forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проблема с ip traffic-export на cisco 1811"
Отправлено qp, 08-Окт-09 10:57

Здравствуйте!
Помогите пожалуйста решить следующую проблему. Пытаемся запустить у себя маршрутизатор cisco 1811. Интернет провайдер раздает по ADSL. К интерфейсу fa0 подключен ADSL – модем ZYXEL в режиме моста. На 1811 настроен интерфейс Dialer0 для соединения по PPPoE. Всё нормально работает. Но возникла необходимость отслеживания интернет – трафика. Разрулили это с помощью ip traffic-export: трафик с интерфейса Dialer0 экспортируется в интерфейс fa9 на mac-address 0000.0000.0001. Задан экспорт в обеих направлениях. Проблема в том, что на fa9 попадают только исходящие пакеты. deb ip traffic-export ev показывает следующее (пингуем удаленный хост):
RITE: exported output packet # 304
RITE:input pak export : No hwsb found
RITE: exported output packet # 305
RITE:input pak export : No hwsb found
RITE: exported output packet # 306
RITE:input pak export : No hwsb found
RITE: exported output packet # 307
RITE:input pak export : No hwsb found
Пробовали указывать реальный mac-адрес хоста, подключенного к fa9 – не помогает. В тоже время, если привязать экспорт трафика к fa0 – всё нормально работает (например обращение к ADSL модему). Такое ощущение, что это ограничение Dialer – интерфейсов. Может быть кто ни - будь сталкивался с похожей проблемой.
Конфигурация приведена ниже:
Using 3483 out of 196600 bytes
!
version 12.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname ir
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
no ip source-route
!
ip traffic-export profile VSI
  interface FastEthernet9
  bidirectional
  mac-address 0000.0000.0001
!
!
ip cef
!
!
no ip bootp server
no ip domain lookup
ip inspect name my1 tcp
ip inspect name my1 udp
ip inspect name my1 icmp
!
!
!
no spanning-tree vlan 1
no spanning-tree vlan 6
no spanning-tree vlan 24
!
!
!
!
!
!
interface FastEthernet0
ip address 192.168.6.1 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 8
!
interface FastEthernet4
switchport access vlan 8
!
interface FastEthernet5
switchport access vlan 8
!
interface FastEthernet6
switchport access vlan 8
!
interface FastEthernet7
switchport access vlan 8
!
interface FastEthernet8
switchport access vlan 8
!
interface FastEthernet9
switchport access vlan 9
!
interface Vlan1
ip address 192.168.5.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip inspect my1 in
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan8
no ip address
shutdown
!
interface Vlan9
no ip address
shutdown
!
interface Async1
no ip address
encapsulation slip
!
interface Dialer0
ip address negotiated
ip access-group 151 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect my1 out
ip virtual-reassembly
encapsulation ppp
ip traffic-export apply VSI
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname QQQ
ppp chap password QQQ
ppp pap sent-username QQQ password QQQ
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.1.0 255.255.255.0 192.168.5.7
ip route 192.168.2.0 255.255.255.0 192.168.5.7
!
!
no ip http server
no ip http secure-server
ip nat inside source route-map for-adsl interface FastEthernet0 overload
ip nat inside source route-map inet-vsi interface Dialer0 overload
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
access-list 151 deny   ip any any log
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map for-adsl permit 10
match ip address 101
match interface FastEthernet0
!
route-map inet-vsi permit 10
match ip address 101
match interface Dialer0
!
!
!
!
control-plane
!
!
line con 0
login local
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
access-class 101 in
exec-timeout 0 0
privilege level 15
logging synchronous
login local
transport input telnet ssh
!
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

Исходное сообщение
"Проблема с ip traffic-export на cisco 1811" Отправлено qp, 08-Окт-09 10:57
Здравствуйте! Помогите пожалуйста решить следующую проблему. Пытаемся запустить у себя маршрутизатор cisco 1811. Интернет провайдер раздает по ADSL. К интерфейсу fa0 подключен ADSL – модем ZYXEL в режиме моста. На 1811 настроен интерфейс Dialer0 для соединения по PPPoE. Всё нормально работает. Но возникла необходимость отслеживания интернет – трафика. Разрулили это с помощью ip traffic-export: трафик с интерфейса Dialer0 экспортируется в интерфейс fa9 на mac-address 0000.0000.0001. Задан экспорт в обеих направлениях. Проблема в том, что на fa9 попадают только исходящие пакеты. deb ip traffic-export ev показывает следующее (пингуем удаленный хост): RITE: exported output packet # 304 RITE:input pak export : No hwsb found RITE: exported output packet # 305 RITE:input pak export : No hwsb found RITE: exported output packet # 306 RITE:input pak export : No hwsb found RITE: exported output packet # 307 RITE:input pak export : No hwsb found Пробовали указывать реальный mac-адрес хоста, подключенного к fa9 – не помогает. В тоже время, если привязать экспорт трафика к fa0 – всё нормально работает (например обращение к ADSL модему). Такое ощущение, что это ограничение Dialer – интерфейсов. Может быть кто ни - будь сталкивался с похожей проблемой. Конфигурация приведена ниже: Using 3483 out of 196600 bytes ! version 12.4 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname ir ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! no aaa new-model ! resource policy ! no ip source-route ! ip traffic-export profile VSI interface FastEthernet9 bidirectional mac-address 0000.0000.0001 ! ! ip cef ! ! no ip bootp server no ip domain lookup ip inspect name my1 tcp ip inspect name my1 udp ip inspect name my1 icmp ! ! ! no spanning-tree vlan 1 no spanning-tree vlan 6 no spanning-tree vlan 24 ! ! ! ! ! ! interface FastEthernet0 ip address 192.168.6.1 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface FastEthernet1 no ip address duplex auto speed auto ! interface FastEthernet2 ! interface FastEthernet3 switchport access vlan 8 ! interface FastEthernet4 switchport access vlan 8 ! interface FastEthernet5 switchport access vlan 8 ! interface FastEthernet6 switchport access vlan 8 ! interface FastEthernet7 switchport access vlan 8 ! interface FastEthernet8 switchport access vlan 8 ! interface FastEthernet9 switchport access vlan 9 ! interface Vlan1 ip address 192.168.5.1 255.255.255.0 ip access-group 101 in ip nat inside ip inspect my1 in ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Vlan8 no ip address shutdown ! interface Vlan9 no ip address shutdown ! interface Async1 no ip address encapsulation slip ! interface Dialer0 ip address negotiated ip access-group 151 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip inspect my1 out ip virtual-reassembly encapsulation ppp ip traffic-export apply VSI dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname QQQ ppp chap password QQQ ppp pap sent-username QQQ password QQQ ! ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 192.168.1.0 255.255.255.0 192.168.5.7 ip route 192.168.2.0 255.255.255.0 192.168.5.7 ! ! no ip http server no ip http secure-server ip nat inside source route-map for-adsl interface FastEthernet0 overload ip nat inside source route-map inet-vsi interface Dialer0 overload ! access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 permit ip 192.168.2.0 0.0.0.255 any access-list 151 deny ip any any log dialer-list 1 protocol ip permit no cdp run ! ! ! route-map for-adsl permit 10 match ip address 101 match interface FastEthernet0 ! route-map inet-vsi permit 10 match ip address 101 match interface Dialer0 ! ! ! ! control-plane ! ! line con 0 login local line 1 modem InOut stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 access-class 101 in exec-timeout 0 0 privilege level 15 logging synchronous login local transport input telnet ssh ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру