目前,NetFlow 显示目的地(入站流量)为我们的外部 IP,而不是内部 IP。此外,对于所有出站流量,它将源显示为我们的防火墙,而不是工作站。关于如何找到这些流量的真正源/目的地,您有什么想法吗?
答案1
我认为你的设置与此类似:
LAN - FW - 路由器 ---- 互联网
防火墙中有 NATing 吗?如果是这样,那么没有明显的方法可以直接在 NetFlow 中获取真正的目的地,因为就路由器而言,数据包的唯一来源是防火墙中的 NAT 池。也许可以定期从防火墙中提取 NAT 映射,然后对 NetFlow 数据进行后处理,但我怀疑这需要一些定制编码并且容易出错。
简而言之,不,我认为你运气不佳。
编辑:
如果我们对实际 IP 地址进行一些改动:内部:192.168.0.0/24 NAT 池:172.27.10.3 - 172.27.10.5
让我们跟踪从内部主机 192.168.0.17 到外部主机 66.102.9.104 的 TCP 数据包
Source IP: 192.168.0.17 [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3 [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
最终返回数据包到达:
Source IP: 66.102.9.104 [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104 [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732
由于 NAT 发生在防火墙中,路由器只能看到“外部”地址,而无法将“内部”IP 与任何给定的数据包关联起来。
答案2
我同意前面的回答。我们有 8 个路由器,我监控这些路由器上的 netflow,这是我使用的方法。
答案3
我玩这个已经有一段时间了,但我认为我遇到了类似的问题。如果我没记错的话,我不得不告诉 IOS 引用来自我的 LAN 接口而不是 WAN 接口的流量。显然这取决于您的拓扑,但我认为以下命令为我解决了这个问题:
ip flow-export source FastEthernet0/0