The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Cisco + NAT + NetFlow через Loopback0 - странно работает "
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Cisco + NAT + NetFlow через Loopback0 - странно работает " 
Сообщение от 029ah emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 10-Авг-04, 15:13  (MSK)
Cisco 2600XM, 2 FastEthernet:
FA0/0 - 192.168.1.8
FA0/1 - 6x.xx.xx.x4

сделал как писали - заворачиваю пакеты с внешнего интерфейса на Loopback0, где они разначиваются, и вся статистика шлется по NetFlow на 192.168.1.1

проблема в том, что статистика идет такого вида:

192.168.1.1:33304       ->      213.180.193.123:80 [416 bytes]
192.168.1.1:33305       ->      213.180.193.123:80 [374 bytes]
192.168.1.1:33306       ->      213.180.193.123:80 [403 bytes]
192.168.1.1:33307       ->      213.180.193.123:80 [400 bytes]

213.180.193.123:80      ->      6x.xx.xx.x4:33304 [112 bytes]
213.180.193.123:80      ->      6x.xx.xx.x4:33305 [112 bytes]
213.180.193.123:80      ->      6x.xx.xx.x4:33306 [112 bytes]
213.180.193.123:80      ->      6x.xx.xx.x4:33307 [112 bytes]

213.180.193.123:80      ->      192.168.1.1:33304 [1621 bytes]
213.180.193.123:80      ->      192.168.1.1:33305 [492 bytes]
213.180.193.123:80      ->      192.168.1.1:33306 [1426 bytes]
213.180.193.123:80      ->      192.168.1.1:33307 [1484 bytes]

т.е. исходящие считаются нормально, а входящие - несколько байт с каждого соединения перепадает на 6x.xx.xx.x4, а остальное нормально разNATивается

interface Loopback0
ip address 10.254.254.1 255.255.255.0
ip route-cache same-interface
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
ip address 192.168.1.8 255.255.255.0
ip access-group 100 in
no ip proxy-arp
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
fair-queue
no cdp enable
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 6x.xx.xx.x4 255.255.255.252
ip access-group 101 in
no ip redirects
no ip proxy-arp
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
duplex auto
speed auto
fair-queue
no cdp enable
!
ip nat pool DNAT-POOL 6x.xx.xx.x4 6x.xx.xx.x4 netmask 255.255.255.0
ip nat inside source list 102 pool DNAT-POOL overload
ip nat inside source static 192.168.1.11 6x.xx.xx.x5

ip flow-export version 5
ip flow-export destination 192.168.1.1 9991
ip classless
ip route 0.0.0.0 0.0.0.0 6x.xx.xx.x3

access-list 102 permit ip 192.168.0.0 0.0.255.255 any
access-list 103 permit ip any 192.168.0.0 0.0.255.255
access-list 103 permit ip any any
access-list 103 permit ip any 6x.xx.xx.xx 0.0.0.15
route-map MAP permit 10
match ip address 103
set interface Loopback0
!


  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Cisco + NAT + NetFlow через Loopback0 - странно работает " 
Сообщение от sh_ emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 10-Авг-04, 17:18  (MSK)
Mozhno poprobovat' v route-map vmesto set int loo0 postavit' set int loo 0 fast 0/0. I iz loopback'a ubrat' policy i ubrat' access-list 103 permit ip any 6x.xx.xx.xx 0.0.0.15
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Cisco + NAT + NetFlow через Loopback0 - странно работает " 
Сообщение от slash Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 12-Авг-04, 18:08  (MSK)
попробуй убрать с внешнего интерфейса ip route cahe-flow
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Cisco + NAT + NetFlow через Loopback0 - странно работает " 
Сообщение от Вячеслав emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 10-Ноя-04, 23:15  (MSK)
Эту особенность никак нельзя побороть. На лупбэке можно отвинтить все что касается флова - на нем это один фиг не работает. Если открутить цеф на внешнем интрефее то входящий на нат траф не разложится по целевым хостам. Недостаток этот проявляется из за осоьенности работы цефа - первый падающий пакет обрабатывается как обычно, и в флове он отражается с дестом внешнего интерфея, а далее весь поток едет по скешированному цефом маршруту, вот он то в флове уже содержит разначенные дест адреса.

Итог - забейте на это, неразложенный по хостам траф 1-2 процента от всего через нат, с этим можно смрититься но нельзя исправить

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру