NetFlow должен показывать истинные пункты назначения

Я полагаю, у вас примерно такая же конфигурация:

LAN - FW - Маршрутизатор ---- Интернет

С NAT в брандмауэре? Если так, то нет очевидного способа получить истинные пункты назначения напрямую в NetFlow, поскольку с точки зрения маршрутизатора единственным источником пакетов является пул NAT в брандмауэре. Возможно, можно регулярно извлекать сопоставления NAT из брандмауэра, а затем выполнять постобработку данных NetFlow, но я подозреваю, что это потребует некоторого индивидуального кодирования и будет подвержено ошибкам.

Короче говоря, нет, я думаю, вам не повезло.

Редактировать:

Если немного отойти от реальных IP-адресов: Внутри: 192.168.0.0/24 NAT-пул: 172.27.10.3 - 172.27.10.5

Давайте проследим TCP-пакет от внутреннего хоста 192.168.0.17 до внешнего хоста 66.102.9.104.

Source IP: 192.168.0.17  [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3   [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80

В конце концов приходит ответный пакет:

Source IP: 66.102.9.104  [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104  [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732

Поскольку NAT происходит в брандмауэре, маршрутизатор видит только «внешние» адреса и не может сопоставить «внутренний» IP-адрес с каким-либо заданным пакетом.

Я согласен с предыдущим ответом. У нас есть 8 маршрутизаторов, на которых я отслеживаю netflow, и это метод, который я использовал.

Прошло некоторое время с тех пор, как я играл с этим, но я думаю, что у меня была похожая проблема. Если память не изменяет, мне пришлось сказать IOS ссылаться на трафик с моего интерфейса LAN вместо моего интерфейса WAN. Очевидно, это зависит от вашей топологии, но я думаю, что следующая команда решила это для меня:

ip flow-export source FastEthernet0/0