[GTER] CGNAT Cisco ASR - Set-Size e Step-size

Fernando Frediani fhfrediani at gmail.com
Thu Apr 22 16:10:39 -03 2021 

Olá

Para não sequestrar a thread alterei o subject para poder comentar sobre 
2 pontos relacionados a mensagem abaixo:

- Sempre vale reforçar a recomendação para não fornecer esses logs para 
Polícia e/ou Ministério Público de maneira automática 
sem antes 
consultar o jurídico que assessora a empresa pois nesses dois casos 
diferente da requisição vindo diretamente de um juiz o investigado ainda 
não é conhecido e a solicitação além dos dados de cadastro pede também 
para que seja realizada uma quebra de sigilo o que pelo Art. 22 do Marco 
Civil exige especificamente autorização de um juiz.

- Com relação aos parâmetros SET-SIZE e STEP-SIZE um detalhe 
interessante é que a documentação da Cisco diz que para os 
ALGs 
funcionarem corretamente com Bulk Porta Allocation o step-size precisa 
ser sempre 1.
Nesse sentido queria perguntar aos colegas que estão usando Cisco para 
CGNAT com BPA se estão utilizando o step-size configurado dessa maneira 
e no caso de não estarem se chegaram a observar algum problema 
relacionado à aplicações que dependem de ALGs para funcionar.

Obrigado
Fernando

On 22/04/2021 10:35, Maicon R Fracasso wrote:
> Bom dia!
> Sim, criamos uma solução eficaz para isso, no caso escrevemos 
um software
> de coleta para analisar os LOG's (CGNAT) exportados por FLOW dos cisco ASR.
> Assim ficou bem prático para qualquer operador, direção, 
jurídico etc fazer
> as análises perante solicitação judicial, policial ou ministério público.
>
> O Detalhe principal se dá ao fato de o Flow do CGNAT com BPA ser exportado
> usando a tecnologia NEL da cisco, quase todos os coletores que testamos 
não
> interpretam o NEL, ficando assim impossível ler os dados.
> Criamos então um coletor nosso, para resolver o problema.
>
> Existe a possibilidade de usar o GrayLog, ele até lê NEL, mas 
o modo de
> apresentação e pesquisa dos dados é uma parto.
> A apresentação da consulta de uma porta, se dará ao range feito pelo BPA
> (levando em consideração a configuração de SET-SIZE 
e STEP-SIZE no seu ASR)
>
> Alguns têm utilizado "LIMIT" no lugar do BPA (nas conf de cgnat do 
ASR
> cisco) a fim de "fazer uma espécie de cgnat DETERMINÍSTICO" (acho um
> desperdício de pool e dos recursos  que o BPA fornece)
>
> Abraços
>
> __
> Maicon Fracasso
> CGR - AdylNet Telecom
>
> Em ter., 20 de abr. de 2021 às 14:31, Michael Stein <michafelipe at hotmail.com>
> escreveu:
>
>> Boa tarde,
>>
>> Alguem tem a soluçao para este problema em questao?
>>
>>
>> Att;
>>
>> Michael Stein
>>
>> ________________________________
>> De: gter <gter-bounces at eng.registro.br> em nome de tiago martini <
>> tiago at martiniti.com.br>
>> Enviado: quinta-feira, 4 de março de 2021 15:15
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
>> gter at eng.registro.br>
>> Assunto: Re: [GTER] LOG's CGNAT Cisco ASR
>>
>> Pessoal, estou com sintoma parecido aqui.. Conseguiram contornar de alguma
>> forma, tendo em vista que o modo "syslog" faz com que o processamento da
>> caixa dispare?
>>
>>
>>
>>
>>
>> Atenciosamente,
>>
>>
>>
>>
>>         Tiago Martini
>>
>>        MARTINI TI
>>
>>         Consultoria em Redes, Servidores e ISPs
>>
>>         (51) 98654-1890
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>> ---- Ativado Qui, 28 jan 2021 17:24:57 -0300 Wagner Bento <
>> wagner at seanet.com.br> escreveu ----
>>
>>
>> Aqui também tenho essas linhas no meu:
>>
>> parameter-map type inspect global
>>   log flow-export v9 udp destination IP-SERVER PORTA
>>   log flow-export template timeout-rate 1
>> multilink bundle-name authenticated
>>
>>
>> Atenciosamente.
>>
>>
>> Em qui., 28 de jan. de 2021 às 15:04, Maicon R Fracasso <
>> mailto:fracassomaicon at gmail.com> escreveu:
>>
>>> Olá a todos.
>>>
>>> Estou tendo alguns problemas quanto à exportação de flows CGNAT em caixas
>>> cisco ASR 1002 e 1006.
>>> Ocorre que, os dados coletados pela ferramenta retornam campos nulos,
>> mais
>>> especificamente, port e nf_dst.
>>>
>>> -----
>>> NetFlowV9 [100.64.206.254]:null <> [null]:null proto:1 pkts:0 bytes:0
>>>
>>> nf_dst
>>> null:null
>>> -----
>>>
>>> Esta Ferramenta (graylog) já está em produção e funcionando bem com
>> caixas
>>> de outras fabricantes, somente com cisco ASR isso ocorre.
>>>
>>> Faço o export dos log's no ASR com a seguinte linha:
>>> ip nat log translations flow-export v9 udp destination x.x.x.x 2055
>> source
>>> Loopback0 bind-only
>>>
>>> Alguém já passou por algo parecido?
>>>
>>> Abaixo informações de meu cenário:
>>> - graylog-plugin-netflow 0.1.1
>>> - graylog-server 4.0.2-1
>>> - elasticsearch 6.8.13
>>> - Cisco ASR1002
>>> - Cisco ASR1006
>>>
>>> --
>>> Maicon
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list