Перейти к содержимому
Калькуляторы

NAT для СОРМ cisco ASR1001x

Добрый день, возникла проблема с передачей flow на коллектор СОРМ. Официальный ответ СОРМ:  на СОРМ одновременно зеркалируется трафик абонента до НАТ и этот же трафик после НАТ, например, клиент - 10.100.12.175/52096, сервер - 188.43.76.72/80 и одновременно клиент - 185.167.216.133/49458, сервер - 188.43.76.72/80.

В данный момент на ASR присутствует только: ip nat log translations flow-export v9 udp destination 10.40.0.2 9996 source TenGigabitEthernet0/0/0.98

По факту они хотят получать запись inside local и outside local возможно логировать конкретно эти записи?

Если кто-то сталкивался с похожей ситуацией и были какие-то решения, поделитесь пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нат переключите в классик режим тогда в нетфлоу будет все как надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@azel мы до Ната серые ip с коммутатора мирорим

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
16 minutes ago, zhenya` said:

Нат переключите в классик режим тогда в нетфлоу будет все как надо.

Все используется по классике за исключением ip nat settings pap, но в целом мы можем отказаться расширив пул белых адресов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужно убрать ip nat settings mode cgn. no ip nat settings support mapping outside

утиль пула такой же и останется. Bpa скорее всего сори ещё не умеет, поэтому придётся выключить если используете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 hours ago, zhenya` said:

Нужно убрать ip nat settings mode cgn. no ip nat settings support mapping outside

утиль пула такой же и останется. Bpa скорее всего сори ещё не умеет, поэтому придётся выключить если используете.

ip nat log translations flow-export v9 udp destination 10.40.0.2 9996 source TenGigabitEthernet0/0/0.98
ip nat translation timeout 300
ip nat translation tcp-timeout 120
ip nat translation pptp-timeout 1800
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 10
ip nat translation dns-timeout 10
ip nat translation icmp-timeout 10
ip nat translation port-timeout tcp 80 90
ip nat translation port-timeout tcp 8080 30
ip nat translation port-timeout tcp 1600 30
ip nat translation port-timeout tcp 110 30
ip nat translation port-timeout tcp 25 30
ip nat translation max-entries 500000
ip nat translation max-entries all-host 2048
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
 

все активные настройки не считая пулов, тем не менее исключение pap не принесло никаких изменений

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pap не нужно исключать. покажите пару записей из show ip nat translations ? 

 

ip nat settings mode cgn было включено? если да, там надо скорее всего ребут :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 hours ago, zhenya` said:

pap не нужно исключать. покажите пару записей из show ip nat translations ? 

 

ip nat settings mode cgn было включено? если да, там надо скорее всего ребут :)

Разобрались, спасибо. Меня дезинформировали во flow все хорошо, проблема на зеркале.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас