현재 NetFlow는 내부 IP가 아닌 외부 IP로 (인바운드 트래픽의) 대상을 표시하고 있습니다. 또한 모든 아웃바운드 트래픽에 대해 소스가 워크스테이션이 아닌 방화벽으로 표시됩니다. 이에 대한 실제 소스/대상을 찾는 방법에 대한 아이디어가 있습니까?
답변1
나는 당신이 다음과 다소 유사한 설정을 가지고 있다고 생각합니다.
LAN - FW - 라우터 ---- 인터넷
방화벽에서 NAT를 사용하시나요? 그렇다면 NetFlow에서 직접 실제 대상을 얻을 수 있는 확실한 방법은 없습니다. 왜냐하면 라우터에 관한 한 패킷의 유일한 소스는 방화벽의 NAT 풀이기 때문입니다. 정기적으로 방화벽에서 NAT 매핑을 추출한 다음 NetFlow 데이터를 사후 처리하는 것이 가능할 수 있지만, 이를 위해서는 맞춤형 코딩이 필요하고 오류가 발생하기 쉬울 것으로 생각됩니다.
간단히 말해서, 아니, 내 생각엔 당신은 운이 없는 것 같아요.
편집하다:
실제 IP 주소로 몇 가지 자유를 취한다면: 내부: 192.168.0.0/24 NAT 풀: 172.27.10.3 - 172.27.10.5
내부 호스트 192.168.0.17에서 외부 호스트 66.102.9.104까지 TCP 패킷을 추적해 보겠습니다.
Source IP: 192.168.0.17 [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3 [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
결국 반환 패킷이 도착합니다.
Source IP: 66.102.9.104 [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104 [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732
NAT가 방화벽에서 발생하므로 라우터는 "외부" 주소만 볼 수 있으며 "내부" IP를 특정 패킷과 연관시킬 수 없습니다.
답변2
이전 답변에 동의합니다. 우리는 netflow를 모니터링하는 라우터가 8개 있고 이것이 제가 사용한 방법입니다.
답변3
이 게임을 한지 꽤 시간이 지났는데 비슷한 문제가 있었던 것 같습니다. 메모리가 제공된다면 WAN 인터페이스 대신 LAN 인터페이스의 트래픽을 참조하도록 IOS에 지시해야 했습니다. 분명히 이것은 토폴로지에 따라 다르지만 다음 명령이 이 문제를 해결했다고 생각합니다.
ip flow-export source FastEthernet0/0