Switches : Switches Cisco Catalyst série 6500

Configuração e Troubleshooting do NetFlow nos Catalyst 6500/6000 Switches

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (20 Janeiro 2012) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
Configurações no IOS Nativo
      Habilitação do NetFlow
      Configuração do NDE
      Configuração Opcional
Configurações no SO Híbrido
      Habilitação do NetFlow
      Configuração do NDE
      Configuração Opcional
Verificação
Troubleshooting
      Envelhecimento do MLS Desabilitado
      O NetFlow Exibe o Tráfego em uma Única Direção
      O NetFlow Não Exibe o Tráfego Comutado ou Interligado
      Suporte a Estatísticas de Fluxo Interligado em VLANs
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta um exemplo de configuração do NetFlow no Catalyst 6500/6000 Switch com IOS nativo ou SO híbrido. Talvez seja necessário monitorar o tráfego que flui pelo Catalyst 6500/6000 quando ele atua como um dispositivo básico da rede.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Catalyst 6500 com Supervisor Engine 32, MSFC2A e PFC3

  • Catalyst 6500 com Cisco IOS® Software Versão 12.2(18)SXF4

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O NetFlow é um aplicativo do Cisco IOS que fornece estatísticas dos pacotes que passam pelo roteador. O NetFlow coleta estatísticas globais do tráfego que passa pelo switch e armazena essas estatísticas na tabela do NetFlow. Você pode usar a linha de comandos para acessar a tabela do NetFlow. Você também pode exportar as estatísticas do NetFlow para um servidor de relatório, o qual é chamado de coletor do NetFlow. Para exportar as estatísticas do NetFlow para o coletor do NetFlow, é necessário configurar o NetFlow Data Export (NDE) no switch.

Há alguns pontos que devem ser observados antes da configuração do NetFlow:

  • O cache do NetFlow na Multilayer Switch Feature Card (MSFC) captura estatísticas para fluxos roteados no software.

  • O cache do NetFlow na Policy Feature Card (MSFC) captura estatísticas para fluxos roteados no hardware.

  • Uma máscara de fluxo define o formato de uma entrada de cache na tabela de cache do NetFlow. Há alguns tipos de máscaras de fluxo aceitas pela PFC, e o NetFlow usa apenas uma máscara para todas as estatísticas. Você pode configurar o tipo da máscara de fluxo dependendo dos seus requisitos. Esta é a lista de máscaras de fluxo disponíveis na PFC:

    • source-only — Uma máscara de fluxo menos específica. A PFC mantém uma entrada para cada endereço IP de origem. Todos os fluxos de um determinado endereço IP de origem usam essa entrada.

    • destination — Uma máscara de fluxo menos específica. A PFC mantém uma entrada para cada endereço IP de destino. Todos os fluxos para um determinado endereço IP de destino usam essa entrada.

    • destination-source — Uma máscara de fluxo mais específica. A PFC mantém uma entrada para cada par de endereços IP de origem e destino. Todos os fluxos entre o mesmo par de endereços IP de origem e destino usam essa entrada.

    • destination-source-interface — Uma máscara de fluxo mais específica. Adiciona o ifIndex de Simple Network Management Protocol (SNMP) da VLAN de origem às informações na máscara de fluxo destination-source.

    • full— Uma máscara de fluxo mais específica. A PFC cria e mantém uma entrada de cache separada para cada fluxo de IP. Uma entrada completa inclui o endereço IP de origem, o endereço IP de destino, o protocolo e as interfaces do protocolo.

    • full-interface — A máscara de fluxo mais específica. Adiciona o ifIndex de SNMP da VLAN de origem às informações na máscara full-flow.

  • O NDE na PDF oferece suporte ao NDE versões 5 e 7 para as estatísticas capturadas na PFC.

Nota: No modo PFC3B ou PFC3BXL com o Cisco IOS Software Versão 12.2(18)SXE ou posterior, é possível configurar o NDE para coletar estatísticas para o tráfego roteado e o tráfego interligado. No modo PFC3A ou em versões anteriores ao Cisco IOS Software Versão 12.2(18)SXE, o NDE coleta estatísticas somente para o tráfego roteado.

