TRIada Опубликовано 26 августа, 2019 · Жалоба Здравствуйте, не могу прикрутить команду ip flow monitor netflow input в virtual-template ASR1001-x, пишет: % Flow Monitor: Failed to add monitor to interface: Virtual Interface Unsupported Как еще можно здесь снять информацию по нетфлоу, если я не могу прикрутить netflow на входящем интерфейсе pppoe клиента? Я вот пытаюсь сделать через vrf, но если его запускать через bgp leaking у него ведь нет привязки к конкретному интерфейсу, где можно повесить flow monitor? Мне кажется, если сделать физическую петлю между портами в маршрутизаторе разделив на разные vrf, то я мог бы сделать стык, где смогу повесить flow monitor, а в vrf EXT уже настраивать nat inside и прочее, я смогу так сделать? пока повесил 2 айпишника на вланы, пытаюсь их пингануть, не получается. ASR#sh run int ten0/0/0.102 Building configuration... ! interface TenGigabitEthernet0/0/0.102 encapsulation dot1Q 102 ip vrf forwarding INT ip address 172.18.19.2 255.255.255.0 pppoe enable group BBA_PPPOE_PROFILE end ASR#sh run int g0/0/5 Building configuration... ! interface GigabitEthernet0/0/5 ip vrf forwarding EXT ip address dhcp ip nat outside negotiation auto end ASR#show ip route vrf INT Gateway of last resort is 10.0.0.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 10.0.0.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.0.0.0/24 is directly connected, Port-channel1 L 10.0.0.2/32 is directly connected, Port-channel1 172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.18.19.0/24 is directly connected, TenGigabitEthernet0/0/0.102 L 172.18.19.2/32 is directly connected, TenGigabitEthernet0/0/0.102 ASR#show ip route vrf EXT Gateway of last resort is 192.168.99.1 to network 0.0.0.0 S* 0.0.0.0/0 [254/0] via 192.168.99.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.0.0.0/24 is directly connected, Port-channel2 L 10.0.0.1/32 is directly connected, Port-channel2 172.18.0.0/24 is subnetted, 1 subnets S 172.18.19.0 [1/0] via 10.0.0.2 192.168.99.0/24 is variably subnetted, 3 subnets, 2 masks C 192.168.99.0/24 is directly connected, GigabitEthernet0/0/5 S 192.168.99.1/32 [254/0] via 192.168.99.1, GigabitEthernet0/0/5 L 192.168.99.245/32 is directly connected, GigabitEthernet0/0/5 ASR#sh run int po1 Building configuration... Current configuration : 171 bytes ! interface Port-channel1 ip vrf forwarding INT ip flow monitor netflow input ip flow monitor netflow output ip address 10.0.0.2 255.255.255.0 no negotiation auto end ASR#sh run int po2 Building configuration... Current configuration : 146 bytes ! interface Port-channel2 description vrf EXT ip vrf forwarding EXT ip address 10.0.0.1 255.255.255.0 ip nat inside no negotiation auto end ASR#ping vrf INT 10.0.0.2 source po1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds: Packet sent with a source address of 10.0.0.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASR#ping vrf EXT 10.0.0.1 source po2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds: Packet sent with a source address of 10.0.0.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASR#ping vrf INT 192.168.99.245 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.99.245, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASR#ping vrf INT 192.168.99.245 source ten0/0/0.102 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.99.245, timeout is 2 seconds: Packet sent with a source address of 172.18.19.2 ..... Success rate is 0 percent (0/5) ASR#ping vrf EXT 172.18.19.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.18.19.2, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) ASR#ping vrf EXT 172.18.19.2 source gi0/0/5 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.18.19.2, timeout is 2 seconds: Packet sent with a source address of 192.168.99.245 ..... Success rate is 0 percent (0/5) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 26 августа, 2019 · Жалоба А почему не подходит вариант повешать на физический интерфейс или влан? