Попыталяс настроить на 7507
nat работает
но проблема - в netflow только записи
7507#sh ip cache flow
Po1.60 192.168.24.253 Po1.20 194.67.1.14 01 0000 0800 241
Po1.20 194.67.1.14 Local 10.10.10.1 01 0000 0000 238Т.е нет записи 194.67.1.14 192.168.24.253
10.10.10.1 - нат адрес
10.10.10.2 - реальный адрес
10.10.10.3 - шлюз
192.168.24.0 - nat адресаПеречитал как форум, дсе статьи (нетап, нетамс), прокопал сайт циски
Собственно сейчас
Po 1.20 - исходящий в мир
Po 1.60 - локалкаВыяснилось что lo не генерит netflow записи
конфиг
!
version 12.3
!
hostname 7507
!ip subnet-zero
ip flow-cache timeout active 5
!
!
ip cef
ip cef accounting per-prefix non-recursive prefix-length
ip audit po max-events 100
no mpls ldp logging neighbor-changes
no ftp-server write-enable
!
!
!
interface Loopback10
description "Loopback for nat"
ip address 10.2.0.1 255.255.255.0
no ip proxy-arp
ip cef accounting non-recursive external
ip route-cache same-interface
ip route-cache policy
ip route-cache flow
no clns route-cache
!
interface Port-channel1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map MAP
no clns route-cache
!
interface Port-channel1.20
description Real IP
encapsulation dot1Q 20
ip address 10.10.10.2 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip flow ingress
ip policy route-map MAP
no cdp enable
!
interface Port-channel1.60
description fisic-unreal
encapsulation dot1Q 60
ip address 192.168.24.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow ingress
no cdp enable
!interface FastEthernet6/0
no ip address
ip route-cache policy
full-duplex
channel-group 1
no clns route-cache
!
ip nat pool fis_pool 10.10.10.1 10.10.10.1 prefix-length 24
ip nat inside source list 102 pool fis_pool overload
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.3
ip flow-export version 5
ip flow-export destination 10.10.10.4 9998
no ip http server
no ip http secure-server
!
access-list 101 permit ip any 192.168.24.0 0.0.7.255
access-list 102 permit ip 192.168.24.0 0.0.7.255 any
!
route-map MAP permit 10
match ip address 101
set interface Loopback10
!
>Попыталяс настроить на 7507
>nat работает
>но проблема - в netflow только записи
>7507#sh ip cache flow
>Po1.60 192.168.24.253 Po1.20
>194.67.1.14 01 0000 0800 241
>
>Po1.20 194.67.1.14 Local
> 10.10.10.1 01 0000 0000
> 238
>
>Т.е нет записи 194.67.1.14 192.168.24.253
>
>10.10.10.1 - нат адрес
>10.10.10.2 - реальный адрес
>10.10.10.3 - шлюз
>192.168.24.0 - nat адреса
>
>Перечитал как форум, дсе статьи (нетап, нетамс), прокопал сайт циски
>Собственно сейчас
>Po 1.20 - исходящий в мир
>Po 1.60 - локалка
>
>Выяснилось что lo не генерит netflow записи
>
>конфиг
>!
>version 12.3
>!
>hostname 7507
>!ip subnet-zero
>ip flow-cache timeout active 5
>!
>!
>ip cef
>ip cef accounting per-prefix non-recursive prefix-length
>ip audit po max-events 100
>no mpls ldp logging neighbor-changes
>no ftp-server write-enable
>!
>!
>!
>interface Loopback10
> description "Loopback for nat"
> ip address 10.2.0.1 255.255.255.0
> no ip proxy-arp
> ip cef accounting non-recursive external
> ip route-cache same-interface
> ip route-cache policy
> ip route-cache flow
> no clns route-cache
>!
>interface Port-channel1
> no ip address
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip policy route-map MAP
> no clns route-cache
>!
>interface Port-channel1.20
> description Real IP
> encapsulation dot1Q 20
> ip address 10.10.10.2 255.255.255.240
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip nat outside
> ip flow ingress
> ip policy route-map MAP
> no cdp enable
>!
>interface Port-channel1.60
> description fisic-unreal
> encapsulation dot1Q 60
> ip address 192.168.24.254 255.255.255.0
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip nat inside
> ip flow ingress
> no cdp enable
>!
>
>interface FastEthernet6/0
> no ip address
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ip route-cache flow
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
> full-duplex
> channel-group 1
> no clns route-cache
>!
>ip nat pool fis_pool 10.10.10.1 10.10.10.1 prefix-length 24
>ip nat inside source list 102 pool fis_pool overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 10.10.10.3
>ip flow-export version 5
>ip flow-export destination 10.10.10.4 9998
>no ip http server
>no ip http secure-server
>!
>access-list 101 permit ip any 192.168.24.0 0.0.7.255
>access-list 102 permit ip 192.168.24.0 0.0.7.255 any
>!
>route-map MAP permit 10
> match ip address 101
> set interface Loopback10
>!
>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
> ip route-cache flow
>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
хмм ... а мне казалось что это относится к порт чаналуВключил
Эффект то же ... впрочим как и при выключенном ip route-cache policy
я уже пробовал все варианты, как на физическом интрефейсе, так и на п.ч
дело не в этом
дело в том что действительно при натде помоч может только снятие статистики с лупбака ...
а оно не снимается с него изза того что у луупбак нет входных пакетов - только выходные
>дело в том что действительно при натде помоч может только снятие статистики
>с лупбака ...
