URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6790
[ Назад ]

Исходное сообщение
"NAT + netflow "

Отправлено jamper , 09-Дек-04 13:14 
Попыталяс настроить на 7507
nat работает
но проблема - в netflow только записи
7507#sh ip cache flow
Po1.60 192.168.24.253  Po1.20         194.67.1.14     01 0000 0800   241
Po1.20 194.67.1.14     Local         10.10.10.1    01 0000 0000   238

Т.е нет записи 194.67.1.14   192.168.24.253  

10.10.10.1 - нат адрес
10.10.10.2 - реальный адрес
10.10.10.3 - шлюз
192.168.24.0 - nat адреса

Перечитал как форум, дсе статьи (нетап, нетамс), прокопал сайт циски
Собственно сейчас
Po 1.20 - исходящий в мир
Po 1.60 - локалка

Выяснилось что lo не генерит netflow записи

конфиг
!
version 12.3
!
hostname 7507
!ip subnet-zero
ip flow-cache timeout active 5
!
!
ip cef
ip cef accounting per-prefix non-recursive prefix-length
ip audit po max-events 100
no mpls ldp logging neighbor-changes
no ftp-server write-enable
!
!
!
interface Loopback10
description "Loopback for nat"
ip address 10.2.0.1 255.255.255.0
no ip proxy-arp
ip cef accounting non-recursive external
ip route-cache same-interface
ip route-cache policy
ip route-cache flow
no clns route-cache
!
interface Port-channel1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map MAP
no clns route-cache
!
interface Port-channel1.20
description Real IP
encapsulation dot1Q 20
ip address 10.10.10.2 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip flow ingress
ip policy route-map MAP
no cdp enable
!
interface Port-channel1.60
description fisic-unreal
encapsulation dot1Q 60
ip address 192.168.24.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow ingress
no cdp enable
!

interface FastEthernet6/0
no ip address
ip route-cache policy
full-duplex
channel-group 1
no clns route-cache
!
ip nat pool fis_pool 10.10.10.1 10.10.10.1 prefix-length 24
ip nat inside source list 102 pool fis_pool overload
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.3
ip flow-export version 5
ip flow-export destination 10.10.10.4 9998
no ip http server
no ip http secure-server
!
access-list 101 permit ip any 192.168.24.0 0.0.7.255
access-list 102 permit ip 192.168.24.0 0.0.7.255 any
!
route-map MAP permit 10
match ip address 101
set interface Loopback10
!


Содержание

Сообщения в этом обсуждении
"NAT + netflow "
Отправлено denis , 09-Дек-04 14:32 
>Попыталяс настроить на 7507
>nat работает
>но проблема - в netflow только записи
>7507#sh ip cache flow
>Po1.60 192.168.24.253  Po1.20        
>194.67.1.14     01 0000 0800   241
>
>Po1.20 194.67.1.14     Local      
>   10.10.10.1    01 0000 0000  
> 238
>
>Т.е нет записи 194.67.1.14   192.168.24.253
>
>10.10.10.1 - нат адрес
>10.10.10.2 - реальный адрес
>10.10.10.3 - шлюз
>192.168.24.0 - nat адреса
>
>Перечитал как форум, дсе статьи (нетап, нетамс), прокопал сайт циски
>Собственно сейчас
>Po 1.20 - исходящий в мир
>Po 1.60 - локалка
>
>Выяснилось что lo не генерит netflow записи
>
>конфиг
>!
>version 12.3
>!
>hostname 7507
>!ip subnet-zero
>ip flow-cache timeout active 5
>!
>!
>ip cef
>ip cef accounting per-prefix non-recursive prefix-length
>ip audit po max-events 100
>no mpls ldp logging neighbor-changes
>no ftp-server write-enable
>!
>!
>!
>interface Loopback10
> description "Loopback for nat"
> ip address 10.2.0.1 255.255.255.0
> no ip proxy-arp
> ip cef accounting non-recursive external
> ip route-cache same-interface
> ip route-cache policy
> ip route-cache flow
> no clns route-cache
>!
>interface Port-channel1
> no ip address
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip policy route-map MAP
> no clns route-cache
>!
>interface Port-channel1.20
> description Real IP
> encapsulation dot1Q 20
> ip address 10.10.10.2 255.255.255.240
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip nat outside
> ip flow ingress
> ip policy route-map MAP
> no cdp enable
>!
>interface Port-channel1.60
> description fisic-unreal
> encapsulation dot1Q 60
> ip address 192.168.24.254 255.255.255.0
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip nat inside
> ip flow ingress
> no cdp enable
>!
>
>interface FastEthernet6/0
> no ip address
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ip route-cache flow
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
> full-duplex
> channel-group 1
> no clns route-cache
>!
>ip nat pool fis_pool 10.10.10.1 10.10.10.1 prefix-length 24
>ip nat inside source list 102 pool fis_pool overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 10.10.10.3
>ip flow-export version 5
>ip flow-export destination 10.10.10.4 9998
>no ip http server
>no ip http secure-server
>!
>access-list 101 permit ip any 192.168.24.0 0.0.7.255
>access-list 102 permit ip 192.168.24.0 0.0.7.255 any
>!
>route-map MAP permit 10
> match ip address 101
> set interface Loopback10
>!



"NAT + netflow "
Отправлено jamper , 09-Дек-04 14:37 
>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
> ip route-cache flow
>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
хмм ... а мне казалось что это относится к порт чаналу

Включил
Эффект то же ... впрочим как и при выключенном ip route-cache policy
я уже пробовал все варианты, как на физическом интрефейсе, так и на п.ч
дело не в этом
дело в том что действительно при натде помоч может только снятие статистики с лупбака ...
а оно не снимается с него изза того что у луупбак нет входных пакетов - только выходные


"NAT + netflow "
Отправлено Сайко , 09-Дек-04 14:54 
>дело в том что действительно при натде помоч может только снятие статистики
>с лупбака ...
>а оно не снимается с него изза того что у луупбак нет
>входных пакетов - только выходные
Может тогда route-map спасет отца русской демократии?

