Перейти к содержимому
Калькуляторы

jenyar1

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    1

  • Зарегистрирован

  • Посещение

О jenyar1

  • Звание
    Абитуриент
    Абитуриент

Контакты

  • ICQ
    Array

  1. Netflow не правильно считает входящий трафик

    тему добавил jenyar1 в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

    Здравствуйте коллеги! Столкнулся с проблемой при реализации netflow vers.5 Оборудование на котором его реализую cisco 871 Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(15)T6, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2008 by Cisco Systems, Inc. Compiled Mon 07-Jul-08 20:49 by prod_rel_team ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE ***.comstar uptime is 4 weeks, 6 days, 5 hours, 53 minutes System returned to ROM by reload System image file is "flash:c870-advipservicesk9-mz.124-15.T6.bin" В роли коллектора выступает машина с flow-tools. Схема подключения такова 871 -ипсек-internet -ипсек- 2801 -коллектор Мне подсказали, что проблема связана с тем, что при исходящем трафике с сети за 871 пакеты через wan интерфейс FE4 идут по роутингу, а при входящем трафике, 871-ая считает несколько пакетов, а потом начинает их "коммутировать" т.о. они не попадают в статистику flow. Пытался побороть это созданием loopback-интерфейса и перенаправлением всего входящего трафика с FE4 на лупбэк и уже с него снимать статистику по Netflow, но в таком варианте...не могу зарулить трафик на него...подскажите, где я косячу...? вот так выглядит условный конфиг 871...настройка на FE0/0(WAN) сделана для того, чтобы эмулировать поведение 871 Building configuration... Current configuration : 1186 bytes ! version 12.4 ! hostname One ! ip cef ! ! ! ip dhcp pool user network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 lease infinite ! ! ! ! ! ! interface Loopback1 ip address 192.168.10.1 255.255.255.0 ip flow ingress ip route-cache policy ! interface FastEthernet0/0 (АПЛИНК) ip address 195.0.0.1 255.255.255.0 ip flow egress ip policy route-map map duplex half ! interface FastEthernet1/0 (ЗА 871) ip address 192.168.1.1 255.255.255.0 duplex half ! ip local policy route-map map ip route 0.0.0.0 0.0.0.0 195.0.0.100 no ip http server no ip http secure-server ! ip flow-top-talkers top 10 sort-by bytes ! ! logging alarm informational access-list 100 permit ip any host 192.168.1.2 ! ! ! route-map map permit 10 match ip address 100 set interface Loopback1 ! вот кусок дебага May 7 11:04:10.331: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, policy match *May 7 11:04:10.335: IP: route map map, item 10, permit *May 7 11:04:10.335: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2 (FastEthernet1/0), len 84, policy rejected -- normal forwarding *May 7 11:04:10.619: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, FIB policy match *May 7 11:04:10.623: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, policy match *May 7 11:04:10.623: IP: route map map, item 10, permit *May 7 11:04:10.623: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2 (FastEthernet1/0), len 84, policy rejected -- normal forwarding *May 7 11:04:10.883: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, FIB policy match *May 7 11:04:10.883: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, policy match при добавлении в set int Loopback1 FE1/0 дебаг роут-мапа показывает, что политика отрабатывается, но всё-рано форвардит на интерфейс локальной сети, а не loopback... спасибо