Jump to content
Калькуляторы

СОРМ, НАТ и IPv6

Коллеги, для сорма надо обеспечить выгрузку трансляций НАТ из циско. Кто как делает это?
И второй вопрос. А что надо, чтобы полностью перейти на IPv6 и забыть про нат как про страшный сон?

Share this post


Link to post
Share on other sites

18 минут назад, ayf сказал:

Коллеги, для сорма надо обеспечить выгрузку трансляций НАТ из циско. Кто как делает это?

Нет. Нужен трафик ДО NAT.

19 минут назад, ayf сказал:

И второй вопрос. А что надо, чтобы полностью перейти на IPv6 и забыть про нат как про страшный сон?

Другая вселенная нужна. В этой пока ресурсов на 6-ой версии - кот наплакал. Особенно в русскоязычном сегменте.

Share this post


Link to post
Share on other sites

31 минуту назад, snvoronkov сказал:

Нет. Нужен трафик ДО NAT.

 

Я сказал, что обеспечиваю зеркалирование всего трафика и до и после ната. То есть тупо с обоих интерфейсов ASR. Но почему-то требуют еще и выгрузку трансляций.

Share this post


Link to post
Share on other sites

Да. Так как трафик "до" и "после" сопоставить нельзя, сопоставления хранятся на маршрутизаторе.

Обычно костылят парсингом логов трансляции (настраивая debug или logging).

Мы вообще отказались от NAT, это снимает кучу вопросов и не только с СОРМ.

Share this post


Link to post
Share on other sites

1 минуту назад, alibek сказал:

Да. Так как трафик "до" и "после" сопоставить нельзя, сопоставления хранятся на маршрутизаторе.

Обычно костылят парсингом логов трансляции (настраивая debug или logging).

Мы вообще отказались от NAT, это снимает кучу вопросов и не только с СОРМ.

С удовольствием бы это сделал, если бы имел возможность поиметь тысяч 8 белых айпишников без финансового обременения:) А то массовое мероприятие проводить имея в запасе 500 адресов - не комильфо.

 

Share this post


Link to post
Share on other sites

Интересно, а назачем им до И после? Да еще и журнал натилки? Сопоставляют с логами серверов что-ли?

 

Отмаза: Нам проще. У нас натов нетути.

Share this post


Link to post
Share on other sites

5 минут назад, snvoronkov сказал:

Интересно, а назачем им до И после? Да еще и журнал натилки? Сопоставляют с логами серверов что-ли?

 

Отмаза: Нам проще. У нас натов нетути.

Я думаю, чтобы иметь возможность выцепить конкретного абонента за натом.  Но у нас уже был случай,когда запрашивали инфу. Только мероприятие временное. Сегодня там, допустим, проводится концерт, а завтра - там пустая автостоянка. И кого искать - непонятно. А у постоянных клиентов и так внешние адреса.

Share this post


Link to post
Share on other sites

В 17.10.2018 в 13:44, ayf сказал:

Коллеги, для сорма надо обеспечить выгрузку трансляций НАТ из циско. Кто как делает это?

ip nat log translations flow-export v9 udp destination xxx.xxx.xxx.xxx 8829 source TenGigabitEthernet0/1/0.2
ip nat log translations flow-export v9 vrf WIFI-free on
 

Share this post


Link to post
Share on other sites

22 минуты назад, UglyAdmin сказал:

ip nat log translations flow-export v9 udp destination xxx.xxx.xxx.xxx 8829 source TenGigabitEthernet0/1/0.2
ip nat log translations flow-export v9 vrf WIFI-free on
 

 Хм, а зачем сорму нетфлоу ? Зеркалируют трафик абонента до nat, у меня например так, но у меня простейший случай.

Share this post


Link to post
Share on other sites

1 час назад, YuryD сказал:

 Хм, а зачем сорму нетфлоу ? Зеркалируют трафик абонента до nat, у меня например так, но у меня простейший случай.

Нужны нат трансляции 

Share this post


Link to post
Share on other sites

14 часов назад, YuryD сказал:

 Хм, а зачем сорму нетфлоу ? Зеркалируют трафик абонента до nat, у меня например так, но у меня простейший случай.

Видимо для СОРМ-3 (в терминах МФИСофт).

