Cisco ASR 1001-X Netflow

[aspotkin]

Всем доброго дня!

Столкнулся с проблемой настройки Netflow

flow exporter xxx
 destination x.y.x.y
 export-protocol ipfix
 transport udp 9991
 exit
!
flow monitor xxx
 record netflow ipv4 original-input
 exporter xxx
!

interface GigabitEthernet0/0/0
 bandwidth 5000000
 no ip address
 ip flow monitor xxx input
 load-interval 30
 negotiation auto
 history BPS
 no lldp transmit
 no lldp receive
 service-policy output yyy
 

sh flow monitor xxx cache
  Cache type:                               Normal (Platform cache)
  Cache size:                               200000
  Current entries:                               0

  Flows added:                                   0
  Flows aged:                                    0

There are no cache entries to display.
 

Собственно, вопрос, почему трафик не попадает в netflow? Пробовал также вешать flow на интерфейс с ip-адресом, но это изменений не дает

Edited May 7, 2020 by aspotkin

[Diman_xxxx]

тема старая ) Удалось ?

Поделитесь конфигами по Netflow на ASR  1001x например

[nixx]

не думаю, что между 1002 и 1001 есть какая-то разница

это для 1002-X, всё работает с прошивками 16.09.хх без проблем

 

flow exporter NFe-Users
 destination 33.44.55.66 vrf Mgmt-intf-2
 transport udp 7777
!
flow monitor NFm-Users
 exporter NFe-Users
 cache timeout active 300
 record netflow-original
!
interface TenGigabitEthernet0/2/0.170
 description -= Subscribers side - White IPs =-
 encapsulation dot1Q 170
 vrf forwarding CLIENTS
 ip flow monitor NFm-Users input
 ip flow monitor NFm-Users output
 ip address 11.22.33.44 255.255.255.252
 ip policy route-map White-Clients
 service-policy type control ISG-CUSTOMERS-POLICY
 ip subscriber routed
  initiator unclassified ip-address ipv4

 

[Diman_xxxx]

Спасибо! Буду пробовать

[Chrst]

Тема уже старая, но, чтобы не плодить новых тем, подниму эту.

 

Имеется ASR1001-X под BRAS PPPoE. IOS asr1001x-universalk9.16.09.08.SPA.bin

 

При настройке Netflow вылезла проблема - не собирается flow cache.

Конфигурация типовая

flow exporter NTF5
 destination 10.X.X.100 vrf Vrf-Core
 source TenGigabitEthernet0/0/1.10
 transport udp 9996
 export-protocol netflow-v5

flow monitor NTF5
 exporter NTF5
 cache timeout inactive 1
 cache timeout active 2
 record netflow-original

interface TenGigabitEthernet0/0/0.500
 description ** PPPoE Clients Q-in-Q aggregation
 encapsulation dot1Q XXX second-dot1q YYY-ZZZ
 ip flow monitor NTF5 input
 ip flow monitor NTF5 output
 ip unnumbered Loopback0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip local-proxy-arp
 pppoe enable group global
 pppoe max-sessions 5000

interface TenGigabitEthernet0/0/1.10
 description ** Network Core Level Area
 encapsulation dot1Q 10
 vrf forwarding Vrf-Core
 ip address AAA.AAA.AAA.225 255.255.255.240
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf network broadcast
 ip ospf priority 0
 ip ospf mtu-ignore
 arp timeout 900

Но при этом flow не собирается

#show ip cache flow 
IP packet size distribution (0 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 0 bytes
  0 active, 0 inactive, 0 added
  0 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts

По профилям 

#show flow exporter 
Flow Exporter NTF5:
  Description:              User defined
  Export protocol:          NetFlow Version 5
  Transport Configuration:
    Destination IP address: 10.X.X.100
    VRF label:              Vrf-Core
    Source IP address:      AAA.AAA.AAA.225
    Source Interface:       TenGigabitEthernet0/0/1.10
    Transport Protocol:     UDP
    Destination Port:       9996
    Source Port:            49564
    DSCP:                   0x0
    TTL:                    255
    Output Features:        Used



#show flow monitor 
Flow Monitor NTF5:
  Description:       User defined
  Flow Record:       netflow-original
  Flow Exporter:     NTF5
  Cache:
    Type:                 normal (Platform cache)
    Status:               allocated
    Size:                 200000 entries
    Inactive Timeout:     1 secs
    Active Timeout:       2 secs
    Trans end aging:   off


#show flow interface 
Interface TenGigabitEthernet0/0/0.500
  FNF:  monitor:          NTF5
        direction:        Input
        traffic(ip):      on


#show flow monitor NTF5 statistics 
  Cache type:                               Normal (Platform cache)
  Cache size:                               200000
  Current entries:                               0

  Flows added:                                   0
  Flows aged:                                    0

Flow monitor навешивался и на физический интерфейс Ten0/0/0, и на Loopback0 (unnambered для Virtual-Template).

