... h2. Настройка netflow потока для версий IOS 15 и выше
h5. Базовая конфигурация
В версии IOS 15 изменился синтаксис настройки netflow. По умолчанию cisco использует версию netflow 9. Для использования версии netflow 5, её нужно явно указать в конфигурации.
{code:title=Конфигурация netflow}
flow exporter CarbonBilling
destination 10.0.0.1
source GigabitEthernet0/0/0
transport udp 9996
export-protocol netflow-v5
!
!
flow monitor CarbonBilling-monitor
exporter CarbonBilling
record netflow-original
{code}
{code:title=Назначьте правило на интерфейс}
interface GigabitEthernet0/0/1
ip flow monitor CarbonBilling-monitor input
ip flow monitor CarbonBilling-monitor output
{code}
h5. Расширенная конфигурация
При необходимости можно создать собственное правило записи netflow
{code}
flow record Custom-analysis
match ipv4 source address
match ipv4 destination address
match transport tcp source-port
match transport tcp destination-port
collect counter bytes
collect counter packets
{code}
Далее нужно указать его в секции monitor
{code}
flow monitor CarbonBilling-monitor
exporter CarbonBilling
record Custom-analysis
{code}
h2. Логирование НАТ трансляций
{note}
В Carbon Billing 5 нет возможности обрабатывать НАТ трансляции из netflow на оборудовании cisco.
{note}
На оборудовании cisco логирование НАТ трансляций включается в отдельном потоке netflow. В биллинг эти потоки приходят с разных src портов. В основном netflow потоке приходят данные об объёме переданного трафика. В netflow потоке c НАТ трансляциями данные приходят без объема, поэтому биллинг не может их обработать. Для справки приводим команду включения НАТ логирования в netflow.
{code}
ip nat log translations flow-export v9 udp destination 10.0.0.1 9996 GigabitEthernet0/0/1
{code}
h2. Один внешний адрес для сессий с одного серого IP
Включите опцию:
{code}
ip nat settings pap
{code}
Укажите количество серых адресов на один внешний. По умолчанию 120:
{code}
ip nat settings pap limit 250
{code}
h2. DHCP relay
Включить DHCP relay на интерфейсе:
{code}
GigabitEthernet0/0/1
ip helper-address 10.0.0.1
{code}
|
Запросы будут перенаправлены с primary ip GigabitEthernet0/0/1 на ip 10.0.0.1
|
h2. Не проходит авторизация
В некоторых случаях cisco может отправлять неверный пароль в radius-access пакете. Если конфигурация вставлена напрямую в консоль, cisco может добавить пробел или спецсимвол к паролю в команде. Ниже пример такого запроса, в атрибуте *User-Password* - "мусор". Для решения проблемы введите вручную все части конфигурации, где нужен пароль.
{code}
Ready to process requests.
rad_recv: Access-Request packet from host 10.61.0.4 port 1645, id=117, length=133
User-Name = "100.64.10.2"
User-Password = "%\334Ä<89>:\225\360\334\3129:\215\311\330K\337"
Cisco-Account-Info = "S100.64.10.2"
NAS-Port-Type = Virtual
Cisco-NAS-Port = "0/0/0/700"
NAS-Port = 0
NAS-Port-Id = "0/0/0/700"
Service-Type = Outbound-User
NAS-IP-Address = 10.61.0.4
Acct-Session-Id = "0000008C"
{code}
|
h2. Полезные команды
Включить/отключить режим отладки RADIUS:
|
... {code}
debug radius
no debug radius
{code}
Просмотреть отладку RADIUS:
{code}
|
terminal monitor
{code}
|
Отключить логирование НАТ сессий(может мешать отладки в консоли). Выполнять в режиме конфигурации.
{code}
no ip nat log translations
{code}
|
Просмотр всех сессий:
{code}
|
... show subscriber session
{code}
Политики по сессиям:
{code}
show subscriber session detail
{code}
Детально по сессии:
{code}
show subscriber session identifier authenticated-username 100.65.99.254
{code}
Супер детально:
{code}
show subscriber session detailed identifier username 100.65.99.254
{code}
Загрузка всех интерфейсов:
{code}
show interfaces summary
{code}
Информация об интерфейсе:
{code}
show interfaces TenGigabitEthernet 0/0/1
{code}
Статистика по сессиям:
{code}
show subscriber statistics
{code}
Сбросим все неавторизованные сессии:
{code}
clear subscriber session identifier authen-status unauthenticated
{code}
Сколько аторизованных и неавторизованных сессий:
{code}
show subscriber statistics | i authenticated
{code}
Посмотреть информацию по оптическому транссиверу:
{code}
show interfaces TenGigabitEthernet 0/0/0 transceiver
{code}
Посмотреть все НАТ трансляции:
{code}
show ip nat statistics
{code}
Сбросить все НАТ трансляции:
{code}
clear ip nat translation *
{code}
Принять неподдержиаемые cisco транссиверы:
{code}
|
service unsupported-transceiver
{code}
|
Отправлять radius запросы с IP интерфейса GigabitEthernet0/0/0
{code}
aaa group server radius CRB_AAAGS_IPOE
ip radius source-interface GigabitEthernet0/0/0
{code}
|
