- Не работает связка Netflow + NAT, Сайко, 20:09 , 27-Фев-06 (1)
А вот скажи мне, какой глубинный смысл утанавливать PBR на WAN интерфейсе, причем в ACL указывать адреса из RFC1918, или ты и вправду думаешь что к тебе из Интернета кто то пойдет на частные адреса. Насколько я помню все делается наоборот - PBR устанавливается на LAN(внутреннем) интерфейсе, и точно также пакеты пропрасываются на loopback.
- Не работает связка Netflow + NAT, sh_, 21:03 , 27-Фев-06 (2)
2Сайко Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно отжог...
- Не работает связка Netflow + NAT, Сайко, 21:08 , 27-Фев-06 (3)
>2Сайко >Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно >отжог... Если честно, то я сам никогда так и не пробовал это делать, да и не надо это мне реальных адресов вполне хватает на все свои фантазии. - Не работает связка Netflow + NAT, tyomikh, 21:41 , 27-Фев-06 (4)
>2Сайко >Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно >отжог... а что не нравится с адресами?
- Не работает связка Netflow + NAT, Сайко, 09:52 , 28-Фев-06 (8)
>а что не нравится с адресами? Да вот это: access-list 101 permit ip any 192.168.40.0 0.0.0.255 ! route-map l00p permit 10 match ip address 101ты всерьез думаешь что провайдер на тебя маршрутизирует частные адреса?
- Не работает связка Netflow + NAT, sh_, 07:49 , 28-Фев-06 (5)
no access-list 101 permit ip any 192.168.40.0 0.0.0.255 access-list 101 permit ip any 195.178.213.80 0.0.0.7
- Не работает связка Netflow + NAT, tyomikh, 09:31 , 28-Фев-06 (6)
>no access-list 101 permit ip any 192.168.40.0 0.0.0.255 >access-list 101 permit ip any 195.178.213.80 0.0.0.7 Делал согласно http://www.netup.ru/articles_pdf/10.pdf там ACL прописан именно на внутренюю подсеть, как и во многих подобных этому описанию вариантах к тому же в моем случае PBR работает: gw#sh route-map route-map l00p, permit, sequence 10 Match clauses: ip address (access-lists): 101 Set clauses: interface Loopback0 FastEthernet0/1 Policy routing matches: 161021 packets, 136446200 bytes gw#sh route-map route-map l00p, permit, sequence 10 Match clauses: ip address (access-lists): 101 Set clauses: interface Loopback0 FastEthernet0/1 Policy routing matches: 161638 packets, 136666239 bytes
- Не работает связка Netflow + NAT, Сайко, 09:46 , 28-Фев-06 (7)
>http://www.netup.ru/articles_pdf/10.pdf to sh_ Ха, судя по этому бездарному документу полиси вешают на внутренний интерфейс.Смешит вот это(смитрим что они хотят заматчить с инклюдом и что получают) при этом должна появиться информация о трафике примерно следующего вида: Router#show ip cache flow | include 10.1.2.2 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Et1/0 195.161.112.6 Et1/1 10.11.0.6 06 0050 1093 3 Et1/1 10.11.0.6 Et1/0 195.161.112.6 06 1093 0050 5 Et1/0 195.161.112.6 Local 10.1.0.1 06 0050 1093 2 Где SrcIf – интерфейс, с которого пришел пакет. DstIf – интерфейс, на который был направлен пакет. Если данно поле Null, то данная информация не будет экспортирована в Netflow. Проверьте списки доступа. Складывается ощущение, что человек писал от балды. - Не работает связка Netflow + NAT, Сайко, 09:55 , 28-Фев-06 (9)
>Делал согласно >http://www.netup.ru/articles_pdf/10.pdf >там ACL прописан именно на внутренюю подсеть, как и во многих подобных >этому описанию вариантах Но PBR там прикручен к внутреннему!>к тому же в моем случае PBR работает: >gw#sh route-map >route-map l00p, permit, sequence 10 > Match clauses: > ip address (access-lists): 101 > Set clauses: > interface Loopback0 FastEthernet0/1 > Policy routing matches: 161021 packets, 136446200 bytes >gw#sh route-map >route-map l00p, permit, sequence 10 > Match clauses: > ip address (access-lists): 101 > Set clauses: > interface Loopback0 FastEthernet0/1 > Policy routing matches: 161638 packets, 136666239 bytes Это понятно ты лучше покаж sh ip access-list 101