Пробовал откатывать на asr1001x-universalk9.16.06.03.SPA.bin

 

Вроде все как по учебнику, а cache пустой. Может чего не хватает?

[nixx]

вы на destination 10.X.X.100:9996 tcpdump повесьте и смотрите, что там льется (ли)

а show ip cache flow у меня тоже нули показывает при абсолютно рабочем сливе данных

прошивка как у вас

[Chrst]

tcpdump молчит.

Ping destination через Vrf-Core есть. С самого destination ping до asr есть. Flow нет.

Для полноты картины ASR#telnet 10.XXX.XXX.100 9996 /vrf Vrf-Core

# tcpdump -pnni any port 9996
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
15:15:56.627117 IP AAA.AAA.AAA.225.39938 > 10.XXX.XXX.100.22.9996: Flags [S], seq 1792168864, win 4128, options [mss 536], length 0
15:15:56.627127 IP 10.XXX.XXX.100.9996 > AAA.AAA.AAA.225.39938: Flags [R.], seq 0, ack 1792168865, win 0, length 0

 

[BOJIKA]

а зачем вам там netflow?

[Chrst]

Цитата

а зачем вам там netflow?

Не совсем понятен вопрос без контекста. ASR100-X в роли браса терминирует PPPoE. Netflow в биллинг и для СОРМа.

 

Теперь рубрика "Сам спросил, сам ответил".

При навешивании ip flow monitor на Te0/0/0.500 (PPPoE Subscribers QinQ) или на Loopback0 (ip unnambered для Virtual-Template) Flow в cache не попадает.

Навесить ip flow monitor на сам Virtual-Template не получается "% Flow Monitor: Failed to add monitor to interface: Virtual Interface Unsupported".

 

Через RADIUS передаем дополнительно параметры

lcp:interface-config=ip flow monitor XXX input

lcp:interface-config=ip flow monitor XXX output

При этом они навешиваются на Virtual-Access и flow начинает литься в коллектор.

При этом статистика flow monitor растет.

Вместе с чем ip cache flow пусто.

 

[Gray swordsman]

Ref : https://bst.cisco.com/bugsearch/bug/CSCsx24985

 Symptom:  Netflow on Broadband sessions of any type not supported on the ASR1000 platform. This includes: - virtual-template interfaces - ISG / layer 3 sessions - PPPoE / layer 2 sessions

Не оно ?

[BOJIKA]

Если для сорма

 

то вам нужен

ip nat log …

 

Ну а не показывается, так как команда для старого синтаксиса…

 

Ищите что-то типа

Sh ip flow mon XXX cache

 

[Gray swordsman]

стоп, вот так кеш есть ?

# sh flow monitor NTFS cache 

 

[Chrst]

Цитата

Если для сорма

 

то вам нужен

ip nat log …

NAT не пользуем.

Цитата

Ищите что-то типа

Sh ip flow mon XXX cache

 

стоп, вот так кеш есть ?

# sh flow monitor NTFS cache 

Да, после навешивания monitor на Virtual-Access через RADIUS, кэш заполняется по # sh flow monitor NTFS cache его видно, в коллектор сыпется, биллингом отчеты формируются.

 

Но следом возник риторический вопрос. На сколько этот вариант "безопасен" для ASR. В данном случае получается, что на каждый Vi навешивается монитор и при количестве сессий скажем так 2000-3000 это будет столько же мониторов. Прожует ли это ASR?

 

Остается открытым вопрос почему с обычного Ethernet интерфейса или Sub не льется Flow?

[BOJIKA]

Убрать назначение радиусом, включить на uplink’e на in и на out

[Chrst]

Цитата

Убрать назначение радиусом, включить на uplink’e на in и на out

Не до конца понятна логика работы кэша.

Т.е. имеем интерфейс Te0/0/0 - смотрит в сторону агрегации клиентов, на нем саб Te0/0/0.500 на котором висит QinQ.

Te0/0/1 смотрит в сторону ядра, саб Te0/0/1.10 это непосредственно линк до ядра и дальше.

При навешивании flow monitor на Te0/0/0, Te0/0/0.500, Te0/0/1 кзш пустой, flow соответственно не льется.

А вот при навешивании на Te0/0/1.10 все работает. Ну и если навешать на Virtual-Access flow тоже льется.

 

Наверняка логическое объяснение есть. Вероятно от того, что эти интерфейсы не работают на IP уровне (no ip address, ip unnambered).

[BOJIKA]

На ip интерфейсах.