URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9479
[ Назад ]

Исходное сообщение
"Netflow + NAT = ???"
Отправлено Africa , 22-Дек-05 20:22

Форум читал, статью нетупа тоже. По ней и сделал...
Не работает!!!
Cisco 1721, IOS c1700-y-mz.122-15.T17.bin
Хочу собирать статистику по Netflow, коллектор - Flow Tools под FreeBSD 5.4. Но до коллектора хочу настроить сабж через NAT. Вот конфа:
interface Loopback 0
ip address 10.0.0.1 255.0.0.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip route-cache policy
ip route-cache flow
!
interface Ethernet0                          'Внешний интерфейс
ip address XX.XX.7.8 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip flow ingress
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
full-duplex
!
interface FastEthernet0                         'Внутренний интерфейс
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow ingress
ip route-cache policy
ip route-cache flow
speed auto
no cdp enable
!
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 XX.XX.7.14
no ip http server
ip flow-export version 5
ip flow-export destination 192.168.1.5 9996
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 108 permit ip any 192.168.1.0 0.0.0.255
route-map MAP permit 10
match ip address 108
set interface Loopback0 FastEthernet0
Пингуем opennet.ru (82.137.161.90)
При включенном IP CEF:
router#sh ip cache flow | inc 82.137.161.90
Et0    82.137.161.90   Null          192.168.1.100   01 0000 0000     1
Fa0    192.168.1.100   Et0           82.137.161.90   01 0000 0800   521
Все показывает правильно, но DstIf = Null, то есть flow не захватывается...
При выключенном IP CEF:
router#sh ip cache flow | inc 82.137.161.90
Et0    82.137.161.90   Local         XX.XX.7.8      01 0000 0000    31
Fa0    192.168.1.100   Et0           82.137.161.90   01 0000 0800   605
А тут DstIf = Local, но DstIPaddress = XX.XX.7.8 (мой внешний реальный IP)
Route-map работает:
router#sh route-map MAP
route-map MAP, permit, sequence 10
  Match clauses:
    ip address (access-lists): 108
  Set clauses:
    interface Loopback0 FastEthernet0
  Policy routing matches: 9067 packets, 4296533 bytes

Короче, застрял.....помогите!
ИОС менять пока не пробовал...Стоит ли?

Содержание

Netflow + NAT = ???,Putty, 07:36 , 23-Дек-05
- Netflow + NAT = ???,Africa, 22:37 , 25-Дек-05
  - Netflow + NAT = ???,Putty, 07:32 , 26-Дек-05
    - Netflow + NAT = ???,Africa, 14:21 , 26-Дек-05
      - Netflow + NAT = ???,Putty, 15:09 , 26-Дек-05
        
        Netflow + NAT = ???,Africa, 15:20 , 26-Дек-05
        
        Netflow + NAT = ???,Putty, 15:37 , 26-Дек-05
        
        Netflow + NAT = ???,Africa, 13:28 , 27-Дек-05
        
        Netflow + NAT = ???,Africa, 17:13 , 27-Дек-05
Netflow + NAT = ???,Tolerance, 07:46 , 23-Дек-05
- Netflow + NAT = ???,Putty, 07:57 , 23-Дек-05
  - Netflow + NAT = ???,Africa, 09:00 , 23-Дек-05
    - Netflow + NAT = ???,ram_scan, 11:20 , 23-Дек-05
      - Netflow + NAT = ???,Africa, 12:38 , 23-Дек-05
        
        Netflow + NAT = ???,CompeR, 13:21 , 23-Дек-05
        
        Netflow + NAT = ???,Africa, 16:04 , 23-Дек-05
        
        Netflow + NAT = ???,CompeR, 06:28 , 26-Дек-05

Сообщения в этом обсуждении

"Netflow + NAT = ???"
Отправлено Putty , 23-Дек-05 07:36

>Форум читал, статью нетупа тоже. По ней и сделал...
>Не работает!!!
На Loopback0 оставьте только ip-адресс,ip route-cache flow
На FastEthernet0 пропишите access-group на вход и на выход
соответственно match ip address тоже менять
Далее #ip flow-export source Loopback0
У меня в принципе тоже Null показывает, но в программку flow сыпется складно