- Не работает связка Netflow + NAT, tyomikh, 10:08 , 28-Фев-06 (10)
>>http://www.netup.ru/articles_pdf/10.pdf >Но PBR там прикручен к внутреннему! если внимательно посмотреть, то там, КАК И ВО МНОГИХ ПОДОБНЫХ ОПИСАНИЯХ(а это уменьшает вероятность тиражирования ошибки), PBR прикручен к внешнему интерфейсу>Это понятно ты лучше покаж >sh ip access-list 101 в моем случае gw#sh access-lists 101 Extended IP access list 101 10 permit ip any 192.168.40.0 0.0.0.255 (137 matches) gw#sh access-lists 101 Extended IP access list 101 10 permit ip any 192.168.40.0 0.0.0.255 (155 matches) в Вашем случае >no access-list 101 permit ip any 192.168.40.0 0.0.0.255 >access-list 101 permit ip any 195.178.213.80 0.0.0.7 gw#sh access-lists 101 Extended IP access list 101 10 permit ip any 195.178.213.80 0.0.0.7 (2 matches) gw#sh access-lists 101 Extended IP access list 101 10 permit ip any 195.178.213.80 0.0.0.7 (2 matches) Т.е. не работает, как и PBR: gw#sh route-map route-map l00p, permit, sequence 10 Match clauses: ip address (access-lists): 101 Set clauses: interface Loopback0 FastEthernet0/1 Policy routing matches: 202464 packets, 139776724 bytes gw#sh route-map route-map l00p, permit, sequence 10 Match clauses: ip address (access-lists): 101 Set clauses: interface Loopback0 FastEthernet0/1 Policy routing matches: 202464 packets, 139776724 bytes >ты всерьез думаешь что провайдер на тебя маршрутизирует частные адреса? Разумеется, он на меня их не маршрутизит; ACL пишется исходя из порядка обработки приходящих пакетов на внешнем интерфейсе циски(имею в виду очередность PRB и NAT)
- Не работает связка Netflow + NAT, Сайко, 10:36 , 28-Фев-06 (12)
Да, видимо я поторопился, был не прав, прошу не бить.
- Не работает связка Netflow + NAT, tyomikh, 10:48 , 28-Фев-06 (13)
>Да, видимо я поторопился, был не прав, прошу не бить. Было бы тривиально - постить бы не стал уже все глаза проглядел в поисках бага :(
- Не работает связка Netflow + NAT, tyomikh, 10:19 , 28-Фев-06 (11)
Была еще идея, что NAT+Netflow не корректно работают на этой версии IOS, но я уже вторую пробую из 12.4 серии.... или, возможно, стандартные описания связки NAT+Netflow не работают на 12.4???... я не силен в знании IOS, но слышал, что в 12.4 есть масса кардинальных изменений по сравнению с <=12.3
- Не работает связка Netflow + NAT, ser00, 13:48 , 28-Фев-06 (14)
В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egressВот рабочий конфиг моей кошки IOS c3640-jk9o3s-mz.123-14.T3.bin Current configuration : 2452 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname igate ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting delay-start aaa accounting nested aaa accounting update newinfo aaa accounting network default start-stop group radius ! aaa session-id common ! resource policy ! clock timezone IRK 8 clock summer-time IRK recurring last Sun Mar 2:00 last Sun Oct 2:00 ip subnet-zero ip flow-egress input-interface ip flow-cache timeout inactive 60 ip flow-cache timeout active 1 ! ! ip cef no ip domain lookup ip name-server 192.168.2.10 no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface ! vpdn enable vpdn ip udp ignore checksum ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! vpdn-group 2 accept-dialin protocol pppoe virtual-template 2 ! no ftp-server write-enable ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! no crypto isakmp ccm ! ! ! ! interface Ethernet0/0 ip address 192.168.2.20 255.255.255.0 no ip redirects full-duplex pppoe enable ! interface Ethernet0/1 ip address XXX.XXX.XXX.