Configuração

O exemplo de configuração nesta seção mostra como configurar o NetFlow no switch e como configurar o NDE para exportar o cache do NetFlow para o coletor do NetFlow. Ele também discute os parâmetros opcionais que podem ser usados para ajustar o NetFlow de acordo com as necessidades da sua rede. Neste exemplo, o Catalyst 6500 Switch possui duas VLANs, 10 e 20, para o interior da rede. A interface fa3/1 está conectada à parte externa da rede.

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

netflow-catalyst6500-network.gif

Configurações no IOS Nativo

Este documento utiliza as seguintes configurações:

Habilitação do NetFlow

O primeiro passo para configurar o NetFlow em sua rede é habilitá-lo na MSFC e na PFC. Este exemplo mostra o processo passo a passo de habilitação do NetFlow:

  1. Habilite o NetFlow na PFC.

  2. Configure a máscara de fluxo na PFC.

  3. Habilite o NetFlow na MSFC.

  4. Habilite o NetFlow para o tráfego comutado da camada 2 na PFC.

Switch

Switch(config)#interface Vlan10
 Switch(config-if)#ip address 10.10.10.1 255.255.255.0
 Switch(config-if)#exit

Switch(config)#interface Vlan20
 Switch(config-if)#ip address 10.10.20.1 255.255.255.0
 Switch(config-if)#exit

Switch(config)#interface loopback 0
 Switch(config-if)#ip address 10.10.1.1 255.255.255.255
 Switch(config-if)#exit

Switch(config)#interface fastEthernet 3/1
 Switch(config-if)#no switchport
 Switch(config-if)#ip address 10.10.200.1 255.255.255.0
 Switch(config-if)#exit

!--- Esta configuração mostra que
!--- as VLANs estão configuradas com endereços IP.



!
Switch(config)#mls netflow


!--- Habilita o NetFlow na PFC.

!
Switch(config)#mls flow ip full


!--- Configura a máscara de fluxo na PFC.
!--- Neste exemplo, a máscara de fluxo é configurada como cheia.

!
Switch(config)#interface Vlan10
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit

Switch(config)#interface Vlan20
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit

Switch(config)#interface fastEthernet 3/1
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit


!--- Habilita o NetFlow na MSFC.


Switch(config)#ip flow ingress layer2-switched vlan 10,20

!--- Habilita o NetFlow para o tráfego comutado da Camada 2 na PFC.
!--- Também habilita o NDE para o tráfego comutado da Camada 2 na PFC.

Configuração do NDE

O NetFlow mantém o NetFlow ativo na tabela de cache do NetFlow. Você pode executar o comando show mls netflow ip para exibir o cache do NetFlow ativo no switch. Quando o cache do NetFlow expirar, você não poderá mais ver o tráfego do NetFlow que usa a linha de comandos. É possível exportar o cache do NetFlow expirado para o coletor de dados do NetFlow. Se você usa o coletor de dados do NetFlow para armazenar tráfego de histórico do NetFlow, é necessário configurar o NDE no Catalyst 6500 Switch. Existem vários conectores do NetFlow disponíveis. Por exemplo, o Cisco NetFlow Collector e o Cisco CS-Mars. Uma lista dos coletores do NetFlow é apresentada na Tabela 2 de Introdução ao Cisco IOS NetFlow - Uma Visão Geral Técnica. Esta seção explica a configuração do NDE no Catalyst 6500 Switch.

  1. Configure o NDE na PFC.

  2. Configure o NDE na MSFC.

  3. Habilite o NDE para o tráfego comutado da camada 2 na PFC.

Switch

Switch(config)#mls nde sender version 5

!--- Configura o NDE na PFC. Este exemplo configura o NDE versão 5.
!--- Você deve configurar a versão com base em seu coletor do NetFlow.


!--- O comando mls nde sender configura
!--- o NDE com a versão padrão 7. Se seu coletor do NetFlow oferecer suporte
!--- à versão 7 do formato do NDE, você deverá executar
!--- o comando mls nde sender.





!

Switch(config)#ip flow-export source loopback 0

Switch(config)#ip flow-export destination 10.10.100.2 9996

!--- Configura o NDE na MSFC com o endereço IP do coletor do NetFlow
!--- e o número da porta do aplicativo 9996. Este número de porta varia
!--- em função do coletor do NetFlow usado.





Switch(config)#ip flow export layer2-switched vlan 10,20

!--- Habilitar ip flow ingress como na seção de habilitação do NetFlow
!--- habilita automaticamente ip flow export.
!--- Se você desabilitou o ip flow export anteriormente, você poderá habilitá-lo conforme mencionado.





