Проблемы с получением как входных, так и исходящих данных Netflow
У меня есть коммутатор Cisco 6500, который я хочу перехватывать весь входящий и исходящий трафик vlan8. Я поговорил со своей сетевой группой, и они настроили меня следующими командами. (Может быть, не точные команды, но это был пример, который я дал им)
конф т
ip flow-export version 5
ip flow-export destination 192.168.20.30 1234
int vlan8
выход IP-потока
ip flow Inress
ip route-cache stream
В настоящее время я собираю эти данные с помощью Ntop, и мы получаем много трафика. Я вижу весь входящий и исходящий трафик со всех машин vlan8 (192.168.8.0/24). Однако для любой машины, которая не находится в vlan8, но разговаривает с vlan8, я вижу только полученный трафик от них.
Ex. 192.168.8.10 заходит на сайт 192.168.9.20
Я вижу только полученный трафик с компьютера 192.168.9.20 и отсутствие отправленного трафика. Очевидно, что он отправил трафик, потому что 192.168.8.10 получил сайт.
Я просто хотел убедиться, что именно так Netflow собирает данные и все работает правильно. Мне кажется, что смысл 192.168.9.20 не в vlan8, он может не получать исходящий трафик (даже если он отправляет его в vlan8). В идеале я бы хотел отправлять и получать трафик от всего, что касается vlan8. Благодарю.
2 ответа
Нет необходимости иметь как входные, так и исходящие операторы. Операторы не указывают направление трафика, о котором вы хотите сообщить. Они указывают, в какой момент вы хотите сообщить о трафике.
У нас были проблемы с входом ip-потока и выходом ip-потока на одном и том же интерфейсе, что вызывало такой тип поведения.
Попробуйте удалить эти две команды и опустить их, чтобы просто выполнить ip route-cache stream и посмотреть, поможет ли это.
interface vlan 8
no ip flow egress
no ip flow ingress