>а оно не снимается с него изза того что у луупбак нет
>входных пакетов - только выходные
Может тогда route-map спасет отца русской демократии?
>>дело в том что действительно при натде помоч может только снятие статистики
>>с лупбака ...
>>а оно не снимается с него изза того что у луупбак нет
>>входных пакетов - только выходные
>Может тогда route-map спасет отца русской демократии?
ip policy route-map MAP
вроде стоит на исходящем интрефесеили я что то не то говорю ?
Друг оставь покурить
А во ответ тишина.
Проблему решить пока не удалось
Ставить еще одну кошку перед этой не хочется :_(
ап в последний раз :-(
Всем известный и многоуважаемый ВОЛКА, он же Alexey Alekseev(http://cisco.far.ru/) добился желаемого используюя так называемый VRF Lite.В fido7.ru.cisco писал следующее:
+===================================================+
У меня такая же фигня...
собрал стенд, убедился что работает :)
если сеf выключить, то работать не будет.
придумал я тут другое решение :))R2#sh run
Building configuration...Current configuration : 1809 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
memory-size iomem 15
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
ip vrf WAN
rd 65000:1
route-target export 65000:1
route-target import 65000:1
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
### Локальная сеть ###
encapsulation dot1Q 10
ip address 192.168.110.1 255.255.255.0
!
interface FastEthernet0/0.11
### Сеть для соединения рутера, который ###
### натит и который собирает Netflow ###
encapsulation dot1Q 11
ip vrf forwarding WAN
ip address 192.168.111.2 255.255.255.0
ip nat inside
ip ospf network point-to-point
!
interface Serial0/0
no ip address
!
interface FastEthernet0/1
no ip address
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1.11
### Сеть для соединения рутера, который ###
### натит и который собирает Netflow ###
encapsulation dot1Q 11
ip address 192.168.111.1 255.255.255.0
ip ospf network point-to-point
!
interface FastEthernet0/1.12
### Интервейс, который смотрит в INET ###
encapsulation dot1Q 12
ip vrf forwarding WAN
ip address 192.168.112.1 255.255.255.0
ip nat outside
!
interface Serial0/1
no ip address
shutdown
!
router ospf 10
router-id 192.168.111.1
log-adjacency-changes
network 192.168.110.0 0.0.0.255 area 0
network 192.168.111.0 0.0.0.255 area 0
!
router ospf 11 vrf WAN
router-id 192.168.111.2
log-adjacency-changes
network 192.168.111.0 0.0.0.255 area 0
network 192.168.112.0 0.0.0.255 area 0
!
ip nat translation icmp-timeout 2
ip nat inside source list NAT-ACL interface FastEthernet0/1.12 vrf WAN
overload
ip http server
ip classless
!
!
!
ip access-list standard NAT-ACL
permit 192.168.110.0 0.0.1.255
arp 192.168.111.2 000a.8a74.8ae0 ARPA
arp vrf WAN 192.168.111.1 000a.8a74.8ae1 ARPA
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
!
endSrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/1.11 192.168.112.254 Fa0/0.10 192.168.110.254 01 0000 0000
10K
Fa0/1.12 192.168.112.254 Fa0/0.11 192.168.112.1 01 0000 0000
10KВОЛКА
+===================================================+
Окей спасибо буду узнавать что такое vrf
Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость маленькая ?
>Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость
>маленькая ?
нет, скорость не пострадает :)У меня реально на ряде цисок работает сехма цеф+роутмап+лупбэк Работает прерасно, если не считать одной особенности с которой можно тока мириться - часть входящего трафа на НАТ не раскладывается по хостам, но так как этот траф около 1 процента в среднем я с этим мирюсь.
2. на лупбэке не нужно ставить ip route-c flow и т.п., это не помешает, но просто не будет работать. тоесть достаточно "голого" лупбэка с каим-нить айпи (без айпи он не подымется) и все. Эффект разложения входящего на НАТ трафа по хостам создается исключительно благодаря цефу, перенаправляя входящий траф на лупбэк мы только создаем необходмые условия для этого.
3. Схема работает без проблем когда локальный интерфей обычный физик. Лучше всего когда оба интерфея, как WAN так и локальный раздельные физические, хотя мне удавалось заставлять работать эту схему на ppoe интерфее dialer. Локальный инетрфей был отдельный, обычный езернет... А у Вас по ходу как локаль так и WAN виртуальные да и плюс еще и сабинтерфеи с инкапсуляцией Dot1q. Очень похоже что цеф просто обламывается работать в таких условиях и нужного результата по данной схеме Вы не получите....
А возможно нада просто обновить ИОС. Я нарывался на старые версии, которые ваще не отдают нетфлов с dot1q сабинтерфеев на езернете. А вот с сериала с сабинтерфеями - пожалста...PPS ваще ИМХО цискин нетфлов глюкало еще то, а хуже всего что кто-то решил что нада считать токо входящий траф и никак не исходящий... Ну предусмотрели б команду, кому нада и исходящий считать включай и считай... А что касается дублирования потоков, так нормальным коллектором типа нетрамета все прекрасна разделяется...
>>Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость
>>маленькая ?
>нет, скорость не пострадает :)
Оки
>
>У меня реально на ряде цисок работает сехма цеф+роутмап+лупбэк Работает прерасно, если
>не считать одной особенности с которой можно тока мириться - часть
>входящего трафа на НАТ не раскладывается по хостам, но так как
>этот траф около 1 процента в среднем я с этим мирюсь.
