我有一台 Cisco 6500 交换机,我想捕获所有传入和传出的 vlan8 流量。我与网络小组进行了交谈,他们为我设置了以下命令。(可能不是确切的命令,但这是我给他们的一个例子)
conf t
ip flow-export 版本 5
ip flow-export 目标 192.168.20.30 1234
int vlan8
ip flow egress
ip flow ingress
ip route-cache flow
我目前正在使用 Ntop 捕获这些数据,我们收到了很多流量。我看到了所有 vlan8 机器(192.168.8.0/24)的所有传入和传出流量。但是对于任何不在 vlan8 中但正在与 vlan8 通信的机器,我只看到从它们接收的流量。
例如,192.168.8.10 访问 192.168.9.20 上的网站,
我只看到来自 192.168.9.20 机器的接收流量,没有发送流量。显然它有发送流量,因为 192.168.8.10 接收了该网站。
我只是想验证 Netflow 是否以这种方式捕获数据,以及一切是否正常工作。我觉得这有点道理,因为 192.168.9.20 不在 vlan8 中,它可能无法获取出站流量(即使它将流量发送到 vlan8)。理想情况下,我希望从任何接触 vlan8 的设备发送和接收流量。谢谢。
答案1
我们在同一个接口上运行 ip flow ingress 和 ip flow egress 时遇到了问题,导致了这种行为。
尝试删除这两个命令并将其降至简单的 ip route-cache flow,看看是否有帮助。
interface vlan 8
no ip flow egress
no ip flow ingress
答案2
没有必要同时拥有入口和出口语句。这些语句并不表明您要报告的流量方向。它们表明您要在什么时候报告流量。