форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"NAT + netflow "
Сообщение от jamper on 09-Дек-04, 13:14  (MSK)
Попыталяс настроить на 7507 nat работает но проблема - в netflow только записи 7507#sh ip cache flow Po1.60 192.168.24.253  Po1.20         194.67.1.14     01 0000 0800   241 Po1.20 194.67.1.14     Local         10.10.10.1    01 0000 0000   238 Т.е нет записи 194.67.1.14   192.168.24.253   10.10.10.1 - нат адрес 10.10.10.2 - реальный адрес 10.10.10.3 - шлюз 192.168.24.0 - nat адреса Перечитал как форум, дсе статьи (нетап, нетамс), прокопал сайт циски Собственно сейчас Po 1.20 - исходящий в мир Po 1.60 - локалка Выяснилось что lo не генерит netflow записи конфиг ! version 12.3 ! hostname 7507 !ip subnet-zero ip flow-cache timeout active 5 ! ! ip cef ip cef accounting per-prefix non-recursive prefix-length ip audit po max-events 100 no mpls ldp logging neighbor-changes no ftp-server write-enable ! ! ! interface Loopback10 description "Loopback for nat" ip address 10.2.0.1 255.255.255.0 no ip proxy-arp ip cef accounting non-recursive external ip route-cache same-interface ip route-cache policy ip route-cache flow no clns route-cache ! interface Port-channel1 no ip address no ip redirects no ip unreachables no ip proxy-arp ip policy route-map MAP no clns route-cache ! interface Port-channel1.20 description Real IP encapsulation dot1Q 20 ip address 10.10.10.2 255.255.255.240 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip flow ingress ip policy route-map MAP no cdp enable ! interface Port-channel1.60 description fisic-unreal encapsulation dot1Q 60 ip address 192.168.24.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip flow ingress no cdp enable ! interface FastEthernet6/0 no ip address ip route-cache policy full-duplex channel-group 1 no clns route-cache ! ip nat pool fis_pool 10.10.10.1 10.10.10.1 prefix-length 24 ip nat inside source list 102 pool fis_pool overload ip classless ip route 0.0.0.0 0.0.0.0 10.10.10.3 ip flow-export version 5 ip flow-export destination 10.10.10.4 9998 no ip http server no ip http secure-server ! access-list 101 permit ip any 192.168.24.0 0.0.7.255 access-list 102 permit ip 192.168.24.0 0.0.7.255 any ! route-map MAP permit 10 match ip address 101 set interface Loopback10 !
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT + netflow "
Сообщение от denis (??) on 09-Дек-04, 14:32  (MSK)
>Попыталяс настроить на 7507 >nat работает >но проблема - в netflow только записи >7507#sh ip cache flow >Po1.60 192.168.24.253  Po1.20         >194.67.1.14     01 0000 0800   241 > >Po1.20 194.67.1.14     Local       >   10.10.10.1    01 0000 0000   > 238 > >Т.е нет записи 194.67.1.14   192.168.24.253 > >10.10.10.1 - нат адрес >10.10.10.2 - реальный адрес >10.10.10.3 - шлюз >192.168.24.0 - nat адреса > >Перечитал как форум, дсе статьи (нетап, нетамс), прокопал сайт циски >Собственно сейчас >Po 1.20 - исходящий в мир >Po 1.60 - локалка > >Выяснилось что lo не генерит netflow записи > >конфиг >! >version 12.3 >! >hostname 7507 >!ip subnet-zero >ip flow-cache timeout active 5 >! >! >ip cef >ip cef accounting per-prefix non-recursive prefix-length >ip audit po max-events 100 >no mpls ldp logging neighbor-changes >no ftp-server write-enable >! >! >! >interface Loopback10 > description "Loopback for nat" > ip address 10.2.0.1 255.255.255.0 > no ip proxy-arp > ip cef accounting non-recursive external > ip route-cache same-interface > ip route-cache policy > ip route-cache flow > no clns route-cache >! >interface Port-channel1 > no ip address > no ip redirects > no ip unreachables > no ip proxy-arp > ip policy route-map MAP > no clns route-cache >! >interface Port-channel1.20 > description Real IP > encapsulation dot1Q 20 > ip address 10.10.10.2 255.255.255.240 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat outside > ip flow ingress > ip policy route-map MAP > no cdp enable >! >interface Port-channel1.60 > description fisic-unreal > encapsulation dot1Q 60 > ip address 192.168.24.254 255.255.255.0 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat inside > ip flow ingress > no cdp enable >! > >interface FastEthernet6/0 > no ip address !!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ip route-cache flow !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! > full-duplex > channel-group 1 > no clns route-cache >! >ip nat pool fis_pool 10.10.10.1 10.10.10.1 prefix-length 24 >ip nat inside source list 102 pool fis_pool overload >ip classless >ip route 0.0.0.0 0.0.0.0 10.10.10.3 >ip flow-export version 5 >ip flow-export destination 10.10.10.4 9998 >no ip http server >no ip http secure-server >! >access-list 101 permit ip any 192.168.24.0 0.0.7.255 >access-list 102 permit ip 192.168.24.0 0.0.7.255 any >! >route-map MAP permit 10 > match ip address 101 > set interface Loopback10 >!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "NAT + netflow "
	Сообщение от jamper on 09-Дек-04, 14:37  (MSK)
	>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! > ip route-cache flow >!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! хмм ... а мне казалось что это относится к порт чаналу Включил Эффект то же ... впрочим как и при выключенном ip route-cache policy я уже пробовал все варианты, как на физическом интрефейсе, так и на п.ч дело не в этом дело в том что действительно при натде помоч может только снятие статистики с лупбака ... а оно не снимается с него изза того что у луупбак нет входных пакетов - только выходные
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "NAT + netflow "
	Сообщение от Сайко on 09-Дек-04, 14:54  (MSK)
	>дело в том что действительно при натде помоч может только снятие статистики >с лупбака ... >а оно не снимается с него изза того что у луупбак нет >входных пакетов - только выходные Может тогда route-map спасет отца русской демократии?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "NAT + netflow "
	Сообщение от jamper on 09-Дек-04, 14:58  (MSK)
	>>дело в том что действительно при натде помоч может только снятие статистики >>с лупбака ... >>а оно не снимается с него изза того что у луупбак нет >>входных пакетов - только выходные >Может тогда route-map спасет отца русской демократии? ip policy route-map MAP вроде стоит на исходящем интрефесе или я что то не то говорю ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "NAT + netflow "
