The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Некорректно отдается заначенный адрес в NetFlow"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Некорректно отдается заначенный адрес в NetFlow"  +/
Сообщение от vlad email(??) on 04-Фев-10, 17:20 
Проблема банальна. Есть циса 5400. IOS C5400-IK9S-M, Version 12.4(21)
На цису заведен 1 внешний IP адрес. Есть абоненты с приватными адресами
подключающиеся к цисе по PPPoe, авторизация на радиусе. Циска является
сервером доступа для этих абонентов + выполняет функции NAT. Все  работает,
однако в NetFlow для входящего из интернет трафика к абоненту выдается адрес
самой циски вместо приватного адреса абонента.

=============================================================================
astel_PPPoe2#show ip flow top-talkers
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/0         83.142.8.15     Local         83.142.11.120   06 048D 0017    92
Vi3           172.16.22.121   Local         83.142.11.120   01 0000 0800    47
Vi3           172.16.22.121   Fa0/0         194.87.0.50     01 0000 0800    26
Fa0/0         194.87.0.50     Vi3           83.142.11.120   01 0000 0000    24
4 of 100 top talkers shown. 4 flows processed.
=============================================================================
Соответственно, понять сколько реально накачал абонент невозможно. Люди
добрые, подскажите волшебное словечко чтобы в DstIPaddress писалось что надо.

Характерно, но ровно тоже самое _работает_ без проблем на 2800 и 7200, а с этой
гадиной никак.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Некорректно отдается заначенный адрес в NetFlow"  +/
Сообщение от vlad email(??) on 04-Фев-10, 17:27 
Конфиг проблемной циски:

=============================================================================
!
! Last configuration change at 17:16:26 MSK Thu Feb 4 2010 by admin
! NVRAM config last updated at 16:58:16 MSK Thu Feb 4 2010 by admin
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname astel_PPPoe2
!
boot-start-marker
boot system flash:c5400-ik9s-mz124-21.bin
no boot startup-test
boot-end-marker
!
enable password 7 xxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
!
resource-pool disable
aaa new-model
aaa session-mib disconnect
!
!
aaa group server radius astelradius
server 192.168.x.xx auth-port 1812 acct-port 1813
deadtime 0
!
aaa authentication login default local
aaa authentication ppp default local group astelradius
aaa authorization network default group astelradius
aaa accounting delay-start
aaa accounting update periodic 1
aaa accounting network default start-stop group astelradius
!
aaa session-id unique
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
spe default-firmware spe-firmware-1
ip flow-egress input-interface
ip flow-cache entries 76000
ip flow-cache timeout inactive 35
ip flow-cache timeout active 1
!
no ip cef
no ip domain lookup
!
ip accounting-threshold 150000
ip accounting-list 0.0.0.0 255.255.255.255
virtual-profile if-needed
vpdn enable
!
username admin password 7 xxxxxxxxxxxxxxxxxxxxxxxxxx
!
bba-group pppoe global
virtual-template 1
sessions per-mac limit 1
sessions per-vlan limit 65535
!
!
interface FastEthernet0/0
ip address xx.xxx.11.120 255.255.255.0
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/0.1217
encapsulation dot1Q xxxx
no ip redirects
ip virtual-reassembly
pppoe enable group global
no cdp enable
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/1
no ip address
shutdown
clock rate 2000000
!
interface Virtual-Template1
mtu 1492
ip unnumbered FastEthernet0/0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp header-compression
no peer default ip address
traffic-shape rate 150000 15000 15000 200
ppp authentication pap callin
no clns route-cache
!
interface Group-Async0
ip unnumbered FastEthernet0/0
ip access-group 121 in
ip access-group 120 out
encapsulation ppp
async mode interactive
no peer default ip address
ppp authentication pap
ppp ipcp dns xx.xx.9.30 xx.xx.8.2
group-range 5/00 5/107
hold-queue 1 in
hold-queue 1 out
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination xx.xx.xx.xx 99xx
ip flow-top-talkers
top 100
sort-by packets
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.x
no ip http server
no ip http secure-server
!
ip nat inside source list 23 interface FastEthernet0/0 overload
!
access-list 23 permit xxx.xx.0.0 0.0.255.255
access-list 55 permit xxx.xxx.0.xx
access-list 101 deny   ip xxx.xxx.0.0 0.0.0.255 any
access-list 101 permit ip any any
access-list 102 deny   ip any xxx.xxx.0.0 0.0.0.255
access-list 102 permit ip any any
access-list 110 permit tcp any host xxx.xxx.0.xx eq www
access-list 110 permit udp any host xxx.xx.xxx.xx eq domain
access-list 110 permit udp any host xx.xxx.x.xx eq domain
access-list 110 permit udp any host xx.xxx.x.x eq domain
access-list 110 permit icmp any host xxx.xxx.0.xx
access-list 110 deny   ip any any
access-list 120 permit tcp any host xxx.xxx.x.xx eq www
access-list 120 permit icmp any host xxx.xxx.xxx.x
access-list 120 deny   ip any host xxx.xx.0.xx
access-list 120 permit ip any any
snmp-server community xxxxxxxxxxxxx RW 55
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host xxx.xxx.0.xx astelkorlpows
no cdp run
!
snmp ifmib ifalias long
!
!
radius-server attribute 8 include-in-access-req
radius-server host xxx.xxx.x.xx auth-port xxxx acct-port xxxx key 7 xxxxxxxxxxxxxxxxxxxxx
radius-server retransmit 2
radius-server timeout 28
radius-server unique-ident 134
radius-server vsa send accounting
radius-server vsa send authentication
!
control-plane
!
line con 0
line aux 0
line vty 0 4
line 5/00 5/107
modem InOut
autoselect ppp
!
ntp master 1
ntp server 194.87.0.32
end

================================================================================

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Некорректно отдается заначенный адрес в NetFlow"  +/
Сообщение от usernamehost.ru on 05-Фев-10, 08:12 
Используйте поиск по словам: cisco nat netlow loopback

грабля классическая, решеная на сто раз.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Некорректно отдается заначенный адрес в NetFlow"  +/
Сообщение от vlad email(??) on 05-Фев-10, 08:15 
>Используйте поиск по словам: cisco nat netlow loopback
>
>грабля классическая, решеная на сто раз.

Не помогает, пробовал. Зачем вообще эту бодягу с лопбэками постят сюда?
Для совсем древних IOS может быть это и помогало, но в любом случае это тормоза.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру