現在、NetFlow は、宛先 (受信トラフィック) を内部 IP ではなく外部 IP として表示しています。また、すべての送信トラフィックについては、送信元がワークステーションではなくファイアウォールとして表示されています。これらの実際の送信元/宛先を見つける方法について何かアイデアはありますか?
答え1
次のような設定になっていると思います:
LAN - FW - ルーター ---- インターネット
ファイアウォールで NAT を使用する場合はどうでしょうか。その場合、ルータに関する限り、パケットの唯一のソースはファイアウォールの NAT プールであるため、NetFlow で直接実際の宛先を取得できる明白な方法はありません。ファイアウォールから NAT マッピングを定期的に抽出し、NetFlow データを後処理することは可能かもしれませんが、それには特別なコーディングが必要になり、エラーが発生しやすくなると思われます。
一言で言えば、いいえ、運が悪いと思います。
編集:
実際の IP アドレスを少し変更すると、次のようになります。内部: 192.168.0.0/24 NAT プール: 172.27.10.3 - 172.27.10.5
内部ホスト192.168.0.17から外部ホスト66.102.9.104へのTCPパケットをトレースしてみましょう。
Source IP: 192.168.0.17 [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3 [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
最終的に、返信パケットが到着します。
Source IP: 66.102.9.104 [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104 [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732
NAT はファイアウォール内で行われるため、ルータは「外部」アドレスのみを認識し、「内部」 IP を特定のパケットに関連付けることはできません。
答え2
前の回答に同意します。ネットフローを監視するルーターが 8 台あり、これが私が使用した方法です。
答え3
これを試してからしばらく経ちましたが、似たような問題があったと思います。記憶が正しければ、WAN インターフェイスではなく LAN インターフェイスからのトラフィックを参照するように IOS に指示する必要がありました。これは明らかにトポロジに依存しますが、次のコマンドで解決できたと思います。
ip flow-export source FastEthernet0/0