отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .

Генерирование NetFlow роутером со SPAN порта свича

Имеется схема сети(в аттаче)

Свич вполне себе корректно зеркалирует трафик с Provider port на SPAN port(проверено).

Хотелось бы настроить интерфейс Gi0/1 Cisco 2911ой так что бы генерировался NetFlow статистика и отправлялась на 10.0.105.100

Причем очень НЕ хочется что бы зеркалируемый трафик приходящий на Gi0/1 маршрутизировался куда либо, во избежание флуда.

Пробовал настраивать следующим образом

 

ip cef

!

interface Loopback2

 no ip address

 ip policy route-map ToNULL

!

interface GigabitEthernet0/0

 ip address 10.0.105.3 255.255.255.0

 duplex auto

 speed auto

!

interface GigabitEthernet0/1

 no ip address

 ip flow ingress

 ip flow egress

 ip policy route-map ToLoop2 // Здесь пробовал сначала ставить ToNULL, но результат тот же.

 duplex auto

 speed auto

!

ip flow-export source GigabitEthernet0/0

ip flow-export version 5

ip flow-export destination 10.0.105.100 9996

!

access-list 44 permit any

access-list 55 permit any

!

route-map ToNULL permit 10

 match ip address 55

 set interface Null0

!

route-map ToLoop2 permit 10

 match ip address 44

 set interface Loopback2

 

Но в NetFlow статистике только широковещательный трафик :(

Что я делаю не так и возможно ли вообще генерировать NetFlow без прохождения трафика через роутер?

Теги (1)
1 ОТВЕТ

Если в NetFlow статистике что

Если в NetFlow статистике что-то есть, то это уже не плохо. Но зачем вы используете PBR - мне не понятно. У вас же там даже IP-адреса нету на интерфейсе - он у вас и так никуда этот трафик маршрутизировать и не будет.

Я тут вижу два варианта:

1) или у вас не работает RSPAN - проверьте его с помощью Wireshark, и убедитесь, что у вас чужой юникастный трафик вообще прилетает.

2) или такая схема работать не будет в принципе, что скорее всего.

 

Я как-то решал подобную задачу с помощью nProbe в режиме коллектора:

http://www.ntop.org/products/netflow/nprobe/

Т.е. вам вместо 2911 понадобится какой-нибудь сервер с двумя сетевыми интерфейсами.

 

 

54
Просмотры
0
Полезный материал
1
Ответы