У меня есть коммутатор Cisco 6500, который я хочу перехватывать весь входящий и исходящий трафик vlan8. Я поговорил со своей сетевой группой, и они настроили меня с помощью следующих команд. (Может быть, это не точные команды, но это был пример, который я им привел)
конф т
ip flow-export версия 5
ip flow-export destination 192.168.20.30 1234
int vlan8
исходящий поток IP
вход IP-потока
поток ip route-cache
В настоящее время я собираю эти данные с помощью Ntop, и мы получаем много трафика. Я вижу весь входящий и исходящий трафик со всех машин vlan8 (192.168.8.0/24). Однако для любой машины, которая не находится в vlan8, но разговаривает с vlan8, я вижу только полученный от них трафик.
Ex. 192.168.8.10 переходит на сайт 192.168.9.20
Я вижу только полученный трафик с компьютера 192.168.9.20 и не вижу отправленного трафика. Очевидно, он отправил трафик, потому что 192.168.8.10 получил веб-сайт.
Я просто хотел убедиться, что Netflow собирает данные именно так и все работает правильно. Мне кажется логичным, что 192.168.9.20 нет в vlan8, он может не получать исходящий трафик (даже если он отправляет его на vlan8). В идеале я бы хотел отправлять и получать трафик от всего, что касается vlan8. Спасибо.
Необязательно иметь одновременно входящие и исходящие операторы. В заявлениях не указывается направление движения, о котором вы хотите сообщить. Они указывают, в какой момент вы хотите сообщить о трафике.
У нас были проблемы с входящим и исходящим IP-потоками, работающими на одном интерфейсе, вызывающими такое поведение.
Попробуйте удалить эти две команды и просто перейти к потоку ip route-cache flow и посмотреть, поможет ли это.
interface vlan 8
no ip flow egress
no ip flow ingress