Jump to content
Калькуляторы

NAT для СОРМ cisco ASR1001x

Добрый день, возникла проблема с передачей flow на коллектор СОРМ. Официальный ответ СОРМ:  на СОРМ одновременно зеркалируется трафик абонента до НАТ и этот же трафик после НАТ, например, клиент - 10.100.12.175/52096, сервер - 188.43.76.72/80 и одновременно клиент - 185.167.216.133/49458, сервер - 188.43.76.72/80.

В данный момент на ASR присутствует только: ip nat log translations flow-export v9 udp destination 10.40.0.2 9996 source TenGigabitEthernet0/0/0.98

По факту они хотят получать запись inside local и outside local возможно логировать конкретно эти записи?

Если кто-то сталкивался с похожей ситуацией и были какие-то решения, поделитесь пожалуйста.

Share this post


Link to post
Share on other sites

Нат переключите в классик режим тогда в нетфлоу будет все как надо.

Share this post


Link to post
Share on other sites
16 minutes ago, zhenya` said:

Нат переключите в классик режим тогда в нетфлоу будет все как надо.

Все используется по классике за исключением ip nat settings pap, но в целом мы можем отказаться расширив пул белых адресов.

Share this post


Link to post
Share on other sites

Нужно убрать ip nat settings mode cgn. no ip nat settings support mapping outside

утиль пула такой же и останется. Bpa скорее всего сори ещё не умеет, поэтому придётся выключить если используете.

Share this post


Link to post
Share on other sites
5 hours ago, zhenya` said:

Нужно убрать ip nat settings mode cgn. no ip nat settings support mapping outside

утиль пула такой же и останется. Bpa скорее всего сори ещё не умеет, поэтому придётся выключить если используете.

ip nat log translations flow-export v9 udp destination 10.40.0.2 9996 source TenGigabitEthernet0/0/0.98
ip nat translation timeout 300
ip nat translation tcp-timeout 120
ip nat translation pptp-timeout 1800
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 10
ip nat translation dns-timeout 10
ip nat translation icmp-timeout 10
ip nat translation port-timeout tcp 80 90
ip nat translation port-timeout tcp 8080 30
ip nat translation port-timeout tcp 1600 30
ip nat translation port-timeout tcp 110 30
ip nat translation port-timeout tcp 25 30
ip nat translation max-entries 500000
ip nat translation max-entries all-host 2048
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
 

все активные настройки не считая пулов, тем не менее исключение pap не принесло никаких изменений

 

Share this post


Link to post
Share on other sites

pap не нужно исключать. покажите пару записей из show ip nat translations ? 

 

ip nat settings mode cgn было включено? если да, там надо скорее всего ребут :)

Share this post


Link to post
Share on other sites
2 hours ago, zhenya` said:

pap не нужно исключать. покажите пару записей из show ip nat translations ? 

 

ip nat settings mode cgn было включено? если да, там надо скорее всего ребут :)

Разобрались, спасибо. Меня дезинформировали во flow все хорошо, проблема на зеркале.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this