>
У меня 7507 и нет ни одного разложеного пакета ;-( может я что не понимаю и не пральн сделаюМожете выслать рабочий конфиг на мыло ??
>2. на лупбэке не нужно ставить ip route-c flow и т.п., это
>не помешает, но просто не будет работать. тоесть достаточно
>"голого" лупбэка с каим-нить айпи (без айпи он не подымется) и
>все. Эффект разложения входящего на НАТ трафа по хостам создается исключительно
>благодаря цефу, перенаправляя входящий траф на лупбэк мы только создаем необходмые
>условия для этого.
Понял. Сенькс>3. Схема работает без проблем когда локальный интерфей обычный физик. Лучше всего
>когда оба интерфея, как WAN так и локальный раздельные физические, хотя
>мне удавалось заставлять работать эту схему на ppoe интерфее dialer. Локальный
>инетрфей был отдельный, обычный езернет... А у Вас по ходу как
>локаль так и WAN виртуальные да и плюс еще и сабинтерфеи
>с инкапсуляцией Dot1q. Очень похоже что цеф просто обламывается работать в
>таких условиях и нужного результата по данной схеме Вы не получите....
>
>А возможно нада просто обновить ИОС. Я нарывался на старые версии, которые
>ваще не отдают нетфлов с dot1q сабинтерфеев на езернете. А вот
>с сериала с сабинтерфеями - пожалста...
>
Иос - новый>PPS ваще ИМХО цискин нетфлов глюкало еще то, а хуже всего что
>кто-то решил что нада считать токо входящий траф и никак не
>исходящий... Ну предусмотрели б команду, кому нада и исходящий считать включай
>и считай... А что касается дублирования потоков, так нормальным коллектором типа
>нетрамета все прекрасна разделяется...
А кем собирать ? с кошки
>Можете выслать рабочий конфиг на мыло ??
У меня реально нет 7505-х кошек, работает на 26хх, 36хх и 3745...
Вам нужен с них конфиг? :)>А кем собирать ? с кошки
У меня все разгребается нетраметом и перловым скриптом постобработки. Нетрамет штука тяжелая в освоении, но очень гибкая. Я в свое время немало с ним помаялся пока понял как он работает. Зато щас легко, в принципе его мона заточить под любую задачу...>У меня скорость на лупбаке падает в 10 раз
>Поковырявшись выяснил, что ВЕСЬ трафик сквозь лупбак (специальный для >нат через роут мап) идет через процесс свитчинг. Заставить идти через >цеф или чтонить еще не получилосьВот именно поэтому вы не видите в нетфлове разложенного входящего на нат трафика. И так будет до тех пор, пока траф на лупбэк не поедет через цеф. ИМХО. :)
>Вам нужен с них конфиг? :)
да
>>У меня все разгребается нетраметом и перловым скриптом постобработки. Нетрамет штука тяжелая
>в освоении, но очень гибкая. Я в свое время немало с
>ним помаялся пока понял как он работает. Зато щас легко, в
>принципе его мона заточить под любую задачу...
у меня уже стоит работающий билинг, меня интересуют способы снятия статистике о трафике с кошки. Сковзь нее будет проходить 20-40Гб/день>Вот именно поэтому вы не видите в нетфлове разложенного входящего на нат
>трафика. И так будет до тех пор, пока траф на лупбэк
>не поедет через цеф. ИМХО. :)
А как его туда запихать цефом ?
>да
ну самый простой пример кошка 26xx ИОС не ниже 12.0
!
ip flow-cache entries 10000
ip flow-cache timeout inactive 60
ip flow-cache timeout active 5
ip flow-export source FastEthernet0/1
ip flow-export version 5
ip flow-export destination 10.X.Y.2 5000
!
ip cef
!
interface Loopback0
ip address 10.Z.H.123 255.255.255.255
!
interface FastEthernet0/0 !! WAN
ip address A.B.C.D 255.255.255.252
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map FromNAT
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1 !! LAN
ip address 10.X.Y.1 255.255.255.252
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
ip nat inside source list 101 interface FastEthernet0/0 overload
!
access-list 101 permit ip host 10.X.Y.126 any
access-list 101 deny ip any any
access-list 112 permit ip any host 10.X.Y.126
access-list 112 deny ip any any
!
route-map FromNAT permit 10
match ip address 112
set interface Loopback0
!
>у меня уже стоит работающий билинг, меня интересуют способы снятия статистике о трафике с кошки. Сковзь нее будет проходить 20-40Гб/деньУ меня потоки гораздо меньше, но могу утверждать что нетрамет в состоянии переварить и 20-40 гиг в день. ИМХО. Все зависит от степени детализации которую вы захотите иметь. И возможностей сервера на котором будет стоять биллинг, в первую очередь кол-ва оперативки. У меня траф не превышает 20 гиг в месяц, при этом на винте дельты занимают около 50-60 метров в несжатом виде... Далее эти дельты обрабатываются обычным перловым скриптом, SQL не пользую и в базе дельты не храню, нет в этом надобности.
>А как его туда запихать цефом ?
