Прошу совета, как правильно настроить съем статистики netflow на маршрутизаторе Циско.
Прошу прощения, что может быть немного сумбурно объясню -в этом пока еще не очень силен.
Есть сетка, поднятая на оборудовании Cisco: центральный маршрутизатор 6500 серии и пользовательские коммутаторы.
Маршрутизатор сконфигурирован следующим образом: на нем подняты 2 виртуальных интерфейса с публичным ip-адресом на одном и серым на другом. Они называются, соответственно, vlan2 и vlan3. Эти вланы через порты маршрутизатора прокинуты на коммутаторы, и в них распределен народ с соответствующими адресами на ПК. На физических интерфейсах маршрутизатора ip-адресов нет.
Народ подключенный к vlan2 (с публичными адресами компьютеров), соответственно, имеет свободный доступ к интернету (наш порт провайдера, имеет адрес, тоже входящий в vlan2). Пользователи vlan3 ходят в инет через НАТ.
Конфиг физического интерфейса, через который идет соединение с провайдером:interface GigabitEthernet1/1
switchport
switchport trunk allowed vlan2
switchport mode trunk
udld port
no cdp enable
!Виртуальный с публичным адресом:
interface Vlan2
ip address 83.x.x.x 255.255.255.240
ip access-group filter2 in
ip access-group filter1 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip flow ingress
ip flow egress
!
Вопрос в том, что в таком виде собирается статистика только по пользователям НАТ. Те, кто сидит с публичным адресом в нее не попадают. А настроить нетфлов на интерфейсе к провайдеру мешает отсутствие на нем адреса.
>[оверквотинг удален]
> ip nat outside
> ip flow ingress
> ip flow egress
>!
>
>
>Вопрос в том, что в таком виде собирается статистика только по пользователям
>НАТ. Те, кто сидит с публичным адресом в нее не попадают.
>А настроить нетфлов на интерфейсе к провайдеру мешает отсутствие на нем
>адреса.1. 6500 - коммутатор netflow работает плохо(если можно сказать что работает)
2. netflow зло. snmp counter 64-bit на клиентском коммутаторе (клиентском порту) вам поможет.
>2. netflow зло. snmp counter 64-bit на клиентском коммутаторе (клиентском порту)
>вам поможет.На один порт клиентских коммутаторов может идти несколько ip-адресов, трафик по которым надо считать отдельно, так что этот вариант не проходит :(
>1. 6500 - коммутатор netflow работает плохо(если можно сказать что работает)
>2. netflow зло.А можно развернуто/аргументированно по данному тезису?
Для самого данный вопрос актуален.
В брошурке циски по netflow например написано, что на платформах сat4500/6500 netflow реализуется аппаратно на Asic-х. Почему он должен плохо работать?
А то я уже рассматриваю вопрос потенциальной миграции на указанные платформы для поддержки оного.
>>1. 6500 - коммутатор netflow работает плохо(если можно сказать что работает)
>>2. netflow зло.
>
>А можно развернуто/аргументированно по данному тезису?
>Для самого данный вопрос актуален.
>В брошурке циски по netflow например написано, что на платформах сat4500/6500 netflow
>реализуется аппаратно на Asic-х. Почему он должен плохо работать?
>А то я уже рассматриваю вопрос потенциальной миграции на указанные платформы для
>поддержки оного.сам производитель подтверждает что на трафике близком к 1 Gbit/sec расхождение реального и собранного трафика приближается к 35% на данном железе(проверено на 7600 с платой для netflow). советуют либо собирать кластер из 7200 или пользоваться GSR,asr и тд.
Вполне разумное ограничение по расположению точки сбора статистики - IP-интерфейс. На нём всё равно происходит разбор кадра до пакета. Сбор статистики передаваемого трафика по коммутируемому интерфейсу можно в плане общей нагрузки собирать через SNMP, а для детализации использовать зеркалирование на какой-либо tcpdump-скрипт, общитывающий попадающий на него трафик.