!--- Show run não mostra o comando ip flow export.

Configuração Opcional

Há algumas configurações opcionais disponíveis no NetFlow. Isso depende do design da sua rede, da quantidade de tráfego que flui na rede e dos seus requisitos de dados do NetFlow. A seguir são apresentadas descrições rápidas das configurações opcionais.

  • Envelhecimento de chaveamento multicamadas (MLS) — Se o tráfego do NetFlow estiver ativo, o cache do NetFlow não expirará. Se ele não expirar, o cache do NetFlow não exportará para o coletor de dados do NetFlow. Para garantir os relatórios periódicos de fluxos ativos contínuos, as entradas de fluxos continuamente ativos expiram no final do intervalo configurado com o comando mls aging long (o padrão é 32 minutos). Esta saída mostra o intervalo padrão de envelhecimento do cache MLS:

    asnml-c6509-01#show mls netflow aging
                 enable timeout  packet threshold
                 ------ -------  ----------------
    normal aging true       300        N/A
    fast aging   false      32         100
    long aging   true       1920       N/A
  • Amostragem do NetFlow — Por padrão, o NetFlow captura todos os pacotes do fluxo. Ao usar a amostragem do NetFlow, você pode capturar um subconjunto dos pacotes. A amostragem do NetFlow pode ser habilitada como baseada em tempo ou baseada em pacotes.

  • Agregação do NetFlow — O cache de agregação é uma tabela de cache do NetFlow adicional que possui as estatísticas de fluxo agregadas do tráfego do NetFlow. O Catalyst 6500 possui esquemas diferentes, como prefixo de origem, prefixo de destino e porta de protocolo para agregação do NetFlow. Você pode configurar mais de um esquema no switch e usar o NDE para exportar as estatísticas para o coletor do NetFlow. Os caches de agregação do NetFlow reduzem a largura de banda necessária entre o switch e o coletor do NetFlow.

  • Filtros de fluxo do NDE — É possível configurar um filtro de fluxo do NDE para exportar somente o cache do NetFlow de interesse. Após a configuração de um filtro, somente os fluxos expirados e apagados que corresponderem ao aos critérios de filtro especificados serão exportados. Você pode filtrar a entrada de cache do NetFlow com base no endereço de origem, no endereço de destino, na porta de origem e na porta de destino.

Esta seção explica a configuração opcional. Essa configuração varia em função dos seus requisitos.

  • Configure o envelhecimento de MLS.

  • Configure a amostragem do NetFlow.

  • Configure a agregação do NetFlow.

  • Configure o filtro de fluxo do NDE.

Switch

Switch(config)#mls aging long 300

!--- Configura o switch para excluir as entradas de cache
!--- do NetFlow ativas após 5 minutos. O valor padrão é de 32 minutos.



!

Switch(config)#mls aging normal 120

!--- Configura o switch para excluir as entradas de cache
!--- do NetFlow inativas após 2 minutos. O valor padrão é de 5 minutos.



!

Switch(config)#mls sampling time-based 64

!--- 1 de 64 pacotes é amostrado para o cache do NetFlow. Por padrão,
!--- a amostragem está desabilitada e todos os pacotes são capturados para o cache do NetFlow.



!

Switch(config)#ip flow-aggregation cache protocol-port
Switch(config-flow-cache)#cache entries 1024
Switch(config-flow-cache)#cache timeout active 30
Switch(config-flow-cache)#cache timeout inactive 300
Switch(config-flow-cache)#export destination 10.10.100.2 9996
Switch(config-flow-cache)#enabled
Switch(config-flow-cache)#exit


!--- Configura o protocolo e o esquema de agregação de portas.

!

Switch(config)#mls nde flow exclude protocol tcp dest-port 23


!--- Configura o NDE para não exportar o tráfego com porta de destino 23 do TCP.

Configurações no SO Híbrido

Esta seção mostra um exemplo de configuração para o Catalyst 6500 Switch com SO híbrido. A configuração usa o mesmo diagrama que a seção sobre IOS. Este documento usa estas configurações:

Habilitação do NetFlow

Supõe-se que as VLAN já tenham sido criadas no módulo supervisor e que os IPs da interface da VLAN estejam atribuídos na MSFC. Aqui o NetFlow é habilitado no módulo supervisor e na MSFC.

