======Получение статистики с Cisco-устройств====== ИКС поддерживает сборку статистики по ip-трафику с маршрутизаторов Cisco Systems по протоколу netflow версий 5 и 9. В нашем случае ИКС находится во внутренней сети предприятия, и имеет один сетевой интерфейс. В приведенном примере использованы следующие параметры сети: Локальная сеть предприятия имеет адресацию: 192.168.0.0/255.255.255.0 Маршрутизатор Cisco – шлюз по умолчанию в сети, адрес внутреннего интерфейса: 192.168.0.254 ИКС – находится внутри локальной сети, адрес: 192.168.0.253 {{::ics-int-cisco.png|Схема сети}} =====Настройка маршрутизатора Cisco===== На маршрутизаторе мы настроим два сетевых интерфейса: Ethernet1/0 с адресом 64.233.167.99/255.255.255.255 Ethernet1/1 с адресом 192.168.0.254/255.255.255.0 Конфигурационный файл маршрутизатора: version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ip subnet-zero ! ip cef ! Особенностью маршрутизаторов cisco является то, что маршрутизатор посылает по netflow статистику только входящих в интерфейс пакетов. Таким образом, при использовании NAT в качестве адреса назначения для всех пакетов с внешнего интерфейса будет указан 64.233.167.99 – внешний адрес маршрутизатора. Чтобы обойти это ограничение, нам необходимо после выполнения преобразования NAT перенаправить входящий трафик ещё на какой-то интерфейс. В нашем случае используется Loopback0: ! interface Loopback0 ip address 10.0.0.1 255.255.255.0 ip route-cache policy ip route-cache flow ! Для внешнего сетевого интерфейса включается NAT, экспорт netflow и указывается опция перенаправления пакетов на Loopback0: ! interface Ethernet1/0 ip address 64.233.167.99 255.255.255.255 ip nat outside ip route-cache policy ip route-cache flow ip policy route-map MAP ! Для внутреннего сетевого интерфейса включается NAT и экспорт netflow: ! interface Ethernet1/1 ip address 192.168.0.254 255.255.255.0 ip nat inside ip route-cache policy ip route-cache flow ! Затем указываются параметры nat и адрес ИКС для экспорта netflow-статистики. Также указывается шлюз по умолчанию для доступа в интернет: ! ip nat inside source list 1 interface Ethernet1/0 overload ip flow-export version 5 ip flow-export destination 192.168.0.253 9995 (порт приема статистики на ИКС) ip classless ip route 0.0.0.0 0.0.0.0 213.187.105.999 ! Списки доступа для nat и перенаправления трафика на Loopback0: ! access-list 1 permit 192.168.0.0 0.0.0.255 access-list 108 permit ip any 192.168.0.0 0.0.0.255 ! Включаем SNMP сервер, чтобы мы могли получить конфигурацию сетевых интерфейсов на ИКС: ! snmp-server community public RO snmp-server ifindex persist snmp-server enable traps tty ! Правила для перенаправления трафика для списка доступа 108 в интерфейс Loopback0: ! route-map MAP permit 10 match ip address 108 set interface Loopback0 Ethernet1/1 ! End Более подробную информацию по настройке netflow на маршрутизаторе cisco с использование NAT можно найти здесь: http://www.opennet.ru/base/cisco/netflow_nat.txt.html Начиная с IOS 12.3(11)T при настройке экспорта netflow, использовать loopback нет необходимости. Достаточно в настройках интерфейсов указать: ip flow ingress =====Настройка ИКС===== Предполагается, что первоначальная настройка ИКС уже выполнена и локальный сетевой интерфейс сконфигурирован. Откройте модуль "Провайдеры и сети", перейдите во вкладку "Внешние устройства". Нажмите "Добавить" -> "Маршрутизатор Cisco". {{::ics-int-cisco-add.png|Добавление маршрутизатора}} В окне добавления устройство необходимо указать ip-адрес маршрутизатора. Поле Community string позволяет внести дополнительную текстовую информацию для SNMP. В поле "Порт для Netflow" указывается порт, который вы предварительно прописали в конфигурации cisco-устройства. Теперь вы можете заводить пользователей на ИКС и выделять им адреса из локальной сети. Вся ip-статистика будет пересылаться с маршрутизатора Cisco и обрабатываться ИКС. **Важно: для того, чтобы ИКС принимал netflow-статистику, необходимо, чтобы в списке пользователей был создан пользователь с присвоенным ему ip-адресом Cisco-маршрутизатора!** Следует заметить, что если ИКС не используется в качестве интернет-шлюза организации, то он не сможет выполнять функции контроля доступа клиентов в интернет, так как трафик клиентов идёт через маршрутизатор в обход ИКС.