Уважаемые Коллеги,
я не очень большой дока в Цисках.. (совсем не большой) помогите пожалуйста.
Проблема запустить правильно NetFlow на 3640.
вот фрагменты конфига:
.....
!
interface Loopback0
ip address N.N.N.N 255.255.255.255
!
interface FastEthernet0/0
no ip address
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/0.2
description VLAN for BIC
encapsulation dot1Q 2
ip address N1.N1.N1.N1 255.255.255.252
!
interface FastEthernet0/0.8
description VLAN for ENTER
encapsulation dot1Q 8
ip address N2.N2.N2.N2 255.255.255.252
!
......
ip flow-export source Loopback0
ip flow-export version 5 peer-as
ip flow-export destination 172.16.2.129 9996
.....
-----------------------------------------------
Результаты
-----------------------------------------------
Cisco3640_BTC#sh ip cache flow
IP packet size distribution (56192505 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.015 .570 .307 .026 .008 .003 .002 .002 .002 .003 .004 .004 .004 .003 .002512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.003 .001 .003 .008 .020 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 278544 bytes
607 active, 3489 inactive, 5666449 added
82676533 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 572 0.0 41 45 0.0 40.8 13.2
TCP-FTP 2802 0.0 10 51 0.0 5.9 9.5
TCP-FTPD 8310 0.0 44 109 1.0 4.6 12.2
TCP-WWW 1782169 5.0 11 116 56.4 2.7 3.1
TCP-SMTP 205620 0.5 9 286 5.2 5.3 4.8
TCP-X 871 0.0 4 40 0.0 0.1 3.6
TCP-BGP 2 0.0 1 40 0.0 0.0 1.3
TCP-NNTP 16 0.0 1 47 0.0 3.1 14.6
TCP-Frag 44741 0.1 2 58 0.3 6.2 15.4
TCP-other 1299048 3.6 5 154 19.2 3.4 12.3
UDP-DNS 284478 0.8 2 67 2.4 3.1 15.4
UDP-NTP 9639 0.0 1 76 0.0 0.2 15.4
UDP-Frag 24 0.0 2 186 0.0 1.0 15.6
UDP-other 1962939 5.5 12 80 70.8 1.4 15.4
ICMP 54174 0.1 18 52 2.7 8.7 15.4
GRE 9254 0.0 22 125 0.6 51.2 15.2
IP-other 1231 0.0 90 100 0.3 278.9 15.4
Total: 5665890 16.0 9 108 159.5 2.7 10.4SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.8 nx.nx.nx.nx Se0/1:0 69.249.146.145 06 F47F 18CC 2
Fa0/0.2 nx.nx.nx.nx Se0/0:0 64.12.24.76 06 ECC4 01BB 1
Fa0/0.2 nx.nx.nx.nx Se0/0:0 64.12.24.248 06 F8E3 1446 1
Fa0/0.2 nx.nx.nx.nx Se0/0:0 24.18.151.131 11 FF6F 1240 1
Fa0/0.8 nx.nx.nx.nx Se0/1:0 192.175.48.42 11 040A 0035 1
Fa0/0.2 nx.nx.nx.nx Se0/1:0 194.67.57.206 06 0BF6 01BB 1
Fa0/0.8 nx.nx.nx.nx Se0/0:0 67.183.134.75 06 F481 2345 2
Fa0/0.8 nx.nx.nx.nx Se0/1:0 193.0.0.193 11 040A 0035 1
Fa0/0.2 nx.nx.nx.nx Se0/0:0 212.199.73.82 06 F3D4 04BE 1
Fa0/0.8 nx.nx.nx.nx Se0/0:0 194.58.57.195 2F 0000 0000 23
Fa0/0.8 nx.nx.nx.nx Se0/1:0 81.176.64.2 11 0401 0035 1
Таки вот.. проблема вот в чем..
в Доках которые я читал написано что NenFlow фиксирует входящий трафик это мне и надо а реально (судя из ресультатов) фиксируется исходящий.. или я не так чего-то читаю... :(.КАК Сделать чтобы фиксировался входящий трафик.. :(((
Большое спасибо!
С уважением.
Добавь "ip route-cache flow" на всех остальных интерфейсах Se0/0:0, Se0/1:0 и т.д.
А фиксируется действительно только входящий:
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.8 nx.nx.nx.nx Se0/1:0 69.249.146.145 06 F47F 18CC 2Т.е. на Fa0/0.8 вошел, из Se0/1:0 вышел!
>Добавь "ip route-cache flow" на всех остальных интерфейсах Se0/0:0, Se0/1:0 и т.д.
>
>А фиксируется действительно только входящий:
>SrcIf SrcIPaddress
> DstIf DstIPaddress
> Pr SrcP DstP Pkts
>Fa0/0.8 nx.nx.nx.nx Se0/1:0
> 69.249.146.145 06 F47F 18CC
> 2
>
>Т.е. на Fa0/0.8 вошел, из Se0/1:0 вышел!Коллега, спасибо за внимание к моей проблеме и Ваши рекомендации.
Hо смущает следующее - заголовки таблицы SrcIf врроде как исходный интерфейс... а DstIf вроде как интерфейс назначения.. или я не прав?
Еще раз Большое спасибо.
С уважением.
>Коллега, спасибо за внимание к моей проблеме и Ваши рекомендации.
>
>Hо смущает следующее - заголовки таблицы SrcIf врроде как исходный интерфейс... а
>DstIf вроде как интерфейс назначения.. или я не прав?
>
>Еще раз Большое спасибо.
>С уважением.
Все верно, как только ты пропишешь "ip route-cache flow" на серийниках, то они тоже будут появлятся как SrcIf(т.е. интерфейс в который входит пакетик)!
>>Коллега, спасибо за внимание к моей проблеме и Ваши рекомендации.
>>
>>Hо смущает следующее - заголовки таблицы SrcIf врроде как исходный интерфейс... а
>>DstIf вроде как интерфейс назначения.. или я не прав?
>>
>>Еще раз Большое спасибо.
>>С уважением.
>
>
>Все верно, как только ты пропишешь "ip route-cache flow" на серийниках, то
>они тоже будут появлятся как SrcIf(т.е. интерфейс в который входит пакетик)!
>Спасибо Сайко, вроде как получилось (после Ваших рекомендаций) что хотелось и даже большее.. по моему можно теперь(с этими настройками) и контролировать исходящий трафик. или я не прав?
Еще раз Большое спасибо!!!!
С уважением.
>>>Коллега, спасибо за внимание к моей проблеме и Ваши рекомендации.
>>>
>>>Hо смущает следующее - заголовки таблицы SrcIf врроде как исходный интерфейс... а
>>>DstIf вроде как интерфейс назначения.. или я не прав?
>>>
>>>Еще раз Большое спасибо.
>>>С уважением.
>>
>>
>>Все верно, как только ты пропишешь "ip route-cache flow" на серийниках, то
>>они тоже будут появлятся как SrcIf(т.е. интерфейс в который входит пакетик)!
>>
>
>Спасибо Сайко, вроде как получилось (после Ваших рекомендаций) что хотелось и даже
>большее.. по моему можно теперь(с этими настройками) и контролировать исходящий трафик.
>или я не прав?
>
>Еще раз Большое спасибо!!!!
>С уважением.Коллега, еще вопрос есть какие настройки необходимы чтобы к примеру раз в 10 минут сливалася информатция по netflow. (чтобы база не росла как на дрожах.. :(( )
Еще раз спасибо,
С уважением.