forum.opennet.ru - "Помогите подружить netflow и NAT" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите подружить netflow и NAT"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите подружить netflow и NAT"
Сообщение от ann (??) on 03-Июн-04, 12:49 (MSK)
Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов? Циска 3640 Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin Конфиг ! interface Loopback0 ip address x.x.x.115 255.255.255.255 ip route-cache policy ip route-cache flow ! interface Loopback1 ip address x.x.x.116 255.255.255.255 ip route-cache policy ip route-cache flow ! interface Loopback2 ip address x.x.x.117 255.255.255.255 ip route-cache policy ip route-cache flow ! interface Loopback3 ip address x.x.x.121 255.255.255.255 ip route-cache policy ip route-cache flow ! interface Loopback4 ip address x.x.x.122 255.255.255.255 ip route-cache policy ip route-cache flow ! interface Ethernet0/1 description Local Area Network bandwidth 10000 ip address 172.16.253.1 255.255.0.0 ip access-group 125 in ip nat inside ip route-cache policy ip route-cache flow half-duplex ! ! interface Ethernet0/3 description OPK ip address 192.168.47.254 255.255.255.0 ip access-group 113 in ip nat inside ip route-cache policy ip route-cache flow half-duplex ! ! interface Serial3/1 ip address x.x.y.134 255.255.255.252 ip access-group 100 in ip nat outside ip rip send version 2 ip rip receive version 2 ip route-cache flow ! ! ip nat pool cat01-natpool-1 x.x.x.116 x.x.x.117 netmask 255.255.255.248 ip nat pool cat01-natpool-2 x.x.x.121 x.x.x.122 netmask 255.255.255.252 ip nat inside source list 119 pool cat01-natpool-1 overload ip nat inside source list 150 pool cat01-natpool-2 overload ip nat inside source static tcp 172.16.253.254 995 x.x.x.114 995 extendable ip nat inside source static udp 172.16.253.254 53 x.x.x.114 53 extendable ip nat inside source static tcp 172.16.253.254 53 x.x.x.114 53 extendable ip nat inside source static tcp 172.16.253.254 25 x.x.x.114 25 extendable ip nat inside source static tcp 172.16.253.254 22 x.x.x.114 22 extendable ip nat inside source static tcp 172.16.253.254 80 x.x.x.114 10080 extendable ip nat inside source static tcp 192.168.47.25 6000 x.x.x.121 6000 extendable ip classless ip route 0.0.0.0 0.0.0.0 Serial3/0 ... ip flow-export version 5 peer-as ip flow-export destination 172.16.253.254 3000 no ip http server ! ! ! ip prefix-list def_only seq 5 permit 0.0.0.0/0 logging trap debugging logging facility local1 logging source-interface Ethernet0/1 logging 172.16.253.254 route-map priv-acco permit 1 ! ! dial-peer cor custom ! end
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Помогите подружить netflow и NAT, Vasili, 17:55 , 03-Июн-04, (1)
- Помогите подружить netflow и NAT, ann, 13:40 , 07-Июн-04, (2)
  - Помогите подружить netflow и NAT, ann, 13:44 , 07-Июн-04, (3)
  - Помогите подружить netflow и NAT, Vasili, 13:53 , 07-Июн-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите подружить netflow и NAT"

Сообщение от Vasili on 03-Июн-04, 17:55  (MSK)

>Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов?
>
>Циска 3640
>Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin
>Конфиг
>!
>interface Loopback0
> ip address x.x.x.115 255.255.255.255
> ip route-cache policy
> ip route-cache flow
....
Пакеты Netflow шлются только по тому трафику к которому применяется логика, т.е. будет высыласться статистика только по входящему трафику и никогда по исходящему. В твоем случае входящий интерфейс se3/1 исходящий - e0/X => все пойдет только с se3/1. Также исходящий трафик с локалки нельзя собирать с se3/1, только с e0/X.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите подружить netflow и NAT"

Сообщение от ann (??) on 07-Июн-04, 13:40  (MSK)

>>Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов?
>>
>>Циска 3640
>>Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin
>>Конфиг
>>!
>>interface Loopback0
>> ip address x.x.x.115 255.255.255.255
>> ip route-cache policy
>> ip route-cache flow
>
>....
>
>Пакеты Netflow шлются только по тому трафику к которому применяется логика, т.е. будет высыласться статистика только по входящему трафику и никогда по исходящему. В твоем случае входящий интерфейс se3/1 исходящий - e0/X => все пойдет только с se3/1. Также исходящий трафик с локалки нельзя собирать с se3/1, только с e0/X.

