У меня вот такая конфигурация сети:
Cisco (192.168.65.52) ---> (192.168.65.253) Mikrotik (192.168.63.253) ---> NetFlowCollector (192.168.63.248)
Cisco настроена отправлять netflow v5 и v9 на один и тот же коллектор, но на разные порты. Вот, что я вижу в логе работы файрвола на микротике:
Код: Выделить всё
net65forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:56598->192.168.63.248:9996, len 340
net65forward: in:ether2 out:LAN, src-mac 00:1b:d4:e2:9e:3d, proto UDP, 192.168.65.52:61758->192.168.63.248:9995, NAT (192.168.65.52:61758->192.168.63.253:61758)->192.168.63.248:9995, len 370
Соответственно, 63.248 на порту 9995 получает трафик с некорректным для моей задачи IP. Откуда берется подмена адреса я никак понять не могу. Правило маскарадинга у микротика только одно:
Код: Выделить всё
add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 src-address=192.168.63.0/24
Если с циски делать пинг, телнет на любой порт (в т.ч. 9995), делать трассировку (udp) - дампом на 192.168.63.248 я всегда вижу корректный src адрес 192.168.65.52
Помогите, пожалуйста, советом! Второй день уже бьюсь над разгадкой.
Mikrotik - 2011UiAS (RouterOS 6.31)
Конфиг netflow c циски:
v9
Код: Выделить всё
!
flow exporter FEXP-TEST1
destination 192.168.63.248
template data timeout 30
option interface-table timeout 60
option exporter-stats timeout 60
option vrf-table timeout 60
option sampler-table timeout 60
option application-table timeout 60
!
v5
Код: Выделить всё
!
ip flow-export source FastEthernet0/1
ip flow-export version 5
ip flow-export destination 192.168.63.248 9996
ip flow-top-talkers
top 5
sort-by bytes
cache-timeout 1000
!