Haga que NetFlow muestre destinos reales

Haga que NetFlow muestre destinos reales

Actualmente, NetFlow muestra el destino (del tráfico entrante) como nuestra IP externa en lugar de nuestra IP interna. Además, para todo el tráfico saliente, muestra la fuente como nuestro firewall en lugar de estaciones de trabajo. ¿Alguna idea sobre cómo encontrar el verdadero origen/destino de estos?

Respuesta1

Supongo que tienes una configuración algo similar a esta:

LAN - FW - Enrutador ---- Internet

¿Con NAT en el firewall? Si es así, no hay una forma obvia de obtener destinos verdaderos directamente en NetFlow, porque en lo que respecta al enrutador, la única fuente de paquetes es el grupo NAT en el firewall. Es posible extraer las asignaciones NAT del firewall de forma regular y luego postprocesar los datos de NetFlow, pero sospecho que requeriría cierta codificación personalizada y sería propenso a errores.

En resumen, no, creo que no tienes suerte.

Editar:

Si nos tomamos algunas libertades con las direcciones IP reales: Dentro: 192.168.0.0/24 Grupo NAT: 172.27.10.3 - 172.27.10.5

Rastreemos un paquete TCP desde el host interno 192.168.0.17 hasta el host externo 66.102.9.104

Source IP: 192.168.0.17  [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3   [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80

Finalmente llega un paquete de devolución:

Source IP: 66.102.9.104  [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104  [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732

A medida que la NAT ocurre en el firewall, el enrutador solo ve las direcciones "externas" y no puede correlacionar la IP "interna" con ningún paquete determinado.

Respuesta2

Estoy de acuerdo con la respuesta anterior. Tenemos 8 enrutadores en los que superviso el flujo de red y este es el método que he usado.

Respuesta3

Ha pasado un tiempo desde que jugué con esto, pero creo que tuve un problema similar. Si la memoria no me falla, tuve que decirle a IOS que hiciera referencia al tráfico de mi interfaz LAN en lugar de mi interfaz WAN. Obviamente esto depende de su topología, pero creo que el siguiente comando me solucionó el problema:

ip flow-export source FastEthernet0/0

información relacionada