Есть интерфейс в публичную сеть и необходимо выяснить что за исходящий трафик его нагружает. Первая мысль проверить его средствами ip flow-top-talker отметается, так как nexthop меняется route-map'ом и в netflow данных о нужном интерфейсе не будет. Попытки проанализировать трафик на коллекторе netflow так же ни к чему не привели. Пробуем nbar:
Оказывается, что исходящий трафик генерируется туннелем, о чем можно было догадаться, посмотрев загрузку интерфейсов роутера.
interface GigabitEthernet0/1
description Internet
ip address 999.999.888.888 255.255.255.252
ip nbar protocol-discovery
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex full
speed 100
media-type rj45
no cdp enable
router#show ip nbar protocol-discovery stats max-bit-rate
GigabitEthernet0/1
Last clearing of "show ip nbar protocol-discovery" counters 00:24:37
Input Output
----- ------
Protocol 5min Max Bit Rate (bps) 5min Max Bit Rate (bps)
------------------------ ------------------------ ------------------------
http 2321000 525000
gre 203000 1190000
secure-http 79000 31000
[skip]
Оказывается, что исходящий трафик генерируется туннелем, о чем можно было догадаться, посмотрев загрузку интерфейсов роутера.