ХЗ, не берусь судить. Не имею опыта борьбы с 75хх кошками и еще с вашим случаем. Скорее всего ИМХО те интерфейсы на который вы пытаетесь это замутить так сказать "процесс свитчинг", то бишь реализуются исключительно ИОС-ом кошки а цеф если правильна понимаю суть его работы :) будет работать тока с апаратными инетрфеями... Да простят мне циксо гуру мою терминологию :))PS Боюсь в вашем случае придется либо вторую циску ставить либо если есть коммутатор что-то типа 2950 то пропускать влан лвс через него, на нем делать мониторнг порта в который будет подключен этот влан на какой-нить свободный порт коммутатора, к нему уже подключать биллинговый сервак и считать уже на нем. Нетрамет например может снимать статистику и с сетвух никсовых серваков, плюс тут есть одно большое преимущество - снимается и входящий и исходящий трафик, а не только входяций как у цискиного нетфлова.
Спасибо за пример. Пробовал не работает
Пробвал на релаьных интерфесах.>У меня потоки гораздо меньше, но могу утверждать что нетрамет в состоянии
>переварить и 20-40 гиг в день. ИМХО. Все зависит от степени
>детализации которую вы захотите иметь. И возможностей сервера на котором будет
>стоять биллинг, в первую очередь кол-ва оперативки. У меня траф не
>превышает 20 гиг в месяц, при этом на винте дельты занимают
>около 50-60 метров в несжатом виде... Далее эти дельты обрабатываются обычным
>перловым скриптом, SQL не пользую и в базе дельты не храню,
>нет в этом надобности.
У меня в месяц системная и бакап информация на сервере - 20-30Гб билинг вроде прожевывывает, проблема не в том. нетрамет скорее всего не подойдет, да и не вижу смысла отказыватся от текущего билинга>>А как его туда запихать цефом ?
>ХЗ, не берусь судить. Не имею опыта борьбы с 75хх кошками и
>еще с вашим случаем. Скорее всего ИМХО те интерфейсы на который
>вы пытаетесь это замутить так сказать "процесс свитчинг", то бишь реализуются
>исключительно ИОС-ом кошки а цеф если правильна понимаю суть его работы
>:) будет работать тока с апаратными инетрфеями... Да простят мне циксо
>гуру мою терминологию :))
Пробовал :-)>
>PS Боюсь в вашем случае придется либо вторую циску ставить либо если
>есть коммутатор что-то типа 2950 то пропускать влан лвс через него,
>на нем делать мониторнг порта в который будет подключен этот влан
>на какой-нить свободный порт коммутатора, к нему уже подключать биллинговый сервак
>и считать уже на нем. Нетрамет например может снимать статистику и
>с сетвух никсовых серваков, плюс тут есть одно большое преимущество -
>снимается и входящий и исходящий трафик, а не только входяций как
>у цискиного нетфлова.
Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится.
>Спасибо за пример. Пробовал не работает
>Пробвал на релаьных интерфесах.у меня работает! 100 процентно рабочий пример. Содранный с живого маршрутизатора, тока IP изменены :)
>Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится.
я имел в виду коммутатор каталист 2950, он не подавится и от большего трафика чем 20 гиг в день...>У меня в месяц системная и бакап информация на сервере - 20-30Гб билинг >вроде прожевывывает, проблема не в том. нетрамет скорее всего не >подойдет, да и не вижу смысла отказыватся от текущего билинга
Да и не нада от него отказываться ;) Скоко будет на винте зависит ИМХО токлько от сетепени детализации. Я не призваю перейти на нетрамет, просто я его использую и в нем разобрался. А в нем степень детализации и какой трафик писать а какой нет очень гибко настраивается правилами коллектора. Можно не писать ни адреса ни порты, только траф - лог на винте будет очень скромно выглядеть даже при 20-и гигах в сутки, если писать адреса но не писать порты то уже поболее, а если все тупо без разбора сохранять, то как раз гигу в сутки на винте и получим при таком трафе легко. У меня щас сохраняются тока адреса и порты если попадают под список интересуемых серверных, если принять 20 гиг траффа = 50 метров на винте то получится при вашем трафе 3 гиги в месяц. Но никак не 30 :)
>у меня работает! 100 процентно рабочий пример. Содранный с живого маршрутизатора, тока
>IP изменены :)
Верю. просто у вас не 7500 Он иденичен с теми конфигами с которых я начинал. Я пробовал и их и этот. НЕ РАБОАТЕ. Видимо проблема в самой кошке>>Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится.
>я имел в виду коммутатор каталист 2950, он не подавится и от
>большего трафика чем 20 гиг в день...
Вы когданить сламер на 29 кошку натравливали ... попробуйте интересное зрелище.>то как раз гигу в сутки на винте и получим при
>таком трафе легко. У меня щас сохраняются тока адреса и порты
>если попадают под список интересуемых серверных, если принять 20 гиг траффа
>= 50 метров на винте то получится при вашем трафе 3
>гиги в месяц. Но никак не 30 :)
А бакапы базы, :-)
дело не в этом. я повторяю меня устраивает тот билинг которые есть. дело не в билинге. дело в том что я не могу снять НУЖНЫЕ мне данные с кошки. Их не отдает кошка
>Видимо проблема в самой кошке
видимо... :(>Вы когданить сламер на 29 кошку натравливали ... попробуйте интересное зрелище.
нет не пробовал :)>дело в том что я не могу
>снять НУЖНЫЕ мне данные с кошки. Их не отдает кошкану тогда тока остается либо еще одна кошка либо взять что-нить помощнее 2950 каталиста (раз 2950 вам не нравится :)) и просто "просниферить" проходящий на нее траф локали прямо на сервак с биллингом. Если канечна на серваке биллинга есть свободная сетевуха и ваш биллинг мона обучить снимать статистику с нее.