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow egress ip nat outside ip virtual-reassembly ip route-cache policy full-duplex ! interface Virtual-Template1 mtu 1460 bandwidth 1024 ip unnumbered Ethernet0/0 no ip proxy-arp ip flow ingress ip flow egress ip nat inside ip virtual-reassembly delay 200 autodetect encapsulation ppp no keepalive ppp authentication chap callin ! interface Virtual-Template2 mtu 1492 bandwidth 1024 ip unnumbered Ethernet0/0 no ip proxy-arp ip flow ingress ip flow egress ip nat inside ip virtual-reassembly delay 200 autodetect encapsulation ppp no keepalive ppp authentication pap callin ! no ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.10 ip flow-export version 5 ip flow-export destination 192.168.2.10 9996 ! ! ip nat inside source list 4 interface Ethernet0/1 overload ! access-list 4 permit 10.0.0.0 0.0.255.255 access-list 108 permit ip any 10.0.0.0 0.0.255.255 ! ! radius-server host 192.168.2.10 auth-port 1812 acct-port 1813 radius-server key ciscanasP@S ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end
- Не работает связка Netflow + NAT, tyomikh, 15:05 , 28-Фев-06 (15)
К сожалению, не был знаком с egress NetFlow accounting, только сейчас прочитал "Configuring Egress NetFlow Accounting", но не понял как это переложить на случай с NAT. Из Вашего конфига выцепил основные строки: ip flow-egress input-interface ip flow-cache timeout inactive 60 ip flow-cache timeout active 1 ! ip cef interface Ethernet0/0 ip address 192.168.2.20 255.255.255.0 ! interface Ethernet0/1 ip address XXX.XXX.XXX.1 255.255.255.0 ip flow egress ip nat outside ip route-cache policy ! interface Virtual-Template1 ip flow ingress ip flow egress ip nat inside ! ip flow-export version 5 ip flow-export destination 192.168.2.10 9996 ! ip nat inside source list 4 interface Ethernet0/1 overload ! access-list 4 permit 10.0.0.0 0.0.255.255 Попытка адаптации на моем 1841 не прошла(прежний PBR я убрал), т.е. по прежнему в sh ip cache flow видны реальные IP адреса вместо внутренних, теперь даже и для исходящих пакетиков :( Киньте плз в меня докой про eggress + NAT(!)
- Не работает связка Netflow + NAT, ser00, 15:09 , 28-Фев-06 (16)
- Не работает связка Netflow + NAT, ser00, 15:11 , 28-Фев-06 (18)
- Не работает связка Netflow + NAT, tyomikh, 15:24 , 28-Фев-06 (20)
>и sh ver gw#sh run Building configuration... Current configuration : 5792 bytes ! version 12.4 ! hostname gw ! boot-start-marker boot system flash c1841-advsecurityk9-mz.124-5.bin boot-end-marker ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no ip source-route ip cef ! ! ip inspect max-incomplete low 25 ip inspect max-incomplete high 100 ip inspect one-minute low 25 ip inspect one-minute high 100 ip inspect name ext smtp alert on ip inspect name ext http alert on ip inspect name ext ftp alert on ip inspect name ext tcp alert on ip inspect name ext udp alert on ip inspect name ext icmp alert on ip inspect name ext ssh alert on ip inspect name ext telnet alert on ! ! ip flow-egress input-interface ip flow-cache timeout inactive 60 ip flow-cache timeout active 1 no ip domain lookup ! interface Loopback0 ip address 192.168.254.1 255.255.255.0 ip nat inside ip virtual-reassembly ip route-cache flow ! interface FastEthernet0/0 description WAN ip address 195.178.213.83 255.255.255.248 ip access-group ext_if_in in ip access-group ext_if_out out no ip redirects no ip unreachables no ip proxy-arp ip inspect ext in ip flow ingress ip flow egress ip nat outside ip virtual-reassembly ip route-cache policy duplex auto speed auto ! interface FastEthernet0/1 description LAN ip address 192.168.40.1 255.255.255.0 ip flow egress ip nat inside ip virtual-reassembly duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 195.178.213.81 ip flow-export version 5 ! ip nat pool internal2outside 195.178.213.84 195.178.213.84 netmask 255.255.255.248 ip nat inside source list 1 pool internal2outside overload ip nat inside source static tcp 192.168.40.2 22 195.178.213.86 22867 extendable ! ip access-list extended ext_if_in evaluate ip_out permit tcp any host 195.178.213.83 eq 22 permit udp any host 195.178.213.83 