一、 组网:
组网如下,内网用户经过SR66做NAT转换访问外向,为了能够对内网进行审计,需要SR66将内网用户的NAT转换日志上传到日志主机上
二、 问题描述:
按照userlog方法配置之后(命令如下),发现日志主机上只能看到内网IP地址和访问的目的IP地址,看不到内网IP地址转换后的地址
userlog flow syslog
#
info-center loghost 172.31.123.205
#
interface GigabitEthernet3/0/0
port link-mode route
nat outbound 3000
ip address 100.1.1.2 255.255.255.0
session log enable inbound
session log enable outbound
三、 过程分析:
这是因为SR66 V5只支持userlog V1版本,V1版本中没有定义转换后IP地址的字段,所以看不到内网转换后的IP地址
可以这样做,把nat的deb信息输出到日志主机:
配置:
[H3C] info-center source NAT channel 2 debug state on
[H3C] info-center loghost 172.31.123.205
然后
设备开启deb nat packet
<H3C> deb nat packet
<H3C>t d //不需要开tm
然后在日志主机上看有如下显示:
可以看到我内部主机192.168.1.2访问100.1.1.1,变成了100.1.1.2访问100.1.1.1
然后外部回来的100.1.1.1访问100.1.1.2,变成了100.1.1.1访问192.168.1.2
注:下面日志从下向上看
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作