"NAT + netflow "
Отправлено jamper , 09-Дек-04 14:58 
>>дело в том что действительно при натде помоч может только снятие статистики
>>с лупбака ...
>>а оно не снимается с него изза того что у луупбак нет
>>входных пакетов - только выходные
>Может тогда route-map спасет отца русской демократии?
ip policy route-map MAP
вроде стоит на исходящем интрефесе

или я что то не то говорю ?



"NAT + netflow "
Отправлено jamper , 16-Дек-04 14:59 
Друг оставь покурить
А во ответ тишина.
Проблему решить пока не удалось
Ставить еще одну кошку перед этой не хочется :_(

"NAT + netflow "
Отправлено jamper , 20-Дек-04 16:54 
ап в последний раз :-(

"NAT + netflow "
Отправлено Сайко , 20-Дек-04 17:05 
Всем известный и многоуважаемый ВОЛКА, он же Alexey Alekseev(http://cisco.far.ru/) добился желаемого используюя так называемый VRF Lite.

В fido7.ru.cisco писал следующее:
+===================================================+
У меня такая же фигня...
собрал стенд, убедился что работает :)
если сеf выключить, то работать не будет.


придумал я тут другое решение :))

R2#sh run
Building configuration...

Current configuration : 1809 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
ip vrf WAN
rd 65000:1
route-target export 65000:1
route-target import 65000:1
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
### Локальная сеть                      ###
encapsulation dot1Q 10
ip address 192.168.110.1 255.255.255.0
!
interface FastEthernet0/0.11
### Сеть для соединения рутера, который ###
### натит и который собирает Netflow    ###
encapsulation dot1Q 11
ip vrf forwarding WAN
ip address 192.168.111.2 255.255.255.0
ip nat inside
ip ospf network point-to-point
!
interface Serial0/0
no ip address
!
interface FastEthernet0/1
no ip address
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1.11
### Сеть для соединения рутера, который ###
### натит и который собирает Netflow    ###
encapsulation dot1Q 11
ip address 192.168.111.1 255.255.255.0
ip ospf network point-to-point
!
interface FastEthernet0/1.12
### Интервейс, который смотрит в INET   ###
encapsulation dot1Q 12
ip vrf forwarding WAN
ip address 192.168.112.1 255.255.255.0
ip nat outside
!
interface Serial0/1
no ip address
shutdown
!
router ospf 10
router-id 192.168.111.1
log-adjacency-changes
network 192.168.110.0 0.0.0.255 area 0
network 192.168.111.0 0.0.0.255 area 0
!
router ospf 11 vrf WAN
router-id 192.168.111.2
log-adjacency-changes
network 192.168.111.0 0.0.0.255 area 0
network 192.168.112.0 0.0.0.255 area 0
!
ip nat translation icmp-timeout 2
ip nat inside source list NAT-ACL interface FastEthernet0/1.12 vrf WAN
overload
ip http server
ip classless
!
!
!
ip access-list standard NAT-ACL
permit 192.168.110.0 0.0.1.255
arp 192.168.111.2 000a.8a74.8ae0 ARPA
arp vrf WAN 192.168.111.1 000a.8a74.8ae1 ARPA
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
!
end

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/1.11      192.168.112.254 Fa0/0.10      192.168.110.254 01 0000 0000  
10K
Fa0/1.12      192.168.112.254 Fa0/0.11      192.168.112.1   01 0000 0000  
10K

ВОЛКА
+===================================================+


"NAT + netflow "
Отправлено jamper , 20-Дек-04 17:12 
Окей спасибо буду узнавать что такое vrf
Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость маленькая ?

"NAT + netflow "
Отправлено pwn , 21-Дек-04 01:00 
>Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость
>маленькая ?
нет, скорость не пострадает :)

У меня реально на ряде цисок работает сехма цеф+роутмап+лупбэк Работает прерасно, если не считать одной особенности с которой можно тока мириться - часть входящего трафа на НАТ не раскладывается по хостам, но так как этот траф около 1 процента в среднем я с этим мирюсь.
2. на лупбэке не нужно ставить ip route-c flow и т.п., это не помешает,   но просто не будет работать. тоесть достаточно "голого" лупбэка с каим-нить айпи (без айпи он не подымется) и все. Эффект разложения входящего на НАТ трафа по хостам создается исключительно благодаря цефу, перенаправляя входящий траф на лупбэк мы только создаем необходмые условия для этого.
3. Схема работает без проблем когда локальный интерфей обычный физик. Лучше всего когда оба интерфея, как WAN так и локальный раздельные физические, хотя мне удавалось заставлять работать эту схему на ppoe интерфее dialer. Локальный инетрфей был отдельный, обычный езернет... А у Вас по ходу как локаль так и WAN виртуальные да и плюс еще и сабинтерфеи с инкапсуляцией Dot1q. Очень похоже что цеф просто обламывается работать в таких условиях и нужного результата по данной схеме Вы не получите....
А возможно нада просто обновить ИОС. Я нарывался на старые версии, которые ваще не отдают нетфлов с dot1q сабинтерфеев на езернете. А вот с сериала с сабинтерфеями - пожалста...

PPS ваще ИМХО цискин нетфлов глюкало еще то, а хуже всего что кто-то решил что нада считать токо входящий траф и никак не исходящий... Ну предусмотрели б команду, кому нада и исходящий считать включай и считай... А что касается дублирования потоков, так нормальным коллектором типа нетрамета все прекрасна разделяется...    


"NAT + netflow "
Отправлено jamper , 21-Дек-04 10:40 
>>Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость
>>маленькая ?
>нет, скорость не пострадает :)
Оки
>
>У меня реально на ряде цисок работает сехма цеф+роутмап+лупбэк Работает прерасно, если
>не считать одной особенности с которой можно тока мириться - часть
>входящего трафа на НАТ не раскладывается по хостам, но так как
>этот траф около 1 процента в среднем я с этим мирюсь.
>
У меня 7507 и нет ни одного разложеного пакета ;-( может я что не понимаю и не пральн сделаю

Можете выслать рабочий конфиг на мыло ??