Сообщение от jamper on 16-Дек-04, 14:59  (MSK)
Друг оставь покурить А во ответ тишина. Проблему решить пока не удалось Ставить еще одну кошку перед этой не хочется :_(
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "NAT + netflow "
	Сообщение от jamper on 20-Дек-04, 16:54  (MSK)
	ап в последний раз :-(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "NAT + netflow "
	Сообщение от Сайко on 20-Дек-04, 17:05  (MSK)
	Всем известный и многоуважаемый ВОЛКА, он же Alexey Alekseev(http://cisco.far.ru/) добился желаемого используюя так называемый VRF Lite. В fido7.ru.cisco писал следующее: +===================================================+ У меня такая же фигня... собрал стенд, убедился что работает :) если сеf выключить, то работать не будет. придумал я тут другое решение :)) R2#sh run Building configuration... Current configuration : 1809 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! memory-size iomem 15 no aaa new-model ip subnet-zero ! ! no ip domain lookup ! ip vrf WAN rd 65000:1 route-target export 65000:1 route-target import 65000:1 ! ip cef ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 ### Локальная сеть                      ### encapsulation dot1Q 10 ip address 192.168.110.1 255.255.255.0 ! interface FastEthernet0/0.11 ### Сеть для соединения рутера, который ### ### натит и который собирает Netflow    ### encapsulation dot1Q 11 ip vrf forwarding WAN ip address 192.168.111.2 255.255.255.0 ip nat inside ip ospf network point-to-point ! interface Serial0/0 no ip address ! interface FastEthernet0/1 no ip address ip route-cache flow duplex auto speed auto ! interface FastEthernet0/1.11 ### Сеть для соединения рутера, который ### ### натит и который собирает Netflow    ### encapsulation dot1Q 11 ip address 192.168.111.1 255.255.255.0 ip ospf network point-to-point ! interface FastEthernet0/1.12 ### Интервейс, который смотрит в INET   ### encapsulation dot1Q 12 ip vrf forwarding WAN ip address 192.168.112.1 255.255.255.0 ip nat outside ! interface Serial0/1 no ip address shutdown ! router ospf 10 router-id 192.168.111.1 log-adjacency-changes network 192.168.110.0 0.0.0.255 area 0 network 192.168.111.0 0.0.0.255 area 0 ! router ospf 11 vrf WAN router-id 192.168.111.2 log-adjacency-changes network 192.168.111.0 0.0.0.255 area 0 network 192.168.112.0 0.0.0.255 area 0 ! ip nat translation icmp-timeout 2 ip nat inside source list NAT-ACL interface FastEthernet0/1.12 vrf WAN overload ip http server ip classless ! ! ! ip access-list standard NAT-ACL permit 192.168.110.0 0.0.1.255 arp 192.168.111.2 000a.8a74.8ae0 ARPA arp vrf WAN 192.168.111.1 000a.8a74.8ae1 ARPA ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! ! end SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts Fa0/1.11      192.168.112.254 Fa0/0.10      192.168.110.254 01 0000 0000   10K Fa0/1.12      192.168.112.254 Fa0/0.11      192.168.112.1   01 0000 0000   10K ВОЛКА +===================================================+
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "NAT + netflow "
	Сообщение от jamper on 20-Дек-04, 17:12  (MSK)
	Окей спасибо буду узнавать что такое vrf Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость маленькая ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "NAT + netflow "
	Сообщение от pwn (??) on 21-Дек-04, 01:00  (MSK)
	>Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость >маленькая ? нет, скорость не пострадает :) У меня реально на ряде цисок работает сехма цеф+роутмап+лупбэк Работает прерасно, если не считать одной особенности с которой можно тока мириться - часть входящего трафа на НАТ не раскладывается по хостам, но так как этот траф около 1 процента в среднем я с этим мирюсь. 2. на лупбэке не нужно ставить ip route-c flow и т.п., это не помешает,   но просто не будет работать. тоесть достаточно "голого" лупбэка с каим-нить айпи (без айпи он не подымется) и все. Эффект разложения входящего на НАТ трафа по хостам создается исключительно благодаря цефу, перенаправляя входящий траф на лупбэк мы только создаем необходмые условия для этого. 3. Схема работает без проблем когда локальный интерфей обычный физик. Лучше всего когда оба интерфея, как WAN так и локальный раздельные физические, хотя мне удавалось заставлять работать эту схему на ppoe интерфее dialer. Локальный инетрфей был отдельный, обычный езернет... А у Вас по ходу как локаль так и WAN виртуальные да и плюс еще и сабинтерфеи с инкапсуляцией Dot1q. Очень похоже что цеф просто обламывается работать в таких условиях и нужного результата по данной схеме Вы не получите.... А возможно нада просто обновить ИОС. Я нарывался на старые версии, которые ваще не отдают нетфлов с dot1q сабинтерфеев на езернете. А вот с сериала с сабинтерфеями - пожалста... PPS ваще ИМХО цискин нетфлов глюкало еще то, а хуже всего что кто-то решил что нада считать токо входящий траф и никак не исходящий... Ну предусмотрели б команду, кому нада и исходящий считать включай и считай... А что касается дублирования потоков, так нормальным коллектором типа нетрамета все прекрасна разделяется...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "NAT + netflow "
	Сообщение от jamper on 21-Дек-04, 10:40  (MSK)