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TRIada Опубликовано 26 августа, 2019 · Жалоба 43 минуты назад, pingz сказал: А почему не подходит вариант повешать на физический интерфейс или влан? А где? Я вешал на исходящем, но там в нетфлоу тогда нету серых адресов, а входящий только virtual-template для pppoe. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 августа, 2019 · Жалоба @TRIada Клиент из квантовой вселенной попадает сразу на виртуальный интерфейс? Входной порт для клиентов все равно физический почему бы с него не снять? З.Ы. с цыской не дружу, но на джуме можно флоу по вешать на сам сервис ната. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 27 августа, 2019 · Жалоба Это боль, сам страдаю. На НАТе есть экспорт _трансляций_, который нужно потом анализатором женить с данными нетфлоу _после_ трансляций, что конечно же адская попаболь. Особенно когда используется CGN. 1 hour ago, pingz said: @TRIada Клиент из квантовой вселенной попадает сразу на виртуальный интерфейс? Входной порт для клиентов все равно физический почему бы с него не снять? З.Ы. с цыской не дружу, но на джуме можно флоу по вешать на сам сервис ната. Там же pppoe или еще какой ppp. С него нетфлоу не снимешь. 12 hours ago, TRIada said: в vrf EXT уже настраивать nat inside и прочее NAT в VRF имеет несколько ограничений, не используйте его, если не хотите поток жалоб. В лучших традициях микротов, лучше BRAS отдельно, а NAT отдельно, если позволяют финансы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TRIada Опубликовано 27 августа, 2019 · Жалоба перегрузил аср и роуты все заработали O_O wtf , переделал vrf оставил только 1 для внешки и global vrf, все интерфейсы между vrf EXT и global пингуют друг друга но появилась другая проблема, не работает нат для virtual-access интерфейсов ASR#show ip nat trans Pro Inside global Inside local Outside local Outside global udp 192.168.99.245:5062 172.18.19.2:59431 --- --- udp 192.168.99.245:5065 172.18.19.2:61485 --- --- icmp 192.168.99.245:12 172.16.1.15:12 --- --- udp 192.168.99.245:5063 172.18.19.2:58243 --- --- udp 192.168.99.245:5064 172.18.19.2:55202 --- --- udp 192.168.99.245:5067 172.18.19.2:58040 --- --- Total number of translations: 6 ASR#show ip nat trans Pro Inside global Inside local Outside local Outside global udp 192.168.99.245:5068 172.18.19.2:61712 --- --- udp 192.168.99.245:5066 172.18.19.2:61956 --- --- udp 192.168.99.245:5062 172.18.19.2:59431 --- --- udp 192.168.99.245:5065 172.18.19.2:61485 --- --- udp 192.168.99.245:5063 172.18.19.2:58243 --- --- udp 192.168.99.245:5064 172.18.19.2:55202 --- --- icmp 192.168.99.245:1 172.18.19.2:1 --- --- udp 192.168.99.245:5067 172.18.19.2:58040 --- --- Total number of translations: 8 в таблице ната появляются, но не работают, хотя если с локального интерфейса global vrf делать пинг, то внешка пингуется. Через pppoe видно исходящий интерфейс gig0/0/5(vrf EXT), но внешка не пингуется, появляются записи в нат таблице. 31 минуту назад, ShyLion сказал: NAT в VRF имеет несколько ограничений, не используйте его, если не хотите поток жалоб. какие? у меня вообще не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 27 августа, 2019 · Жалоба 8 minutes ago, TRIada said: какие? у меня вообще не работает. С IPSec и PPTP есть проблемы. А, ну и в vfr у меня не ppp, а просто сабинтерфейс. version 15.4 ! vrf definition CPE_2013 rd 1:2013 route-target export 1:2013 route-target import 1:2013 ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! ip dhcp excluded-address vrf CPE_2013 100.100.13.100 100.100.13.255 ! ip dhcp pool CPE_2013 vrf CPE_2013 network 100.100.13.0 255.255.255.0 default-router 100.100.13.1 dns-server 185.x.y.10 185.x.y.14 