непонятно.. то что netflow учитывает только входящий трафик это я знаю.. для того и включен сбор на всех интерфейсах.. проблема в том, что
трафик из локальной сети (который входящий на eth) приходит как лок адрес src - адрес в инете dest .. а для Serial-интерфейса dest-адресом всегда является сам serial-интерфейс т.е. весь трафик из инета приходит с адресом назначения интерфейса, а по идее должен с локальным иначе для чего все это нужно?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите подружить netflow и NAT"

Сообщение от ann (??) on 07-Июн-04, 13:44  (MSK)

>>>Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов?
>>>
>>>Циска 3640
>>>Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin
>>>Конфиг
>>>!
>>>interface Loopback0
>>> ip address x.x.x.115 255.255.255.255
>>> ip route-cache policy
>>> ip route-cache flow
>>
>>....
>>
>>Пакеты Netflow шлются только по тому трафику к которому применяется логика, т.е. будет высыласться статистика только по входящему трафику и никогда по исходящему. В твоем случае входящий интерфейс se3/1 исходящий - e0/X => все пойдет только с se3/1. Также исходящий трафик с локалки нельзя собирать с se3/1, только с e0/X.
>
>
>непонятно.. то что netflow учитывает только входящий трафик это я знаю.. для
>того и включен сбор на всех интерфейсах.. проблема в том, что
>
>трафик из локальной сети (который входящий на eth) приходит как лок адрес
>src - адрес в инете dest .. а для Serial-интерфейса dest-адресом
>всегда является сам serial-интерфейс т.е. весь трафик из инета приходит с
>адресом назначения интерфейса, а по идее должен с локальным иначе для
>чего все это нужно?
Кстати с Loopback-ов ничего не приходит

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите подружить netflow и NAT"

Сообщение от Vasili on 07-Июн-04, 13:53  (MSK)

