[cold_mind]

Доброго дня, господа.

Есть небольшой вопрос.

Для Cisco ASR 1000 существует протоколирование NAT вместо syslog по netflow v9

ip nat log translations flow-export ...

 

А кто нибудь может подсказать каким коллектором эти данные обработать?

[zhenya`]

nfdump

[cold_mind]

nfdump

Если покажите напримере буду премного благодарен.

Так как, ставил nfdump, nfdump-nsel и flowd, ничего не получилось, соответствия какой внутренний через какой NAT адрес вышел во вне не было.

Единственно на чем получилось, так это на Scrutinizer эти данные увидеть, но это под винду, мне нужно под никса, забыл в первом посте об этом указать.

[zhenya`]

выложите пример дампа попробую ;-)

[cold_mind]

выложите пример дампа попробую ;-)

 

Ок, завтра выложу.

Дамп от nfdump или nfdump-nsel ?

[avdoshkin]

выложите пример дампа попробую ;-)

 

Ок, завтра выложу.

Дамп от nfdump или nfdump-nsel ?

 

nfdump нужно собрать с поддержкой --enable-nel

Запуск:

nfcapd -e -z -t 300 -w -l /home/flows/ -D -b 10.0.1.251 -p 9996 -T nel -x nat_set.py %d %f %u

 

Формирует NAT кому выдавал в один файл:

cat nat_set.py

#!/usr/bin/env python

# -*- coding: utf-8 -*-

 

 

import sys,os

import subprocess

 

 

def main():

c = '/usr/local/bin/nfdump -r {0}{1} "nat event add" -o "fmt:%sa %nsa" -q'.format(sys.argv[1],sys.argv[2])

PIPE = subprocess.PIPE

p = subprocess.Popen("{0}".format©, bufsize=4096, shell=True, stdout=PIPE, stdin=PIPE, stderr=PIPE, close_fds=True)

 

res = []

for k in p.stdout.readlines():

res.append(k.rstrip())

 

f = open("/home/nat1/{0}.{1}".format(sys.argv[2],sys.argv[3]),"w")

for b in sorted(set(res)):

f.write("{0}\n".format(b))

 

try:

os.remove('{0}{1}'.format(sys.argv[1],sys.argv[2]))

except:

pass

main()

[cold_mind]

Спасибо.

NAT адреса действительно появились.

Правда я не силен в питоне. Кроме дампа у меня ничего более не формируется, но с парсингом я и другими методами разберусь.

Вот только при чтении дампа я увидел что время некорректное а именно везде 1970-01-01 04:00:00.000

И еще маленькая проблема, после того как я на ASR сделал no ip nat log translations flow-export ... а потом снова его включил, поток не возобновился.

[avdoshkin]

Спасибо.

NAT адреса действительно появились.

Правда я не силен в питоне. Кроме дампа у меня ничего более не формируется, но с парсингом я и другими методами разберусь.

Вот только при чтении дампа я увидел что время некорректное а именно везде 1970-01-01 04:00:00.000

И еще маленькая проблема, после того как я на ASR сделал no ip nat log translations flow-export ... а потом снова его включил, поток не возобновился.

 

Покажи свои настройки NAT.

[cold_mind]

ip nat log translations flow-export v9 udp destination 172.31.2.6 8888

ip nat translation timeout 60

ip nat translation tcp-timeout 120

ip nat translation pptp-timeout 1800

ip nat translation udp-timeout 30

ip nat translation dns-timeout 5

ip nat translation port-timeout tcp 1600 10

ip nat translation port-timeout tcp 8080 10

ip nat translation port-timeout tcp 110 60

ip nat translation port-timeout tcp 25 60

ip nat translation port-timeout tcp 80 15

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 10000

ip nat pool nat x.x.x.x x.x.x.y netmask 255.255.255.0 type rotary

ip nat inside source list 10 pool nat

[avdoshkin]

ip nat log translations flow-export v9 udp destination 172.31.2.6 8888

ip nat translation timeout 60

ip nat translation tcp-timeout 120

ip nat translation pptp-timeout 1800

ip nat translation udp-timeout 30

ip nat translation dns-timeout 5

ip nat translation port-timeout tcp 1600 10

ip nat translation port-timeout tcp 8080 10

ip nat translation port-timeout tcp 110 60

ip nat translation port-timeout tcp 25 60

ip nat translation port-timeout tcp 80 15

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 10000

ip nat pool nat x.x.x.x x.x.x.y netmask 255.255.255.0 type rotary

ip nat inside source list 10 pool nat

 

Еще версия IOS XE нужна.

http://www.cisco.com/en/US/docs/ios-xml/ios/ipaddr_nat/configuration/xe-3s/asr1000/iadnat-cgn.html

Используй CGN - это операторский NAT который позволяет экономить число сессий.

 

Если все настройки выполнишь можно убрать и нужно команду:

ip nat translation max-entries all-host 10000.

 

Время на ASR в норме?

Изменено 12 апреля, 2013 пользователем avdoshkin

[cold_mind]

System image file is "bootflash:/asr1000rp2-advipservices.02.06.02.122-33.XNF2.bin"

 

Время в норме, по ntp.

[littlevik]

NAT адреса действительно появились.

А DST IP показывает?

У меня dst addr = 0.0.0.0, хотя, если через syslog, то DST IP присутствует.

[zhenya`]

NAT адреса действительно появились.

А DST IP показывает?

У меня dst addr = 0.0.0.0, хотя, если через syslog, то DST IP присутствует.

 

у вас точно CGN ?

ip nat settings mode cgn

no ip nat settings support mapping outside

?