	>>Еще вопрос попутный ... как скорость, просто если пропускать скозь лупбак скорость >>маленькая ? >нет, скорость не пострадает :) Оки > >У меня реально на ряде цисок работает сехма цеф+роутмап+лупбэк Работает прерасно, если >не считать одной особенности с которой можно тока мириться - часть >входящего трафа на НАТ не раскладывается по хостам, но так как >этот траф около 1 процента в среднем я с этим мирюсь. > У меня 7507 и нет ни одного разложеного пакета ;-( может я что не понимаю и не пральн сделаю Можете выслать рабочий конфиг на мыло ?? >2. на лупбэке не нужно ставить ip route-c flow и т.п., это >не помешает,   но просто не будет работать. тоесть достаточно >"голого" лупбэка с каим-нить айпи (без айпи он не подымется) и >все. Эффект разложения входящего на НАТ трафа по хостам создается исключительно >благодаря цефу, перенаправляя входящий траф на лупбэк мы только создаем необходмые >условия для этого. Понял. Сенькс >3. Схема работает без проблем когда локальный интерфей обычный физик. Лучше всего >когда оба интерфея, как WAN так и локальный раздельные физические, хотя >мне удавалось заставлять работать эту схему на ppoe интерфее dialer. Локальный >инетрфей был отдельный, обычный езернет... А у Вас по ходу как >локаль так и WAN виртуальные да и плюс еще и сабинтерфеи >с инкапсуляцией Dot1q. Очень похоже что цеф просто обламывается работать в >таких условиях и нужного результата по данной схеме Вы не получите.... > >А возможно нада просто обновить ИОС. Я нарывался на старые версии, которые >ваще не отдают нетфлов с dot1q сабинтерфеев на езернете. А вот >с сериала с сабинтерфеями - пожалста... > Иос - новый >PPS ваще ИМХО цискин нетфлов глюкало еще то, а хуже всего что >кто-то решил что нада считать токо входящий траф и никак не >исходящий... Ну предусмотрели б команду, кому нада и исходящий считать включай >и считай... А что касается дублирования потоков, так нормальным коллектором типа >нетрамета все прекрасна разделяется... А кем собирать ? с кошки
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "NAT + netflow "
	Сообщение от pwn (??) on 21-Дек-04, 20:52  (MSK)
	>Можете выслать рабочий конфиг на мыло ?? У меня реально нет 7505-х кошек, работает на 26хх, 36хх и 3745... Вам нужен с них конфиг? :) >А кем собирать ? с кошки У меня все разгребается нетраметом и перловым скриптом постобработки. Нетрамет штука тяжелая в освоении, но очень гибкая. Я в свое время немало с ним помаялся пока понял как он работает. Зато щас легко, в принципе его мона заточить под любую задачу... >У меня скорость на лупбаке падает в 10 раз >Поковырявшись выяснил, что ВЕСЬ трафик сквозь лупбак (специальный для >нат через роут мап) идет через процесс свитчинг. Заставить идти через >цеф или чтонить еще не получилось Вот именно поэтому вы не видите в нетфлове разложенного входящего на нат трафика. И так будет до тех пор, пока траф на лупбэк не поедет через цеф. ИМХО. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "NAT + netflow "
	Сообщение от jamper on 21-Дек-04, 20:56  (MSK)
	>Вам нужен с них конфиг? :) да > >У меня все разгребается нетраметом и перловым скриптом постобработки. Нетрамет штука тяжелая >в освоении, но очень гибкая. Я в свое время немало с >ним помаялся пока понял как он работает. Зато щас легко, в >принципе его мона заточить под любую задачу... у меня уже стоит работающий билинг, меня интересуют способы снятия статистике о трафике с кошки. Сковзь нее будет проходить 20-40Гб/день >Вот именно поэтому вы не видите в нетфлове разложенного входящего на нат >трафика. И так будет до тех пор, пока траф на лупбэк >не поедет через цеф. ИМХО. :) А как его туда запихать цефом ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "NAT + netflow "
	Сообщение от pwn (??) on 22-Дек-04, 10:54  (MSK)
	>да ну самый простой пример кошка 26xx ИОС не ниже 12.0 ! ip flow-cache entries 10000 ip flow-cache timeout inactive 60 ip flow-cache timeout active 5 ip flow-export source FastEthernet0/1 ip flow-export version 5 ip flow-export destination 10.X.Y.2 5000 ! ip cef ! interface Loopback0 ip address 10.Z.H.123 255.255.255.255 ! interface FastEthernet0/0             !! WAN ip address A.B.C.D 255.255.255.252 ip nat outside ip route-cache policy ip route-cache flow ip policy route-map FromNAT duplex auto speed auto no cdp enable ! interface FastEthernet0/1             !! LAN   ip address 10.X.Y.1 255.255.255.252 ip nat inside ip route-cache policy ip route-cache flow duplex auto speed auto no cdp enable ! ip nat inside source list 101 interface FastEthernet0/0 overload ! access-list 101 permit ip host 10.X.Y.126 any access-list 101 deny   ip any any access-list 112 permit ip any host 10.X.Y.126 access-list 112 deny   ip any any ! route-map FromNAT permit 10 match ip address 112 set interface Loopback0 ! >у меня уже стоит работающий билинг, меня интересуют способы снятия статистике о трафике с кошки. Сковзь нее будет проходить 20-40Гб/день У меня потоки гораздо меньше, но могу утверждать что нетрамет в состоянии переварить и 20-40 гиг в день. ИМХО. Все зависит от степени детализации которую вы захотите иметь. И возможностей сервера на котором будет стоять биллинг, в первую очередь кол-ва оперативки. У меня траф не превышает 20 гиг в месяц, при этом на винте дельты занимают около 50-60 метров в несжатом виде... Далее эти дельты обрабатываются обычным перловым скриптом, SQL не пользую и в базе дельты не храню, нет в этом надобности. >А как его туда запихать цефом ? ХЗ, не берусь судить. Не имею опыта борьбы с 75хх кошками и еще с вашим случаем. Скорее всего ИМХО те интерфейсы на который вы пытаетесь это замутить так сказать "процесс свитчинг", то бишь реализуются исключительно ИОС-ом кошки а цеф если правильна понимаю суть его работы :) будет работать тока с апаратными инетрфеями... Да простят мне циксо гуру мою терминологию :)) PS Боюсь в вашем случае придется либо вторую циску ставить либо если есть коммутатор что-то типа 2950 то пропускать влан лвс через него, на нем делать мониторнг порта в который будет подключен этот влан на какой-нить свободный порт коммутатора, к нему уже подключать биллинговый сервак и считать уже на нем. Нетрамет например может снимать статистику и с сетвух никсовых серваков, плюс тут есть одно большое преимущество - снимается и входящий и исходящий трафик, а не только входяций как у цискиного нетфлова.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "NAT + netflow "
	Сообщение от jamper on 22-Дек-04, 11:01  (MSK)
