https://slinkov.ru/openforum/vsluhforumID6/12423.html Господа, извиняюсь, что вновь поднимаю избитую тему, но нужна помощь.....<br>Есть сisco 1760 (IOS - 12.4(10) - c1700-ipbasek9-mz.124-10a.bin), поддержка netflow egress в нем есть. Нужно корректно настроить отдачу статистики по netflow c учетом наличия NAT.<br>Собственно все настроено, кроме того что в статистике отображается единый IP NAT, а не IP конечного пользователя.<br>В инете и на opennet.ru есть много статей по поводу предыдущих версий &#1030;OS (с заворачиванием через loopback и т.д.), но к сожалению loopback сильно влияет на производительность, а понятного описания как такое сделать с ip flow egress мне найти не удалось..... <br><br><br>cisco1760#show ip cache flow<br>IP packet size distribution (4629952 total packets):<br> 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480<br> .000 .552 .053 .010 .009 .004 .006 .004 .002 .001 .001 .002 .005 .007 .004<br><br> 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608<br> .004 .003 .012 .025 .286 .000 .000 .000 .000 .000 .000<br><br>IP Flow Switching https://slinkov.ru/openforum/vsluhforumID6/12423.html#10 Tue, 24 Nov 2009 08:03:18 GMT Добрый день!<br>Удалось решить проблему? Недавно столкнулся с подобным.<br><br> https://slinkov.ru/openforum/vsluhforumID6/12423.html#9 Thu, 11 Jan 2007 07:11:13 GMT &gt;Попробуй софтег поменять. У меня на IP Base 12.4 работает. <br>&gt;<br>&gt;2weris <br>&gt;Тормозит оно сильно через lopback <br><br>А я именно на IP BASE 12.4 и пробую (c1700-ipbasek9-mz.124-10a.bin), сегодня вечером попробую на ADVANCED SECURITY 12.4(12) - c1700-advsecurityk9-mz.124-12.bin, может действительно в IOS дело....<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/12423.html#8 Thu, 11 Jan 2007 06:48:35 GMT Попробуй софтег поменять. У меня на IP Base 12.4 работает.<br><br>2weris<br>Тормозит оно сильно через lopback https://slinkov.ru/openforum/vsluhforumID6/12423.html#7 Thu, 11 Jan 2007 04:36:18 GMT &gt;&gt;Опс. Давайте еще no ip flow-egress input-interface попробуем. :) <br>&gt;<br>&gt;К сожалению тоже не помогло, сейчас ситуация следющая (то, что имеет отношение <br>&gt;к теме, полностью конф вверху): <br>&gt;<br>&gt;ip cef <br>&gt;! <br>&gt;ip flow-export version 5 <br>&gt;ip flow-export destination 10.0.0.3 9996 <br>&gt;! <br>&gt;interface FastEthernet0/0 (LAN) <br>&gt;ip address 10.1.0.2 255.0.0.0 <br>&gt;ip flow ingress <br>&gt;ip flow egress <br>&gt;ip nat inside <br>&gt;.... <br>&gt;! <br>&gt;interface Serial0/0 (WAN) <br>&gt;ip address 80.XX.XXX.126 255.255.255.252 <br>&gt;ip nat outside <br>&gt;.... <br>&gt;! <br>&gt;<br>&gt;Т.