目前NetFlow显示目的地(入站stream量)作为我们的外部IP而不是内部IP。 而且,对于所有出站stream量,它将源代码显示为我们的防火墙而不是工作站。 任何想法如何find真正的来源/目的地这些?
我认为你有一个类似于这样的设置:
局域网 - FW - 路由器----互联网
NAT在防火墙中? 如果是这样的话,在NetFlow中直接获取真正的目的地的方法并不明显,因为就路由器而言,唯一的数据包来源是防火墙中的NAT池。 有可能定期从防火墙提取NAT映射,然后对NetFlow数据进行后处理,但是我怀疑这需要一些定制的编码,并且容易出错。
总之,不,我认为你运气不好。
编辑 :
如果我们采取一些实际的IP地址自由:内部:192.168.0.0/24 NAT池:172.27.10.3 – 172.27.10.5
让我们从主机192.168.0.17内部跟踪TCP数据包到外部主机66.102.9.104
Source IP: 192.168.0.17 [ INSIDE ] Source port: 16732 Dest IP: 66.102.9.104 Dest port: 80 ------------------- NAT location ------------------- Source IP: 172.27.10.3 [ OUTSIDE ] Source port: 16732 Dest IP: 66.102.9.104 Dest port: 80 最终返回数据包到达:
Source IP: 66.102.9.104 [ OUTSIDE ] Source port: 80 Dest IP: 172.27.10.3 Dest port: 16732 ------------------- NAT location ------------------- Source IP: 66.102.9.104 [ INSIDE ] Source port: 80 Dest IP: 192.168.0.17 Dest port: 16732
由于NAT发生在防火墙中,路由器只能看到“外部”地址,无法将“内部”IP关联到任何给定的数据包。
我同意以前的答案。 我们有8个路由器监视netflow,这是我用过的方法。
我玩过这个游戏已经有一段时间了,但是我觉得我也有类似的问题。 如果内存服务,我不得不告诉IOS引用从我的LAN接口,而不是我的WAN接口的stream量。 显然这取决于你的拓扑结构,但我认为下面的命令为我解决了这个问题:
ip flow-export source FastEthernet0/0