"Netflow + NAT = ???"
Отправлено Africa , 25-Дек-05 22:37

>>Форум читал, статью нетупа тоже. По ней и сделал...
>>Не работает!!!
>
>На Loopback0 оставьте только ip-адресс,ip route-cache flow
>На FastEthernet0 пропишите access-group на вход и на выход
>соответственно match ip address тоже менять
>Далее #ip flow-export source Loopback0
>
>У меня в принципе тоже Null показывает, но в программку flow сыпется
>складно

А можно всю вашу конфу? Большое спасибо!

"Netflow + NAT = ???"
Отправлено Putty , 26-Дек-05 07:32

>А можно всю вашу конфу? Большое спасибо!
Смысла нет скидывать конфигурацию,
на примере все сами поймёте
ip cef
!
!
!
!
!
!
!
!
!
!
interface Loopback0
ip address A.B.C.D netmask
ip route-cache flow
!
interface FastEthernet0/0
description #наружу#
ip address A.B.C.D
ip nat outside
ip route-cache flow
ip tcp adjust-mss 1452
ip policy route-map MAP
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description #local#
ip address A.B.C.D netmask
ip access-group 105 in
ip access-group 106 out
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 "Указываем роутер" permanent
ip flow-export source Loopback0
ip flow-export version 5
ip flow-export destination A.B.C.D 9996
ip nat inside source list 1 interface FastEthernet0/0 overload
!
!
access-list 1 permit A.B.C.D (local ip)
access-list 1 permit A.B.C.D (local ip)
access-list 1 permit A.B.C.D (local ip)
access-list 105 dynamic test1 permit ip any any
access-list 105 permit ip host A.B.C.D (local ip) any
и т.п
access-list 106 dynamic test2 permit ip any any
access-list 106 permit ip any host A.B.C.D (local ip)
route-map MAP permit 10
match ip address 106
set interface Loopback0
!
end

"Netflow + NAT = ???"
Отправлено Africa , 26-Дек-05 14:21

Сделал все точно так....то же самое - не работает..:(
Router#sh ip cache flow | inc 82.137
Et0/0    82.137.161.90   Null     172.16.5.55     01 0000 0000     6
Fa0/0    172.16.5.55     Et0/0    82.137.161.90   01 0000 0800     9
172.16.5.55 - IP клиента, который прописан в NAT-е
82.137.. - opennet.ru, которого он пинговал....

Единственно, что заметил:
Loopback0 is up, line protocol is up
  Hardware is Loopback
  Internet address is 10.10.10.1/8
  MTU 1514 bytes, BW 8000000 Kbit, DLY 5000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation LOOPBACK, loopback not set
  Last input 00:00:00, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 1 packets/sec
     0 packets input, 0 bytes, 0 no buffer  <----------------------Вот это
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     98 packets output, 14134 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

Почему на loopback-е нету input packets ?
Что еще посмотреть ?

"Netflow + NAT = ???"
Отправлено Putty , 26-Дек-05 15:09

>Сделал все точно так....то же самое - не работает..:(
>
>Router#sh ip cache flow | inc 82.137
>Et0/0    82.137.161.90   Null
>172.16.5.55     01 0000 0000
> 6
>Fa0/0    172.16.5.55     Et0/0
> 82.137.161.90   01 0000 0800
>9
У меня также, видимо дело еще в коллекторе который собирает flow пакеты,
одно радует, что Dstif пишет правильно

>Что еще посмотреть ?
у меня была ссылка по поводу Null? на сайте cisco, ссылку найду, сообщу

"Netflow + NAT = ???"
Отправлено Africa , 26-Дек-05 15:20

>>Что еще посмотреть ?
>у меня была ссылка по поводу Null? на сайте cisco, ссылку найду,
>сообщу
Спасибо! Буду ждать...
Кстати, а какой у тебя коллектор? У меня Flow-Tools...они не хотят видеть интерфейс Null ну никак...Может там можно что-нибудь подкрутить?

