tcp any 172.27.1.0 0.0.0.255 eq www
access-list 105 permit tcp any 172.27.1.0 0.0.0.255 eq domain
access-list 105 permit udp any 172.27.1.0 0.0.0.255 eq domain
access-list 105 dynamic utm1 permit ip any any
access-list 106 permit udp 172.27.1.0 0.0.0.255 eq domain any
access-list 106 permit tcp 172.27.1.0 0.0.0.255 eq www any
access-list 106 permit tcp 172.27.1.0 0.0.0.255 eq domain any
access-list 106 dynamic utm2 permit ip any any
access-list 108 permit ip any 10.77.0.0 0.0.255.255
access-list 110 permit tcp any host 192.168.4.2 eq 11758
access-list 120 dynamic subnet permit ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
access-list 130 permit udp any eq domain any
access-list 130 permit tcp any eq domain any
access-list 130 permit udp any eq ntp any
access-list 130 permit tcp host 172.27.1.10 host 172.27.0.12 eq 11758
access-list 130 permit tcp host 172.27.1.10 host 172.27.0.11 eq 3306
access-list 130 permit icmp any 172.27.0.0 0.0.0.31 echo
access-list 130 remark TO_SERVERS_UTM
no cdp run
route-map MAP permit 10
match ip address 108
set interface Loopback0
!
!
control-plane
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 clear
!
line con 0
login local
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
access-class 2 in
login local
transport input telnet
!
scheduler allocate 20000 1000
ntp clock-period 17180348
ntp update-calendar
ntp server 172.27.0.11
!
endОписание:
interface FastEthernet0/0 - смотрит в инет
interface FastEthernet0/1 - подключен к cisco 2960 к транковому порту.
сервак биллинга находится в 111 VLAN
сервак Squid и DNS находится в 112 Vlan
access-list 1 - Кому ходить через NAT в инет
access-list 2 - Откуда мона админить киску по http (но он ща вырублен :D )
access-list 105 и access-list 106 динамические ацес литы которыми открывается или закрывается доступ в инет клиентам.
(Вроди все)
>[оверквотинг удален]
> Есть роутер cisco 2811, к нему подключен свитч cisco 2960
>который порты делит на VLAN-ы
> На 112 VLAN висит сервер на FreeBSD со SQUID(WCCP) +
>DNS
>Задача:
> Подсчитывать трафик по NetFlow на VLAN от 200 и выше...
>
>Бага:
> Если включить Flow на всех VLAN то все работает, но пакет идущий по маршруту SQUID->CISCO->Client попадает в счетчик Flow 2 раза!!! Поэтому весь трафик на порт 80 получается что считается 2 раза (в детальном отчете видны 3 строки: 1-запрос и 2 одинаковых ответа). Чтож думаю ща вырублю Flow на 112 VLAN (Squid) и все будет как надо, так вот возникает 2я проблема, при выключении Flow на 112 VLAN, через него не проходят никакие пакеты UDP (DNS запросы и NTP синхронизация) TCP вроди как работает нормано, по SSH на сервак захожу и пинги в норме, файрвол на серваке временно открыт(чтоб не мешал решению данной проблемы).
>А зачем Вам это на каждом порту?
> ip flow ingress
> ip flow egressВедь трафик egress с одного порта будет ingress на другом ...
>[оверквотинг удален]
>>Бага:
>> Если включить Flow на всех VLAN то все работает, но пакет идущий по маршруту SQUID->CISCO->Client попадает в счетчик Flow 2 раза!!! Поэтому весь трафик на порт 80 получается что считается 2 раза (в детальном отчете видны 3 строки: 1-запрос и 2 одинаковых ответа). Чтож думаю ща вырублю Flow на 112 VLAN (Squid) и все будет как надо, так вот возникает 2я проблема, при выключении Flow на 112 VLAN, через него не проходят никакие пакеты UDP (DNS запросы и NTP синхронизация) TCP вроди как работает нормано, по SSH на сервак захожу и пинги в норме, файрвол на серваке временно открыт(чтоб не мешал решению данной проблемы).
>>
>
>А зачем Вам это на каждом порту?
>> ip flow ingress
>> ip flow egress
>
>Ведь трафик egress с одного порта будет ingress на другом
>...Мне нужно считать пакеты имено НА ИНТЕРФЕЙСЕ(на VLAN) Клиента, потому как у меня далее идет либо NAT либо (WCCP+NAT)->Internet. Если на входеот клиента у мена приходит пакет вида (client to server), то на выходе (CISCO to Server) и наоборот.
т.е. пакет с инета будет выглядеть (Server to CISCO), как я эти пакеты разлечу для какого клиента они предназначенны?По определённым причинам от ната отказаться не могу(связанно с wccp, конфиг щас немного поменялся, выкладывать не стал, изменения к теме не относятся).
Небольшое дополнение: При выключенном ip flow ingress, ip flow engress - Пакеты UDP не работаю, TCP работает, но к примеру к MySQL конект происходит 3-7 секунд, а далее сессия работает нормально, тобиш отклик долгий. При включении на VLan ip flow ingress, ip flow engress все работает без тормозов и задержек!!!