nomadd Опубликовано 9 декабря, 2005 · Жалоба Привет. Есть кабельные модемы Arres cm-450 и станция головная к ним Cadant c-3, cisco AS5350 + catalyst 2950/ Задача - подать инет к пользователям. Вопрос - сможем ли мы вести полноценный учет входящего и исходящего клиентского трафика по NetFlow (и работать с плюшевыми IP)? для нас это важно, т.к. клиентов будет до 1000, а PPPoE по некоторым причинам не канает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 9 декабря, 2005 · Жалоба Привет.Есть кабельные модемы Arres cm-450 и станция головная к ним Cadant c-3, cisco AS5350 + catalyst 2950/ Задача - подать инет к пользователям. Вопрос - сможем ли мы вести полноценный учет входящего и исходящего клиентского трафика по NetFlow (и работать с плюшевыми IP)? для нас это важно, т.к. клиентов будет до 1000, а PPPoE по некоторым причинам не канает. С плюшевыми IP в эту схему лучше добавить еще один девайс, который будет натить. Или хотя бы долго и внимательно ковырять egress netflow. При совмещении ната и нетфлоу на одной железке возникают определенные проблемы.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 9 декабря, 2005 · Жалоба С плюшевыми IP в эту схему лучше добавить еще один девайс, который будет натить. Или хотя бы долго и внимательно ковырять egress netflow. При совмещении ната и нетфлоу на одной железке возникают определенные проблемы.. Да, точно. Netflow отдает пакет при входе на роутер, поэтому будут считаться публичные адреса. Как их потом соотнести их с внутренними? Может ip accounting спасет ситуацию, он считает на выходе, поэтому входящий к клиенту трафик вполне можно посчитать. А вот исходящий - см. netflow. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 9 декабря, 2005 · Жалоба Да, точно. Netflow отдает пакет при входе на роутер, поэтому будут считаться публичные адреса. Как их потом соотнести их с внутренними? Разворачивать на лупбэк, разначивать, считать.. Работает, но коряво + половина получается на process switching-е. Решение совсем некузявое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 9 декабря, 2005 · Жалоба Намного проще и дешевле поставить вторую сиску - и работать с натом как с реалом. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nomadd Опубликовано 9 декабря, 2005 · Жалоба А почему нельзя развернуть NAT на той же циске, что и NetFlow, какие могут быть проблемы? кто нибудь делал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 9 декабря, 2005 · Жалоба А почему нельзя развернуть NAT на той же циске, что и NetFlow, какие могут быть проблемы? кто нибудь делал? А вы ответы на первый вопрос читать не пробовали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nomadd Опубликовано 9 декабря, 2005 · Жалоба пробовал, но все равно не понятно КАКИЕ пробемы конкретно? можно с ними бороться или проблемы типа - ничего не работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 9 декабря, 2005 · Жалоба Обычный Netflow считает только траффик, входящий в интерфейс. Для подсчета всего траффика нужно включать его на всех интерфейсах, через которые может проходить траффик. При применеии ната с одной стороны (входящий в инсайд-интерфейс) получается траффик от серого адреса к белому, с другой (со стороны аутсайда) получается входящий от белого к адресу, в который были заначены все клиенты. Таким образом, разобрать, кто чего скачал при трасляции через PAT, не представляется возможным. Из-за этого приходится либо извращаться, заворачивая траффик на loopback (создавая дополнительный переход) при помощи роут-мапа, что плохо по причине низкой производительности и сложности конфигурации, либо юзать фичу egress netflow, которая появилась довольно недавно, либо ставить две отдельные железки - одна считает внутри (на серых адресах), другая натит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nomadd Опубликовано 9 декабря, 2005 · Жалоба ага, спасибо, а если у нас 2 циски 5350, одна под выделенки №1, а вторая, скажем, под VoIP+Dial-up №2, то как я понял на №2 поднимаем NAT, а №1 считает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 9 декабря, 2005 · Жалоба ага, спасибо, а если у нас 2 циски 5350, одна под выделенки №1, а вторая, скажем, под VoIP+Dial-up №2, то как я понял на №2 поднимаем NAT, а №1 считает? Можно и так, теоретически. Хотя это некрасиво - смешивать все функции на одном девайсе. ИМХО - купите 515-й пикс или 5510-ю ASA. И натить будет, и файрволлить.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...