Я у себя реально такое делал, циска-каталист2950-лан, плюс мониторинг порта на сервак под обчным линухом 128 оперативки всего... Траф конечно не 20 гиг в стуки, но я тестировал гонял потоки на все 2 мбита что у меня есть к прову ни серваку ни каталисту плохо не стало... Также пробовал ту же схему, но только в связке сервак-2950-лан + мониторинг порта на никсовый сервак с нетраметом, таскалась куча архивов на скорости скока вынь может развить на 100 мбитных езернетах (что-то около 2.5-3 метров в секунду максимум) Общий вес перетаскиваемого был что-то около 20 гиг, опять же ни каталисту ни никсовому серваку плохо не стало... И нетрамет посчитал все честно, как раз те самые 20 гиг что проехали (ну может плюс-минус 1 процент, я не сверял до копеек ;) )
У меня 100 Мб. Местами 1Гб. Спасибо за совет.
1. я извиняюсь за свою тупость я спутал 29 каталист и 26 роутер
2. каталист не держит флоу
>1. я извиняюсь за свою тупость я спутал 29 каталист и 26
>роутер:)
>2. каталист не держит флоу
зато он поддерживает мониторинг портов, тоесть с любого порта или даже с нескольких можно просниферить весь трафик, либо входящий-исходящий на выбор. Этим можно воспользоваться для того, чтобы снять статистику если биллинг это понимает. Тоесть если он умеет снимать статистику с езернет сетвух путем перевода их в promisc режим. Нетрамет это умеет, умеет ли ваш биллинг я не знаю. Достоинство такого метода в том, что с карты в promisc режиме снимается ВЕСЬ трафик а не тупо только входящий как в дебильном цискином нетфлове. Если б нетфлов отдавал и исходящий траф то согласитесь, вы уже давно б свою проблему решили б и не прыгали б вокруг цефа с роутмапами и лупбэками пытаясь понять что еще им нада... Может я на себя и много беру, но ИМХО разработчики идеологии цискиного нетфлова были еще те уроды... Они учли только чисто "провайдерский" вариант и совсем не подумали про вариант "маршрутизатор у клиента" с натами, тунелями и прочей фигней... Вот и работает это в итоге через ж.... :(
>>1. я извиняюсь за свою тупость я спутал 29 каталист и 26
>>роутер
>
>:)
>
>>2. каталист не держит флоу
>
>зато он поддерживает мониторинг портов, тоесть с любого порта или даже с
>нескольких можно просниферить весь трафик, либо входящий-исходящий на выбор. Этим можно
>воспользоваться для того, чтобы снять статистику если биллинг это понимает. Тоесть
>если он умеет снимать статистику с езернет сетвух путем перевода их
>в promisc режим. Нетрамет это умеет, умеет ли ваш биллинг я
>не знаю. Достоинство такого метода в том, что с карты в
>promisc режиме снимается ВЕСЬ трафик а не тупо только входящий как
>в дебильном цискином нетфлове. Если б нетфлов отдавал и исходящий траф
>то согласитесь, вы уже давно б свою проблему решили б и
>не прыгали б вокруг цефа с роутмапами и лупбэками пытаясь понять
>что еще им нада... Может я на себя и много беру,
>но ИМХО разработчики идеологии цискиного нетфлова были еще те уроды... Они
>учли только чисто "провайдерский" вариант и совсем не подумали про вариант
>"маршрутизатор у клиента" с натами, тунелями и прочей фигней... Вот и
>работает это в итоге через ж.... :(
У меня как раз провайдерский вариант. идеология нетфлоу не такая уж и плохая, просто у них подход флоу одна кошка нат - друка и будет счастьеВсе вроде решил проблему через ип аккаунтинг устал уже :-( оставляю нетфлоу до лучших времен
>У меня как раз провайдерский вариант. идеология нетфлоу не такая уж и
>плохая, просто у них подход флоу одна кошка нат - друка
>и будет счастье
неа, чисто провайдерски вариант как я его подразумевал это когда роутер занимается только маршрутизацией IP и ни натов ни тунелей на нем нет. Вот тогда все шоколадно. Есть такой баг, не знаю как на 75хх а на 26хх,37хх и 36хх он есть однозначно - Есть такой архиважный параметр в нетфлове, DestInterfaсe, то бишь интерфейс через который УЕХАЛ пакет. Пока нет ната он всегда правильный. Если пакет уехал к прову по интерфейсу в WAN то будет стоять SNMP индекс именно этого интерфеса. Если пакет пытался уехать, но его съел акцесс лист то будет 0. Если пакет был аресован кошке то тоже ноль и т.д. Но тут нам приспичило поднять нат... даже мы его еще не подняли, только на WAN интерфейсе сказали ip nat outside и усе, пипещ, дестинтерфей в флове становится равным нулю. Ехал пакет через нат или мимо него, уехал или ваще его пожрал асл пофик - всегда 0. Тоесть входящий траф мы то посчитаем, а вот с исходящим начинаются непонятки... К счастью есть решение проблемы, в флове еще передается параметр RouterNextHop, тоесть адрес следующего хопа, этот параметр всегда правильный, даже если поднята только статическая маршрутизация, тока дефолт нада правильно писать не ip route 0.0.0.0 0.0.0.0 interface ххх а ip route 0.0.0.0 0.0.0.0 A.B.C.D или на крайняк если имеет место какое-нить извращение типа ppoe и т.п. так ip route 0.0.0.0 0.0.0.0 interface ххх A.B.C.D Только при таком раскладе это работает. Нетрамет сволочь по умолчанию не умел обрабатывать некст хоп, вернее зачатки этого были в версии 4.5b8, пришлось мне сесть за си и дописать ему недостающее... :) Но нат натом, а есть еще такой зверь, зовется ГРЕ... С ним дело еще хуже - фишка с некст хоп к нему ваще не применима, исходящий на гре траф мона выделить тока на основе анализа адресов которые могут через него ходить (а это гимор и неслабый), а получить входящий в нетфлове после декапсуляции я не смог ни какими подпрыгиваниями ни с цефом ни еще с чем либо... в итоге пришлось детализацию VPN трафика делать на никсовых серверах через которые он проходит...>
>Все вроде решил проблему через ип аккаунтинг устал уже :-( оставляю нетфлоу
>до лучших времен
Зря, при вашем трафе боюсь по ip accounting вы не получите точного результата, да и детализации по портам у него нет по определению... Я тоже год назад дойдя до состояния близкого к истерике порывался вдарить по этой говенной 2610-й кисе кувадлой, потереть нафик на всех дисках нетрамет как сущую ересь непонятно кем и для чего написанную и очень хотел ввинтить аккаунтинг... Слава Богу у меня хватило терпения дожать нетфлов и нетрамет, чего и вам желаю... Успехов! ;)
>Зря, при вашем трафе боюсь по ip accounting вы не получите
>точного результата, да и детализации по портам у него нет по
>определению... Я тоже год назад дойдя до состояния близкого к истерике
>порывался вдарить по этой говенной 2610-й кисе кувадлой, потереть нафик на
>всех дисках нетрамет как сущую ересь непонятно кем и для чего
>написанную и очень хотел ввинтить аккаунтинг... Слава Богу у меня хватило
>терпения дожать нетфлов и нетрамет, чего и вам желаю... Успехов! ;)
>
На данный момент работает именно ип аккаунтинг. Порты конечно хочется, но видимо не судьба
Дожать нетфлоу думаю не получится :-(, если только не брать в расчет вариант снятия флоу с некст хоп (стандартный режим), потом его кемнить переконвертить в нетфлоу срц-дст ... тогда заработает
Так как мне сказали, что в 7500 с лупбака флоу не снимается
>На данный момент работает именно ип аккаунтинг. Порты конечно хочется, но видимо
>не судьба
>Дожать нетфлоу думаю не получится :-(,
ну что ж каждому свое...> если только не брать в расчет
>вариант снятия флоу с некст хоп (стандартный режим), потом его кемнить
>переконвертить в нетфлоу срц-дст
а конвертировать нифига не нада срц-дест и так есть! Некст хоп позволяет однозначно дать ответ уехал этот пакет на WAN к прову или нет. Предствьте у вас стоит асл и дропает какой-нить траф из локали, а кто-то
в локали поймал любимого вашего сламера и ломится наружу а вы этот траф дропаете... итог - получите гиги исходящего трафа у ся в биллинге даже если ни одного пакета на самом деле на WAN не уехало...>Так как мне сказали, что в 7500 с лупбака флоу не снимается
ДЫК он ни на одной кисе ни с лупбэка ни с аукса ни c гре интерфесов не снимается... также этим страдают бриджи (interface BVI)... И тем не менее
трюк с разложением входящего на нат реально работатет и без этого. Тоесть входящий на НАТ траф ПО ЛЮБОМУ снимается с WAN интерфея, тока благодаря цефу берется значение дест-а не из заголовка пакета а из скэшированного цефом маршрута. Я не знаю всех тонкостей процесса и нафик именно для этого надо заворачивать входящий на нат траф на лупбэк но как это работает я в общих чертах разобрался. Тоесть клиент из локали лезет на внешний ресурс. С него падает ответ, и первый пакет посчтиается не как ресурс-клиент а как ресурс-внешний адрес НАТ-а, после чего цеф кэширует маршрут и весь дальнейший траф этой сессии едет по цефу в обход процесс свитчинга, и нетфлов по всем дальнейшим пакетам отдает значения из таблицы цефа, тоесть ресурс-клиент... Это и позволяет получить расклад входящего на НАТ трафа хотя и слупбэка нифига не снимается... Более правильно и детально объяснить как это работает сможет наверно тот циско-гуру кто придумал этот трюк, но кто он я не знаю... :(
>а конвертировать нифига не нада срц-дест и так есть!
