Каким образом можно собирать трафик на вход/исход совместно с использованием rate-limit с последующей выгрузкой через netflow? В рамках одного устройства.
> Каким образом можно собирать трафик на вход/исход совместно с использованием rate-limit
> с последующей выгрузкой через netflow? В рамках одного устройства.Так примерно обычно и собирают:
!
interface GigabitEthernet0/1.5
encapsulation dot1Q 5
ip address 77.88.99.221 255.255.255.252
ip flow ingress
rate-limit input 2000000 375000 750000 conform-action transmit exceed-action drop
rate-limit output 2000000 375000 750000 conform-action transmit exceed-action drop
!ip flow ingress - также на аплинковых интерфейсах.
И далее как предписано по док-ции:
!
flow exporter NF9-exporter
destination 77.88.99.4
transport udp 8787
!
!
flow monitor NF9
record netflow ipv4 original-input
exporter NF9-exporter
!С пакетами которые подропались на rate-limit обычно не заморачиваются куда их в статистике относить.
> !
> interface GigabitEthernet0/1.5
> encapsulation dot1Q 5
> ip address 77.88.99.221 255.255.255.252
> ip flow ingress
> rate-limit input 2000000 375000 750000 conform-action transmit exceed-action drop
> rate-limit output 2000000 375000 750000 conform-action transmit exceed-action drop
> !
> ip flow ingress - также на аплинковых интерфейсах.ip flow monitor вернее по новым веяниям.
>> Каким образом можно собирать трафик на вход/исход совместно с использованием rate-limit
>> с последующей выгрузкой через netflow? В рамках одного устройства.
> Так примерно обычно и собирают:У меня получаются нестыковки.
Внешний интерфейс rate-limit и no ip cef ибо без него лимиты не работают, и внутренний,
ip flow ingress
ip flow egressПроблема в том, что при включенном ip cef не работают правила rate-limit , а при выключенном ip cef не фиксируется трафик по netflow.
В итоге у меня сейчас исходящий фиксируется, а входящий нет.
ip flow egress - скользкая вещь. можно избежать?
без cef - деньги на ветер.А что за железка и софт ?
> ip flow egress - скользкая вещь. можно избежать?
> без cef - деньги на ветер.Нужно в обе стороны просматривать, ибо контингент пользователей плохой.
> А что за железка и софт ?
1821W c181x-advipservicesk9-mz.124-11.XW5.bin
> 1821W c181x-advipservicesk9-mz.124-11.XW5.binПопробуйте всё же по-старинке (без egress):
!
ip cef
!
interface GigabitEthernet0/1.5
description USER
ip flow ingress
rate-limit input ...
rate-limit output ...
interface GigabitEthernet0/1.10
description UPLINK
ip flow ingress
!И посмотрите
show ip cache flowЕсть там всё, и in и out по клиентской подсети ?
Или какой-то ньюанс я упустил?
>[оверквотинг удален]
> rate-limit input ...
> rate-limit output ...
> interface GigabitEthernet0/1.10
> description UPLINK
> ip flow ingress
> !
> И посмотрите
> show ip cache flow
> Есть там всё, и in и out по клиентской подсети ?
> Или какой-то ньюанс я упустил?Для сбора трафика по netflow требуется включенный ip cef на интерфейсе, а для работы rate-limit требуется отключенный ip cef на интерфейсе.
Т.е. в приведенном Вами примере, netflow будет собираться, но не будут работать правила rate-limit
> для работы rate-limit требуется отключенный ip cef на интерфейсе.Редкие грабли. Пробовал с c881 , c2600, с2800 и выше. и софт 12.4 и 15.1.
Везде rate-limit безупречно отрабатывает с включенным cef.