>>>Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов?
>>>
>>>Циска 3640
>>>Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin
>>>Конфиг
>>>!
>>>interface Loopback0
>>> ip address x.x.x.115 255.255.255.255
>>> ip route-cache policy
>>> ip route-cache flow
>>
>>....
>>
>>Пакеты Netflow шлются только по тому трафику к которому применяется логика, т.е. будет высыласться статистика только по входящему трафику и никогда по исходящему. В твоем случае входящий интерфейс se3/1 исходящий - e0/X => все пойдет только с se3/1. Также исходящий трафик с локалки нельзя собирать с se3/1, только с e0/X.
>
>
>непонятно.. то что netflow учитывает только входящий трафик это я знаю.. для
>того и включен сбор на всех интерфейсах.. проблема в том, что
>
>трафик из локальной сети (который входящий на eth) приходит как лок адрес
>src - адрес в инете dest .. а для Serial-интерфейса dest-адресом
>всегда является сам serial-интерфейс т.е. весь трафик из инета приходит с
>адресом назначения интерфейса, а по идее должен с локальным иначе для
>чего все это нужно?
решение одно - выключить nat. Теоритически можно перестроить nat, побалововшись с loopback'ом. netflow теоритически должен слаться с loopback'а, а практически я этого не проверял.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите подружить netflow и NAT"
Сообщение от Vasili on 03-Июн-04, 17:55 (MSK)
>Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов? > >Циска 3640 >Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin >Конфиг >! >interface Loopback0 > ip address x.x.x.115 255.255.255.255 > ip route-cache policy > ip route-cache flow .... Пакеты Netflow шлются только по тому трафику к которому применяется логика, т.е. будет высыласться статистика только по входящему трафику и никогда по исходящему. В твоем случае входящий интерфейс se3/1 исходящий - e0/X => все пойдет только с se3/1. Также исходящий трафик с локалки нельзя собирать с se3/1, только с e0/X.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Помогите подружить netflow и NAT"
	Сообщение от ann (??) on 07-Июн-04, 13:40 (MSK)
	>>Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов? >> >>Циска 3640 >>Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin >>Конфиг >>! >>interface Loopback0 >> ip address x.x.x.115 255.255.255.255 >> ip route-cache policy >> ip route-cache flow > >.... > >Пакеты Netflow шлются только по тому трафику к которому применяется логика, т.е. будет высыласться статистика только по входящему трафику и никогда по исходящему. В твоем случае входящий интерфейс se3/1 исходящий - e0/X => все пойдет только с se3/1. Также исходящий трафик с локалки нельзя собирать с se3/1, только с e0/X. непонятно.. то что netflow учитывает только входящий трафик это я знаю.. для того и включен сбор на всех интерфейсах.. проблема в том, что трафик из локальной сети (который входящий на eth) приходит как лок адрес src - адрес в инете dest .. а для Serial-интерфейса dest-адресом всегда является сам serial-интерфейс т.е. весь трафик из инета приходит с адресом назначения интерфейса, а по идее должен с локальным иначе для чего все это нужно?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Помогите подружить netflow и NAT"
	Сообщение от ann (??) on 07-Июн-04, 13:44 (MSK)
	>>>Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов? >>> >>>Циска 3640 >>>Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin >>>Конфиг >>>! >>>interface Loopback0 >>> ip address x.x.x.115 255.255.255.255 >>> ip route-cache policy >>> ip route-cache flow >> >>.... >> >>Пакеты Netflow шлются только по тому трафику к которому применяется логика, т.е. будет высыласться статистика только по входящему трафику и никогда по исходящему. В твоем случае входящий интерфейс se3/1 исходящий - e0/X => все пойдет только с se3/1. Также исходящий трафик с локалки нельзя собирать с se3/1, только с e0/X. > > >непонятно.. то что netflow учитывает только входящий трафик это я знаю.. для >того и включен сбор на всех интерфейсах.. проблема в том, что > >трафик из локальной сети (который входящий на eth) приходит как лок адрес >src - адрес в инете dest .. а для Serial-интерфейса dest-адресом >всегда является сам serial-интерфейс т.е. весь трафик из инета приходит с >адресом назначения интерфейса, а по идее должен с локальным иначе для >чего все это нужно? Кстати с Loopback-ов ничего не приходит
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Помогите подружить netflow и NAT"
	Сообщение от Vasili on 07-Июн-04, 13:53 (MSK)
	>>>Со следующей конфигурацией весь входящий трафик ( инет -лок адрес) не расбрасывается по локальным адресам, а суммируется на внешний адрес, исходящий отображается нормально (лок адрес -> инет).. Как настроить корректную работу netflow если используется трансляция адресов? >>> >>>Циска 3640 >>>Версия IOS 12.2(19) имидж c3640-jk9o3s-mz.122-19.bin >>>Конфиг >>>! >>>interface Loopback0 >>> ip address x.x.x.115 255.255.255.255 >>> ip route-cache policy >>> ip route-cache flow >> >>.... >> >>Пакеты Netflow шлются только по тому трафику к которому применяется логика, т.е. будет высыласться статистика только по входящему трафику и никогда по исходящему. В твоем случае входящий интерфейс se3/1 исходящий - e0/X => все пойдет только с se3/1. Также исходящий трафик с локалки нельзя собирать с se3/1, только с e0/X. > > >непонятно.. то что netflow учитывает только входящий трафик это я знаю.. для >того и включен сбор на всех интерфейсах.. проблема в том, что > >трафик из локальной сети (который входящий на eth) приходит как лок адрес >src - адрес в инете dest .. а для Serial-интерфейса dest-адресом >всегда является сам serial-интерфейс т.е. весь трафик из инета приходит с >адресом назначения интерфейса, а по идее должен с локальным иначе для >чего все это нужно? решение одно - выключить nat. Теоритически можно перестроить nat, побалововшись с loopback'ом. netflow теоритически должен слаться с loopback'а, а практически я этого не проверял.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх