[jenyar1]

Здравствуйте коллеги!

Столкнулся с проблемой при реализации netflow vers.5

Оборудование на котором его реализую cisco 871

Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(15)T6, RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2008 by Cisco Systems, Inc.

Compiled Mon 07-Jul-08 20:49 by prod_rel_team

 

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

 

***.comstar uptime is 4 weeks, 6 days, 5 hours, 53 minutes

System returned to ROM by reload

System image file is "flash:c870-advipservicesk9-mz.124-15.T6.bin"

 

В роли коллектора выступает машина с flow-tools.

 

Схема подключения такова 871 -ипсек-internet -ипсек- 2801 -коллектор

 

Мне подсказали, что проблема связана с тем, что при исходящем трафике с сети за 871 пакеты через wan интерфейс FE4 идут по роутингу, а при входящем трафике, 871-ая считает несколько пакетов, а потом начинает их "коммутировать" т.о. они не попадают в статистику flow.

Пытался побороть это созданием loopback-интерфейса и перенаправлением всего входящего трафика с FE4 на лупбэк и уже с него снимать статистику по Netflow, но в таком варианте...не могу зарулить трафик на него...подскажите, где я косячу...?

 

 

вот так выглядит условный конфиг 871...настройка на FE0/0(WAN) сделана для того, чтобы эмулировать поведение 871

 

Building configuration...

Current configuration : 1186 bytes
!
version 12.4

!
hostname One
!

ip cef
!
!

!
ip dhcp pool user
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   lease infinite
!
!
!
!
!
!
interface Loopback1
ip address 192.168.10.1 255.255.255.0
ip flow ingress
ip route-cache policy
!
interface FastEthernet0/0                     (АПЛИНК)
ip address 195.0.0.1 255.255.255.0
ip flow egress
ip policy route-map map
duplex half
!
interface FastEthernet1/0                       (ЗА 871)
ip address 192.168.1.1 255.255.255.0
duplex half
!
ip local policy route-map map
ip route 0.0.0.0 0.0.0.0 195.0.0.100
no ip http server
no ip http secure-server
!
ip flow-top-talkers
top 10
sort-by bytes
!
!
logging alarm informational
access-list 100 permit ip any host 192.168.1.2
!
!
!
route-map map permit 10
match ip address 100
set interface Loopback1
!

вот кусок дебага

 

May  7 11:04:10.331: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, policy match
*May  7 11:04:10.335: IP: route map map, item 10, permit
*May  7 11:04:10.335: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2 (FastEthernet1/0), len 84, policy rejected -- normal forwarding
*May  7 11:04:10.619: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, FIB policy match
*May  7 11:04:10.623: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, policy match
*May  7 11:04:10.623: IP: route map map, item 10, permit
*May  7 11:04:10.623: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2 (FastEthernet1/0), len 84, policy rejected -- normal forwarding
*May  7 11:04:10.883: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, FIB policy match
*May  7 11:04:10.883: IP: s=172.16.0.2 (FastEthernet0/0), d=192.168.1.2, len 84, policy match

 

при добавлении в set int Loopback1 FE1/0

дебаг роут-мапа показывает, что политика отрабатывается, но всё-рано форвардит на интерфейс локальной сети, а не loopback...

 

спасибо