1) значит ситуация такая, есть 4 сетки:
10.10.10.0/24
20.20.20.0/24
30.30.30.0/24
40.40.40.0/24
2) есть cisco router, который рулит всем этим и на котором настроен flow-export (ip flow-export dest....30.30.30.6)
3) есть unix машина, на которой крутится utm 4.0, mysql, вообщем биллинговый сервак (ip 30.30.30.6)
4) настроена классификация трафика на utm таким вот образом
класс - tc10 входящий траффик
подкласс 700, из 0.0.0.0/0 в 10.10.10.0/24
800, из 0.0.0.0/0 в 20.20.20.0/24
900, из 0.0.0.0/0 в 30.30.30.0/24
1000, из 0.0.0.0/0 в 40.40.40.0/24
класс - tc20 исходящий траффик
подкласс 500, из 10.10.10.0/24 в 0.0.0.0/0
600, из 20.20.20.0/24 в 0.0.0.0/0
700, из 30.30.30.0/24 в 0.0.0.0/0
800, из 40.40.40.0/24 в 0.0.0.0/0
при таком раскладе траффик правильно классифицируется только если он не из моих сетей, но вот если например взять машинку из сети 10.10.10.0/24 и скачать на неё что нибудь из сети 20.20.20.0/24, то траффик для машинки из 10.10.10.0/24 классифицируется как исходящий, хотя по всем законам логики должен быть входящим)))))
вопрос: где я не прав?
неясность с классификацией траффика
Не прав в том, что не читаешь родную документацию. Трафик классифицируется поочередно всеми классами, т.е. the last - wins. Соответственно, пакет 20.20.20.20->10.10.10.10 сначала классифицируется подклассом 700 из tc10, а потом подклассом 600 из tc20. Чтобы все работало нормально, сделай tc100 "локальный", куда пропиши все внутренние межсетевые соединения. Ну или как-то иначе. Но одними этими двумя классами не обойдешься.