eq isakmp permit udp host 204.34.198.40 eq ntp host 195.178.213.83 eq ntp deny ip any any log ip access-list extended ext_if_out permit ip 195.178.213.80 0.0.0.7 any reflect ip_out deny ip any any log ! access-list 1 permit 192.168.40.0 0.0.0.255 access-list 101 permit ip any 192.168.40.0 0.0.0.255 access-list 108 permit ip any any route-map l00p permit 10 match ip address 101 set interface Loopback0 FastEthernet0/1 ! ... end gw#sh ver Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(5), RELE ASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Mon 31-Oct-05 18:02 by alnguyen ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1) gw uptime is 1 day, 13 minutes System returned to ROM by reload at 15:07:13 msk Mon Feb 27 2006 System restarted at 15:09:02 msk Mon Feb 27 2006 System image file is "flash:c1841-advsecurityk9-mz.124-5.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 1841 (revision 4.1) with 116736K/14336K bytes of memory. Processor board ID FCZ090622WQ 2 FastEthernet interfaces 1 Virtual Private Network (VPN) Module DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 31360K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102 Может, из-за ip inspect не пашет???
- Не работает связка Netflow + NAT, CompeR, 15:10 , 28-Фев-06 (17)
>В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress Извините, что не в тему.... а для 2514 есть IOS c flow egress ?
- Не работает связка Netflow + NAT, nbv, 10:20 , 02-Мрт-06 (23)
>ip nat inside source list 1 pool internal2outside overload >! "list 1"? надо бы его определить на всякий случай.>route-map l00p permit 10 > match ip address 101 > set interface Loopback0 FastEthernet0/1 >! попробовать заменить на: >route-map l00p permit 10 > set interface Loopback0 >! >Самое интересное, что статич.трансляции нормально экспортятся в нетфлоу, но 4 последних - >заНАТченные сессии пользователей отображаются не верно... ( > >Где грабли?
- Не работает связка Netflow + NAT, tyomikh, 10:31 , 02-Мрт-06 (24)
>"list 1"? надо бы его определить на всякий случай. на самом деле он есть(иначе как бы работало?), я его просто забыл в приведенный конфиг вставить>> set interface Loopback0 FastEthernet0/1 >попробовать заменить на: >> set interface Loopback0 не помогает эту же связку Netflow+NAT пробую на #sh ver IOS (tm) C2600 Software (C2600-IK9O3S3-M), Version 12.3(6), RELEASE SOFTWARE (fc3) ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1) System image file is "flash:c2600-ik9o3s3-mz.123-6.bin" cisco 2621XM (MPC860P) processor (revision 0x100) with 94208K/4096K bytes of memory. Processor board ID JAD06310M5M (491493467) M860 processor: part number 5, mask 2 Bridging software. X.25 software, Version 3.0.0. 2 FastEthernet/IEEE 802.3 interface(s) 2 Serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory. 16384K bytes of processor board System flash (Read/Write) тоже не отображает нормальные внутренние ИП, только внешний адрес циски
- Не работает связка Netflow + NAT, nbv, 12:10 , 02-Мрт-06 (25)
>>"list 1"? надо бы его определить на всякий случай. >на самом деле он есть(иначе как бы работало?), я его просто забыл >в приведенный конфиг вставить ИМХО пустой ACL == permit ip any any если он есть то приведи его.> >>> set interface Loopback0 FastEthernet0/1 >>попробовать заменить на: >>> set interface Loopback0 >не помогает "match ip adress..." - тоже убирал?
- Не работает связка Netflow + NAT, tyomikh, 12:18 , 02-Мрт-06 (26)
>>>"list 1"? надо бы его определить на всякий случай. >если он есть то приведи его. access-list 1 permit 192.168.40.0 0.0.0.255>"match ip adress..." - тоже убирал? убирал, не помогает! %((
- Не работает связка Netflow + NAT, Sqquirel, 10:53 , 24-Ноя-09 (27)
>тоже не отображает нормальные внутренние ИП, только внешний адрес циски Добрый день! Удалось решить проблему? Столкнулся с подобной бедой...
|