>2. на лупбэке не нужно ставить ip route-c flow и т.п., это
>не помешает,   но просто не будет работать. тоесть достаточно
>"голого" лупбэка с каим-нить айпи (без айпи он не подымется) и
>все. Эффект разложения входящего на НАТ трафа по хостам создается исключительно
>благодаря цефу, перенаправляя входящий траф на лупбэк мы только создаем необходмые
>условия для этого.
Понял. Сенькс

>3. Схема работает без проблем когда локальный интерфей обычный физик. Лучше всего
>когда оба интерфея, как WAN так и локальный раздельные физические, хотя
>мне удавалось заставлять работать эту схему на ppoe интерфее dialer. Локальный
>инетрфей был отдельный, обычный езернет... А у Вас по ходу как
>локаль так и WAN виртуальные да и плюс еще и сабинтерфеи
>с инкапсуляцией Dot1q. Очень похоже что цеф просто обламывается работать в
>таких условиях и нужного результата по данной схеме Вы не получите....
>
>А возможно нада просто обновить ИОС. Я нарывался на старые версии, которые
>ваще не отдают нетфлов с dot1q сабинтерфеев на езернете. А вот
>с сериала с сабинтерфеями - пожалста...
>
Иос - новый

>PPS ваще ИМХО цискин нетфлов глюкало еще то, а хуже всего что
>кто-то решил что нада считать токо входящий траф и никак не
>исходящий... Ну предусмотрели б команду, кому нада и исходящий считать включай
>и считай... А что касается дублирования потоков, так нормальным коллектором типа
>нетрамета все прекрасна разделяется...
А кем собирать ? с кошки


"NAT + netflow "
Отправлено pwn , 21-Дек-04 20:52 
>Можете выслать рабочий конфиг на мыло ??
У меня реально нет 7505-х кошек, работает на 26хх, 36хх и 3745...
Вам нужен с них конфиг? :)

>А кем собирать ? с кошки
У меня все разгребается нетраметом и перловым скриптом постобработки. Нетрамет штука тяжелая в освоении, но очень гибкая. Я в свое время немало с ним помаялся пока понял как он работает. Зато щас легко, в принципе его мона заточить под любую задачу...

>У меня скорость на лупбаке падает в 10 раз
>Поковырявшись выяснил, что ВЕСЬ трафик сквозь лупбак (специальный для >нат через роут мап) идет через процесс свитчинг. Заставить идти через >цеф или чтонить еще не получилось

Вот именно поэтому вы не видите в нетфлове разложенного входящего на нат трафика. И так будет до тех пор, пока траф на лупбэк не поедет через цеф. ИМХО. :)


"NAT + netflow "
Отправлено jamper , 21-Дек-04 20:56 
>Вам нужен с них конфиг? :)
да
>

>У меня все разгребается нетраметом и перловым скриптом постобработки. Нетрамет штука тяжелая
>в освоении, но очень гибкая. Я в свое время немало с
>ним помаялся пока понял как он работает. Зато щас легко, в
>принципе его мона заточить под любую задачу...
у меня уже стоит работающий билинг, меня интересуют способы снятия статистике о трафике с кошки. Сковзь нее будет проходить 20-40Гб/день

>Вот именно поэтому вы не видите в нетфлове разложенного входящего на нат
>трафика. И так будет до тех пор, пока траф на лупбэк
>не поедет через цеф. ИМХО. :)
А как его туда запихать цефом ?



"NAT + netflow "
Отправлено pwn , 22-Дек-04 10:54 
>да
ну самый простой пример кошка 26xx ИОС не ниже 12.0
!
ip flow-cache entries 10000
ip flow-cache timeout inactive 60
ip flow-cache timeout active 5
ip flow-export source FastEthernet0/1
ip flow-export version 5
ip flow-export destination 10.X.Y.2 5000
!
ip cef
!
interface Loopback0
ip address 10.Z.H.123 255.255.255.255
!
interface FastEthernet0/0             !! WAN
ip address A.B.C.D 255.255.255.252
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map FromNAT
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1             !! LAN  
ip address 10.X.Y.1 255.255.255.252
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
ip nat inside source list 101 interface FastEthernet0/0 overload
!
access-list 101 permit ip host 10.X.Y.126 any
access-list 101 deny   ip any any
access-list 112 permit ip any host 10.X.Y.126
access-list 112 deny   ip any any
!
route-map FromNAT permit 10
match ip address 112
set interface Loopback0
!


>у меня уже стоит работающий билинг, меня интересуют способы снятия статистике о трафике с кошки. Сковзь нее будет проходить 20-40Гб/день

У меня потоки гораздо меньше, но могу утверждать что нетрамет в состоянии переварить и 20-40 гиг в день. ИМХО. Все зависит от степени детализации которую вы захотите иметь. И возможностей сервера на котором будет стоять биллинг, в первую очередь кол-ва оперативки. У меня траф не превышает 20 гиг в месяц, при этом на винте дельты занимают около 50-60 метров в несжатом виде... Далее эти дельты обрабатываются обычным перловым скриптом, SQL не пользую и в базе дельты не храню, нет в этом надобности.

>А как его туда запихать цефом ?
ХЗ, не берусь судить. Не имею опыта борьбы с 75хх кошками и еще с вашим случаем. Скорее всего ИМХО те интерфейсы на который вы пытаетесь это замутить так сказать "процесс свитчинг", то бишь реализуются исключительно ИОС-ом кошки а цеф если правильна понимаю суть его работы :) будет работать тока с апаратными инетрфеями... Да простят мне циксо гуру мою терминологию :))

PS Боюсь в вашем случае придется либо вторую циску ставить либо если есть коммутатор что-то типа 2950 то пропускать влан лвс через него, на нем делать мониторнг порта в который будет подключен этот влан на какой-нить свободный порт коммутатора, к нему уже подключать биллинговый сервак и считать уже на нем. Нетрамет например может снимать статистику и с сетвух никсовых серваков, плюс тут есть одно большое преимущество - снимается и входящий и исходящий трафик, а не только входяций как у цискиного нетфлова.


