четверг, 24 сентября 2009 г.

Catalyst 6500, netflow и vrf

Есть Catalyst 6500 с настроенными vrf'ами. Vrf ONE - корпоративный интернет, vrf TWO - управление устройством и другие сервисы. Необходимо снимать статистику по netflow для корпоративных пользователей.

Казалось бы, тривиальная задача - снять нетфлоу с interface vlan. Однако не тут то было. Не имея опыта работы с нетфлоу на каталистах, посмотрел на cisco.com решение. Итак, понеслась

Включаем mls netflow и netflow data export
mls netflow interface
mls flow ip interface-full
no mls flow ipv6
mls nde sender

Затем конфигурация интерфейса, назначения и включение netflow для layer 2 трафика. Все согласно мануалу.
!
interface Vlan10
description -- Internet IT --
ip vrf forwarding ONE
ip address xx.xx.xx.252 255.255.255.0
ip flow ingress
ip flow egress
!
end
!
ip flow ingress layer2-switched vlan 10
!
ip flow-export source Vlan10
ip flow-export version 9
ip flow-export destination xx.xx.xx.83 9996 vrf ONE

Надо заметить, что vrf конфигурируется в строке с ip flow-export destination. Нетфлоу на коммутаторе начал собираться
Switch#sh mls netflow ip
Displaying Netflow entries in Active Supervisor EARL in module 5
DstIP           SrcIP           Prot:SrcPort:DstPort  Src i/f          :AdjPtr
-----------------------------------------------------------------------------
Pkts         Bytes         Age   LastSeen  Attributes
---------------------------------------------------
77.72.138.62    xx.xx.xx.89    tcp :36828  :56882    Vl10             :0x0      
6            1184          6     13:02:17   L3 - Dynamic
77.88.21.90     xx.xx.xx.6     tcp :59719  :www      Vl10             :0x0      
6            3841          6     13:02:21   L3 - Dynamic
224.0.0.102     xx.xx.xx.253   udp :1985   :1985     Vl10             :0x0      
116          8906          285   13:02:19   Multicast
95.129.248.201  xx.xx.xx.8     tcp :57926  :7777     Vl10             :0x0      
20           929           6     13:02:21   L3 - Dynamic

А вот экспорт шел как-то не очень. То есть совсем не шел
Switch#sh ip flow export
Flow export v9 is enabled for main cache
Export source and destination details :
VRF ID : 2
Source(1)       xx.xx.xx.252 (Vlan10)
Destination(1)  xx.xx.xx.83 (9996)
Version 9 flow records
6 flows exported in 5 udp datagrams
0 flows failed due to lack of export packet
0 export packets were sent up to process level
0 export packets were dropped due to no fib
0 export packets were dropped due to adjacency issues
0 export packets were dropped due to fragmentation failures
0 export packets were dropped due to encapsulation fixup failures
0 export packets were dropped enqueuing for the RP
0 export packets were dropped due to IPC rate limiting
0 export packets were dropped due to Card not being able to export

И при всем этом nde вроде как нормально работает
Switch#sh mls nde
Netflow Data Export enabled
Exporting flows to  xx.xx.xx.83 (9996)
Exporting flows from xx.xx.xx.252 (63552)
Version: 7
Layer2 flow creation is enabled on vlan 10
Layer2 flow export is enabled on vlan 10
Include Filter not configured
Exclude Filter not configured
Total Netflow Data Export Packets are:
2921 packets, 0 no packets, 76301 records
Total Netflow Data Export Send Errors:
IPWRITE_NO_FIB = 0
IPWRITE_ADJ_FAILED = 0
IPWRITE_PROCESS = 0
IPWRITE_ENQUEUE_FAILED = 0
IPWRITE_IPC_FAILED = 0
IPWRITE_OUTPUT_FAILED = 0
IPWRITE_MTU_FAILED = 0
IPWRITE_ENCAPFIX_FAILED = 0
IPWRITE_CARD_FAILED = 0
Netflow Aggregation Disabled

На порт асы тоже ничего не прилетало. Итак, имеем проблему: нетфлоу собирается нормально, но за пределы устройства не вылетает.
Как оказалось, датаграммы отправлялись в интерфейс, который находился в глобальном vrf'e, несмотря на явное указание, куда направлять трафик. Проблема решилась статической записью маршрута до коллектора в глобальном vrf'e.
ip route xx.xx.xx.83 255.255.255.255 Vlan10
на 14:46
Теги: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)