	Спасибо за пример. Пробовал не работает Пробвал на релаьных интерфесах. >У меня потоки гораздо меньше, но могу утверждать что нетрамет в состоянии >переварить и 20-40 гиг в день. ИМХО. Все зависит от степени >детализации которую вы захотите иметь. И возможностей сервера на котором будет >стоять биллинг, в первую очередь кол-ва оперативки. У меня траф не >превышает 20 гиг в месяц, при этом на винте дельты занимают >около 50-60 метров в несжатом виде... Далее эти дельты обрабатываются обычным >перловым скриптом, SQL не пользую и в базе дельты не храню, >нет в этом надобности. У меня в месяц системная и бакап информация на сервере - 20-30Гб билинг вроде прожевывывает, проблема не в том. нетрамет скорее всего не подойдет, да и не вижу смысла отказыватся от текущего билинга >>А как его туда запихать цефом ? >ХЗ, не берусь судить. Не имею опыта борьбы с 75хх кошками и >еще с вашим случаем. Скорее всего ИМХО те интерфейсы на который >вы пытаетесь это замутить так сказать "процесс свитчинг", то бишь реализуются >исключительно ИОС-ом кошки а цеф если правильна понимаю суть его работы >:) будет работать тока с апаратными инетрфеями... Да простят мне циксо >гуру мою терминологию :)) Пробовал :-) > >PS Боюсь в вашем случае придется либо вторую циску ставить либо если >есть коммутатор что-то типа 2950 то пропускать влан лвс через него, >на нем делать мониторнг порта в который будет подключен этот влан >на какой-нить свободный порт коммутатора, к нему уже подключать биллинговый сервак >и считать уже на нем. Нетрамет например может снимать статистику и >с сетвух никсовых серваков, плюс тут есть одно большое преимущество - >снимается и входящий и исходящий трафик, а не только входяций как >у цискиного нетфлова. Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "NAT + netflow "
	Сообщение от pwn (??) on 22-Дек-04, 12:55  (MSK)
	>Спасибо за пример. Пробовал не работает >Пробвал на релаьных интерфесах. у меня работает! 100 процентно рабочий пример. Содранный с живого маршрутизатора, тока IP изменены :) >Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится. я имел в виду коммутатор каталист 2950, он не подавится и от большего трафика чем 20 гиг в день... >У меня в месяц системная и бакап информация на сервере - 20-30Гб билинг >вроде прожевывывает, проблема не в том. нетрамет скорее всего не >подойдет, да и не вижу смысла отказыватся от текущего билинга   Да и не нада от него отказываться ;) Скоко будет на винте зависит ИМХО токлько от сетепени детализации. Я не призваю перейти на нетрамет, просто я его использую и в нем разобрался. А в нем степень детализации и какой трафик писать а какой нет очень гибко настраивается правилами коллектора. Можно не писать ни адреса ни порты, только траф - лог на винте будет очень скромно выглядеть даже при 20-и гигах в сутки, если писать адреса но не писать порты то уже поболее, а если все тупо без разбора сохранять, то как раз гигу в сутки на винте и получим при таком трафе легко. У меня щас сохраняются тока адреса и порты если попадают под список интересуемых серверных, если принять 20 гиг траффа = 50 метров на винте то получится при вашем трафе 3 гиги в месяц. Но никак не 30 :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "NAT + netflow "
	Сообщение от jamper on 22-Дек-04, 13:01  (MSK)
	>у меня работает! 100 процентно рабочий пример. Содранный с живого маршрутизатора, тока >IP изменены :) Верю. просто у вас не 7500 Он иденичен с теми конфигами с которых я начинал. Я пробовал и их и этот. НЕ РАБОАТЕ. Видимо проблема в самой кошке >>Ну не пропутсит сквозь себя 29 кошка такой трафик. она гикнится. >я имел в виду коммутатор каталист 2950, он не подавится и от >большего трафика чем 20 гиг в день... Вы когданить сламер на 29 кошку натравливали ... попробуйте интересное зрелище. >то как раз гигу в сутки на винте и получим при >таком трафе легко. У меня щас сохраняются тока адреса и порты >если попадают под список интересуемых серверных, если принять 20 гиг траффа >= 50 метров на винте то получится при вашем трафе 3 >гиги в месяц. Но никак не 30 :) А бакапы базы, :-) дело не в этом. я повторяю меня устраивает тот билинг которые есть. дело не в билинге. дело в том что я не могу снять НУЖНЫЕ мне данные с кошки. Их не отдает кошка
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "NAT + netflow "
	Сообщение от pwn (??) on 22-Дек-04, 13:38  (MSK)
	>Видимо проблема в самой кошке видимо... :( >Вы когданить сламер на 29 кошку натравливали ... попробуйте интересное зрелище. нет не пробовал :) >дело в том что я не могу >снять НУЖНЫЕ мне данные с кошки. Их не отдает кошка ну тогда тока остается либо еще одна кошка либо взять что-нить помощнее 2950 каталиста (раз 2950 вам не нравится :)) и просто "просниферить" проходящий на нее траф локали прямо на сервак с биллингом. Если канечна на серваке биллинга есть свободная сетевуха и ваш биллинг мона обучить снимать статистику с нее. Я у себя реально такое делал, циска-каталист2950-лан, плюс мониторинг порта на сервак под обчным линухом 128 оперативки всего... Траф конечно не 20 гиг в стуки, но я тестировал гонял потоки на все 2 мбита что у меня есть к прову ни серваку ни каталисту плохо не стало... Также пробовал ту же схему, но только в связке сервак-2950-лан + мониторинг порта на никсовый сервак с нетраметом, таскалась куча архивов на скорости скока вынь может развить на 100 мбитных езернетах (что-то около 2.5-3 метров в секунду максимум) Общий вес перетаскиваемого был что-то около 20 гиг, опять же ни каталисту ни никсовому серваку плохо не стало... И нетрамет посчитал все честно, как раз те самые 20 гиг что проехали (ну может плюс-минус 1 процент, я не сверял до копеек ;) )
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "NAT + netflow "
	Сообщение от jamper on 22-Дек-04, 13:41  (MSK)
	У меня 100 Мб. Местами 1Гб. Спасибо за совет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 10:26  (MSK)
	1. я извиняюсь за свою тупость я спутал 29 каталист и 26 роутер 2. каталист не держит флоу
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "NAT + netflow "
	Сообщение от pwn (??) on 23-Дек-04, 11:58  (MSK)