Switch

Catos(enable)set mls flow full


!--- Habilita o NetFlow e configura a máscara de fluxo no supervisor module.
!--- Neste exemplo, a máscara de fluxo é configurada como cheia.

!
MSFC(config)#interface Vlan10
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit

MSFC(config)#interface Vlan20
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit

MSFC(config)#interface fastEthernet 3/1
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit


!--- Habilita o NetFlow na MSFC.

Configuração do NDE

Esta seção mostra a configuração do NDE no módulo supervisor e na MSFC. Neste exemplo, a VLAN1 é usada em vez do loopback 0.

Switch

Catos(enable)set mls nde enable
Catos(enable)set mls nde version 7
Catos(enable)set mls nde 10.10.100.2 9996

!--- Configura o NDE no supervisor. Este exemplo configura o NDE versão 7.
!
MSFC(config)#ip flow-export version 5
MSFC(config)#ip flow-export source vlan 1
MSFC(config)#ip flow-export destination 10.10.100.2 9996

!--- Configura o NDE na MSFC com o endereço IP do coletor do NetFlow
!--- e o número da porta do aplicativo 9996. Este número de porta varia
!--- em função do coletor do NetFlow usado.

Configuração Opcional

Este exemplo mostra configuração do tempo de envelhecimento do NetFlow no módulo supervisor.

Switch

Catos(enable)set mls agingtime long-duration 300

!--- Configura o switch para excluir as entradas de cache
!--- do NetFlow ativas após 5 minutos. O valor padrão é de 32 minutos.

!
Switch(config)#set mls agingtime 120

!--- Configura o switch para excluir as entradas de cache
!--- do NetFlow inativas após 2 minutos. O valor padrão é de 5 minutos.

Verificação

Esta seção mostra como verificar a tabela de cache do NetFlow e o NDE. Um exemplo de saída do coletor do NetFlow é fornecido.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • O comando show mls netflow ip exibe as entradas do cache do NetFlow no módulo supervisor. Este é um exemplo de saída:

    Switch#show mls netflow ip
    Displaying Netflow entries in Supervisor Earl
    DstIP           SrcIP           Prot:SrcPort:DstPort  Src i/f          :AdjPtr
    -----------------------------------------------------------------------------
    Pkts         Bytes         Age   LastSeen  Attributes
    ---------------------------------------------------
    10.10.10.100   10.10.10.1     tcp :telnet :2960     --               :0x0
    
    26           1223          101   20:35:41   L2 - Dynamic
    10.10.20.2     10.10.20.1     tcp :11837  :179      --               :0x0
    
    6            315           174   20:35:29   L2 - Dynamic
    10.10.200.1     10.10.200.2     tcp :21124  :179      --               :0x0
    
    0            0             176   20:35:28   L3 - Dynamic
    10.10.20.1     10.10.20.2     tcp :179    :11837    --               :0x0
    
    0            0             174   20:35:29   L3 - Dynamic
    171.68.222.140  10.10.10.100   udp :3046   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   64.101.128.56   udp :dns    :2955     --               :0x0
    
    6            944           178   20:34:29   L3 - Dynamic
    10.10.200.2     10.10.200.1     tcp :179    :21124    --               :0x0
    
    5            269           133   20:35:28   L2 - Dynamic
    0.0.0.0         0.0.0.0         0   :0      :0        --               :0x0
    
    87           10488         133   20:35:29   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3047   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   171.70.144.201  icmp:0      :0        --               :0x0
    
    1            60            71    20:34:30   L3 - Dynamic
    171.68.222.140  10.10.10.100   udp :3045   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   64.101.128.92   tcp :3128   :2993     --               :0x0
    
    20           13256         102   20:34:00   L3 - Dynamic
    10.10.10.100   171.68.222.140  udp :1029   :3045     --               :0x0
    
    1            368           2     20:35:39   L3 - Dynamic
    171.68.222.140  10.10.10.100   icmp:771    :0        --               :0x0
    
    1            176           2     20:35:39   L3 - Dynamic
    10.10.10.100   10.16.151.97    udp :1029   :3048     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    10.16.151.97    10.10.10.100   udp :3045   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3049   :1029     --               :0x0
    
    2            152           2     20:35:39   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3045   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    64.101.128.56   10.10.10.100   udp :2955   :dns      --               :0x0
    
    6            389           178   20:34:29   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3045     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3050   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.16.151.97    10.10.10.100   udp :3048   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   64.101.128.92   tcp :3128   :2991     --               :0x0
    
    15           4889          106   20:34:00   L3 - Dynamic
    10.10.10.100   10.16.151.97    udp :1029   :3045     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    171.68.222.140  10.10.10.100   udp :3051   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.16.151.97    10.10.10.100   icmp:771    :0        --               :0x0
    
    1            176           2     20:35:39   L3 - Dynamic
    10.10.10.100   64.101.128.92   tcp :3128   :2992     --               :0x0
    
    16           7019          106   20:34:00   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3047     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    10.16.151.97    10.10.10.100   udp :3052   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   171.68.222.140  udp :1029   :3046     --               :0x0
    
    1            368           2     20:35:39   L3 - Dynamic
    10.10.10.1     10.10.10.100   tcp :2960   :telnet   --               :0x0
    
    0            0             101   20:35:41   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3049     --               :0x0
    
    2            961           2     20:35:39   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3053   :1029     --               :0x0
    
    2            152           2     20:35:40   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3050     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3053     --               :0x0
    
    2            961           1     20:35:40   L3 - Dynamic
    10.10.10.100   171.68.222.140  udp :1029   :3051     --               :0x0
    
    1            368           2     20:35:39   L3 - Dynamic
    10.10.10.100   10.16.151.97    udp :1029   :3052     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    172.22.1.110    10.10.200.1     udp :52039  :9996     --               :0x0
    
    9            876           209   20:35:12   L2 - Dynamic
    10.175.52.255   10.10.10.100   udp :137    :137      --               :0x0
    
    3            234           72    20:34:31   L2 - Dynamic
    171.70.144.201  10.10.10.100   icmp:8      :0        --               :0x0
    
    1            60            72    20:34:29   L3 - Dynamic

    Em um ambiente de produção, a saída é muito grande. O comando show mls netflow ip possui algumas opções para listar somente o tráfego de interesse. Esta saída mostra a lista de opções:

    Switch#show mls netflow ip ?
      count         total number of mls entries
      destination   show entries with destination ip address
      detail        display additional per-flow detail
      dynamic       hardware created netflow statistics entries
      flow          flow
      module        Show for module
      nowrap        no text wrap
      qos           qos statistics
      source        show entries with source ip address
      sw-installed  s/w installed netflow entries
      |             Output modifiers
      <cr>
  • O comando show mls nde exibe as informações de exportação do NetFlow. Essas informações mostram qual coletor do NetFlow é exportado e o número de pacotes que são exportados. Este é um exemplo de saída:

    Switch#show mls nde
     Netflow Data Export enabled
     Exporting flows to  10.10.100.2 (9996)
     Exporting flows from 10.10.1.1 (52039)
     Version: 5
     Layer2 flow creation is enabled on vlan 10,20
     Layer2 flow export is enabled on vlan 10,20
     Include Filter not configured
     Exclude Filter not configured
     Total Netflow Data Export Packets are:
        337 packets, 0 no packets, 3304 records
     Total Netflow Data Export Send Errors:
    	IPWRITE_NO_FIB = 0
    	IPWRITE_ADJ_FAILED = 0
    	IPWRITE_PROCESS = 0
    	IPWRITE_ENQUEUE_FAILED = 0
    	IPWRITE_IPC_FAILED = 0
    	IPWRITE_OUTPUT_FAILED = 0
    	IPWRITE_MTU_FAILED = 0
    	IPWRITE_ENCAPFIX_FAILED = 0
     Netflow Aggregation Disabled

    Execute o comando clear mls nde flow counters para limpar as estatísticas do NDE.

  • Este diagrama mostra um exemplo de saída de um coletor do NetFlow:

    netflow-catalyst6500-graph.gif

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Há alguns pontos que você deve conhecer para ter certeza de que a sua configuração funciona:

  • Você deve habilitar o NetFlow nas interfaces de MSFC da camada 3 para oferecer suporte ao NDE na PFC e ao NDE na MSFC. O switch deve ser configurado de acordo com a seção Habilitação do NetFlow. Se o tráfego interligado da camada 2 não for necessário, desfaça o comando ip flow ingress layer2-switched com o comando no ip flow ingress layer2-switched.

