Алексей Андриянов Posted June 4, 2007 Posted June 4, 2007 (edited) Привет всем! Снимаю по Netflow трафик NAT-клиентов с Cisco 2811 известным способом с Loopback-интерфейсом. Мой Inside Global, например, 1.1.1.1. Штука в том, что для некоторых видов трафика (например, DNS UDP Response) "переворота" Inside Global в Inside Local не происходит - и по Netflow льется трафик от ns.xxxxxx.ru до моего 1.1.1.1, вместо 192.168.* Причем фактически-то NAT отрабатывает и клиент получает ответ - только в NetFlow внутреннего адреса клиента нет. Для трафика, flow которого нормально переворачивается, вижу следующую картину в кеше: (идет пинг от 192.168.1.5 до 64.233.187.99) # sh ip cache flow | incl 192.168.1.125 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Fa0/0.13 64.233.187.99 Null 192.168.1.5 01 0000 0000 13 Fa0/1.20 192.168.1.5 Fa0/0.13 64.233.187.99 01 0000 0800 13 А вот для DNS-трафика (ns-сервер 62.183.127.3) вижу такое: SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Fa0/0.13 62.183.127.3 Local 1.1.1.1 11 0035 080A 1 Fa0/1.20 192.168.1.5 Null 62.183.127.3 11 0807 0035 1 Вот вкратце конфиг циски: interface Loopback0 ip address 10.10.10.10 255.255.255.224 ip route-cache policy ip route-cache flow ! interface FastEthernet0/0 no ip address ip route-cache policy ip route-cache flow no ip mroute-cache no cdp enable no mop enabled ! interface FastEthernet0/0.13 encapsulation dot1Q 13 ip address 1.1.1.1 255.255.255.252 ip nat outside ip virtual-reassembly ip policy route-map MAP_NetUP no ip mroute-cache ! interface FastEthernet0/1 no ip address ip route-cache policy ip route-cache flow no ip mroute-cache no cdp enable no mop enabled ! interface FastEthernet0/1.20 encapsulation dot1Q 20 ip address 192.168.1.12 255.255.255.0 no ip redirects ip nat inside ip virtual-reassembly no ip mroute-cache no snmp trap link-status ! ip nat pool GoldenNAT 1.1.1.1 1.1.1.1 netmask 255.255.255.0 ip nat inside source list ACL_Golden_NAT pool GoldenNAT overload ! ip access-list extended ACL_Golden_NAT deny ip host 192.168.1.125 any permit ip 192.168.0.0 0.0.255.255 any ! route-map MAP_NetUP permit 10 description ---------- Retrasmit to calculate traffic for private addresses ---------- match ip address ACL_netflow_rev set interface Loopback0 ! end Буду благодарен за любую помощь. Сорри если не тот раздел, что-то не нашел более подходящего. Если есть - перенесите, плиз. Edited June 4, 2007 by Алексей Андриянов Вставить ник Quote
ingress Posted June 4, 2007 Posted June 4, 2007 может всё таки попробовать более новый способ ip flow ingress ip flow egress софт в 2800 давно это позволяет Вставить ник Quote
Алексей Андриянов Posted June 5, 2007 Author Posted June 5, 2007 Кстати, не могу еще понять, почему у меня DstIf Null. В доке написано, что этот пакет никуда не уйдет, зарубается на роутере и в netflow не попадает. Но у меня коллектор их получает нормально. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.