"NAT + netflow "
Отправлено jamper , 22-Дек-04 11:01 
Спасибо за пример. Пробовал не работает
Пробвал на релаьных интерфесах.

>У меня потоки гораздо меньше, но могу утверждать что нетрамет в состоянии
>переварить и 20-40 гиг в день. ИМХО. Все зависит от степени
>детализации которую вы захотите иметь. И возможностей сервера на котором будет
>стоять биллинг, в первую очередь кол-ва оперативки. У меня траф не
>превышает 20 гиг в месяц, при этом на винте дельты занимают
>около 50-60 метров в несжатом виде... Далее эти дельты обрабатываются обычным
>перловым скриптом, SQL не пользую и в базе дельты не храню,
>нет в этом надобности.
У меня в месяц системная и бакап информация на сервере - 20-30Гб билинг вроде прожевывывает, проблема не в том. нетрамет скорее всего не подойдет, да и не вижу смысла отказыватся от текущего билинга

>>А как его туда запихать цефом ?
>ХЗ, не берусь судить. Не имею опыта борьбы с 75хх кошками и
>еще с вашим случаем. Скорее всего ИМХО те интерфейсы на который
>вы пытаетесь это замутить так сказать "процесс свитчинг", то бишь реализуются
>исключительно ИОС-ом кошки а цеф если правильна понимаю суть его работы
>:) будет работать тока с апаратными инетрфеями... Да простят мне циксо
>гуру мою терминологию :))
Пробовал :-)

>
>PS Боюсь в вашем случае придется либо вторую циску ставить либо если
>есть коммутатор что-то типа 2950 то пропускать влан лвс через него,
>на нем делать мониторнг порта в который будет подключен этот влан
>на какой-нить свободный порт коммутатора, к нему уже подключать биллинговый сервак
>и считать уже на нем. Нетрамет например может снимать статистику и
>с сетвух никсовых серваков, плюс тут есть одно большое преимущество -
>снимается и входящий и исходящий трафик, а не только входяций как
>у цискиного нетфлова.
Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится.



"NAT + netflow "
Отправлено pwn , 22-Дек-04 12:55 
>Спасибо за пример. Пробовал не работает
>Пробвал на релаьных интерфесах.

у меня работает! 100 процентно рабочий пример. Содранный с живого маршрутизатора, тока IP изменены :)

>Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится.
я имел в виду коммутатор каталист 2950, он не подавится и от большего трафика чем 20 гиг в день...

>У меня в месяц системная и бакап информация на сервере - 20-30Гб билинг >вроде прожевывывает, проблема не в том. нетрамет скорее всего не >подойдет, да и не вижу смысла отказыватся от текущего билинга  

Да и не нада от него отказываться ;) Скоко будет на винте зависит ИМХО токлько от сетепени детализации. Я не призваю перейти на нетрамет, просто я его использую и в нем разобрался. А в нем степень детализации и какой трафик писать а какой нет очень гибко настраивается правилами коллектора. Можно не писать ни адреса ни порты, только траф - лог на винте будет очень скромно выглядеть даже при 20-и гигах в сутки, если писать адреса но не писать порты то уже поболее, а если все тупо без разбора сохранять, то как раз гигу в сутки на винте и получим при таком трафе легко. У меня щас сохраняются тока адреса и порты если попадают под список интересуемых серверных, если принять 20 гиг траффа = 50 метров на винте то получится при вашем трафе 3 гиги в месяц. Но никак не 30 :)



"NAT + netflow "
Отправлено jamper , 22-Дек-04 13:01 
>у меня работает! 100 процентно рабочий пример. Содранный с живого маршрутизатора, тока
>IP изменены :)
Верю. просто у вас не 7500 Он иденичен с теми конфигами с которых я начинал. Я пробовал и их и этот. НЕ РАБОАТЕ. Видимо проблема в самой кошке

>>Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится.
>я имел в виду коммутатор каталист 2950, он не подавится и от
>большего трафика чем 20 гиг в день...
Вы когданить сламер на 29 кошку натравливали ... попробуйте интересное зрелище.

>то как раз гигу в сутки на винте и получим при
>таком трафе легко. У меня щас сохраняются тока адреса и порты
>если попадают под список интересуемых серверных, если принять 20 гиг траффа
>= 50 метров на винте то получится при вашем трафе 3
>гиги в месяц. Но никак не 30 :)
А бакапы базы, :-)
дело не в этом. я повторяю меня устраивает тот билинг которые есть. дело не в билинге. дело в том что я не могу снять НУЖНЫЕ мне данные с кошки. Их не отдает кошка



"NAT + netflow "
Отправлено pwn , 22-Дек-04 13:38 
>Видимо проблема в самой кошке
видимо... :(

>Вы когданить сламер на 29 кошку натравливали ... попробуйте интересное зрелище.
нет не пробовал :)

>дело в том что я не могу
>снять НУЖНЫЕ мне данные с кошки. Их не отдает кошка

ну тогда тока остается либо еще одна кошка либо взять что-нить помощнее 2950 каталиста (раз 2950 вам не нравится :)) и просто "просниферить" проходящий на нее траф локали прямо на сервак с биллингом. Если канечна на серваке биллинга есть свободная сетевуха и ваш биллинг мона обучить снимать статистику с нее.
Я у себя реально такое делал, циска-каталист2950-лан, плюс мониторинг порта на сервак под обчным линухом 128 оперативки всего... Траф конечно не 20 гиг в стуки, но я тестировал гонял потоки на все 2 мбита что у меня есть к прову ни серваку ни каталисту плохо не стало... Также пробовал ту же схему, но только в связке сервак-2950-лан + мониторинг порта на никсовый сервак с нетраметом, таскалась куча архивов на скорости скока вынь может развить на 100 мбитных езернетах (что-то около 2.5-3 метров в секунду максимум) Общий вес перетаскиваемого был что-то около 20 гиг, опять же ни каталисту ни никсовому серваку плохо не стало... И нетрамет посчитал все честно, как раз те самые 20 гиг что проехали (ну может плюс-минус 1 процент, я не сверял до копеек ;) )


"NAT + netflow "
Отправлено jamper , 22-Дек-04 13:41 
У меня 100 Мб. Местами 1Гб. Спасибо за совет.

