Lassen Sie NetFlow echte Ziele anzeigen

Question 1

Ich nehme an, Ihr Setup ähnelt dem folgenden:

LAN - FW - Router ---- Internet

Mit NATing in der Firewall? Wenn ja, gibt es keine offensichtliche Möglichkeit, echte Ziele direkt in NetFlow zu erhalten, denn soweit es den Router betrifft, ist die einzige Paketquelle der NAT-Pool in der Firewall. Es ist möglicherweise möglich, die NAT-Zuordnungen regelmäßig aus der Firewall zu extrahieren und dann die NetFlow-Daten nachzubearbeiten, aber ich vermute, dass dies eine spezielle Codierung erfordern und fehleranfällig sein würde.

Kurz gesagt: Nein, ich glaube, Sie haben Pech gehabt.

Bearbeiten:

Wenn wir uns ein paar Freiheiten mit den tatsächlichen IP-Adressen nehmen: Innen: 192.168.0.0/24 NAT-Pool: 172.27.10.3 - 172.27.10.5

Lassen Sie uns ein TCP-Paket vom internen Host 192.168.0.17 zum externen Host 66.102.9.104 verfolgen

Source IP: 192.168.0.17  [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3   [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80

Schließlich kommt ein Rückpaket an:

Source IP: 66.102.9.104  [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104  [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732

Da das NAT in der Firewall stattfindet, sieht der Router immer nur die „externen“ Adressen und kann die „interne“ IP keinem bestimmten Paket zuordnen.

Answer

Ich nehme an, Ihr Setup ähnelt dem folgenden:

LAN - FW - Router ---- Internet

Mit NATing in der Firewall? Wenn ja, gibt es keine offensichtliche Möglichkeit, echte Ziele direkt in NetFlow zu erhalten, denn soweit es den Router betrifft, ist die einzige Paketquelle der NAT-Pool in der Firewall. Es ist möglicherweise möglich, die NAT-Zuordnungen regelmäßig aus der Firewall zu extrahieren und dann die NetFlow-Daten nachzubearbeiten, aber ich vermute, dass dies eine spezielle Codierung erfordern und fehleranfällig sein würde.

Kurz gesagt: Nein, ich glaube, Sie haben Pech gehabt.

Bearbeiten:

Wenn wir uns ein paar Freiheiten mit den tatsächlichen IP-Adressen nehmen: Innen: 192.168.0.0/24 NAT-Pool: 172.27.10.3 - 172.27.10.5

Lassen Sie uns ein TCP-Paket vom internen Host 192.168.0.17 zum externen Host 66.102.9.104 verfolgen

Source IP: 192.168.0.17  [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3   [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80

Schließlich kommt ein Rückpaket an:

Source IP: 66.102.9.104  [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104  [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732

Da das NAT in der Firewall stattfindet, sieht der Router immer nur die „externen“ Adressen und kann die „interne“ IP keinem bestimmten Paket zuordnen.

Question 2

Ich stimme der vorherigen Antwort zu. Wir haben 8 Router, auf denen ich Netflow überwache, und dies ist die Methode, die ich verwendet habe.

Answer

Ich stimme der vorherigen Antwort zu. Wir haben 8 Router, auf denen ich Netflow überwache, und dies ist die Methode, die ich verwendet habe.

Question 3

Es ist schon eine Weile her, seit ich damit herumgespielt habe, aber ich glaube, ich hatte ein ähnliches Problem. Wenn ich mich recht erinnere, musste ich IOS anweisen, den Datenverkehr von meiner LAN-Schnittstelle statt von meiner WAN-Schnittstelle zu beziehen. Natürlich hängt das von Ihrer Topologie ab, aber ich glaube, der folgende Befehl hat es für mich gelöst:

ip flow-export source FastEthernet0/0

Answer

Es ist schon eine Weile her, seit ich damit herumgespielt habe, aber ich glaube, ich hatte ein ähnliches Problem. Wenn ich mich recht erinnere, musste ich IOS anweisen, den Datenverkehr von meiner LAN-Schnittstelle statt von meiner WAN-Schnittstelle zu beziehen. Natürlich hängt das von Ihrer Topologie ab, aber ich glaube, der folgende Befehl hat es für mich gelöst:

ip flow-export source FastEthernet0/0

Lassen Sie NetFlow echte Ziele anzeigen

Antwort1

Antwort2

Antwort3

verwandte Informationen