======Получение статистики с Cisco-устройств======

ИКС поддерживает сборку статистики по ip-трафику с маршрутизаторов Cisco Systems по протоколу netflow версий 5 и 9. 

В нашем случае ИКС находится во внутренней сети предприятия, и имеет один сетевой интерфейс. 
В приведенном примере использованы следующие параметры сети:
Локальная сеть предприятия имеет адресацию: 192.168.0.0/255.255.255.0
Маршрутизатор Cisco – шлюз по умолчанию в сети, адрес внутреннего интерфейса: 192.168.0.254
ИКС – находится внутри локальной сети, адрес: 192.168.0.253

{{::ics-int-cisco.png|Схема сети}}

=====Настройка маршрутизатора Cisco=====

На маршрутизаторе мы настроим два сетевых интерфейса:

  Ethernet1/0 с адресом 64.233.167.99/255.255.255.255
  Ethernet1/1 с адресом 192.168.0.254/255.255.255.0

Конфигурационный файл маршрутизатора:

  version 12.3
  service timestamps debug datetime msec
  service timestamps log datetime msec
  no service password-encryption
  !
  hostname Router
  !
  boot-start-marker
  boot-end-marker
  !
  ip subnet-zero
  !
  ip cef
  !

Особенностью маршрутизаторов cisco является то, что маршрутизатор посылает по netflow статистику только входящих в интерфейс пакетов. Таким образом, при использовании NAT в качестве адреса назначения для всех пакетов с внешнего интерфейса будет указан 64.233.167.99 – внешний адрес маршрутизатора. Чтобы обойти это ограничение, нам необходимо после выполнения преобразования NAT перенаправить входящий трафик ещё на какой-то интерфейс. В нашем случае используется Loopback0:

  !
  interface Loopback0
  ip address 10.0.0.1 255.255.255.0
  ip route-cache policy
  ip route-cache flow
  !

Для внешнего сетевого интерфейса включается NAT, экспорт netflow и указывается опция перенаправления пакетов на Loopback0:

  !
  interface Ethernet1/0
  ip address 64.233.167.99 255.255.255.255
  ip nat outside
  ip route-cache policy
  ip route-cache flow
  ip policy route-map MAP
  !

Для внутреннего сетевого интерфейса включается NAT и экспорт netflow:

  !
  interface Ethernet1/1
  ip address 192.168.0.254 255.255.255.0
  ip nat inside
  ip route-cache policy
  ip route-cache flow
  !

Затем указываются параметры nat и адрес ИКС для экспорта netflow-статистики. Также указывается шлюз по умолчанию для доступа в интернет:

  !
  ip nat inside source list 1 interface Ethernet1/0 overload
  ip flow-export version 5
  ip flow-export destination 192.168.0.253 9995 (порт приема статистики на ИКС)
  ip classless
  ip route 0.0.0.0 0.0.0.0 213.187.105.999
  !

Списки доступа для nat и перенаправления трафика на Loopback0:

  !
  access-list 1 permit 192.168.0.0 0.0.0.255
  access-list 108 permit ip any 192.168.0.0 0.0.0.255
  !

Включаем SNMP сервер, чтобы мы могли получить конфигурацию сетевых интерфейсов на ИКС:

  !
  snmp-server community public RO
  snmp-server ifindex persist
  snmp-server enable traps tty
  !

Правила для перенаправления трафика для списка доступа 108 в интерфейс Loopback0:

  ! 
  route-map MAP permit 10
  match ip address 108
  set interface Loopback0 Ethernet1/1
  !
  End

Более подробную информацию по настройке netflow на маршрутизаторе cisco с использование NAT можно найти здесь:
http://www.opennet.ru/base/cisco/netflow_nat.txt.html

Начиная с IOS 12.3(11)T при настройке экспорта netflow, использовать loopback нет необходимости. Достаточно в настройках интерфейсов указать:

  ip flow ingress
  
=====Настройка ИКС=====

Предполагается, что первоначальная настройка ИКС уже выполнена и локальный сетевой интерфейс сконфигурирован.

Откройте модуль "Провайдеры и сети", перейдите во вкладку "Внешние устройства". Нажмите "Добавить" -> "Маршрутизатор Cisco".

{{::ics-int-cisco-add.png|Добавление маршрутизатора}}

В окне добавления устройство необходимо указать ip-адрес маршрутизатора. Поле Community string позволяет внести дополнительную текстовую информацию для SNMP. В поле "Порт для Netflow" указывается порт, который вы предварительно прописали в конфигурации cisco-устройства.

Теперь вы можете заводить пользователей на ИКС и выделять им адреса из локальной сети. Вся ip-статистика будет пересылаться с маршрутизатора Cisco и обрабатываться ИКС.

**Важно: для того, чтобы ИКС принимал netflow-статистику, необходимо, чтобы в списке пользователей был создан пользователь с присвоенным ему ip-адресом Cisco-маршрутизатора!** 

Следует заметить, что если ИКС не используется в качестве интернет-шлюза организации, то он не сможет выполнять функции контроля доступа клиентов в интернет, так как трафик клиентов идёт через маршрутизатор в обход ИКС.