	>1. я извиняюсь за свою тупость я спутал 29 каталист и 26 >роутер :) >2. каталист не держит флоу зато он поддерживает мониторинг портов, тоесть с любого порта или даже с нескольких можно просниферить весь трафик, либо входящий-исходящий на выбор. Этим можно воспользоваться для того, чтобы снять статистику если биллинг это понимает. Тоесть если он умеет снимать статистику с езернет сетвух путем перевода их в promisc режим. Нетрамет это умеет, умеет ли ваш биллинг я не знаю. Достоинство такого метода в том, что с карты в promisc режиме снимается ВЕСЬ трафик а не тупо только входящий как в дебильном цискином нетфлове. Если б нетфлов отдавал и исходящий траф то согласитесь, вы уже давно б свою проблему решили б и не прыгали б вокруг цефа с роутмапами и лупбэками пытаясь понять что еще им нада... Может я на себя и много беру, но ИМХО разработчики идеологии цискиного нетфлова были еще те уроды... Они учли только чисто "провайдерский" вариант и совсем не подумали про вариант "маршрутизатор у клиента" с натами, тунелями и прочей фигней... Вот и работает это в итоге через ж.... :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 12:00  (MSK)
	>>1. я извиняюсь за свою тупость я спутал 29 каталист и 26 >>роутер > >:) > >>2. каталист не держит флоу > >зато он поддерживает мониторинг портов, тоесть с любого порта или даже с >нескольких можно просниферить весь трафик, либо входящий-исходящий на выбор. Этим можно >воспользоваться для того, чтобы снять статистику если биллинг это понимает. Тоесть >если он умеет снимать статистику с езернет сетвух путем перевода их >в promisc режим. Нетрамет это умеет, умеет ли ваш биллинг я >не знаю. Достоинство такого метода в том, что с карты в >promisc режиме снимается ВЕСЬ трафик а не тупо только входящий как >в дебильном цискином нетфлове. Если б нетфлов отдавал и исходящий траф >то согласитесь, вы уже давно б свою проблему решили б и >не прыгали б вокруг цефа с роутмапами и лупбэками пытаясь понять >что еще им нада... Может я на себя и много беру, >но ИМХО разработчики идеологии цискиного нетфлова были еще те уроды... Они >учли только чисто "провайдерский" вариант и совсем не подумали про вариант >"маршрутизатор у клиента" с натами, тунелями и прочей фигней... Вот и >работает это в итоге через ж.... :( У меня как раз провайдерский вариант. идеология нетфлоу не такая уж и плохая, просто у них подход флоу одна кошка нат - друка и будет счастье Все вроде решил проблему через ип аккаунтинг устал уже :-( оставляю нетфлоу до лучших времен
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "NAT + netflow "
	Сообщение от pwn (??) on 23-Дек-04, 12:42  (MSK)
	>У меня как раз провайдерский вариант. идеология нетфлоу не такая уж и >плохая, просто у них подход флоу одна кошка нат - друка >и будет счастье неа, чисто провайдерски вариант как я его подразумевал это когда роутер занимается только маршрутизацией IP  и ни натов ни тунелей на нем нет. Вот тогда все шоколадно. Есть такой баг, не знаю как на 75хх а на 26хх,37хх и 36хх он есть однозначно - Есть такой архиважный параметр в нетфлове, DestInterfaсe, то бишь интерфейс через который УЕХАЛ пакет. Пока нет ната он всегда правильный. Если пакет уехал к прову по интерфейсу в WAN то будет стоять SNMP индекс именно этого интерфеса. Если пакет пытался уехать, но его съел акцесс лист то будет 0. Если пакет был аресован кошке то тоже ноль и т.д. Но тут нам приспичило поднять нат... даже мы его еще не подняли, только на WAN интерфейсе сказали ip nat outside и усе, пипещ, дестинтерфей в флове становится равным нулю. Ехал пакет через нат или мимо него, уехал или ваще его пожрал асл пофик - всегда 0. Тоесть входящий траф мы то посчитаем, а вот с исходящим начинаются непонятки... К счастью есть решение проблемы, в флове еще передается параметр RouterNextHop, тоесть адрес следующего хопа, этот параметр всегда правильный, даже если поднята только статическая маршрутизация, тока дефолт нада правильно писать не ip route 0.0.0.0 0.0.0.0 interface ххх а ip route 0.0.0.0 0.0.0.0 A.B.C.D или на крайняк если имеет место какое-нить извращение типа ppoe и т.п. так ip route 0.0.0.0 0.0.0.0 interface ххх A.B.C.D   Только при таком раскладе это работает. Нетрамет сволочь по умолчанию не умел обрабатывать некст хоп, вернее зачатки этого были в версии 4.5b8, пришлось мне сесть за си и дописать ему недостающее... :) Но нат натом, а есть еще такой зверь, зовется ГРЕ... С ним дело еще хуже - фишка с некст хоп к нему ваще не применима, исходящий на гре траф мона выделить тока на основе анализа адресов которые могут через него ходить (а это гимор и неслабый), а получить входящий в нетфлове после декапсуляции я не смог ни какими подпрыгиваниями ни с цефом ни еще с чем либо... в итоге пришлось детализацию VPN трафика делать на никсовых серверах через которые он проходит... > >Все вроде решил проблему через ип аккаунтинг устал уже :-( оставляю нетфлоу >до лучших времен Зря, при вашем трафе боюсь по ip accounting  вы не получите точного результата, да и детализации по портам у него нет по определению... Я тоже год назад дойдя до состояния близкого к истерике порывался вдарить по этой говенной 2610-й кисе кувадлой, потереть нафик на всех дисках нетрамет как сущую ересь непонятно кем и для чего написанную и очень хотел ввинтить аккаунтинг... Слава Богу у меня хватило терпения дожать нетфлов и нетрамет, чего и вам желаю... Успехов! ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 12:49  (MSK)
	>Зря, при вашем трафе боюсь по ip accounting  вы не получите >точного результата, да и детализации по портам у него нет по >определению... Я тоже год назад дойдя до состояния близкого к истерике >порывался вдарить по этой говенной 2610-й кисе кувадлой, потереть нафик на >всех дисках нетрамет как сущую ересь непонятно кем и для чего >написанную и очень хотел ввинтить аккаунтинг... Слава Богу у меня хватило >терпения дожать нетфлов и нетрамет, чего и вам желаю... Успехов! ;) > На данный момент работает именно ип аккаунтинг. Порты конечно хочется, но видимо не судьба Дожать нетфлоу думаю не получится :-(, если только не брать в расчет вариант снятия флоу с некст хоп (стандартный режим), потом его кемнить переконвертить в нетфлоу срц-дст ... тогда заработает Так как мне сказали, что в 7500 с лупбака флоу не снимается
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "NAT + netflow "
	Сообщение от pwn (??) on 23-Дек-04, 13:14  (MSK)