"NAT + netflow "
Отправлено jamper , 23-Дек-04 10:26 
1. я извиняюсь за свою тупость я спутал 29 каталист и 26 роутер
2. каталист не держит флоу

"NAT + netflow "
Отправлено pwn , 23-Дек-04 11:58 
>1. я извиняюсь за свою тупость я спутал 29 каталист и 26
>роутер

:)

>2. каталист не держит флоу

зато он поддерживает мониторинг портов, тоесть с любого порта или даже с нескольких можно просниферить весь трафик, либо входящий-исходящий на выбор. Этим можно воспользоваться для того, чтобы снять статистику если биллинг это понимает. Тоесть если он умеет снимать статистику с езернет сетвух путем перевода их в promisc режим. Нетрамет это умеет, умеет ли ваш биллинг я не знаю. Достоинство такого метода в том, что с карты в promisc режиме снимается ВЕСЬ трафик а не тупо только входящий как в дебильном цискином нетфлове. Если б нетфлов отдавал и исходящий траф то согласитесь, вы уже давно б свою проблему решили б и не прыгали б вокруг цефа с роутмапами и лупбэками пытаясь понять что еще им нада... Может я на себя и много беру, но ИМХО разработчики идеологии цискиного нетфлова были еще те уроды... Они учли только чисто "провайдерский" вариант и совсем не подумали про вариант "маршрутизатор у клиента" с натами, тунелями и прочей фигней... Вот и работает это в итоге через ж.... :(


"NAT + netflow "
Отправлено jamper , 23-Дек-04 12:00 
>>1. я извиняюсь за свою тупость я спутал 29 каталист и 26
>>роутер
>
>:)
>
>>2. каталист не держит флоу
>
>зато он поддерживает мониторинг портов, тоесть с любого порта или даже с
>нескольких можно просниферить весь трафик, либо входящий-исходящий на выбор. Этим можно
>воспользоваться для того, чтобы снять статистику если биллинг это понимает. Тоесть
>если он умеет снимать статистику с езернет сетвух путем перевода их
>в promisc режим. Нетрамет это умеет, умеет ли ваш биллинг я
>не знаю. Достоинство такого метода в том, что с карты в
>promisc режиме снимается ВЕСЬ трафик а не тупо только входящий как
>в дебильном цискином нетфлове. Если б нетфлов отдавал и исходящий траф
>то согласитесь, вы уже давно б свою проблему решили б и
>не прыгали б вокруг цефа с роутмапами и лупбэками пытаясь понять
>что еще им нада... Может я на себя и много беру,
>но ИМХО разработчики идеологии цискиного нетфлова были еще те уроды... Они
>учли только чисто "провайдерский" вариант и совсем не подумали про вариант
>"маршрутизатор у клиента" с натами, тунелями и прочей фигней... Вот и
>работает это в итоге через ж.... :(
У меня как раз провайдерский вариант. идеология нетфлоу не такая уж и плохая, просто у них подход флоу одна кошка нат - друка и будет счастье

Все вроде решил проблему через ип аккаунтинг устал уже :-( оставляю нетфлоу до лучших времен


"NAT + netflow "
Отправлено pwn , 23-Дек-04 12:42 
>У меня как раз провайдерский вариант. идеология нетфлоу не такая уж и
>плохая, просто у них подход флоу одна кошка нат - друка
>и будет счастье
неа, чисто провайдерски вариант как я его подразумевал это когда роутер занимается только маршрутизацией IP  и ни натов ни тунелей на нем нет. Вот тогда все шоколадно. Есть такой баг, не знаю как на 75хх а на 26хх,37хх и 36хх он есть однозначно - Есть такой архиважный параметр в нетфлове, DestInterfaсe, то бишь интерфейс через который УЕХАЛ пакет. Пока нет ната он всегда правильный. Если пакет уехал к прову по интерфейсу в WAN то будет стоять SNMP индекс именно этого интерфеса. Если пакет пытался уехать, но его съел акцесс лист то будет 0. Если пакет был аресован кошке то тоже ноль и т.д. Но тут нам приспичило поднять нат... даже мы его еще не подняли, только на WAN интерфейсе сказали ip nat outside и усе, пипещ, дестинтерфей в флове становится равным нулю. Ехал пакет через нат или мимо него, уехал или ваще его пожрал асл пофик - всегда 0. Тоесть входящий траф мы то посчитаем, а вот с исходящим начинаются непонятки... К счастью есть решение проблемы, в флове еще передается параметр RouterNextHop, тоесть адрес следующего хопа, этот параметр всегда правильный, даже если поднята только статическая маршрутизация, тока дефолт нада правильно писать не ip route 0.0.0.0 0.0.0.0 interface ххх а ip route 0.0.0.0 0.0.0.0 A.B.C.D или на крайняк если имеет место какое-нить извращение типа ppoe и т.п. так ip route 0.0.0.0 0.0.0.0 interface ххх A.B.C.D   Только при таком раскладе это работает. Нетрамет сволочь по умолчанию не умел обрабатывать некст хоп, вернее зачатки этого были в версии 4.5b8, пришлось мне сесть за си и дописать ему недостающее... :) Но нат натом, а есть еще такой зверь, зовется ГРЕ... С ним дело еще хуже - фишка с некст хоп к нему ваще не применима, исходящий на гре траф мона выделить тока на основе анализа адресов которые могут через него ходить (а это гимор и неслабый), а получить входящий в нетфлове после декапсуляции я не смог ни какими подпрыгиваниями ни с цефом ни еще с чем либо... в итоге пришлось детализацию VPN трафика делать на никсовых серверах через которые он проходит...

