Jump to content

Кабельные модемы, циска и NetFlow

nomadd
 Share

Recommended Posts

nomadd

nomadd

Posted
Posted

Привет.

Есть кабельные модемы Arres cm-450 и станция головная к ним Cadant c-3, cisco AS5350 + catalyst 2950/ Задача - подать инет к пользователям.

Вопрос - сможем ли мы вести полноценный учет входящего и исходящего клиентского трафика по NetFlow (и работать с плюшевыми IP)? для нас это важно, т.к. клиентов будет до 1000, а PPPoE по некоторым причинам не канает.

Nailer

Nailer

Posted
Posted
Привет.

Есть кабельные модемы Arres cm-450 и станция головная к ним Cadant c-3, cisco AS5350 + catalyst 2950/ Задача - подать инет к пользователям.

Вопрос - сможем ли мы вести полноценный учет входящего и исходящего клиентского трафика по NetFlow (и работать с плюшевыми IP)? для нас это важно, т.к. клиентов будет до 1000, а PPPoE по некоторым причинам не канает.

 

С плюшевыми IP в эту схему лучше добавить еще один девайс, который будет натить.

 

Или хотя бы долго и внимательно ковырять egress netflow. При совмещении ната и нетфлоу на одной железке возникают определенные проблемы..

SergeiK

SergeiK

Posted
Posted
С плюшевыми IP в эту схему лучше добавить еще один девайс, который будет натить.

 

Или хотя бы долго и внимательно ковырять egress netflow. При совмещении ната и нетфлоу на одной железке возникают определенные проблемы..

 

Да, точно. Netflow отдает пакет при входе на роутер, поэтому будут считаться публичные адреса. Как их потом соотнести их с внутренними?

 

Может ip accounting спасет ситуацию, он считает на выходе, поэтому входящий к клиенту трафик вполне можно посчитать. А вот исходящий - см. netflow.

Nailer

Nailer

Posted
Posted
Да, точно. Netflow отдает пакет при входе на роутер, поэтому будут считаться публичные адреса. Как их потом соотнести их с внутренними?

 

Разворачивать на лупбэк, разначивать, считать..

Работает, но коряво + половина получается на process switching-е.

Решение совсем некузявое.

Nailer

Nailer

Posted
Posted
А почему нельзя развернуть NAT на той же циске, что и NetFlow, какие могут быть проблемы? кто нибудь делал?

 

А вы ответы на первый вопрос читать не пробовали?

nomadd

nomadd

Posted
  • Author
Posted

пробовал, но все равно не понятно КАКИЕ пробемы конкретно? можно с ними бороться или проблемы типа - ничего не работает?

Nailer

Nailer

Posted
Posted

Обычный Netflow считает только траффик, входящий в интерфейс. Для подсчета всего траффика нужно включать его на всех интерфейсах, через которые может проходить траффик.

 

При применеии ната с одной стороны (входящий в инсайд-интерфейс) получается траффик от серого адреса к белому, с другой (со стороны аутсайда) получается входящий от белого к адресу, в который были заначены все клиенты.

 

Таким образом, разобрать, кто чего скачал при трасляции через PAT, не представляется возможным.

 

Из-за этого приходится либо извращаться, заворачивая траффик на loopback (создавая дополнительный переход) при помощи роут-мапа, что плохо по причине низкой производительности и сложности конфигурации, либо юзать фичу egress netflow, которая появилась довольно недавно, либо ставить две отдельные железки - одна считает внутри (на серых адресах), другая натит.

nomadd

nomadd

Posted
  • Author
Posted

ага, спасибо,

а если у нас 2 циски 5350, одна под выделенки №1, а вторая, скажем, под VoIP+Dial-up №2, то как я понял на №2 поднимаем NAT, а №1 считает?

Nailer

Nailer

Posted
Posted
ага, спасибо,  

а если у нас 2 циски 5350, одна под выделенки №1, а вторая, скажем, под VoIP+Dial-up №2, то как я понял на №2 поднимаем NAT, а №1 считает?

 

Можно и так, теоретически. Хотя это некрасиво - смешивать все функции на одном девайсе.

 

ИМХО - купите 515-й пикс или 5510-ю ASA. И натить будет, и файрволлить..

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.