  • Não é possível habilitar o NetFlow em interfaces com Network Address Translation (NAT) se você configurou as máscaras de fluxo full e interface-full. Isso significa que, se a interface é configurada com o comando ip nat inside ou o comando ip nat outside e você configurou as máscaras de fluxo full e interface-full, não é possível habilitar o NetFlow na interface. A seguinte mensagem de erro é exibida:

    %FM_EARL7-4-FEAT_FLOWMASK_REQ_CONFLICT: Feature NDE requested flowmask Int
    f Full Flow Least conflicts with other features on interface Vlan52, flowmask re
    quest Unsuccessful for the feature
  • A Policy Feature Card 3 (PFC3) e a Policy Feature Card 2 (PFC2) não usam a tabela do NetFlow para o switching da camada 3 no hardware.

  • A agregação do NetFlow usa o NDE versão 8. Você deve garantir que o seu coletor do NetFlow aceite o formato da versão 8.

  • Quando ambas as opções ip flow ingress e ip flow egress estiverem habilitadas na interface BVI, o recebimento de pacotes duplicados poderá ocorrer. Normalmente, o NetFlow é configurado somente na entrada ou na saída, já que ele trabalha com base em cada interface.

  • O NetFlow deve ser habilitado no roteador local para executar uma análise da camada 2.

Envelhecimento do MLS Desabilitado

Nos Cisco Catalyst 6500 Switches com IOS nativo, o envelhecimento longo do MLS falha ao envelhecer as entradas do cache do NetFlow quando o Server Load Balancing (SLB) é habilitado. Este problema está documentado no bug da Cisco ID CSCea83612 (somente clientes registrados). Faça o upgrade para o Cisco IOS mais recente que não é afetado por este bug.

O NetFlow Exibe o Tráfego em uma Única Direção

Após o NetFlow ser habilitado, o comando show mls netflow ip mostra o tráfego somente em uma única direção. Por padrão, o NetFlow coloca no cache somente o tráfego de entrada. Execute o comando ip route-cache flow nas interfaces de entrada e saída para colocar no cache tanto o tráfego de entrada quanto o de saída.

O NetFlow Não Exibe o Tráfego Comutado ou Interligado

Por padrão, o NetFlow não mostra estatísticas para o tráfego que passa pela mesma VLAN, mas somente o tráfego de que sai de uma VLAN e entra em outra. Por exemplo, interfaces de VLAN, quando essas interfaces têm o comando ip route-cache flow configurado individualmente.

Para permitir a criação de fluxos chaveados, interligados e de IP da camada 2 para uma VLAN específica, execute o comando ip flow layer2-switched.

Para habilitar a coleta de fluxos chaveados, interligados e de IP da camada 2, execute o comando ip flow ingress layer2-switched vlan {num | vlanlist}. Para habilitar a exportação de fluxos chaveados, interligados e de IP da camada 2, execute o comando ip flow export layer2-switched vlan {num | vlanlist}.

O comando é aceito no Supervisor Engine 720 somente nos modos PFC3B e PFC3BXL e no Supervisor Engine 2 com PFC2.

Antes de usar este comando em um Catalyst 6500 Series Switches configurado com o Supervisor Engine 720, você deve garantir que uma interface de VLAN correspondente esteja disponível e possua um endereço IP válido. Esta diretriz não se aplica a Catalyst 6500 Series Switches configurados com o Supervisor Engine 2. Quando as informações do NetFlow são exportadas pelo Supervisor 720 Engine para o coletor para análise, o sinalizador TCP é definido como ZERO. Isso ocorre devido à limitação de hardware do Supervisor 720 que usa o EARL7 ASIC. O suporte ao sinalizador TCP é integrado ao EARL8 ASIC.

Suporte a Estatísticas de Fluxo Interligado em VLANs

Este recurso é aceito no Supervisor Engine 1 ou 1A/PFC, Supervisor Engine 2/PFC2. Nenhuma MSFC/MSFC2 é necessária. Este recurso é aceito no Supervisor 720/PFC3BXL com funcionalidade limitada do Cisco Catalyst OS 8.5(1) ou versões posteriores.

Use o comando set mls bridged-flow-statistics para habilitar ou desabilitar as estatísticas de fluxo interligado para as VLANs especificadas. Você pode inserir uma ou mais VLANs. É possível habilitar a criação de entradas da tabela do NetFlow por VLAN. No entanto, como as estatísticas de fluxo interligado e a criação de entradas por VLAN usam o mesmo mecanismo para a coleta das estatísticas, as entradas de VLAN podem se sobrepor.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70974