>
>Все вроде решил проблему через ип аккаунтинг устал уже :-( оставляю нетфлоу
>до лучших времен
Зря, при вашем трафе боюсь по ip accounting  вы не получите точного результата, да и детализации по портам у него нет по определению... Я тоже год назад дойдя до состояния близкого к истерике порывался вдарить по этой говенной 2610-й кисе кувадлой, потереть нафик на всех дисках нетрамет как сущую ересь непонятно кем и для чего написанную и очень хотел ввинтить аккаунтинг... Слава Богу у меня хватило терпения дожать нетфлов и нетрамет, чего и вам желаю... Успехов! ;)


"NAT + netflow "
Отправлено jamper , 23-Дек-04 12:49 
>Зря, при вашем трафе боюсь по ip accounting  вы не получите
>точного результата, да и детализации по портам у него нет по
>определению... Я тоже год назад дойдя до состояния близкого к истерике
>порывался вдарить по этой говенной 2610-й кисе кувадлой, потереть нафик на
>всех дисках нетрамет как сущую ересь непонятно кем и для чего
>написанную и очень хотел ввинтить аккаунтинг... Слава Богу у меня хватило
>терпения дожать нетфлов и нетрамет, чего и вам желаю... Успехов! ;)
>
На данный момент работает именно ип аккаунтинг. Порты конечно хочется, но видимо не судьба
Дожать нетфлоу думаю не получится :-(, если только не брать в расчет вариант снятия флоу с некст хоп (стандартный режим), потом его кемнить переконвертить в нетфлоу срц-дст ... тогда заработает
Так как мне сказали, что в 7500 с лупбака флоу не снимается



"NAT + netflow "
Отправлено pwn , 23-Дек-04 13:14 
>На данный момент работает именно ип аккаунтинг. Порты конечно хочется, но видимо
>не судьба
>Дожать нетфлоу думаю не получится :-(,
ну что ж каждому свое...

> если только не брать в расчет
>вариант снятия флоу с некст хоп (стандартный режим), потом его кемнить
>переконвертить в нетфлоу срц-дст
а конвертировать нифига не нада срц-дест и так есть! Некст хоп позволяет однозначно дать ответ уехал этот пакет на WAN  к прову или нет. Предствьте у вас стоит асл и дропает какой-нить траф из локали, а кто-то
в локали поймал любимого вашего сламера и ломится наружу а вы этот траф дропаете... итог - получите гиги исходящего трафа у ся в биллинге даже если ни одного пакета на самом деле на WAN  не уехало...

>Так как мне сказали, что в 7500 с лупбака флоу не снимается

ДЫК он ни на одной кисе ни с лупбэка ни с аукса ни c гре интерфесов не снимается... также этим страдают бриджи (interface BVI)... И тем не менее
трюк с разложением входящего на нат реально работатет и без этого. Тоесть входящий на НАТ траф ПО ЛЮБОМУ снимается с WAN  интерфея, тока благодаря цефу берется значение дест-а не из заголовка пакета а из скэшированного цефом маршрута. Я не знаю всех тонкостей процесса и нафик именно для этого надо заворачивать входящий на нат траф на лупбэк но как это работает я в общих чертах разобрался. Тоесть клиент из локали лезет на внешний ресурс. С него падает ответ, и первый пакет посчтиается не как ресурс-клиент а как ресурс-внешний адрес НАТ-а, после чего цеф кэширует маршрут и весь дальнейший траф этой сессии едет по цефу в обход процесс свитчинга, и нетфлов по всем дальнейшим пакетам отдает значения из таблицы цефа, тоесть ресурс-клиент... Это и позволяет получить расклад входящего на НАТ трафа хотя и слупбэка нифига не снимается... Более правильно и детально объяснить как это работает сможет наверно тот циско-гуру кто придумал этот трюк, но кто он я не знаю... :(


"NAT + netflow "
Отправлено jamper , 23-Дек-04 13:21 
>а конвертировать нифига не нада срц-дест и так есть!
НЕТ там этого пакета

>>Так как мне сказали, что в 7500 с лупбака флоу не снимается
>
>ДЫК он ни на одной кисе ни с лупбэка ни с аукса
>ни c гре интерфесов не снимается... также этим страдают бриджи (interface
>BVI)... И тем не менее
>трюк с разложением входящего на нат реально работатет и без этого. Тоесть
>входящий на НАТ траф ПО ЛЮБОМУ снимается с WAN  интерфея,
>тока благодаря цефу берется значение дест-а не из заголовка пакета а
>из скэшированного цефом маршрута. Я не знаю всех тонкостей процесса и
>нафик именно для этого надо заворачивать входящий на нат траф на
>лупбэк но как это работает я в общих чертах разобрался. Тоесть
>клиент из локали лезет на внешний ресурс. С него падает ответ,
>и первый пакет посчтиается не как ресурс-клиент а как ресурс-внешний адрес
>НАТ-а, после чего цеф кэширует маршрут и весь дальнейший траф этой
>сессии едет по цефу в обход процесс свитчинга, и нетфлов по
>всем дальнейшим пакетам отдает значения из таблицы цефа, тоесть ресурс-клиент... Это
>и позволяет получить расклад входящего на НАТ трафа хотя и слупбэка
>нифига не снимается... Более правильно и детально объяснить как это работает
>сможет наверно тот циско-гуру кто придумал этот трюк, но кто он
>я не знаю... :(
Это я понял но у меня есть одно подозрение которое перерастает в увереность
Когда пакт проходит сковзь роуте мап на лупбак он не попадает в цеф
Т.е. я не смог заставить этот рафик работать сковзь цеф

Есть идеи по этому поводу ?
Если заставить его идти через цеф все заработает



"NAT + netflow "
Отправлено pwn , 23-Дек-04 15:08 
>>а конвертировать нифига не нада срц-дест и так есть!
>НЕТ там этого пакета

мы с вами явно не поняли друг друга... ;)

каждый нетфлов который экспортируется кошкой содержит инфу о каждом пакетике, помимо соурса и деста там еще предается куча параметров, в том числе и номера соурс-дест интерфеев и некст хоп... Так как при поднятом нате дестинтерфей брешет то я использую некст хоп для выделения исходящего к прову трафика, так как не весь падающий от локали траф обязательно будет исходящим в WAN...

