 Nat&netflow ,  wyvern, 28-Дек-04, 01:57 [смотреть все]Народ, помогите! Есть cisco3660(IOS 12.2), стоит NAT. И не считает входящий трафик, в ответ на sh ip cache flow | include 128.2.1.99 выдаетSrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0.3 128.2.1.99 Null 194.67.57.26 01 0000 0800 94
Fa0/1 194.67.57.26 Null 128.2.1.99 01 0000 0000 13, конфиг вот: ip flow-cache timeout active 2
ip cef
!
!
ip name-server XXX
!
ipv6 unicast-routing
!
!
!
!
!
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
no ip address
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/0.2
description ip:128.1.1.2-254,mask:255.255.0.0
encapsulation dot1Q 2
ip address 128.1.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.3
description ip:128.2.1.2-254 0.0.FF.FF
encapsulation dot1Q 3
ip address 128.2.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.4
description ip: 128.3.1.2-254 0.0.FF.FF
encapsulation dot1Q 4
ip address 128.3.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.5
description ip: 128.8.1.2-254 0.0.FF.FF
encapsulation dot1Q 5
ip address 128.8.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.6
description ip: 128.6.1.2-254 0.0.FF.FF
encapsulation dot1Q 6
ip address 128.6.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.7
description ip: 128.6.1.2-254 0.0.FF.FF
encapsulation dot1Q 7
ip address 128.7.1.1 255.255.0.0
ip access-group 100 in
ip nat inside
no cdp enable
!
interface FastEthernet0/0.8
encapsulation dot1Q 8
ip address XXXXXXXXX 255.255.255.240
!
interface FastEthernet0/1
ip address AAAAAAAAAA 255.255.255.252
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
duplex auto
speed auto
no cdp enable
!
interface Serial1/0
no ip address
shutdown
!
interface Serial1/1
no ip address
shutdown
clockrate 2000000
!
ip local policy route-map MAP
ip nat pool local ZZZZZZZZZZZZ ZZZZZZZZZZZZ prefix-length 24
ip nat inside source list 1 interface FastEthernet0/1 overload
ip nat inside source static 192.168.0.0 ZZZZZZZZZZZ
ip nat inside source static tcp 192.168.0.100 22 ZZZZZZZZZZ 22 extendable
ip nat inside source static 128.2.1.99 ZZZZZZZZZZZ
ip flow-export version 5
ip flow-export destination XXXXXXXXXX 9996
ip classless
ip route 0.0.0.0 0.0.0.0 SSSSSSSSSSSS
no ip http server
no ip pim bidir-enable
!
!
ip access-list standard sorrycharlie
!
access-list 1 permit 128.1.0.0 0.0.255.255
access-list 1 permit 128.2.0.0 0.0.255.255
access-list 1 permit 128.3.0.0 0.0.255.255
access-list 1 permit 128.4.0.0 0.0.255.255
access-list 1 permit 128.5.0.0 0.0.255.255
access-list 1 permit 128.6.0.0 0.0.255.255
access-list 1 permit 128.7.0.0 0.0.255.255
access-list 1 permit 128.8.0.0 0.0.255.255
access-list 1 permit 128.9.0.0 0.0.255.255
access-list 107 permit ip any any
access-list 108 permit ip any 128.1.0.0 0.0.255.255
access-list 108 permit ip any 128.2.0.0 0.0.255.255
access-list 108 permit ip any 128.3.0.0 0.0.255.255
access-list 108 permit ip any 128.4.0.0 0.0.255.255
access-list 108 permit ip any 128.5.0.0 0.0.255.255
access-list 108 permit ip any 128.6.0.0 0.0.255.255
access-list 108 permit ip any 128.7.0.0 0.0.255.255
access-list 108 permit ip any 128.8.0.0 0.0.255.255
access-list 108 permit ip any 128.9.0.0 0.0.255.255
access-list 108 permit ip any any
!
route-map MAP permit 10
match ip address 107
set interface Loopback0
!
!
call rsvp-sync
!
!
mgcp profile default При таком конфиге все работает, только ничего не считает... |
- Nat&netflow , cats, 15:50 , 29-Дек-04 (1)
Интересная ситуация - тоже настроена Cisco с NEtFlow и NAT. На команду sh ip cache flow | include 128.2.1.99
выдает следующееFa0/1 192.168.0.10 Fa0/0 194.85.34.226 06 0535 0050 10
Fa0/1 192.168.0.10 Fa0/0 194.85.34.226 06 0536 0050 6
Fa0/0 194.85.34.226 Null 192.168.0.10 06 0050 0535 12
Fa0/0 194.85.34.226 Null 192.168.0.10 06 0050 0536 4 Но на компе куда идет экспорт нетфлоу локальный адрес 192.168.0.10 виден как адрес на который поступает входящий трафик
DstAddr: 192.168.0.107C06148B NextHop: 0.0.0.07C06148B InputInt: 17C06148B OutputInt: 07C06148B Packets: 47C06148B Очень странно, по тому как Кошка не должна включать информацию по интерефейсу NULL в статистику Поэтому советую посмотреть что приходит на комп куда идет экспорт.
- Nat&netflow , pwn, 11:33 , 30-Дек-04 (2)
>Очень странно, по тому как Кошка не должна включать информацию по интерефейсу
>NULL в статистику Это глюк ИОС-а при включенном нате нетфлов дестинтерфей отдает равным 0
- Nat&netflow , pwn, 11:39 , 30-Дек-04 (3)
>При таком конфиге все работает, только ничего не считает... я тоже нарывался на ситуацию, когда с 2610-й кошки не отдавался с езернета
нетфлов если на нем подняты dot1q вланы. Правда ИОС там был постарше, 12.1. Все что могу посоветовать - попробуйте апгрейднуться до 12.3 версии, может поможет. Я сам не проверял на 2610-й, у нее мозгов мало под 12.3 ИОС :(
|
Версия для распечатки
