[nomadd]

Привет.

Есть кабельные модемы Arres cm-450 и станция головная к ним Cadant c-3, cisco AS5350 + catalyst 2950/ Задача - подать инет к пользователям.

Вопрос - сможем ли мы вести полноценный учет входящего и исходящего клиентского трафика по NetFlow (и работать с плюшевыми IP)? для нас это важно, т.к. клиентов будет до 1000, а PPPoE по некоторым причинам не канает.

[Nailer]

Привет.

Есть кабельные модемы Arres cm-450 и станция головная к ним Cadant c-3, cisco AS5350 + catalyst 2950/ Задача - подать инет к пользователям.

Вопрос - сможем ли мы вести полноценный учет входящего и исходящего клиентского трафика по NetFlow (и работать с плюшевыми IP)? для нас это важно, т.к. клиентов будет до 1000, а PPPoE по некоторым причинам не канает.

 

С плюшевыми IP в эту схему лучше добавить еще один девайс, который будет натить.

 

Или хотя бы долго и внимательно ковырять egress netflow. При совмещении ната и нетфлоу на одной железке возникают определенные проблемы..

[SergeiK]

С плюшевыми IP в эту схему лучше добавить еще один девайс, который будет натить.

 

Или хотя бы долго и внимательно ковырять egress netflow. При совмещении ната и нетфлоу на одной железке возникают определенные проблемы..

 

Да, точно. Netflow отдает пакет при входе на роутер, поэтому будут считаться публичные адреса. Как их потом соотнести их с внутренними?

 

Может ip accounting спасет ситуацию, он считает на выходе, поэтому входящий к клиенту трафик вполне можно посчитать. А вот исходящий - см. netflow.

[Nailer]

Да, точно. Netflow отдает пакет при входе на роутер, поэтому будут считаться публичные адреса. Как их потом соотнести их с внутренними?

 

Разворачивать на лупбэк, разначивать, считать..

Работает, но коряво + половина получается на process switching-е.

Решение совсем некузявое.

[Nag]

Намного проще и дешевле поставить вторую сиску - и работать с натом как с реалом. ;-)

[nomadd]

А почему нельзя развернуть NAT на той же циске, что и NetFlow, какие могут быть проблемы? кто нибудь делал?

[Nailer]

А почему нельзя развернуть NAT на той же циске, что и NetFlow, какие могут быть проблемы? кто нибудь делал?

 

А вы ответы на первый вопрос читать не пробовали?

[nomadd]

пробовал, но все равно не понятно КАКИЕ пробемы конкретно? можно с ними бороться или проблемы типа - ничего не работает?

[Nailer]

Обычный Netflow считает только траффик, входящий в интерфейс. Для подсчета всего траффика нужно включать его на всех интерфейсах, через которые может проходить траффик.

 

При применеии ната с одной стороны (входящий в инсайд-интерфейс) получается траффик от серого адреса к белому, с другой (со стороны аутсайда) получается входящий от белого к адресу, в который были заначены все клиенты.

 

Таким образом, разобрать, кто чего скачал при трасляции через PAT, не представляется возможным.

 

Из-за этого приходится либо извращаться, заворачивая траффик на loopback (создавая дополнительный переход) при помощи роут-мапа, что плохо по причине низкой производительности и сложности конфигурации, либо юзать фичу egress netflow, которая появилась довольно недавно, либо ставить две отдельные железки - одна считает внутри (на серых адресах), другая натит.

[nomadd]

ага, спасибо,

а если у нас 2 циски 5350, одна под выделенки №1, а вторая, скажем, под VoIP+Dial-up №2, то как я понял на №2 поднимаем NAT, а №1 считает?

[Nailer]

ага, спасибо,  

а если у нас 2 циски 5350, одна под выделенки №1, а вторая, скажем, под VoIP+Dial-up №2, то как я понял на №2 поднимаем NAT, а №1 считает?

 

Можно и так, теоретически. Хотя это некрасиво - смешивать все функции на одном девайсе.

 

ИМХО - купите 515-й пикс или 5510-ю ASA. И натить будет, и файрволлить..