ЗЫ у акаунтинга есть помимо детализации и еще один серьезный минус - если кто-то извне будет флудить ваши адреса вы этого никогда не узнаете. И будете гадать с каого фига ваш биллинг не сходится с биллингом вышестоящего прова. А у нетфлова другой косяк - вы никогда не посчитаете трафик созданный самим маршрутизатром. И никогда не посчитаете исходящий ГРЕ если он пришел транзитом по другому тунелю.... у кажного свои плюсы-минусы, анада то всего одно - чтобы каждый кому это нужно мог включить нетфлов и для  исходящего трафа... Кому не нада тот не включит и все... И возможность снимать траф хотя бы с одного процесс-свитчинг интерфея - с лупбэка.... Все, после этого наступит тотальное счастье, так как выкрутится можно будет в любых условиях... ИМХО.


"NAT + netflow "
Отправлено jamper , 21-Дек-04 18:07 
У меня скорость на лупбаке падает в 10 раз
Поковырявшись выяснил, что ВЕСЬ трафик сквозь лупбак (специальный для нат через роут мап) идет через процесс свитчинг. Заставить идти через цеф или чтонить еще не получилось

"NAT + netflow "
Отправлено jamper , 21-Дек-04 18:12 
>Всем известный и многоуважаемый ВОЛКА, он же Alexey Alekseev(http://cisco.far.ru/) добился желаемого используюя
>так называемый VRF Lite.
>
>В fido7.ru.cisco писал следующее:
>+===================================================+
>У меня такая же фигня...
>собрал стенд, убедился что работает :)
>если сеf выключить, то работать не будет.
Не заработало
1. я не могу отадть весь интерфейс под выход ната. К примеру выход ната по 2 влану. Тогда мне либо 2 влан роутить на прова (а куда девать реальные ип сети), либо добавлять реальные ип в тот же vrf, но тогда смысл делать vrf ?
2. в приведенном конфиге нет роута между vrf (интерфесы, исх интерфейс) и самой кошкой (локальная сеит). мне не удалось этого добится. хотя я не уверен что понимаю vrf lite в достаточной мере

"NAT + netflow "
Отправлено ВОЛКА , 23-Дек-04 13:26 
а конфиг полностью можно увидеть?

"NAT + netflow "
Отправлено jamper , 23-Дек-04 13:32 
>а конфиг полностью можно увидеть?
брр сейчас попытаюсь востановить
уже просто конфиг на ip account
Текущее понимание проблемы - трафик, проходящий сковзь роутемап не попападет затем в цеф

ip subnet-zero
ip flow-cache timeout active 5
!
!
!
ip cef
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback10
ip address 10.2.0.1 255.255.255.0
ip route-cache same-interface
ip route-cache policy
ip route-cache flow
no clns route-cache
!

interface Port-channel1.2
encapsulation dot1Q 2
ip address <real_ip> 255.255.255.240
ip nat outside
ip flow ingress
ip policy route-map MAP
!
interface Port-channel1.6
encapsulation dot1Q 6
ip address 192.168.24.254 255.255.255.0
ip flow ingress
ip nat inside
!
interface FastEthernet6/0
no ip address
ip nat inside
ip route-cache policy
ip route-cache flow
full-duplex
channel-group 1
no clns route-cache
interface FastEthernet6/0.6
channel-group 1
!

ip nat pool fis_pool <out_nat_ip> <out_nat_ip> netmask 255.255.255.240
ip nat inside source list 102 pool fis_pool overload
ip classless
ip flow-export version 5 origin-as
ip flow-export destination X.X.X.X 3000

access-list 102 permit ip 192.168.24.0 0.0.7.255 any
!
route-map MAP permit 10
match ip address 101
set interface Loopback 10
!


"NAT + netflow "
Отправлено ВОЛКА , 23-Дек-04 13:52 
interface Port-channel1.2
encapsulation dot1Q 2
ip address <real_ip> 255.255.255.240
ip nat outside
ip flow ingress
ip policy route-map MAP
!
interface Port-channel1.6
encapsulation dot1Q 6
ip address 192.168.24.254 255.255.255.0
ip flow ingress
ip nat inside
!
interface FastEthernet6/0
no ip address
ip nat inside
ip route-cache policy
ip route-cache flow
full-duplex
channel-group 1
no clns route-cache
interface FastEthernet6/0.6
channel-group 1
!
а вот эта конструкция зачем?

"NAT + netflow "
Отправлено jamper , 23-Дек-04 14:00 
>interface Port-channel1.2
>encapsulation dot1Q 2
>ip address <real_ip> 255.255.255.240
>ip nat outside
>ip flow ingress
>ip policy route-map MAP
>!
>interface Port-channel1.6
>encapsulation dot1Q 6
>ip address 192.168.24.254 255.255.255.0
>ip flow ingress
>ip nat inside
>!
>interface FastEthernet6/0
>no ip address
>ip nat inside
>ip route-cache policy
>ip route-cache flow
>full-duplex
>channel-group 1
>no clns route-cache
>interface FastEthernet6/0.6
>channel-group 1
>!
>а вот эта конструкция зачем?
У меня планиреутмся работать на езер  чанале. Т.е. другими словами у меня есть один физ интерйес (Po 1)


"NAT + netflow "
Отправлено ВОЛКА , 23-Дек-04 13:58 
и покажите вывод sh ip interface

"NAT + netflow "
Отправлено jamper , 23-Дек-04 14:02 
>и покажите вывод sh ip interface