Там, насколько помню, надо либо netflow v9 либо зеркало трафика до и после + лог трансляций.

Share this post


Link to post
Share on other sites

STUN (сокр. от англ. Session Traversal Utilities for NAT, Утилиты прохождения сессий для NAT, ранее англ. Simple Traversal of UDP through NATs, Простое прохождение UDP через серверы NAT) — это сетевой протокол, который позволяет клиенту, находящемуся за сервером трансляции адресов (или за несколькими такими серверами), определить свой внешний IP-адрес, способ трансляции адреса и порта во внешней сети, связанный с определённым внутренним номером порта. Эта информация используется для установления соединения UDP между двумя хостами в случае, если они оба находятся за маршрутизатором NAT. Протокол определён в рекомендации RFC 5389 (предыдущая версия — RFC 3489).

Share this post


Link to post
Share on other sites

у нас часть ната была на freebsd (ipfw) и часть на скате.

Отдавали через RSPAN после nat на фре и через ipfix со скат. Устраивало.

Сейчас перешли полностью на скат.

Share this post


Link to post
Share on other sites

В 23.10.2018 в 11:25, MrNv сказал:

у нас часть ната была на freebsd (ipfw) и часть на скате.

Отдавали через RSPAN после nat на фре и через ipfix со скат. Устраивало.

Сейчас перешли полностью на скат.

 Вас заставили это делать ? Чем аргументировали? Сочинской олимпиадой ? Можно лично, мне интересно просто.

Share this post


Link to post
Share on other sites

Коллеги, добрый день!

 

Как решили вопрос?

У нас тоже BRASS'ы собраны на FreeBSD + MPD5 + IPFW NAT

Требуют выгрузку NetFlow v9 c адресами до НАТ с адресами после НАТ. Но Brass'ыNetFlow выгружает только IPv4 Standard 256

а они требуют IPv4 with NAT Standard 260 - т.е. дополнительные поля.

Знаем что Cisco умеет это, а вот как быть с FreeBSD и IPFW NAT - не знаем, объемся месяц, ничего не получается.

Есть у кого мысли ?

 

Share this post


Link to post
Share on other sites

Спросите для начала в рассылке фряшной по сетям.

Вероятно придётся дописать нужное самостоятельно.

Share this post


Link to post
Share on other sites

Если ничего не получиться, выносите НАТ на что-то иное. 

Мы вынесли на Микротик, с него красиво все собирается, в итоге получаем что то типа такого:

Date first seen          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port     X-Src IP Addr:Port        X-Dst IP Addr:Port   Flags Tos  Packets    Bytes Flows
2019-12-14 22:54:36.150     4.780 TCP     87.240.185.165:443   ->    хх.ххх.ххх.54:50066   87.240.185.165:443   ->      10.4.10.108:50066 .A..S.   0       12     9747     1
2019-12-14 22:54:40.930     0.000 TCP        80.67.43.33:443   ->    хх.ххх.ххх.33:45832      80.67.43.33:443   ->        10.2.0.51:45832 .A....   0        1       52     1
2019-12-14 22:54:40.930     0.000 UDP        10.1.10.109:49001 ->  144.172.126.152:6881     хх.ххх.ххх.54:49001 ->  144.172.126.152:6881  ......   0        1      146     1
2019-12-14 22:54:40.940     0.000 UDP            8.8.8.8:53    ->    хх.ххх.ххх.54:3460           8.8.8.8:53    ->      10.0.10.124:3460  ......   0        1      107     1
2019-12-14 22:54:25.550    15.390 TCP         10.1.7.177:49156 ->      17.250.13.5:443      хх.ххх.ххх.61:49156 ->      17.250.13.5:443   ....S.   0      126   125132     1
2019-12-14 22:54:40.940     0.000 UDP      64.233.164.95:443   ->    хх.ххх.ххх.54:41417    64.233.164.95:443   ->       10.2.10.70:41417 ......   0        5     2502     1
2019-12-14 22:54:40.940     0.000 TCP         10.0.1.233:52046 ->    213.19.162.71:443      хх.ххх.ххх.34:52046 ->    213.19.162.71:443   .A....   0        1       41     1
 

Думаю этого должно хватить органам...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.