НЕТ там этого пакета>>Так как мне сказали, что в 7500 с лупбака флоу не снимается
>
>ДЫК он ни на одной кисе ни с лупбэка ни с аукса
>ни c гре интерфесов не снимается... также этим страдают бриджи (interface
>BVI)... И тем не менее
>трюк с разложением входящего на нат реально работатет и без этого. Тоесть
>входящий на НАТ траф ПО ЛЮБОМУ снимается с WAN интерфея,
>тока благодаря цефу берется значение дест-а не из заголовка пакета а
>из скэшированного цефом маршрута. Я не знаю всех тонкостей процесса и
>нафик именно для этого надо заворачивать входящий на нат траф на
>лупбэк но как это работает я в общих чертах разобрался. Тоесть
>клиент из локали лезет на внешний ресурс. С него падает ответ,
>и первый пакет посчтиается не как ресурс-клиент а как ресурс-внешний адрес
>НАТ-а, после чего цеф кэширует маршрут и весь дальнейший траф этой
>сессии едет по цефу в обход процесс свитчинга, и нетфлов по
>всем дальнейшим пакетам отдает значения из таблицы цефа, тоесть ресурс-клиент... Это
>и позволяет получить расклад входящего на НАТ трафа хотя и слупбэка
>нифига не снимается... Более правильно и детально объяснить как это работает
>сможет наверно тот циско-гуру кто придумал этот трюк, но кто он
>я не знаю... :(
Это я понял но у меня есть одно подозрение которое перерастает в увереность
Когда пакт проходит сковзь роуте мап на лупбак он не попадает в цеф
Т.е. я не смог заставить этот рафик работать сковзь цефЕсть идеи по этому поводу ?
Если заставить его идти через цеф все заработает
>>а конвертировать нифига не нада срц-дест и так есть!
>НЕТ там этого пакетамы с вами явно не поняли друг друга... ;)
каждый нетфлов который экспортируется кошкой содержит инфу о каждом пакетике, помимо соурса и деста там еще предается куча параметров, в том числе и номера соурс-дест интерфеев и некст хоп... Так как при поднятом нате дестинтерфей брешет то я использую некст хоп для выделения исходящего к прову трафика, так как не весь падающий от локали траф обязательно будет исходящим в WAN...
ЗЫ у акаунтинга есть помимо детализации и еще один серьезный минус - если кто-то извне будет флудить ваши адреса вы этого никогда не узнаете. И будете гадать с каого фига ваш биллинг не сходится с биллингом вышестоящего прова. А у нетфлова другой косяк - вы никогда не посчитаете трафик созданный самим маршрутизатром. И никогда не посчитаете исходящий ГРЕ если он пришел транзитом по другому тунелю.... у кажного свои плюсы-минусы, анада то всего одно - чтобы каждый кому это нужно мог включить нетфлов и для исходящего трафа... Кому не нада тот не включит и все... И возможность снимать траф хотя бы с одного процесс-свитчинг интерфея - с лупбэка.... Все, после этого наступит тотальное счастье, так как выкрутится можно будет в любых условиях... ИМХО.
У меня скорость на лупбаке падает в 10 раз
Поковырявшись выяснил, что ВЕСЬ трафик сквозь лупбак (специальный для нат через роут мап) идет через процесс свитчинг. Заставить идти через цеф или чтонить еще не получилось
>Всем известный и многоуважаемый ВОЛКА, он же Alexey Alekseev(http://cisco.far.ru/) добился желаемого используюя
>так называемый VRF Lite.
>
>В fido7.ru.cisco писал следующее:
>+===================================================+
>У меня такая же фигня...
>собрал стенд, убедился что работает :)
>если сеf выключить, то работать не будет.
Не заработало
1. я не могу отадть весь интерфейс под выход ната. К примеру выход ната по 2 влану. Тогда мне либо 2 влан роутить на прова (а куда девать реальные ип сети), либо добавлять реальные ип в тот же vrf, но тогда смысл делать vrf ?
2. в приведенном конфиге нет роута между vrf (интерфесы, исх интерфейс) и самой кошкой (локальная сеит). мне не удалось этого добится. хотя я не уверен что понимаю vrf lite в достаточной мере
а конфиг полностью можно увидеть?
>а конфиг полностью можно увидеть?
брр сейчас попытаюсь востановить
уже просто конфиг на ip account
Текущее понимание проблемы - трафик, проходящий сковзь роутемап не попападет затем в цефip subnet-zero
ip flow-cache timeout active 5
!
!
!
ip cef
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback10
ip address 10.2.0.1 255.255.255.0
ip route-cache same-interface
ip route-cache policy
ip route-cache flow
no clns route-cache
!interface Port-channel1.2
encapsulation dot1Q 2
ip address <real_ip> 255.255.255.240
ip nat outside
ip flow ingress
ip policy route-map MAP
!
interface Port-channel1.6
encapsulation dot1Q 6
ip address 192.168.24.254 255.255.255.0
ip flow ingress
ip nat inside
!
interface FastEthernet6/0
no ip address
ip nat inside
ip route-cache policy
ip route-cache flow
full-duplex
channel-group 1
no clns route-cache
interface FastEthernet6/0.6
channel-group 1
!ip nat pool fis_pool <out_nat_ip> <out_nat_ip> netmask 255.255.255.240
ip nat inside source list 102 pool fis_pool overload
ip classless
ip flow-export version 5 origin-as
ip flow-export destination X.X.X.X 3000access-list 102 permit ip 192.168.24.0 0.0.7.255 any
!
route-map MAP permit 10
match ip address 101
set interface Loopback 10
!
interface Port-channel1.2
encapsulation dot1Q 2
ip address <real_ip> 255.255.255.240
ip nat outside
ip flow ingress
ip policy route-map MAP
!
interface Port-channel1.6
encapsulation dot1Q 6
ip address 192.168.24.254 255.255.255.0
ip flow ingress
ip nat inside
!
interface FastEthernet6/0
no ip address
ip nat inside
ip route-cache policy
ip route-cache flow
full-duplex
channel-group 1
no clns route-cache
interface FastEthernet6/0.6
channel-group 1
!
а вот эта конструкция зачем?
