Короче ситуевина, заменил 2851 на 3954. Настройил нетфлов. Скорочть и трафик показывает. Только на входящем интерфейсе в качеств дистенейшн адреса показывает не внутренний IP потребителя через NAT а внешний алдрес, который весит на интерфейсе. Раньше на 2851 на внешнем интерфейсе входящий трафик показывал дистенейшн внутренние адреса. Куда рыть?
Вот части конфига и версии

Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), Version 15.2(4)M3, RELEASE SOFTWARE (fc2)
ompiled Tue 26-Feb-13 06:54 by prod_rel_team
ROM: System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1)
System image file is "flash0:c3900-universalk9-mz.SPA.152-4.M3.bin"

внутренний интерфейс (за которым юзвери)

interface GigabitEthernet0/2
description -=192.168.255.112=-
ip address 192.168.255.112 255.255.255.0
ip accounting output-packets
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly in
ip route-cache policy
ip policy route-map internet
duplex auto
speed auto
end

внешний в интернет

interface Vlan1001
description -=ISP1=-
ip address dhcp
ip access-group bad in
ip accounting output-packets
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
no ip virtual-reassembly in
ip route-cache policy
ip tcp adjust-mss 1452
ip policy route-map MAP
end

Для учета трафика прогоняется через лупбек

interface Loopback0
ip address 192.168.200.200 255.255.255.0
ip flow ingress
ip flow egress
ip route-cache policy
end

роутмап

route-map MAP, permit, sequence 10
  Match clauses:
    ip address (access-lists): 108
  Set clauses:
    interface Loopback0 GigabitEthernet0/2
  Policy routing matches: 98312948 packets, 109417092431 bytes

ацл с внутренними адресами

Extended IP access list 108
    10 permit ip any 192.168.255.0 0.0.0.255 (1529696 matches)
    20 permit ip any 10.0.0.0 0.255.255.255 (193203240 matches)
    30 permit ip any 192.168.1.0 0.0.0.255
    40 permit ip any 192.168.9.0 0.0.0.255 (7184 matches)
    50 permit ip any 192.168.177.0 0.0.0.255
    60 permit ip any 192.168.77.0 0.0.0.255
    70 permit ip any 192.169.0.0 0.0.255.255

и собственно настройки общие флова
ip flow-cache timeout active 1
ip flow-export source GigabitEthernet0/2
ip flow-export version 9
ip flow-export destination 10.10.1.132 9996
ip flow-top-talkers
snmp-server ifindex persist

в общем все.

Если смотреть статистику исходящего трафика на Vlan 1001, то в качестве источника видны внутренние IP адреса за нотом. Если смотреть входящего на нем же, то в качестве назначения-дистеншена виден только внешний белый IP. Где теряется разбор трафика?

Вот нат на сам интерфейс и дефол роут

ip nat inside source route-map inet_bk interface Vlan1001 overload
ip nat inside source route-map inet_bk_2 interface GigabitEthernet0/1 overload

ip route 0.0.0.0 0.0.0.0 Vlan1001 track 1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 track 2

В роутемапах один и тот же АЦЛ сидит, для переключения юзверей на второй канал при падении первого.

Вроди вся инфа!