- ip flow egress && nat ?, sm00th, 18:16 , 15-Авг-06 (1)
>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе >включен ip nat inside. Как только включаю нетфлов сразу начинает глючить >нат, не проходят tcp соединения... >Здесь есть камни, которых я не знаю ? странно всё это глянь пример конфигов сбора flow с натом http://www.netup.ru/articles.php?n=10 у меня после этого работал и flow и всё проходило вроде как.
- ip flow egress && nat ?, Rom1kz, 19:08 , 15-Авг-06 (3)
>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе >>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить >>нат, не проходят tcp соединения... >>Здесь есть камни, которых я не знаю ? > >странно всё это >глянь пример конфигов сбора flow с натом > >http://www.netup.ru/articles.php?n=10 > >у меня после этого работал и flow и всё проходило вроде как. >Через loopback работает, но вариант этот мне не нравится по некоторым причинам. Хочется проще и грамотней через ip flow egress, тем более железка и софт позволяют
- ip flow egress && nat ?, ilya, 18:22 , 15-Авг-06 (2)
>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе >включен ip nat inside. Как только включаю нетфлов сразу начинает глючить >нат, не проходят tcp соединения... >Здесь есть камни, которых я не знаю ? что за железка и какой софт? в версии 12.4 есть возможность и ingress и egress нетфлоу с одного интерфейса снимать.
- ip flow egress && nat ?, Rom1kz, 19:10 , 15-Авг-06 (4)
>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе >>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить >>нат, не проходят tcp соединения... >>Здесь есть камни, которых я не знаю ? > > >что за железка и какой софт? >в версии 12.4 есть возможность и ingress и egress нетфлоу с одного >интерфейса снимать. Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(3c), RELEASE SOFTWARE (fc1)
Позволять-то позволяет, и по установившимся трансляциям ната траф снимает, а вот новые потоки нат уже не создаёт.
- ip flow egress && nat ?, ilya, 08:31 , 16-Авг-06 (5)
>>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе >>>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить >>>нат, не проходят tcp соединения... >>>Здесь есть камни, которых я не знаю ? >> >> >>что за железка и какой софт? >>в версии 12.4 есть возможность и ingress и egress нетфлоу с одного >>интерфейса снимать. > > >Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(3c), RELEASE SOFTWARE (fc1) > >Позволять-то позволяет, и по установившимся трансляциям ната траф снимает, а вот новые >потоки нат уже не создаёт. это скорее баг чем фича. конфиг в студию. и попробуйте софт поменять на более свежий
- ip flow egress && nat ?, Rom1kz, 09:19 , 16-Авг-06 (6)
>это скорее баг чем фича. >конфиг в студию. и попробуйте софт поменять на более свежий ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname host ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! no aaa new-model ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero !
ip cef ! ! ! ip domain name host.ru vpdn enable ! vpdn-group 1 ! vpdn-group 2 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! ! ! ! crypto isakmp policy 1 hash md5 authentication pre-share lifetime 3600 crypto isakmp key xxx address x.x.x.x ! ! crypto ipsec transform-set ts1 esp-des esp-md5-hmac ! crypto map xxx 1 ipsec-isakmp description name set peer x.x.x.x set transform-set ts1 set pfs group1 match address 102 ! ! ! interface Tunnel0 description ipsec ip address x.x.x.x x.x.x.x tunnel source x.x.x.x tunnel destination x.x.x.x tunnel mode ipip crypto map xxx ! interface FastEthernet0/0 description external mac-address 0021.1234.4325 ip address x.x.x.x 255.255.255.240 no ip proxy-arp ip nat outside ip virtual-reassembly ip tcp adjust-mss 1452 duplex auto speed auto ! interface FastEthernet0/1 description $ETH-WAN$ no ip address duplex auto speed auto ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Virtual-Template1 ip unnumbered Vlan1 ip mroute-cache peer default ip address pool PPTP ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 ! interface Vlan1 ip address 192.168.150.61 255.255.255.0 ip nat inside ip virtual-reassembly ip flow egress ! ! ip local pool PPTP 192.168.150.196 192.168.150.224 ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.x ip flow-export version 5 ip flow-export destination x.x.x.x 9996 ! no ip http server ip http authentication local no ip http secure-server ip http timeout-policy idle 5 life 86400 requests 10000 ip nat inside source list 10 interface FastEthernet0/0 overload ! access-list 10 permit 192.168.150.0 0.0.0.255 access-list 102 permit ip host 192.168.190.131 host 192.168.190.130 access-list 110 permit ip any any access-list 199 deny ip any any route-map FLOW permit 10 match ip address 199 ! ! ! control-plane ! ! line con 0 login local line aux 0 line vty 0 4 exec-timeout 0 0 privilege level 15 login local transport input ssh line vty 5 15 privilege level 15 login local transport input ssh ! end если включить на vlan1 ip route-cache flow, то нат работает, но трафик экспортируется и исходящий с интерфейса и входящий, игрался с ip policy route-map -- не помогло.
- ip flow egress && nat ?, vinni_jopa, 11:38 , 16-Авг-06 (7)
на интерфейсах (ip nat outside и ip nat inside ) включи ip route-cache flow - была такая грабля - решилась именно так
- ip flow egress && nat ?, Rom1kz, 15:30 , 21-Авг-06 (8)
>на интерфейсах (ip nat outside и ip nat inside ) включи ip >route-cache flow - была такая грабля - решилась именно так Траф снимается как приходящий так и уходящий, а нужно только egress.
- ip flow egress && nat ?, vinni_jopa, 15:33 , 21-Авг-06 (9)
ip flow-egress input-interface - почитай, не уверен что это оно
- ip flow egress && nat ?, Rom1kz, 16:16 , 21-Авг-06 (10)
>ip flow-egress input-interface - почитай, не уверен что это оно Пока проблему решил через no ip route-cache cef на нужном интерфейсе..
- ip flow egress && nat ?, Rom1kz, 11:03 , 10-Ноя-06 (11)
>>ip flow-egress input-interface - почитай, не уверен что это оно > >Пока проблему решил через no ip route-cache cef на нужном интерфейсе.. Рано я радовался, не весь траф попадает в кэш.. Попадает только 1 пакет. Например тяну с фтп файло, а в кэше вижу такое Tu51 x.x.x.x Vl1* 192.168.150.101 06 0014 040E 1 И значение пакетов не растёт.
|