[GTER] LOG's CGNAT Cisco ASR
Maicon R Fracasso
fracassomaicon at gmail.com
Thu Apr 22 10:35:53 -03 2021
Bom dia!
Sim, criamos uma solução eficaz para isso, no caso escrevemos um software
de coleta para analisar os LOG's (CGNAT) exportados por FLOW dos cisco ASR.
Assim ficou bem prático para qualquer operador, direção, jurídico etc fazer
as análises perante solicitação judicial, policial ou ministério público.
O Detalhe principal se dá ao fato de o Flow do CGNAT com BPA ser exportado
usando a tecnologia NEL da cisco, quase todos os coletores que testamos não
interpretam o NEL, ficando assim impossível ler os dados.
Criamos então um coletor nosso, para resolver o problema.
Existe a possibilidade de usar o GrayLog, ele até lê NEL, mas o modo de
apresentação e pesquisa dos dados é uma parto.
A apresentação da consulta de uma porta, se dará ao range feito pelo BPA
(levando em consideração a configuração de SET-SIZE e STEP-SIZE no seu ASR)
Alguns têm utilizado "LIMIT" no lugar do BPA (nas conf de cgnat do ASR
cisco) a fim de "fazer uma espécie de cgnat DETERMINÍSTICO" (acho um
desperdício de pool e dos recursos que o BPA fornece)
Abraços
__
Maicon Fracasso
CGR - AdylNet Telecom
Em ter., 20 de abr. de 2021 às 14:31, Michael Stein <michafelipe at hotmail.com>
escreveu:
> Boa tarde,
>
> Alguem tem a soluçao para este problema em questao?
>
>
> Att;
>
> Michael Stein
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de tiago martini <
> tiago at martiniti.com.br>
> Enviado: quinta-feira, 4 de março de 2021 15:15
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> Assunto: Re: [GTER] LOG's CGNAT Cisco ASR
>
> Pessoal, estou com sintoma parecido aqui.. Conseguiram contornar de alguma
> forma, tendo em vista que o modo "syslog" faz com que o processamento da
> caixa dispare?
>
>
>
>
>
> Atenciosamente,
>
>
>
>
> Tiago Martini
>
> MARTINI TI
>
> Consultoria em Redes, Servidores e ISPs
>
> (51) 98654-1890
>
>
>
>
>
>
>
>
>
>
> ---- Ativado Qui, 28 jan 2021 17:24:57 -0300 Wagner Bento <
> wagner at seanet.com.br> escreveu ----
>
>
> Aqui também tenho essas linhas no meu:
>
> parameter-map type inspect global
> log flow-export v9 udp destination IP-SERVER PORTA
> log flow-export template timeout-rate 1
> multilink bundle-name authenticated
>
>
> Atenciosamente.
>
>
> Em qui., 28 de jan. de 2021 às 15:04, Maicon R Fracasso <
> mailto:fracassomaicon at gmail.com> escreveu:
>
> > Olá a todos.
> >
> > Estou tendo alguns problemas quanto à exportação de flows CGNAT em caixas
> > cisco ASR 1002 e 1006.
> > Ocorre que, os dados coletados pela ferramenta retornam campos nulos,
> mais
> > especificamente, port e nf_dst.
> >
> > -----
> > NetFlowV9 [100.64.206.254]:null <> [null]:null proto:1 pkts:0 bytes:0
> >
> > nf_dst
> > null:null
> > -----
> >
> > Esta Ferramenta (graylog) já está em produção e funcionando bem com
> caixas
> > de outras fabricantes, somente com cisco ASR isso ocorre.
> >
> > Faço o export dos log's no ASR com a seguinte linha:
> > ip nat log translations flow-export v9 udp destination x.x.x.x 2055
> source
> > Loopback0 bind-only
> >
> > Alguém já passou por algo parecido?
> >
> > Abaixo informações de meu cenário:
> > - graylog-plugin-netflow 0.1.1
> > - graylog-server 4.0.2-1
> > - elasticsearch 6.8.13
> > - Cisco ASR1002
> > - Cisco ASR1006
> >
> > --
> > Maicon
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list