Настройка netflow потока для версий IOS 15 и выше
Базовая конфигурация
В версии IOS 15 изменился синтаксис настройки netflow. По умолчанию cisco использует версию netflow 9. Для использования версии netflow 5, её нужно явно указать в конфигурации.
flow exporter CarbonBilling destination 10.0.0.1 source GigabitEthernet0/0/0 transport udp 9996 export-protocol netflow-v5 ! ! flow monitor CarbonBilling-monitor exporter CarbonBilling record netflow-original
interface GigabitEthernet0/0/1
ip flow monitor CarbonBilling-monitor input
ip flow monitor CarbonBilling-monitor output
Расширенная конфигурация
При необходимости можно создать собственное правило записи netflow
flow record Custom-analysis match ipv4 source address match ipv4 destination address match transport tcp source-port match transport tcp destination-port collect counter bytes collect counter packets
Далее нужно указать его в секции monitor
flow monitor CarbonBilling-monitor exporter CarbonBilling record Custom-analysis
Логирование НАТ трансляций
 | В Carbon Billing 5 нет возможности обрабатывать НАТ трансляции из netflow на оборудовании cisco. |
На оборудовании cisco логирование НАТ трансляций включается в отдельном потоке netflow. В биллинг эти потоки приходят с разных src портов. В основном netflow потоке приходят данные об объёме переданного трафика. В netflow потоке c НАТ трансляциями данные приходят без объема, поэтому биллинг не может их обработать. Для справки приводим команду включения НАТ логирования в netflow.
ip nat log translations flow-export v9 udp destination 10.0.0.1 9996 GigabitEthernet0/0/1
Один внешний адрес для сессий с одного серого IP
Включите опцию:
ip nat settings pap
Укажите количество серых адресов на один внешний. По умолчанию 120:
ip nat settings pap limit 250
DHCP relay
Включить DHCP relay на интерфейсе:
GigabitEthernet0/0/1 ip helper-address 10.0.0.1
Запросы будут перенаправлены с primary ip GigabitEthernet0/0/1 на ip 10.0.0.1
Не проходит авторизация
В некоторых случаях cisco может отправлять неверный пароль в radius-access пакете. Если конфигурация вставлена напрямую в консоль, cisco может добавить пробел или спецсимвол к паролю в команде. Ниже пример такого запроса, в атрибуте User-Password - "мусор". Для решения проблемы введите вручную все части конфигурации, где нужен пароль.
Ready to process requests. rad_recv: Access-Request packet from host 10.61.0.4 port 1645, id=117, length=133 User-Name = "100.64.10.2" User-Password = "%\334Ä<89>:\225\360\334\3129:\215\311\330K\337" Cisco-Account-Info = "S100.64.10.2" NAS-Port-Type = Virtual Cisco-NAS-Port = "0/0/0/700" NAS-Port = 0 NAS-Port-Id = "0/0/0/700" Service-Type = Outbound-User NAS-IP-Address = 10.61.0.4 Acct-Session-Id = "0000008C"
Полезные команды
Включить/отключить режим отладки RADIUS:
debug radius no debug radius
Просмотреть отладку RADIUS:
terminal monitor
Просмотр всех сессий:
show subscriber session
Политики по сессиям:
show subscriber session detail
Детально по сессии:
show subscriber session identifier authenticated-username 100.65.99.254
Супер детально:
show subscriber session detailed identifier username 100.65.99.254
Загрузка всех интерфейсов:
show interfaces summary
Информация об интерфейсе:
show interfaces TenGigabitEthernet 0/0/1
Статистика по сессиям:
show subscriber statistics
Сбросим все неавторизованные сессии:
clear subscriber session identifier authen-status unauthenticated
Сколько аторизованных и неавторизованных сессий:
show subscriber statistics | i authenticated
Посмотреть информацию по оптическому транссиверу:
show interfaces TenGigabitEthernet 0/0/0 transceiver
Посмотреть все НАТ трансляции:
show ip nat statistics
Сбросить все НАТ трансляции:
clear ip nat translation *
Принять неподдержиаемые cisco транссиверы:
service unsupported-transceiver
Отправлять radius запросы с IP интерфейса GigabitEthernet0/0/0
aaa group server radius CRB_AAAGS_IPOE
ip radius source-interface GigabitEthernet0/0/0