交换机 : Cisco Catalyst 6500 系列交换机

Catalyst 6500/6000 交换机 NetFlow 配置和故障排除

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文档提供在运行本地 IOS 或混合 OS 的 Catalyst 6500/6000 交换机上配置 NetFlow 的示例。当 Catalyst 6500/6000 担当网络中的核心设备时,可能有必要监视流经该设备的流量。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 含 Supervisor 引擎 32、MSFC2A 和 PFC3 的 Catalyst 6500

  • 运行Cisco IOS�软件版本12.2(18)SXF4的Catalyst 6500

注意: 路由交换处理器 720、Supervisor 引擎 720 上也支持 Netflow 配置。就 NetFlow 而言,Supervisor 引擎 720 与路由交换处理器 720 之间没有区别。因此,相同的配置同样适用于 Supervisor 引擎 720 和路由交换处理器 720。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

NetFlow 是一个 Cisco IOS 应用程序,提供有关流经路由器的数据包的统计数据。NetFlow 从流经交换机的流量中全面地收集统计数据,并将这些统计数据存储在 NetFlow 表中。可以使用命令行访问 NetFlow 表。还可以将 NetFlow 统计数据导出到名为 NetFlow 收集器的报告服务器。您需要配置在交换机的NetFlow输出数据(NDE)为了导出Netflow统计信息到NetFlow收集器。Netflow 将只监控经过 CEF/快速交换的流量。要启用快速交换,请向需要监视的接口输入 ip route-cache 命令。

在配置 NetFlow 之前,您应该了解几点情况:

  • 多层交换机特性卡(MSFC)的NetFlow缓存捕获在软件方面路由的流的统计信息。

  • 策略特性卡(PFC)的NetFlow缓存捕获在硬件方面路由的流的统计信息。

  • 流掩码定义 NetFlow 缓存表中缓存条目的格式。PFC 支持少数几种类型的流掩码,并且 NetFlow 对所有统计数据仅使用一个流掩码。可以根据要求配置流掩码类型。以下是 PFC 中提供的流掩码的列表:

    • source-only — 不太特定的流掩码。PFC 对于每个源 IP 地址保留一个条目。来自给定源 IP 地址的所有流都使用此条目。

    • destination — 不太特定的流掩码。PFC 对于每个目标 IP 地址保留一个条目。发往给定目标 IP 地址的所有流都使用此条目。

    • destination-source — 更加特定的流掩码。PFC 对于每个源和目标 IP 地址对保留一个条目。相同源与目标 IP 地址之间的所有流都使用此条目。

    • destination-source-interface — 更加特定的流掩码。添加源VLAN简单网络管理协议(SNMP) IfIndex到在源-目的地流掩码的信息。

    • 全A更具体的流掩码。PFC 对于每个 IP 流创建并保留一个单独的缓存条目。一个完整的条目包括源 IP 地址、目标 IP 地址、协议和协议接口。

    • full-interface — 最特定的流掩码。向完整流掩码中的信息添加源 VLAN SNMP ifIndex。

  • PFC 上的 NDE 对于 PFC 上捕获的统计数据支持 NDE 版本 5 和 7。

注意: 在具有 Cisco IOS 软件 12.2(18)SXE 版及更高版本的 PFC3B 或 PFC3BXL 模式下,可以配置 NDE 以同时针对路由和桥接的流量收集统计数据。在 PFC3A 模式或者在使用版本早于 Cisco IOS 软件 12.2(18)SXE 时,NDE 仅针对路由的流量收集统计数据。

配置

本部分中的配置示例展示如何在交换机上配置 NetFlow,以及如何配置 NDE 以将 NetFlow 缓存导出到 NetFlow 收集器。还介绍了可选参数,这些参数可用于调整 NetFlow 以配合您的网络。在本例中,Catalyst 6500 交换机对于网络内部有两个 VLAN(10 和 20)。接口 fa3/1 连接到网络外部。

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

注意: 配置 Netflow 不会干扰流量,也不会禁用已配置的接口。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/switches/catalyst-6500-series-switches/70974-netflow-catalyst6500-network.gif

本地 IOS 中的配置

本文档使用以下配置:

启用 NetFlow

在网络中配置 NetFlow 的第一步是同时在 MSFC 和 PFC 中启用 NetFlow。本例展示有关如何启用 NetFlow 的分步过程:

  1. 在 PFC 上启用 NetFlow。

  2. 在 PFC 上配置流掩码。

  3. 在 MSFC 上启用 NetFlow。

  4. 在 PFC 上对第 2 层交换的流量启用 NetFlow。

交换机
Switch(config)#interface Vlan10
 Switch(config-if)#ip address 10.10.10.1 255.255.255.0
 Switch(config-if)#exit

Switch(config)#interface Vlan20
 Switch(config-if)#ip address 10.10.20.1 255.255.255.0
 Switch(config-if)#exit

Switch(config)#interface loopback 0
 Switch(config-if)#ip address 10.10.1.1 255.255.255.255
 Switch(config-if)#exit

Switch(config)#interface fastEthernet 3/1
 Switch(config-if)#no switchport
 Switch(config-if)#ip address 10.10.200.1 255.255.255.0
 Switch(config-if)#exit

!--- This configuration shows that 
!--- the VLANs are configured with IP addresses.