е. ничего лишенего <br>&gt;sh ip cache flow <br>&gt;Fa0/0 10.0.0.77 <br>&gt; Local <br>&gt; 10.1.0.2 06 <br>&gt;06DF 0017 23 <br>&gt;Fa0/0 10.0.0.222 <br>&gt; Null <br>&gt; 80.91.160.2 11 84F6 0035 <br>&gt; 1 <br>&gt;Fa0/0 10.0.0.5 <br>&gt; Null <br>&gt; 195.137.203.194 06 B584 0015 <br>&gt; 2 <br>&gt;Fa0/0 80.XX.XXX.126 <br>&gt;Se0/0 87.1.17.242 <br>&gt; 06 E25F 9591 1 <br>&gt;<br>&gt;Fa0/0 80.XX.XXX.126 <br>&gt;Se0/0 82.149.1.82 <br>&gt; 06 8077 4201 18 <br>&gt;F https://slinkov.ru/openforum/vsluhforumID6/12423.html#6 Wed, 10 Jan 2007 17:43:45 GMT &gt;Опс. Давайте еще no ip flow-egress input-interface попробуем. :) <br><br>К сожалению тоже не помогло, сейчас ситуация следющая (то, что имеет отношение к теме, полностью конф вверху):<br><br>ip cef<br>!<br>ip flow-export version 5<br>ip flow-export destination 10.0.0.3 9996<br>!<br>interface FastEthernet0/0 (LAN)<br>ip address 10.1.0.2 255.0.0.0<br>ip flow ingress<br>ip flow egress<br>ip nat inside<br>....<br>!<br>interface Serial0/0 (WAN)<br>ip address 80.XX.XXX.126 255.255.255.252<br>ip nat outside<br>....<br>!<br><br>Т.е. ничего лишенего<br>sh ip cache flow<br>Fa0/0 10.0.0.77 Local 10.1.0.2 06 06DF 0017 23<br>Fa0/0 10.0.0.222 Null 80.91.160.2 11 84F6 0035 1<br>Fa0/0 10.0.0.5 Null 195.137.203.194 06 B584 0015 2<br>Fa0/0 80.XX.XXX.126 Se0/0 87.1.17.242 06 E25F 9591 1<br>Fa0/0 80.XX.XXX.126 Se0/0 82.149.1.82 06 8077 4201 18<br>Fa0/0 80.XX.XXX.126 Se0/0 72.141.13.183 06 B0B7 3946 2646<br>Fa0/0 80.XX.X https://slinkov.ru/openforum/vsluhforumID6/12423.html#5 Wed, 10 Jan 2007 15:24:34 GMT Опс. Давайте еще no ip flow-egress input-interface попробуем. :) https://slinkov.ru/openforum/vsluhforumID6/12423.html#4 Wed, 10 Jan 2007 11:59:56 GMT &gt;interface FastEthernet0/0 <br>&gt;no ip route-cache flow <br>&gt;interface Serial0/0 <br>&gt;no ip route-cache flow <br><br>сделал как вы написали - т.е. убрал ip route-cache flow на всех интерфейсах, не помогает...<br>в выводе show ip cache flow все по-прежнему :(<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/12423.html#3 Wed, 10 Jan 2007 11:24:36 GMT interface FastEthernet0/0<br>no ip route-cache flow<br>interface Serial0/0<br>no ip route-cache flow https://slinkov.ru/openforum/vsluhforumID6/12423.html#2 Wed, 10 Jan 2007 10:03:00 GMT Вот полный конфиг:<br><br>cisco1760#show running-config<br>Building configuration...<br><br>Current configuration : 6085 bytes<br>!<br>! Last configuration change at 10:02:03 EET Wed Jan 10 2007 by adms<br>! NVRAM config last updated at 12:16:06 EET Tue Jan 9 2007 by alexis<br>!<br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>service sequence-numbers<br>!<br>hostname cisco1760<br>!<br>boot-start-marker<br>boot system flash flash:c1700-ipbasek9-mz.124-10a.bin<br>boot-end-marker<br>!<br>security authentication failure rate 3 log<br>security passwords min-length 6<br>logging buffered 8000 debugging<br>enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br>!<br>aaa new-model<br>!<br>!<br>!<br>aaa session-id common<br>clock timezone EET 2<br>no ip source-route<br>ip cef<br>ip cef accounting per-prefix<br>!<br>!<br>ip tcp synwait-time 10<br>!<br>!<br>ip flow-egress input-interface<br>no ip bootp server<br>ip domain name XXXXXXXXXXXX.kiev.ua<br>ip ssh tim