>interface Port-channel1.2
>encapsulation dot1Q 2
>ip address <real_ip> 255.255.255.240
>ip nat outside
>ip flow ingress
>ip policy route-map MAP
>!
>interface Port-channel1.6
>encapsulation dot1Q 6
>ip address 192.168.24.254 255.255.255.0
>ip flow ingress
>ip nat inside
>!
>interface FastEthernet6/0
>no ip address
>ip nat inside
>ip route-cache policy
>ip route-cache flow
>full-duplex
>channel-group 1
>no clns route-cache
>interface FastEthernet6/0.6
>channel-group 1
>!
>а вот эта конструкция зачем?
У меня планиреутмся работать на езер чанале. Т.е. другими словами у меня есть один физ интерйес (Po 1)
и покажите вывод sh ip interface
>и покажите вывод sh ip interface
FastEthernet6/0 is up, line protocol is up
Internet protocol processing disabled
Port-channel1 is up, line protocol is up
Internet protocol processing disabled
Port-channel1.2 is up, line protocol is up
Internet address is 193.27.41.62/28
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.5 224.0.0.6
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP Distributed switching is disabled
IP Flow switching turbo vector
IP Flow CEF switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, Flow, Policy, CEF, Flow Cache
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain outside
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
BGP Policy Mapping is disabled
Port-channel1.6 is up, line protocol is up
Internet address is 192.168.24.254/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP Distributed switching is disabled
IP Flow switching turbo vector
IP Flow CEF switching turbo vector
IP multicast fast switching is enabled
IP Flow CEF switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, Flow, Policy, CEF, Flow Cache
Router Discovery is disabled
IP output packet accounting is enabled
IP access violation accounting is enabled, system threshold is 512
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain inside
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
BGP Policy Mapping is disabled
Loopback10 is up, line protocol is up
Internet address is 10.2.0.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1514 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF Feature Fast switching turbo vector
IP Null turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, Policy, CEF
Router Discovery is disabled
IP output packet accounting is enabled
IP access violation accounting is disabled, system threshold is 512
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain inside
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
BGP Policy Mapping is disabled
Смешно, так долго не решались показать конфиг, а ACL на VTY не повесили:
(14:59:32 <~>) 0 $ telnet 193.27.41.62
Trying 193.27.41.62...
Connected to ip62.mosline.ru.
Escape character is '^]'.
User Access VerificationUsername: jamper
Password:
Router>en
Password:
Router#wr er
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
Router#reload
Proceed with reload? [confirm]
>Erase of nvram: complete
>Router#reload
>Proceed with reload? [confirm]Дык ну зачем над челом издеваться... :)
в б еще написали confreg хххх не помню щас что там, но запрещающее
процедуру восстановления забытого пароля плюс enable secret хххх...ну настроит он свою кису и залатает дыру, не показал бы он щас по неосторожности свой реальный ИП кто б там догадался что это именно киса и что ее можно уже пробовать ломать начиная с юзера jamper... :)
>Смешно, так долго не решались показать конфиг, а ACL на VTY не
>повесили:
>(14:59:32 <~>) 0 $ telnet 193.27.41.62
>Trying 193.27.41.62...
>Connected to ip62.mosline.ru.
>Escape character is '^]'.
>
>
>User Access Verification
>
>Username: jamper
>Password:
>Router>en
>Password:
>Router#wr er
>Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
>[OK]
>Erase of nvram: complete
>Router#reload
>Proceed with reload? [confirm]Змм .. Плиз выйди в почту. Буду очень признателен.
Ктсати имя у него не router ^-(
Ну закрыл я телнет ... кстати ... не надо так пугать ... потратил пол часа времени на выяснения действительно ли дыра, чтение логов, .... лучше если не против продолжим обсуждение ...
покажите ещё sh int switching
>покажите ещё sh int switching
Port-channel1
Throttle count 0
Drops RP 0 SP 0
SPD Flushes Fast 0 SSE 0
SPD Aggress Fast 0
SPD Priority Inputs 54483 Drops 0Protocol IP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 68784 17575687 62407 5634705
Cache misses 0 - - -
Fast 17072 16073828 16018 15961335
Auton/SSE 0 0 0 0Loopback10
Protocol IP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 5856 354440 5856 354440
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0
Вот ... я именно по нему определил что оно не идет по цефу :-( все через процесс свитчингП.С. Подстрекатель к панике ... но все равно спасибо. закрыл вти
вот поэтому скоре всего и незаработало...
лучше вам отказаться от идеии port channel вообще
>вот поэтому скоре всего и незаработало...
>лучше вам отказаться от идеии port channel вообще
Пробовал :-(
с тем же результатом
Сейчас пытаюсь проводить 2 раунт :-(
Ищу себе IOS и вот что обнаружил - не все прошивки поддерживают фичу NetFlow policy routing (NPR)
Может в этом проблема? Я предполагаю, что с этой фичей CEF должен работать нормально.
В твоей версии софта она поддерживается?NetFlow policy routing (NPR) integrates policy routing, which enables traffic engineering and traffic classification, with NetFlow services, which provide billing, capacity planning, and monitoring information on real-time traffic flows. IP policy routing now works with Cisco Express Forwarding (CEF), Distributed CEF (dCEF), NetFlow, and NetFlow flow acceleration.
Проверю
Спасибо за совет - возможно действительно с этим проблема
>Проверю
>Спасибо за совет - возможно действительно с этим проблемаПоддерживается :-((((