- ip flow egress && nat ?,
 sm00th, 18:16 , 15-Авг-06 (1)>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>нат, не проходят tcp соединения...
>Здесь есть камни, которых я не знаю ? странно всё это
глянь пример конфигов сбора flow с натом http://www.netup.ru/articles.php?n=10 у меня после этого работал и flow и всё проходило вроде как.
- ip flow egress && nat ?, Rom1kz, 19:08 , 15-Авг-06 (3)
>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>>нат, не проходят tcp соединения...
>>Здесь есть камни, которых я не знаю ?
>
>странно всё это
>глянь пример конфигов сбора flow с натом
>
>http://www.netup.ru/articles.php?n=10
>
>у меня после этого работал и flow и всё проходило вроде как.
>Через loopback работает, но вариант этот мне не нравится по некоторым причинам.
Хочется проще и грамотней через ip flow egress, тем более железка и софт позволяют
- ip flow egress && nat ?, ilya, 18:22 , 15-Авг-06 (2)
>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>нат, не проходят tcp соединения...
>Здесь есть камни, которых я не знаю ?
что за железка и какой софт?
в версии 12.4 есть возможность и ingress и egress нетфлоу с одного интерфейса снимать.
- ip flow egress && nat ?, Rom1kz, 19:10 , 15-Авг-06 (4)
>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>>нат, не проходят tcp соединения...
>>Здесь есть камни, которых я не знаю ?
>
>
>что за железка и какой софт?
>в версии 12.4 есть возможность и ingress и egress нетфлоу с одного
>интерфейса снимать.
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(3c), RELEASE SOFTWARE (fc1)
Позволять-то позволяет, и по установившимся трансляциям ната траф снимает, а вот новые потоки нат уже не создаёт.
- ip flow egress && nat ?, ilya, 08:31 , 16-Авг-06 (5)
>>>Хочется снимать с интерфейса исходящий с него траф, на этом же интерфейсе
>>>включен ip nat inside. Как только включаю нетфлов сразу начинает глючить
>>>нат, не проходят tcp соединения...
>>>Здесь есть камни, которых я не знаю ?
>>
>>
>>что за железка и какой софт?
>>в версии 12.4 есть возможность и ingress и egress нетфлоу с одного
>>интерфейса снимать.
>
>
>Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(3c), RELEASE SOFTWARE (fc1)
>
>Позволять-то позволяет, и по установившимся трансляциям ната траф снимает, а вот новые
>потоки нат уже не создаёт. это скорее баг чем фича.
конфиг в студию. и попробуйте софт поменять на более свежий
- ip flow egress && nat ?, Rom1kz, 09:19 , 16-Авг-06 (6)
>это скорее баг чем фича.
>конфиг в студию. и попробуйте софт поменять на более свежий
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname host
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
ip cef
!
!
!
ip domain name host.ru
vpdn enable
!
vpdn-group 1
!
vpdn-group 2
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key xxx address x.x.x.x
!
!
crypto ipsec transform-set ts1 esp-des esp-md5-hmac
!
crypto map xxx 1 ipsec-isakmp
description name
set peer x.x.x.x
set transform-set ts1
set pfs group1
match address 102
!
!
!
interface Tunnel0
description ipsec
ip address x.x.x.x x.x.x.x
tunnel source x.x.x.x
tunnel destination x.x.x.x
tunnel mode ipip
crypto map xxx
!
interface FastEthernet0/0
description external
mac-address 0021.1234.4325
ip address x.x.x.x 255.255.255.240
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface FastEthernet0/1
description $ETH-WAN$
no ip address
duplex auto
speed auto !
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Virtual-Template1
ip unnumbered Vlan1
ip mroute-cache
peer default ip address pool PPTP
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!
interface Vlan1
ip address 192.168.150.61 255.255.255.0
ip nat inside
ip virtual-reassembly
ip flow egress
!
!
ip local pool PPTP 192.168.150.196 192.168.150.224
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip flow-export version 5
ip flow-export destination x.x.x.x 9996
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source list 10 interface FastEthernet0/0 overload
!
access-list 10 permit 192.168.150.0 0.0.0.255
access-list 102 permit ip host 192.168.190.131 host 192.168.190.130
access-list 110 permit ip any any
access-list 199 deny ip any any
route-map FLOW permit 10
match ip address 199
!
!
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
exec-timeout 0 0
privilege level 15
login local
transport input ssh
line vty 5 15
privilege level 15
login local
transport input ssh
!
end если включить на vlan1 ip route-cache flow, то нат работает, но трафик экспортируется и исходящий с интерфейса и входящий, игрался с ip policy route-map -- не помогло.
- ip flow egress && nat ?, vinni_jopa, 11:38 , 16-Авг-06 (7)
на интерфейсах (ip nat outside и ip nat inside ) включи ip route-cache flow - была такая грабля - решилась именно так
- ip flow egress && nat ?, Rom1kz, 15:30 , 21-Авг-06 (8)
>на интерфейсах (ip nat outside и ip nat inside ) включи ip
>route-cache flow - была такая грабля - решилась именно так
Траф снимается как приходящий так и уходящий, а нужно только egress.
- ip flow egress && nat ?, vinni_jopa, 15:33 , 21-Авг-06 (9)
ip flow-egress input-interface - почитай, не уверен что это оно
- ip flow egress && nat ?, Rom1kz, 16:16 , 21-Авг-06 (10)
>ip flow-egress input-interface - почитай, не уверен что это оно Пока проблему решил через no ip route-cache cef на нужном интерфейсе..
- ip flow egress && nat ?, Rom1kz, 11:03 , 10-Ноя-06 (11)
>>ip flow-egress input-interface - почитай, не уверен что это оно
>
>Пока проблему решил через no ip route-cache cef на нужном интерфейсе..
Рано я радовался, не весь траф попадает в кэш.. Попадает только 1 пакет. Например тяну с фтп файло, а в кэше вижу такое
Tu51 x.x.x.x Vl1* 192.168.150.101 06 0014 040E 1
И значение пакетов не растёт.
|
Версия для распечатки
ip flow egress && nat ?, 
