SkyCaster Posted December 22, 2010 · Report post Есть информация что I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now ------------------------------------------------ I can confirm that Netflow on BB sessions is not supported. Additionally, NAT on BB sessions is not supported. This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion Кто-нибудь использует такое сочетание? Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anix Posted December 22, 2010 · Report post Есть информация что I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now ------------------------------------------------ I can confirm that Netflow on BB sessions is not supported. Additionally, NAT on BB sessions is not supported. This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion Кто-нибудь использует такое сочетание? Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR? Подтверждаю, asr1002 (asr1000rp1-advipservicesk9.02.06.02.122-33.XNF2.bin), было NAT, Netflow и было все хорошо, начали переводить на ISG, периодически крешится (5-20 минут ребутов, потом оживает). IOS с исправление обещают после 25 марта 2011. Мы пока нат убрали, у нас его оставалось копейки. До выноса НАТа всплыл еще один баг, креш из-за слишком фрагментированного пакета :) рекомендуют ip virtual-reassembly убрать с интерфейсов на которых nat inside. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YaroslavR Posted December 22, 2010 (edited) · Report post Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9. Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню. Edited December 22, 2010 by YaroslavR Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Konstantin Klimchev Posted December 22, 2010 (edited) · Report post Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9. Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню. У меня, наверное, не правильный asr1002. Netflow v5 пишет, и мои скриптики их (эти фловы) успешно анализируют на предмет аномалий... ЗЫ. К чему я. Давайте не будем говорить за всех. Edited December 22, 2010 by Konstantin Klimchev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дегтярев Илья Posted December 23, 2010 · Report post А при наличии ISG L4 редирект является NATом? стоял у нас один, трафик ~200 адресов пропускал через ISG и сразу натил, без overload (остальным сразу реальные давались), ничего не упало за 3 месяца. Сейчас нат убрали, но L4 редирект вешается многим по статистике. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SkyCaster Posted December 23, 2010 · Report post Есть информация что I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now ------------------------------------------------ I can confirm that Netflow on BB sessions is not supported. Additionally, NAT on BB sessions is not supported. This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion Кто-нибудь использует такое сочетание? Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR? Подтверждаю, asr1002 (asr1000rp1-advipservicesk9.02.06.02.122-33.XNF2.bin), было NAT, Netflow и было все хорошо, начали переводить на ISG, периодически крешится (5-20 минут ребутов, потом оживает). IOS с исправление обещают после 25 марта 2011. Мы пока нат убрали, у нас его оставалось копейки. До выноса НАТа всплыл еще один баг, креш из-за слишком фрагментированного пакета :) рекомендуют ip virtual-reassembly убрать с интерфейсов на которых nat inside. A netflow с ISG пока осталось? Живет?У нас полгода нормально жило ISG с nat и netflow с неслабой такой загрузкой - потом крошится начало - причем жестоко, по часу могло ребутится :( А при наличии ISG L4 редирект является NATом? стоял у нас один, трафик ~200 адресов пропускал через ISG и сразу натил, без overload (остальным сразу реальные давались), ничего не упало за 3 месяца. Сейчас нат убрали, но L4 редирект вешается многим по статистике. Вообще по сути это конечно нат, но там речь идет про http трафик и скорее всего вот те злосчастные "пакеты смерти" (да-да, именно так :( ) - их у вас не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YaroslavR Posted December 23, 2010 (edited) · Report post Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9. Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню. У меня, наверное, не правильный asr1002. Netflow v5 пишет, и мои скриптики их (эти фловы) успешно анализируют на предмет аномалий... ЗЫ. К чему я. Давайте не будем говорить за всех. Я не утверждаю что Netflow v5 не работает ни при каких обстоятельствах. Я утверждаю что при определенных обстоятельствах Netflow v5 вызывает краши и рекомендация вендора - не использовать Netflow v5. Общение с разработчиками ASR1000 подтвердило что поддержку Netflow v5 они отбросили несколько релизов назад - т.е. они не тестируют работоспособность и стабильность Netflow v5. Настоятельно рекомендуется использовать именно v9 чтобы избежать неприятного сюрприза в какой-нибудь момент. Коллегам, испытывающим проблемы со стабильностью ASR1000 при включенном Netflow, настоятельно рекомендуется попробовать переключиться на v9. Это может помочь. Edited December 23, 2010 by YaroslavR Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dushes Posted March 11, 2014 · Report post год 2014, мы на гране войны ... текущая прошивка asr1000rp1-adventerprise.03.11.00.S.154-1.S-std.bin текущие настройки (на основании статьи Cisco ASR 1000 NetFlow configuration) asr-1002#show running-config flow exporter Current configuration: ! flow exporter NETFLOW-LB destination x.x.0.51 vrf Mgmt-intf source GigabitEthernet0 transport udp 16016 export-protocol netflow-v5 ! asr-1002#show running-config flow monitor Current configuration: ! flow monitor NETFLOW-MONITOR exporter NETFLOW-LB cache timeout active 60 record netflow-original ! но netflow на биллинг не сыпет, в чем может быть причина ? (в логах тишина) asr-1002#show flow exporter NETFLOW-LB statistics Flow Exporter NETFLOW-LB: Packet send statistics (last cleared 09:08:34 ago): Successfully sent: 0 (0 bytes) Reason not given: 11261346 (15440811168 bytes) Client send statistics: Client: Flow Monitor NETFLOW-MONITOR Records added: 321683566 - failed to send: 321683566 Bytes added: 2555909280 - failed to send: 2555909280 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted March 11, 2014 (edited) · Report post destination x.x.0.51 vrf Mgmt-intf source GigabitEthernet0 нельзя так делать. нужно лить с порта который обслуживается ESP, а РП. "Netflow collection and export happens directly on the ESP and does not require the RP to function. The ESP has no way to interact with the Gig0 interface directly since the management interface is part of the RP." Edited March 11, 2014 by zhenya` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dushes Posted March 11, 2014 · Report post zhenya` да действительно помогло, спасибо большое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...