URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6917
[ Назад ]

Исходное сообщение
"Nat&netflow "
Отправлено wyvern , 28-Дек-04 01:57

Народ, помогите! Есть cisco3660(IOS 12.2), стоит NAT. И не считает входящий трафик, в ответ на sh ip cache flow | include 128.2.1.99 выдает
SrcIf    SrcIPaddress DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/0.3  128.2.1.99   Null          194.67.57.26    01 0000 0800    94
Fa0/1    194.67.57.26 Null          128.2.1.99      01 0000 0000    13,
конфиг вот:
ip flow-cache timeout active 2
ip cef
!
!
ip name-server XXX
!
ipv6 unicast-routing
!
!
!
!
!
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
no ip address
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/0.2
description ip:128.1.1.2-254,mask:255.255.0.0
encapsulation dot1Q 2
ip address 128.1.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.3
description ip:128.2.1.2-254 0.0.FF.FF
encapsulation dot1Q 3
ip address 128.2.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.4
description ip: 128.3.1.2-254 0.0.FF.FF
encapsulation dot1Q 4
ip address 128.3.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.5
description ip: 128.8.1.2-254 0.0.FF.FF
encapsulation dot1Q 5
ip address 128.8.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.6
description ip: 128.6.1.2-254 0.0.FF.FF
encapsulation dot1Q 6
ip address 128.6.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.7
description ip: 128.6.1.2-254 0.0.FF.FF
encapsulation dot1Q 7
ip address 128.7.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.8
encapsulation dot1Q 8
ip address XXXXXXXXX 255.255.255.240
!
interface FastEthernet0/1
ip address AAAAAAAAAA 255.255.255.252
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
duplex auto
speed auto
no cdp enable
!
interface Serial1/0
no ip address
shutdown
!
interface Serial1/1
no ip address
shutdown
clockrate 2000000
!
ip local policy route-map MAP
ip nat pool local ZZZZZZZZZZZZ ZZZZZZZZZZZZ prefix-length 24
ip nat inside source list 1 interface FastEthernet0/1 overload
ip nat inside source static 192.168.0.0 ZZZZZZZZZZZ
ip nat inside source static tcp 192.168.0.100 22 ZZZZZZZZZZ 22 extendable
ip nat inside source static 128.2.1.99 ZZZZZZZZZZZ
ip flow-export version 5
ip flow-export destination XXXXXXXXXX 9996
ip classless
ip route 0.0.0.0 0.0.0.0 SSSSSSSSSSSS
no ip http server
no ip pim bidir-enable
!
!
ip access-list standard sorrycharlie
!
access-list 1 permit 128.1.0.0 0.0.255.255
access-list 1 permit 128.2.0.0 0.0.255.255
access-list 1 permit 128.3.0.0 0.0.255.255
access-list 1 permit 128.4.0.0 0.0.255.255
access-list 1 permit 128.5.0.0 0.0.255.255
access-list 1 permit 128.6.0.0 0.0.255.255
access-list 1 permit 128.7.0.0 0.0.255.255
access-list 1 permit 128.8.0.0 0.0.255.255
access-list 1 permit 128.9.0.0 0.0.255.255
access-list 107 permit ip any any
access-list 108 permit ip any 128.1.0.0 0.0.255.255
access-list 108 permit ip any 128.2.0.0 0.0.255.255
access-list 108 permit ip any 128.3.0.0 0.0.255.255
access-list 108 permit ip any 128.4.0.0 0.0.255.255
access-list 108 permit ip any 128.5.0.0 0.0.255.255
access-list 108 permit ip any 128.6.0.0 0.0.255.255
access-list 108 permit ip any 128.7.0.0 0.0.255.255
access-list 108 permit ip any 128.8.0.0 0.0.255.255
access-list 108 permit ip any 128.9.0.0 0.0.255.255
access-list 108 permit ip any any
!
route-map MAP permit 10
match ip address 107
set interface Loopback0
!
!
call rsvp-sync
!
!
mgcp profile default
При таком конфиге все работает, только ничего не считает...

Содержание

Nat&netflow ,cats, 15:50 , 29-Дек-04
- Nat&netflow ,pwn, 11:33 , 30-Дек-04
Nat&netflow ,pwn, 11:39 , 30-Дек-04

Сообщения в этом обсуждении

"Nat&netflow "
Отправлено cats , 29-Дек-04 15:50

Интересная ситуация - тоже настроена Cisco с NEtFlow и NAT. На команду sh ip cache flow | include 128.2.1.99
выдает следующее
Fa0/1         192.168.0.10    Fa0/0         194.85.34.226   06 0535 0050    10
Fa0/1         192.168.0.10    Fa0/0         194.85.34.226   06 0536 0050     6
Fa0/0         194.85.34.226   Null          192.168.0.10    06 0050 0535    12
Fa0/0         194.85.34.226   Null          192.168.0.10    06 0050 0536     4
Но на компе куда идет экспорт нетфлоу локальный адрес 192.168.0.10    виден как адрес на который поступает входящий трафик
DstAddr: 192.168.0.107C06148B   NextHop: 0.0.0.07C06148B   InputInt: 17C06148B   OutputInt: 07C06148B   Packets: 47C06148B
Очень странно, по тому как Кошка не должна включать информацию по интерефейсу NULL в статистику
Поэтому советую посмотреть что приходит на комп куда идет экспорт.

"Nat&netflow "
Отправлено pwn , 30-Дек-04 11:33

>Очень странно, по тому как Кошка не должна включать информацию по интерефейсу
>NULL в статистику
Это глюк ИОС-а при включенном нате нетфлов дестинтерфей отдает равным 0

"Nat&netflow "
Отправлено pwn , 30-Дек-04 11:39

>При таком конфиге все работает, только ничего не считает...
я тоже нарывался на ситуацию, когда с 2610-й кошки не отдавался с езернета
нетфлов если на нем подняты dot1q вланы. Правда ИОС там был постарше, 12.1. Все что могу посоветовать - попробуйте апгрейднуться до 12.3 версии, может поможет. Я сам не проверял на 2610-й, у нее мозгов мало под 12.3 ИОС :(