	>На данный момент работает именно ип аккаунтинг. Порты конечно хочется, но видимо >не судьба >Дожать нетфлоу думаю не получится :-(, ну что ж каждому свое... > если только не брать в расчет >вариант снятия флоу с некст хоп (стандартный режим), потом его кемнить >переконвертить в нетфлоу срц-дст а конвертировать нифига не нада срц-дест и так есть! Некст хоп позволяет однозначно дать ответ уехал этот пакет на WAN  к прову или нет. Предствьте у вас стоит асл и дропает какой-нить траф из локали, а кто-то в локали поймал любимого вашего сламера и ломится наружу а вы этот траф дропаете... итог - получите гиги исходящего трафа у ся в биллинге даже если ни одного пакета на самом деле на WAN  не уехало... >Так как мне сказали, что в 7500 с лупбака флоу не снимается ДЫК он ни на одной кисе ни с лупбэка ни с аукса ни c гре интерфесов не снимается... также этим страдают бриджи (interface BVI)... И тем не менее трюк с разложением входящего на нат реально работатет и без этого. Тоесть входящий на НАТ траф ПО ЛЮБОМУ снимается с WAN  интерфея, тока благодаря цефу берется значение дест-а не из заголовка пакета а из скэшированного цефом маршрута. Я не знаю всех тонкостей процесса и нафик именно для этого надо заворачивать входящий на нат траф на лупбэк но как это работает я в общих чертах разобрался. Тоесть клиент из локали лезет на внешний ресурс. С него падает ответ, и первый пакет посчтиается не как ресурс-клиент а как ресурс-внешний адрес НАТ-а, после чего цеф кэширует маршрут и весь дальнейший траф этой сессии едет по цефу в обход процесс свитчинга, и нетфлов по всем дальнейшим пакетам отдает значения из таблицы цефа, тоесть ресурс-клиент... Это и позволяет получить расклад входящего на НАТ трафа хотя и слупбэка нифига не снимается... Более правильно и детально объяснить как это работает сможет наверно тот циско-гуру кто придумал этот трюк, но кто он я не знаю... :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 13:21  (MSK)
	>а конвертировать нифига не нада срц-дест и так есть! НЕТ там этого пакета >>Так как мне сказали, что в 7500 с лупбака флоу не снимается > >ДЫК он ни на одной кисе ни с лупбэка ни с аукса >ни c гре интерфесов не снимается... также этим страдают бриджи (interface >BVI)... И тем не менее >трюк с разложением входящего на нат реально работатет и без этого. Тоесть >входящий на НАТ траф ПО ЛЮБОМУ снимается с WAN  интерфея, >тока благодаря цефу берется значение дест-а не из заголовка пакета а >из скэшированного цефом маршрута. Я не знаю всех тонкостей процесса и >нафик именно для этого надо заворачивать входящий на нат траф на >лупбэк но как это работает я в общих чертах разобрался. Тоесть >клиент из локали лезет на внешний ресурс. С него падает ответ, >и первый пакет посчтиается не как ресурс-клиент а как ресурс-внешний адрес >НАТ-а, после чего цеф кэширует маршрут и весь дальнейший траф этой >сессии едет по цефу в обход процесс свитчинга, и нетфлов по >всем дальнейшим пакетам отдает значения из таблицы цефа, тоесть ресурс-клиент... Это >и позволяет получить расклад входящего на НАТ трафа хотя и слупбэка >нифига не снимается... Более правильно и детально объяснить как это работает >сможет наверно тот циско-гуру кто придумал этот трюк, но кто он >я не знаю... :( Это я понял но у меня есть одно подозрение которое перерастает в увереность Когда пакт проходит сковзь роуте мап на лупбак он не попадает в цеф Т.е. я не смог заставить этот рафик работать сковзь цеф Есть идеи по этому поводу ? Если заставить его идти через цеф все заработает
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	35. "NAT + netflow "
	Сообщение от pwn (??) on 23-Дек-04, 15:08  (MSK)
	>>а конвертировать нифига не нада срц-дест и так есть! >НЕТ там этого пакета мы с вами явно не поняли друг друга... ;) каждый нетфлов который экспортируется кошкой содержит инфу о каждом пакетике, помимо соурса и деста там еще предается куча параметров, в том числе и номера соурс-дест интерфеев и некст хоп... Так как при поднятом нате дестинтерфей брешет то я использую некст хоп для выделения исходящего к прову трафика, так как не весь падающий от локали траф обязательно будет исходящим в WAN... ЗЫ у акаунтинга есть помимо детализации и еще один серьезный минус - если кто-то извне будет флудить ваши адреса вы этого никогда не узнаете. И будете гадать с каого фига ваш биллинг не сходится с биллингом вышестоящего прова. А у нетфлова другой косяк - вы никогда не посчитаете трафик созданный самим маршрутизатром. И никогда не посчитаете исходящий ГРЕ если он пришел транзитом по другому тунелю.... у кажного свои плюсы-минусы, анада то всего одно - чтобы каждый кому это нужно мог включить нетфлов и для  исходящего трафа... Кому не нада тот не включит и все... И возможность снимать траф хотя бы с одного процесс-свитчинг интерфея - с лупбэка.... Все, после этого наступит тотальное счастье, так как выкрутится можно будет в любых условиях... ИМХО.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "NAT + netflow "
	Сообщение от jamper on 21-Дек-04, 18:07  (MSK)
	У меня скорость на лупбаке падает в 10 раз Поковырявшись выяснил, что ВЕСЬ трафик сквозь лупбак (специальный для нат через роут мап) идет через процесс свитчинг. Заставить идти через цеф или чтонить еще не получилось
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "NAT + netflow "
	Сообщение от jamper on 21-Дек-04, 18:12  (MSK)
	>Всем известный и многоуважаемый ВОЛКА, он же Alexey Alekseev(http://cisco.far.ru/) добился желаемого используюя >так называемый VRF Lite. > >В fido7.ru.cisco писал следующее: >+===================================================+ >У меня такая же фигня... >собрал стенд, убедился что работает :) >если сеf выключить, то работать не будет. Не заработало 1. я не могу отадть весь интерфейс под выход ната. К примеру выход ната по 2 влану. Тогда мне либо 2 влан роутить на прова (а куда девать реальные ип сети), либо добавлять реальные ип в тот же vrf, но тогда смысл делать vrf ? 2. в приведенном конфиге нет роута между vrf (интерфесы, исх интерфейс) и самой кошкой (локальная сеит). мне не удалось этого добится. хотя я не уверен что понимаю vrf lite в достаточной мере
		Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "NAT + netflow "
Сообщение от ВОЛКА on 23-Дек-04, 13:26  (MSK)
а конфиг полностью можно увидеть?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 13:32  (MSK)