>Вполне разумное ограничение по расположению точки сбора статистики - IP-интерфейс. На нём
>всё равно происходит разбор кадра до пакета. Сбор статистики передаваемого трафика
>по коммутируемому интерфейсу можно в плане общей нагрузки собирать через SNMP,
>а для детализации использовать зеркалирование на какой-либо tcpdump-скрипт, общитывающий попадающий на
>него трафик.Я так понял, что в таком виде трафик целиком не посчитать. Он нормально считается только при маршрутизации, а не коммутации, как в моем случае. Т.е. надо у провайдера брать еще одну подсеть из 4 адресов для стыковки между его и нашим маршрутизатором, создавая в нашем устройстве точку маршрутизации и считать трафик на ней.
>случае. Т.е. надо у провайдера брать еще одну подсеть из 4
>адресов для стыковки между его и нашим маршрутизатором, создавая в нашем
>устройстве точку маршрутизации и считать трафик на ней.Если уже выделенных адресов с запасом - можно с провом договорится о выделении из этого диапазона адресов под линк.
можно даже поэкспериментировать с маской /31 - официально на сайте циско написано что ее можно и нужно применять на L3 линках. В лабах в УЦ пробовал - работает, но EIGRP на таких линках не поднимается, OSPF нормально отрабатывал.
>[оверквотинг удален]
>>адресов для стыковки между его и нашим маршрутизатором, создавая в нашем
>>устройстве точку маршрутизации и считать трафик на ней.
>
>Если уже выделенных адресов с запасом - можно с провом договорится о
>выделении из этого диапазона адресов под линк.
>
>можно даже поэкспериментировать с маской /31 - официально на сайте циско написано
>что ее можно и нужно применять на L3 линках. В лабах
>в УЦ пробовал - работает, но EIGRP на таких линках не
>поднимается, OSPF нормально отрабатывал.у нас построена сеть с линками /31. на моём сегменте работает BGP,OSPF на такой маске. в соседнем сегменте is-is. в регионах (по их заявлениям) EIGRP. так что в теории оно работает. попробую у них уточнить действительно ли у них EIGRP и префикс /31
>попробую у них
>уточнить действительно ли у них EIGRP и префикс /31давай, потом расскажешь - оченно интересно ;)
>
>>попробую у них
>>уточнить действительно ли у них EIGRP и префикс /31
>
>давай, потом расскажешь - оченно интересно ;)у меня на стенде и у самого заработало с первого раза и без проблем, без всякой донастройки, иос C7200-ADVENTERPRISEK9-M Version 12.4(15)T3. Железка 7204 NPE400
http://www.cisco.com/en/US/products/hw/switches/ps708/produc...Cat6500 может весь трафик посчитать, только нужно Netflow правильно включить ;)
>http://www.cisco.com/en/US/products/hw/switches/ps708/produc...
>
>Cat6500 может весь трафик посчитать, только нужно Netflow правильно включить ;)может быть:) но я сомневаюсь что цисковский инженер на демонстрации способен так накосячить:))))
>>http://www.cisco.com/en/US/products/hw/switches/ps708/produc...
>>
>>Cat6500 может весь трафик посчитать, только нужно Netflow правильно включить ;)
>
>может быть:) но я сомневаюсь что цисковский инженер на демонстрации способен так
>накосячить:))))Все может быть... даже врачи ошибаются... и даже дипломы покупают.
>>>http://www.cisco.com/en/US/products/hw/switches/ps708/produc...
>>>
>>>Cat6500 может весь трафик посчитать, только нужно Netflow правильно включить ;)
>>
>>может быть:) но я сомневаюсь что цисковский инженер на демонстрации способен так
>>накосячить:))))
>
>Все может быть... даже врачи ошибаются... и даже дипломы покупают.спорить не буду, но тогда они проект потеряли:))))) вкусный