Derzeit zeigt NetFlow als Ziel (des eingehenden Datenverkehrs) unsere externe IP-Adresse und nicht unsere interne IP-Adresse an. Außerdem wird für den gesamten ausgehenden Datenverkehr unsere Firewall und nicht die Arbeitsstationen als Quelle angezeigt. Irgendwelche Ideen, wie man die wahre Quelle/das wahre Ziel dafür findet?
Antwort1
Ich nehme an, Ihr Setup ähnelt dem folgenden:
LAN - FW - Router ---- Internet
Mit NATing in der Firewall? Wenn ja, gibt es keine offensichtliche Möglichkeit, echte Ziele direkt in NetFlow zu erhalten, denn soweit es den Router betrifft, ist die einzige Paketquelle der NAT-Pool in der Firewall. Es ist möglicherweise möglich, die NAT-Zuordnungen regelmäßig aus der Firewall zu extrahieren und dann die NetFlow-Daten nachzubearbeiten, aber ich vermute, dass dies eine spezielle Codierung erfordern und fehleranfällig sein würde.
Kurz gesagt: Nein, ich glaube, Sie haben Pech gehabt.
Bearbeiten:
Wenn wir uns ein paar Freiheiten mit den tatsächlichen IP-Adressen nehmen: Innen: 192.168.0.0/24 NAT-Pool: 172.27.10.3 - 172.27.10.5
Lassen Sie uns ein TCP-Paket vom internen Host 192.168.0.17 zum externen Host 66.102.9.104 verfolgen
Source IP: 192.168.0.17 [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3 [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
Schließlich kommt ein Rückpaket an:
Source IP: 66.102.9.104 [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104 [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732
Da das NAT in der Firewall stattfindet, sieht der Router immer nur die „externen“ Adressen und kann die „interne“ IP keinem bestimmten Paket zuordnen.
Antwort2
Ich stimme der vorherigen Antwort zu. Wir haben 8 Router, auf denen ich Netflow überwache, und dies ist die Methode, die ich verwendet habe.
Antwort3
Es ist schon eine Weile her, seit ich damit herumgespielt habe, aber ich glaube, ich hatte ein ähnliches Problem. Wenn ich mich recht erinnere, musste ich IOS anweisen, den Datenverkehr von meiner LAN-Schnittstelle statt von meiner WAN-Schnittstelle zu beziehen. Natürlich hängt das von Ihrer Topologie ab, aber ich glaube, der folgende Befehl hat es für mich gelöst:
ip flow-export source FastEthernet0/0