	>а конфиг полностью можно увидеть? брр сейчас попытаюсь востановить уже просто конфиг на ip account Текущее понимание проблемы - трафик, проходящий сковзь роутемап не попападет затем в цеф ip subnet-zero ip flow-cache timeout active 5 ! ! ! ip cef ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback10 ip address 10.2.0.1 255.255.255.0 ip route-cache same-interface ip route-cache policy ip route-cache flow no clns route-cache ! interface Port-channel1.2 encapsulation dot1Q 2 ip address <real_ip> 255.255.255.240 ip nat outside ip flow ingress ip policy route-map MAP ! interface Port-channel1.6 encapsulation dot1Q 6 ip address 192.168.24.254 255.255.255.0 ip flow ingress ip nat inside ! interface FastEthernet6/0 no ip address ip nat inside ip route-cache policy ip route-cache flow full-duplex channel-group 1 no clns route-cache interface FastEthernet6/0.6 channel-group 1 ! ip nat pool fis_pool <out_nat_ip> <out_nat_ip> netmask 255.255.255.240 ip nat inside source list 102 pool fis_pool overload ip classless ip flow-export version 5 origin-as ip flow-export destination X.X.X.X 3000 access-list 102 permit ip 192.168.24.0 0.0.7.255 any ! route-map MAP permit 10 match ip address 101 set interface Loopback 10 !
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	30. "NAT + netflow "
	Сообщение от ВОЛКА on 23-Дек-04, 13:52  (MSK)
	interface Port-channel1.2 encapsulation dot1Q 2 ip address <real_ip> 255.255.255.240 ip nat outside ip flow ingress ip policy route-map MAP ! interface Port-channel1.6 encapsulation dot1Q 6 ip address 192.168.24.254 255.255.255.0 ip flow ingress ip nat inside ! interface FastEthernet6/0 no ip address ip nat inside ip route-cache policy ip route-cache flow full-duplex channel-group 1 no clns route-cache interface FastEthernet6/0.6 channel-group 1 ! а вот эта конструкция зачем?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	32. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 14:00  (MSK)
	>interface Port-channel1.2 >encapsulation dot1Q 2 >ip address <real_ip> 255.255.255.240 >ip nat outside >ip flow ingress >ip policy route-map MAP >! >interface Port-channel1.6 >encapsulation dot1Q 6 >ip address 192.168.24.254 255.255.255.0 >ip flow ingress >ip nat inside >! >interface FastEthernet6/0 >no ip address >ip nat inside >ip route-cache policy >ip route-cache flow >full-duplex >channel-group 1 >no clns route-cache >interface FastEthernet6/0.6 >channel-group 1 >! >а вот эта конструкция зачем? У меня планиреутмся работать на езер  чанале. Т.е. другими словами у меня есть один физ интерйес (Po 1)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "NAT + netflow "
	Сообщение от ВОЛКА on 23-Дек-04, 13:58  (MSK)
	и покажите вывод sh ip interface
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	33. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 14:02  (MSK)
	>и покажите вывод sh ip interface FastEthernet6/0 is up, line protocol is up   Internet protocol processing disabled Port-channel1 is up, line protocol is up   Internet protocol processing disabled Port-channel1.2 is up, line protocol is up   Internet address is 193.27.41.62/28   Broadcast address is 255.255.255.255   Address determined by non-volatile memory   MTU is 1500 bytes   Helper address is not set   Directed broadcast forwarding is disabled   Multicast reserved groups joined: 224.0.0.5 224.0.0.6   Outgoing access list is not set   Inbound  access list is not set   Proxy ARP is enabled   Local Proxy ARP is disabled   Security level is default   Split horizon is enabled   ICMP redirects are always sent   ICMP unreachables are always sent IP fast switching is enabled   IP fast switching on the same interface is enabled   IP Flow switching is enabled   IP CEF switching is enabled   IP Distributed switching is disabled   IP Flow switching turbo vector   IP Flow CEF switching turbo vector   IP multicast fast switching is enabled   IP multicast distributed fast switching is disabled   IP route-cache flags are Fast, Flow, Policy, CEF, Flow Cache   Router Discovery is disabled   IP output packet accounting is disabled   IP access violation accounting is disabled   TCP/IP header compression is disabled   RTP/IP header compression is disabled   Policy routing is disabled   Network address translation is enabled, interface in domain outside   WCCP Redirect outbound is disabled   WCCP Redirect inbound is disabled   WCCP Redirect exclude is disabled   BGP Policy Mapping is disabled Port-channel1.6 is up, line protocol is up   Internet address is 192.168.24.254/24   Broadcast address is 255.255.255.255   Address determined by non-volatile memory   MTU is 1500 bytes   Helper address is not set   Directed broadcast forwarding is disabled   Outgoing access list is not set   Inbound  access list is not set   Proxy ARP is enabled   Local Proxy ARP is disabled   Security level is default   Split horizon is enabled   ICMP redirects are always sent   ICMP unreachables are always sent   ICMP mask replies are never sent   IP fast switching is enabled   IP fast switching on the same interface is enabled   IP Flow switching is enabled   IP CEF switching is enabled   IP Distributed switching is disabled   IP Flow switching turbo vector   IP Flow CEF switching turbo vector   IP multicast fast switching is enabled   IP Flow CEF switching turbo vector   IP multicast fast switching is enabled   IP multicast distributed fast switching is disabled   IP route-cache flags are Fast, Flow, Policy, CEF, Flow Cache   Router Discovery is disabled   IP output packet accounting is enabled   IP access violation accounting is enabled, system threshold is 512   TCP/IP header compression is disabled   RTP/IP header compression is disabled   Policy routing is disabled   Network address translation is enabled, interface in domain inside   WCCP Redirect outbound is disabled   WCCP Redirect inbound is disabled   WCCP Redirect exclude is disabled   BGP Policy Mapping is disabled Loopback10 is up, line protocol is up   Internet address is 10.2.0.1/24   Broadcast address is 255.255.255.255   Address determined by setup command   MTU is 1514 bytes   Helper address is not set   Directed broadcast forwarding is disabled   Outgoing access list is not set   Inbound  access list is not set   Proxy ARP is enabled   Local Proxy ARP is disabled   Security level