cold_mind Posted April 11, 2013 Posted April 11, 2013 Доброго дня, господа. Есть небольшой вопрос. Для Cisco ASR 1000 существует протоколирование NAT вместо syslog по netflow v9 ip nat log translations flow-export ... А кто нибудь может подсказать каким коллектором эти данные обработать? Вставить ник Quote
cold_mind Posted April 11, 2013 Author Posted April 11, 2013 nfdump Если покажите напримере буду премного благодарен. Так как, ставил nfdump, nfdump-nsel и flowd, ничего не получилось, соответствия какой внутренний через какой NAT адрес вышел во вне не было. Единственно на чем получилось, так это на Scrutinizer эти данные увидеть, но это под винду, мне нужно под никса, забыл в первом посте об этом указать. Вставить ник Quote
zhenya` Posted April 11, 2013 Posted April 11, 2013 выложите пример дампа попробую ;-) Вставить ник Quote
cold_mind Posted April 11, 2013 Author Posted April 11, 2013 выложите пример дампа попробую ;-) Ок, завтра выложу. Дамп от nfdump или nfdump-nsel ? Вставить ник Quote
avdoshkin Posted April 12, 2013 Posted April 12, 2013 выложите пример дампа попробую ;-) Ок, завтра выложу. Дамп от nfdump или nfdump-nsel ? nfdump нужно собрать с поддержкой --enable-nel Запуск: nfcapd -e -z -t 300 -w -l /home/flows/ -D -b 10.0.1.251 -p 9996 -T nel -x nat_set.py %d %f %u Формирует NAT кому выдавал в один файл: cat nat_set.py #!/usr/bin/env python # -*- coding: utf-8 -*- import sys,os import subprocess def main(): c = '/usr/local/bin/nfdump -r {0}{1} "nat event add" -o "fmt:%sa %nsa" -q'.format(sys.argv[1],sys.argv[2]) PIPE = subprocess.PIPE p = subprocess.Popen("{0}".format©, bufsize=4096, shell=True, stdout=PIPE, stdin=PIPE, stderr=PIPE, close_fds=True) res = [] for k in p.stdout.readlines(): res.append(k.rstrip()) f = open("/home/nat1/{0}.{1}".format(sys.argv[2],sys.argv[3]),"w") for b in sorted(set(res)): f.write("{0}\n".format(b)) try: os.remove('{0}{1}'.format(sys.argv[1],sys.argv[2])) except: pass main() Вставить ник Quote
cold_mind Posted April 12, 2013 Author Posted April 12, 2013 Спасибо. NAT адреса действительно появились. Правда я не силен в питоне. Кроме дампа у меня ничего более не формируется, но с парсингом я и другими методами разберусь. Вот только при чтении дампа я увидел что время некорректное а именно везде 1970-01-01 04:00:00.000 И еще маленькая проблема, после того как я на ASR сделал no ip nat log translations flow-export ... а потом снова его включил, поток не возобновился. Вставить ник Quote
avdoshkin Posted April 12, 2013 Posted April 12, 2013 Спасибо. NAT адреса действительно появились. Правда я не силен в питоне. Кроме дампа у меня ничего более не формируется, но с парсингом я и другими методами разберусь. Вот только при чтении дампа я увидел что время некорректное а именно везде 1970-01-01 04:00:00.000 И еще маленькая проблема, после того как я на ASR сделал no ip nat log translations flow-export ... а потом снова его включил, поток не возобновился. Покажи свои настройки NAT. Вставить ник Quote
cold_mind Posted April 12, 2013 Author Posted April 12, 2013 ip nat log translations flow-export v9 udp destination 172.31.2.6 8888 ip nat translation timeout 60 ip nat translation tcp-timeout 120 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 30 ip nat translation dns-timeout 5 ip nat translation port-timeout tcp 1600 10 ip nat translation port-timeout tcp 8080 10 ip nat translation port-timeout tcp 110 60 ip nat translation port-timeout tcp 25 60 ip nat translation port-timeout tcp 80 15 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 10000 ip nat pool nat x.x.x.x x.x.x.y netmask 255.255.255.0 type rotary ip nat inside source list 10 pool nat Вставить ник Quote
avdoshkin Posted April 12, 2013 Posted April 12, 2013 (edited) ip nat log translations flow-export v9 udp destination 172.31.2.6 8888 ip nat translation timeout 60 ip nat translation tcp-timeout 120 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 30 ip nat translation dns-timeout 5 ip nat translation port-timeout tcp 1600 10 ip nat translation port-timeout tcp 8080 10 ip nat translation port-timeout tcp 110 60 ip nat translation port-timeout tcp 25 60 ip nat translation port-timeout tcp 80 15 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 10000 ip nat pool nat x.x.x.x x.x.x.y netmask 255.255.255.0 type rotary ip nat inside source list 10 pool nat Еще версия IOS XE нужна. http://www.cisco.com/en/US/docs/ios-xml/ios/ipaddr_nat/configuration/xe-3s/asr1000/iadnat-cgn.html Используй CGN - это операторский NAT который позволяет экономить число сессий. Если все настройки выполнишь можно убрать и нужно команду: ip nat translation max-entries all-host 10000. Время на ASR в норме? Edited April 12, 2013 by avdoshkin Вставить ник Quote
cold_mind Posted April 12, 2013 Author Posted April 12, 2013 System image file is "bootflash:/asr1000rp2-advipservices.02.06.02.122-33.XNF2.bin" Время в норме, по ntp. Вставить ник Quote
littlevik Posted November 21, 2013 Posted November 21, 2013 NAT адреса действительно появились. А DST IP показывает? У меня dst addr = 0.0.0.0, хотя, если через syslog, то DST IP присутствует. Вставить ник Quote
zhenya` Posted August 5, 2014 Posted August 5, 2014 NAT адреса действительно появились. А DST IP показывает? У меня dst addr = 0.0.0.0, хотя, если через syslog, то DST IP присутствует. у вас точно CGN ? ip nat settings mode cgn no ip nat settings support mapping outside ? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.