FastEthernet6/0 is up, line protocol is up
  Internet protocol processing disabled
Port-channel1 is up, line protocol is up
  Internet protocol processing disabled
Port-channel1.2 is up, line protocol is up
  Internet address is 193.27.41.62/28
  Broadcast address is 255.255.255.255
  Address determined by non-volatile memory
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Multicast reserved groups joined: 224.0.0.5 224.0.0.6
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
IP fast switching is enabled
  IP fast switching on the same interface is enabled
  IP Flow switching is enabled
  IP CEF switching is enabled
  IP Distributed switching is disabled
  IP Flow switching turbo vector
  IP Flow CEF switching turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, Flow, Policy, CEF, Flow Cache
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain outside
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
  BGP Policy Mapping is disabled
Port-channel1.6 is up, line protocol is up
  Internet address is 192.168.24.254/24
  Broadcast address is 255.255.255.255
  Address determined by non-volatile memory
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is enabled
  IP Flow switching is enabled
  IP CEF switching is enabled
  IP Distributed switching is disabled
  IP Flow switching turbo vector
  IP Flow CEF switching turbo vector
  IP multicast fast switching is enabled
  IP Flow CEF switching turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, Flow, Policy, CEF, Flow Cache
  Router Discovery is disabled
  IP output packet accounting is enabled
  IP access violation accounting is enabled, system threshold is 512
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain inside
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
  BGP Policy Mapping is disabled
Loopback10 is up, line protocol is up
  Internet address is 10.2.0.1/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1514 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is disabled
IP Flow switching is disabled
  IP CEF switching is enabled
  IP CEF Feature Fast switching turbo vector
  IP Null turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, Policy, CEF
  Router Discovery is disabled
  IP output packet accounting is enabled
  IP access violation accounting is disabled, system threshold is 512
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain inside
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
  BGP Policy Mapping is disabled


"NAT + netflow "
Отправлено Сайко , 23-Дек-04 15:03 
Смешно, так долго не решались показать конфиг, а ACL на VTY не повесили:
(14:59:32 <~>) 0 $ telnet 193.27.41.62
Trying 193.27.41.62...
Connected to ip62.mosline.ru.
Escape character is '^]'.


User Access Verification

Username: jamper
Password:
Router>en
Password:
Router#wr er
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
Router#reload
Proceed with reload? [confirm]


"NAT + netflow "
Отправлено pwn , 23-Дек-04 15:39 
>Erase of nvram: complete
>Router#reload
>Proceed with reload? [confirm]

Дык ну зачем над челом издеваться... :)
в б еще написали confreg хххх не помню щас что там, но запрещающее
процедуру восстановления забытого пароля плюс enable secret хххх...

ну настроит он свою кису и залатает дыру, не показал бы он щас по неосторожности свой реальный ИП кто б там догадался что это именно киса и что ее можно уже пробовать ломать начиная с юзера jamper... :)




"NAT + netflow "
Отправлено jamper , 23-Дек-04 15:43 
>Смешно, так долго не решались показать конфиг, а ACL на VTY не
>повесили:
>(14:59:32 <~>) 0 $ telnet 193.27.41.62
>Trying 193.27.41.62...
>Connected to ip62.mosline.ru.
>Escape character is '^]'.
>
>
>User Access Verification
>
>Username: jamper
>Password:
>Router>en
>Password:
>Router#wr er
>Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
>[OK]
>Erase of nvram: complete
>Router#reload
>Proceed with reload? [confirm]

Змм .. Плиз выйди в почту. Буду очень признателен.
Ктсати имя у него не router ^-(


"NAT + netflow "
Отправлено jamper , 23-Дек-04 16:01 
Ну закрыл я телнет ... кстати ... не надо так пугать ... потратил пол часа времени на выяснения действительно ли дыра, чтение логов, .... лучше если не против продолжим обсуждение ...

"NAT + netflow "
Отправлено ВОЛКА , 23-Дек-04 16:50 
покажите ещё sh int switching

"NAT + netflow "
Отправлено jamper , 23-Дек-04 16:53 
>покажите ещё sh int switching


Port-channel1
          Throttle count          0
                   Drops         RP          0         SP          0
             SPD Flushes       Fast          0        SSE          0
             SPD Aggress       Fast          0
            SPD Priority     Inputs      54483      Drops          0

    Protocol  IP
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
                 Process      68784   17575687      62407    5634705
            Cache misses          0          -          -          -
                    Fast      17072   16073828      16018   15961335
               Auton/SSE          0          0          0          0

Loopback10

    Protocol  IP
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
                 Process       5856     354440       5856     354440
            Cache misses          0          -          -          -
                    Fast          0          0          0          0
               Auton/SSE          0          0          0          0


Вот ... я именно по нему определил что оно не идет по цефу :-( все через процесс свитчинг

П.С. Подстрекатель к панике ... но все равно спасибо. закрыл вти


"NAT + netflow "
Отправлено ВОЛКА , 23-Дек-04 18:31 
вот поэтому скоре всего и незаработало...
лучше вам отказаться от идеии port channel вообще

"NAT + netflow "
Отправлено jamper , 23-Дек-04 18:32 
>вот поэтому скоре всего и незаработало...
>лучше вам отказаться от идеии port channel вообще
Пробовал :-(
с тем же результатом
Сейчас пытаюсь проводить 2 раунт :-(


"NAT + netflow "
Отправлено cats , 24-Дек-04 11:46 
Ищу себе IOS и вот что обнаружил - не все прошивки поддерживают фичу NetFlow policy routing (NPR)
Может в этом проблема? Я предполагаю, что с этой фичей CEF должен работать нормально.
В твоей версии софта она поддерживается?

NetFlow policy routing (NPR) integrates policy routing, which enables traffic engineering and traffic classification, with NetFlow services, which provide billing, capacity planning, and monitoring information on real-time traffic flows. IP policy routing now works with Cisco Express Forwarding (CEF), Distributed CEF (dCEF), NetFlow, and NetFlow flow acceleration.


"NAT + netflow "
Отправлено jamper , 24-Дек-04 11:49 
Проверю
Спасибо за совет - возможно действительно с этим проблема

"NAT + netflow "
Отправлено jamper , 24-Дек-04 15:48 
>Проверю
>Спасибо за совет - возможно действительно с этим проблема

Поддерживается :-((((