is default   Split horizon is enabled   ICMP redirects are always sent   ICMP unreachables are always sent   ICMP mask replies are never sent   IP fast switching is enabled   IP fast switching on the same interface is disabled IP Flow switching is disabled   IP CEF switching is enabled   IP CEF Feature Fast switching turbo vector   IP Null turbo vector   IP multicast fast switching is enabled   IP multicast distributed fast switching is disabled   IP route-cache flags are Fast, Policy, CEF   Router Discovery is disabled   IP output packet accounting is enabled   IP access violation accounting is disabled, system threshold is 512   TCP/IP header compression is disabled   RTP/IP header compression is disabled   Policy routing is disabled   Network address translation is enabled, interface in domain inside   WCCP Redirect outbound is disabled   WCCP Redirect inbound is disabled   WCCP Redirect exclude is disabled   BGP Policy Mapping is disabled
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	34. "NAT + netflow "
	Сообщение от Сайко on 23-Дек-04, 15:03  (MSK)
	Смешно, так долго не решались показать конфиг, а ACL на VTY не повесили: (14:59:32 <~>) 0 $ telnet 193.27.41.62 Trying 193.27.41.62... Connected to ip62.mosline.ru. Escape character is '^]'. User Access Verification Username: jamper Password: Router>en Password: Router#wr er Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Router#reload Proceed with reload? [confirm]
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	36. "NAT + netflow "
	Сообщение от pwn (??) on 23-Дек-04, 15:39  (MSK)
	>Erase of nvram: complete >Router#reload >Proceed with reload? [confirm] Дык ну зачем над челом издеваться... :) в б еще написали confreg хххх не помню щас что там, но запрещающее процедуру восстановления забытого пароля плюс enable secret хххх... ну настроит он свою кису и залатает дыру, не показал бы он щас по неосторожности свой реальный ИП кто б там догадался что это именно киса и что ее можно уже пробовать ломать начиная с юзера jamper... :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	37. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 15:43  (MSK)
	>Смешно, так долго не решались показать конфиг, а ACL на VTY не >повесили: >(14:59:32 <~>) 0 $ telnet 193.27.41.62 >Trying 193.27.41.62... >Connected to ip62.mosline.ru. >Escape character is '^]'. > > >User Access Verification > >Username: jamper >Password: >Router>en >Password: >Router#wr er >Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] >[OK] >Erase of nvram: complete >Router#reload >Proceed with reload? [confirm] Змм .. Плиз выйди в почту. Буду очень признателен. Ктсати имя у него не router ^-(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	38. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 16:01  (MSK)
	Ну закрыл я телнет ... кстати ... не надо так пугать ... потратил пол часа времени на выяснения действительно ли дыра, чтение логов, .... лучше если не против продолжим обсуждение ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	39. "NAT + netflow "
	Сообщение от ВОЛКА on 23-Дек-04, 16:50  (MSK)
	покажите ещё sh int switching
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	40. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 16:53  (MSK)
	>покажите ещё sh int switching Port-channel1           Throttle count          0                    Drops         RP          0         SP          0              SPD Flushes       Fast          0        SSE          0              SPD Aggress       Fast          0             SPD Priority     Inputs      54483      Drops          0     Protocol  IP           Switching path    Pkts In   Chars In   Pkts Out  Chars Out                  Process      68784   17575687      62407    5634705             Cache misses          0          -          -          -                     Fast      17072   16073828      16018   15961335                Auton/SSE          0          0          0          0 Loopback10     Protocol  IP           Switching path    Pkts In   Chars In   Pkts Out  Chars Out                  Process       5856     354440       5856     354440             Cache misses          0          -          -          -                     Fast          0          0          0          0                Auton/SSE          0          0          0          0 Вот ... я именно по нему определил что оно не идет по цефу :-( все через процесс свитчинг П.С. Подстрекатель к панике ... но все равно спасибо. закрыл вти
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	41. "NAT + netflow "
	Сообщение от ВОЛКА on 23-Дек-04, 18:31  (MSK)
	вот поэтому скоре всего и незаработало... лучше вам отказаться от идеии port channel вообще
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	42. "NAT + netflow "
	Сообщение от jamper on 23-Дек-04, 18:32  (MSK)
	>вот поэтому скоре всего и незаработало... >лучше вам отказаться от идеии port channel вообще Пробовал :-( с тем же результатом Сейчас пытаюсь проводить 2 раунт :-(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

43. "NAT + netflow "
Сообщение от cats on 24-Дек-04, 11:46  (MSK)
Ищу себе IOS и вот что обнаружил - не все прошивки поддерживают фичу NetFlow policy routing (NPR) Может в этом проблема? Я предполагаю, что с этой фичей CEF должен работать нормально. В твоей версии софта она поддерживается? NetFlow policy routing (NPR) integrates policy routing, which enables traffic engineering and traffic classification, with NetFlow services, which provide billing, capacity planning, and monitoring information on real-time traffic flows. IP policy routing now works with Cisco Express Forwarding (CEF), Distributed CEF (dCEF), NetFlow, and NetFlow flow acceleration.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	44. "NAT + netflow "
	Сообщение от jamper on 24-Дек-04, 11:49  (MSK)
	Проверю Спасибо за совет - возможно действительно с этим проблема
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	45. "NAT + netflow "
	Сообщение от jamper on 24-Дек-04, 15:48  (MSK)
	>Проверю >Спасибо за совет - возможно действительно с этим проблема Поддерживается :-((((
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.