URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17395
[ Назад ]

Исходное сообщение
"подсчет трафика для Cisco ASA 5510"

Отправлено Cwer74 , 17-Окт-08 14:32 
Есть Cisco ASA 5510 с nat-ом, через которую локальная сеть имеет доступ в инет. Как организовать подсчет трафика? В идеале нужно видеть в реальном времени количество соединений через циску и пройдешедших в каждом соединении байт.
Я смотрел SNMP и RADUIS. В snmp вобще не нашел информации о коннектах, а в RADIUS есть только удаленный адрес-порт, ни кол-ва пройденного трафика, ни локального адреса..

Содержание

Сообщения в этом обсуждении
"подсчет трафика для Cisco ASA 5510"
Отправлено Square , 17-Окт-08 14:54 
> Есть Cisco ASA 5510 с nat-ом, через которую локальная сеть имеет
>доступ в инет. Как организовать подсчет трафика? В идеале нужно видеть
>в реальном времени количество соединений через циску и пройдешедших в каждом
>соединении байт.
> Я смотрел SNMP и RADUIS. В snmp вобще не нашел информации
>о коннектах, а в RADIUS есть только удаленный адрес-порт, ни кол-ва
>пройденного трафика, ни локального адреса..

включить аккаунтинг...
ключевые слова для поиска - Cisco IP accouting


"подсчет трафика для Cisco ASA 5510"
Отправлено Cwer74 , 17-Окт-08 15:44 
>включить аккаунтинг...
>ключевые слова для поиска - Cisco IP accouting

Вы имели ввиду команду ip accounting ? в ASA нет такой команды

ciscoasa(config)# ip ?

configure mode commands/options:
  audit   Configure the Intrusion Detection System
  local   Define a local pool of IP addresses
  verify  Configure Unicast Reverse Path Filtering on an interface
ciscoasa(config)#


"подсчет трафика для Cisco ASA 5510"
Отправлено Square , 17-Окт-08 15:55 
>[оверквотинг удален]
>
>ciscoasa(config)# ip ?
>
>configure mode commands/options:
>  audit   Configure the Intrusion Detection System
>  local   Define a local pool of IP addresses
>
>  verify  Configure Unicast Reverse Path Filtering on an interface
>
>ciscoasa(config)#

это включается на интерфейсе...поиском вы пользоваться таки не желаете...

http://www.ciscopress.com/articles/article.asp?p=764234&seqN...


"подсчет трафика для Cisco ASA 5510"
Отправлено chocholl , 17-Окт-08 16:33 
помоему, это Вы не желаете читать вопрос...

автору: копай в сторону radius, по концу сессии asa пишет туда, время начала, конча, ip адреса, порты и колличество байт сессии.

второй вариант, кидать логи asa на syslog и парсить их, получишь тоже самое.


>[оверквотинг удален]
>>  audit   Configure the Intrusion Detection System
>>  local   Define a local pool of IP addresses
>>
>>  verify  Configure Unicast Reverse Path Filtering on an interface
>>
>>ciscoasa(config)#
>
>это включается на интерфейсе...поиском вы пользоваться таки не желаете...
>
>http://www.ciscopress.com/articles/article.asp?p=764234&seqN...


"подсчет трафика для Cisco ASA 5510"
Отправлено Square , 17-Окт-08 16:38 
>помоему, это Вы не желаете читать вопрос...
>
>автору: копай в сторону radius, по концу сессии asa пишет туда, время
>начала, конча, ip адреса, порты и колличество байт сессии.

И где тут наблюдение в онлайне?

гг НЕБЫЛО РАЗРЫВОВ!!! :))


"подсчет трафика для Cisco ASA 5510"
Отправлено chocholl , 17-Окт-08 16:42 
мой ответ ближе к желаемому ;)

гг ОТВЕЧАЙ НА МОЙ ОТВЕТ!! :))

>>помоему, это Вы не желаете читать вопрос...
>>
>>автору: копай в сторону radius, по концу сессии asa пишет туда, время
>>начала, конча, ip адреса, порты и колличество байт сессии.
>
>И где тут наблюдение в онлайне?
>
>гг НЕБЫЛО РАЗРЫВОВ!!! :))


"подсчет трафика для Cisco ASA 5510"
Отправлено Cwer74 , 18-Окт-08 12:08 
приходят только пакеты начала и конца сессии, вот что показывает tcpdump -vvv

13:33:21.193243 IP (tos 0x0, ttl 255, id 18522, offset 0, flags [none], proto UDP (17), length 228) 192.168.0.220.1026 > 192.168.0.199.1646: RADIUS, length: 200
        Accounting Request (4), id: 0xa8, Authenticator: 5b19654942368191bd130c244f5f107a
          Accounting Status Attribute (40), length: 6, Value: Start
            0x0000:  0000 0001
          NAS Port Attribute (5), length: 6, Value: 0
            0x0000:  0000 0000
          NAS IP Address Attribute (4), length: 6, Value: 192.168.0.220
            0x0000:  c0a8 00dc
          Login IP Host Attribute (14), length: 6, Value: 88.212.196.66
            0x0000:  58d4 c442
          Login TCP Port Attribute (16), length: 6, Value: 80
            0x0000:  0000 0050
          Accounting Session ID Attribute (44), length: 12, Value:  [|radius]
            0x0000:  3078 [|radius]
13:33:21.334698 IP (tos 0x0, ttl 255, id 3950, offset 0, flags [none], proto UDP (17), length 246) 192.168.0.220.1026 > 192.168.0.199.1646: RADIUS, length: 218
        Accounting Request (4), id: 0xac, Authenticator: 2adbcd5babfdaef3cb65a5894c562d4c
          Accounting Status Attribute (40), length: 6, Value: Stop
            0x0000:  0000 0002
          NAS Port Attribute (5), length: 6, Value: 0
            0x0000:  0000 0000
          NAS IP Address Attribute (4), length: 6, Value: 192.168.0.220
            0x0000:  c0a8 00dc
          Login IP Host Attribute (14), length: 6, Value: 88.212.196.66
            0x0000:  58d4 c442
          Login TCP Port Attribute (16), length: 6, Value: 80
            0x0000:  0000 0050
          Accounting Session ID Attribute (44), length: 12, Value:  [|radius]
            0x0000:  3078 [|radius]

локалка 192.168.0.0/24
192.168.0.220 - Cisco ASA
192.168.0.199 - хост, котороый указан как радиус сервер на циске
присылается только удаленный адрес и порт

конфиг:
aaa-server RAD protocol radius
aaa-server RAD (Inner) host 192.168.0.199
aaa accounting match accounting Inner RAD

может я чего от не нашел или не увидел? я в тупике :(

ссылка про ip accounting только для операционной системы Cisco IOS, а Cisco ASA это не работает, я проверил. В мануале написано что она может считать трафик, и описан способ который я здесь привел