"Netflow + NAT = ???"
Отправлено Putty , 26-Дек-05 15:37

>Кстати, а какой у тебя коллектор? У меня Flow-Tools...они не хотят видеть
>интерфейс Null ну никак...Может там можно что-нибудь подкрутить?
UTM5 в связке с cisco :)
по Flow-Tools промолчу, не крутил его

"Netflow + NAT = ???"
Отправлено Africa , 27-Дек-05 13:28

Все то же самое...Нетуп в своем мануале написал что все должно работать - никаких NULL не должно быть. Крутил по-всякому - одно и то же...Неужели ни у кого не работает NetFlow с NAT нормально (выдает правильные интерфейсы а не NULL)?

"Netflow + NAT = ???"
Отправлено Africa , 27-Дек-05 17:13

>Все то же самое...Нетуп в своем мануале написал что все должно работать
>- никаких NULL не должно быть. Крутил по-всякому - одно и
>то же...Неужели ни у кого не работает NetFlow с NAT нормально
>(выдает правильные интерфейсы а не NULL)?

Короче забил я на это дело. Поставил второй роутер для NAT, а на первом крутится NetFlow. Все функционирует...правда обидно за державу:)

"Netflow + NAT = ???"
Отправлено Tolerance , 23-Дек-05 07:46

Совершенно аналогичная проблема с тем же UTM5.
interface Loopback0
ip address 192.168.100.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0 (Внейшний IP)
ip address 172.16.4.22 255.255.254.0
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map NETUP_MAP
!
interface FastEthernet0/1 (Внутренний IP)
ip address 172.16.200.1 255.255.255.248
ip nat inside
ip route-cache policy
ip route-cache flow
!
ip nat inside source list 1 interface FastEthernet0/0 overload
ip flow-export version 5
ip flow-export destination 172.16.4.20 9996
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.4.9
!
access-list 1 permit 172.16.200.0 0.0.0.7
access-list 108 permit ip any 172.16.200.0 0.0.0.7
!
route-map NETUP_MAP permit 10
match ip address 108
set interface Loopback0 FastEthernet0/1
Гуру, помогите пожплуйста.

"Netflow + NAT = ???"
Отправлено Putty , 23-Дек-05 07:57

Про UTM веду речь

"Netflow + NAT = ???"
Отправлено Africa , 23-Дек-05 09:00

>Про UTM веду речь

С UTM я завязал...люди пишут свой биллинг, в качестве коллектора юзаю Flow-Tools ... интересно, если Flow будет давать Null - соберет ли это коллектор ? Попробую, отпишу! Спасибо!

"Netflow + NAT = ???"
Отправлено ram_scan , 23-Дек-05 11:20

Netflow в одном флаконе с NAT не всегда шоколадно работает. Зависит очень от версии IOS и модели железки соответственно. Куча народу мучается с этим делом, у кого-то работает, у кого-то нет...

"Netflow + NAT = ???"
Отправлено Africa , 23-Дек-05 12:38

>Netflow в одном флаконе с NAT не всегда шоколадно работает. Зависит очень
>от версии IOS и модели железки соответственно. Куча народу мучается с
>этим делом, у кого-то работает, у кого-то нет...

Тут http://www.netup.ru/phpbb/viewtopic.php?t=1670&highlight=net...
Вроде рабочая конфа....проверю вечером

"Netflow + NAT = ???"
Отправлено CompeR , 23-Дек-05 13:21

посмотрите egress netflow - это фича для снятия статистики по исходящему трафику. Возможно ваш роутер умеет такое, или можно иос с такой штукой поставить.

"Netflow + NAT = ???"
Отправлено Africa , 23-Дек-05 16:04

>посмотрите egress netflow - это фича для снятия статистики по исходящему трафику.
>Возможно ваш роутер умеет такое, или можно иос с такой штукой
>поставить.

А как оно работает?

"Netflow + NAT = ???"
Отправлено CompeR , 26-Дек-05 06:28

>>посмотрите egress netflow - это фича для снятия статистики по исходящему трафику.
>
>А как оно работает?
http://www.cisco.com/univercd/cc/td/doc/product/software/ios...