lease 14 ! interface TenGigabitEthernet0/1/0.2002013 description CPE_2013 encapsulation dot1Q 200 second-dot1q 2013 vrf forwarding CPE_2013 ip address 100.100.13.1 255.255.255.0 ip nat inside no lldp transmit no lldp receive ! ip nat pool CPE_2013 185.x.y.113 185.x.y.113 prefix-length 24 ip nat inside source list nat_CPE_2013 pool CPE_2013 vrf CPE_2013 overload ip route vrf CPE_2013 0.0.0.0 0.0.0.0 185.x.y.2 global name CPE_2013 ! ip access-list extended nat_CPE_2013 deny ip any 100.64.0.0 0.63.255.255 deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 deny ip any 169.254.0.0 0.0.255.255 permit tcp 100.100.13.0 0.0.0.255 any permit udp 100.100.13.0 0.0.0.255 any permit icmp 100.100.13.0 0.0.0.255 any permit esp 100.100.13.0 0.0.0.255 any ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 27 августа, 2019 · Жалоба Флоу монитор можно через радиус назначить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 27 августа, 2019 · Жалоба 6 minutes ago, zhenya` said: Флоу монитор можно через радиус назначить. Коллега, научите, плиз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 августа, 2019 · Жалоба 1 час назад, ShyLion сказал: Это боль, сам страдаю. На НАТе есть экспорт _трансляций_, который нужно потом анализатором женить с данными нетфлоу _после_ трансляций, что конечно же адская попаболь. Особенно когда используется CGN. Там же pppoe или еще какой ppp. С него нетфлоу не снимешь. NAT в VRF имеет несколько ограничений, не используйте его, если не хотите поток жалоб. В лучших традициях микротов, лучше BRAS отдельно, а NAT отдельно, если позволяют финансы. Ни в коем случае не спорю с вами. А можете поделиться какие ограничения при НАТе в ВРФ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 27 августа, 2019 · Жалоба 16 minutes ago, zhenya` said: Флоу монитор можно через радиус назначить. lcp:interface-config= так? 1 minute ago, VolanD666 said: Ни в коем случае не спорю с вами. А можете поделиться какие ограничения при НАТе в ВРФ? Я сделал такое только для себя лично, дома, типа vCPE на бордере, для тестирования и столкнулся с тем, что через такой НАТ (конфиг выше), не работает виндовый IPsec/L2TP и PPTP. Врядли абоненты будут от такого в восторге. Вполне вероятно, что в другой версии IOS это пофиксили, но мне не на чем тренироваться, на продакшене лучше не трогать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TRIada Опубликовано 27 августа, 2019 · Жалоба хаха, лол, нат не работал из-за того, что в port-channel один из портов не был настроен :)) может и другие траблы с этим были связаны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 27 августа, 2019 · Жалоба 6 часов назад, ShyLion сказал: lcp:interface-config= так? Я сделал такое только для себя лично, дома, типа vCPE на бордере, для тестирования и столкнулся с тем, что через такой НАТ (конфиг выше), не работает виндовый IPsec/L2TP и PPTP. Врядли абоненты будут от такого в восторге. Вполне вероятно, что в другой версии IOS это пофиксили, но мне не на чем тренироваться, на продакшене лучше не трогать. именно так. Cisco-AVPair += "lcp:interface-config=ip flow monitor 123 input" Cisco-AVPair += "lcp:interface-config=ip flow monitor 123 output" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexgreat Опубликовано 28 августа, 2019 · Жалоба Время дипломов вроде как звкончилось...... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 28 августа, 2019 · Жалоба 15 hours ago, zhenya` said: именно так. Cisco-AVPair += "lcp:interface-config=ip flow monitor 123 input" Cisco-AVPair += "lcp:interface-config=ip flow monitor 123 output" Спасибо, попробую 2 hours ago, alexgreat said: Время дипломов вроде как звкончилось...... Это не важно, в результате дискуссии другие люди тоже узнали что-то полезное. Ради этого форум и существует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...