!
Switch(config)#mls netflow


!--- Enables NetFlow on the PFC.

!
Switch(config)#mls flow ip full
 

!--- Configures flow mask on the PFC. 
!--- In this example, flow mask is configured as full.

!
Switch(config)#interface Vlan10
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit

Switch(config)#interface Vlan20
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit

Switch(config)#interface fastEthernet 3/1
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit


!--- Enables NetFlow on the MSFC.


Switch(config)#ip flow ingress layer2-switched vlan 10,20

!--- Enables NetFlow for Layer 2-switched traffic on the PFC. 
!--- It also enables the NDE for Layer 2-switched traffic on the PFC.

配置 NDE

NetFlow 在 NetFlow 缓存表中保留活动的 NetFlow。可以发出 show mls netflow ip 命令查看交换机中的活动 NetFlow 缓存。NetFlow 缓存到期后,就再也看不到使用命令行的 NetFlow 流量。可以将到期的 NetFlow 缓存导出到 NetFlow 数据收集器。如果使用 NetFlow 数据收集器存储历史 NetFlow 流量,则需要在 Catalyst 6500 交换机上配置 NDE。当前有许多 NetFlow 收集器可供使用。其中包括 Cisco NetFlow 收集器和 Cisco CS-Mars。NDE sender 版本不必与 ip-flow export 版本相同,因为 NDE sender 涉及第 2 层流量,而 ip route-cache 流涉及第 3 层流量。可以在介绍 Cisco IOS NetFlow - 技术概述的表 2 中看到 NetFlow 收集器的列表。本部分介绍 Catalyst 6500 交换机上的 NDE 配置。

  1. 在 PFC 上配置 NDE。

  2. 在 MSFC 上配置 NDE。

  3. 在 PFC 上对第 2 层交换的流量启用 NDE。

交换机
Switch(config)#mls nde sender version 5

!--- Configures NDE in the PFC. This example configures NDE version 5. 
!--- You need to configure the version based on your NetFlow collector.


!--- The mls nde sender command configures 
!--- the NDE with default version 7. If your NetFlow collector supports 
!--- version 7 NDE format, you need to issue the 
!--- mls nde sender command.





!

Switch(config)#ip flow-export source loopback 0

Switch(config)#ip flow-export destination 10.10.100.2 9996

!--- Configures NDE on the MSFC with the NetFlow collector IP address 
!--- and the application port number 9996. This port number varies 
!--- depending on the NetFlow collector you use.





Switch(config)#ip flow export layer2-switched vlan 10,20

!--- Enabling ip flow ingress as in the Enable NetFlow Section
!--- automatically enables ip flow export.
!--- If you disabled ip flow export earlier, you can enable it as mentioned.





!--- Show run does not show the ip flow export command.

可选配置

NetFlow 中提供少量几个可选的配置。这取决于您的网络设计、网络上传送的总流量以及对 NetFlow 数据的要求。以下简要介绍这些可选的配置:

  • 多层交换 (MLS) 老化 — 如果 NetFlow 流量处于活动状态,则 NetFlow 缓存未到期。如果未到期,则 NetFlow 缓存不会导出到 NetFlow 数据收集器。要确保定期报告连续活动的流,连续活动流的条目将在用 mls aging long 命令配置的间隔(默认为 32 分钟)结束时到期。此输出显示默认的 mls 缓存老化间隔:

    asnml-c6509-01#show mls netflow aging
                 enable timeout  packet threshold
                 ------ -------  ----------------
    normal aging true       300        N/A
    fast aging   false      32         100
    long aging   true       1920       N/A
  • NetFlow 采样 — 默认情况下,NetFlow 捕获流中的所有数据包。使用 NetFlow 采样时,可捕获一部分数据包。可以基于时间或基于数据包启用 NetFlow 采样。

  • NetFlow 聚合 — 聚合缓存是交换机中的另一个 NetFlow 缓存表,其中具有 NetFlow 流量的合计流统计数据。Catalyst 6500 对于 NetFlow 聚合有源前缀、目标前缀和协议端口等不同方案。可以在交换机中配置多个方案,还可以使用 NDE 将统计数据导出到 NetFlow 收集器。NetFlow 聚合缓存减少了交换机与 NetFlow 收集器之间所需的带宽。

  • NDE 流过滤器 — 可以配置 NDE 流过滤器以仅导出相关的 NetFlow 缓存。配置过滤器之后,将仅导出与指定过滤标准相匹配的已到期和清除的流。可以根据源地址、目标地址、源端口和目标端口过滤 NetFlow 缓存条目。

  • NetFlow缓存条目—您能增加或减少Netflow条目编号在NetFlow缓存。

本部分介绍可选的配置。此配置根据您的要求而有所不同。

  • 配置 MLS 老化

  • 配置 NetFlow 采样

  • 配置 NetFlow 聚合

  • 配置 NDE 流过滤器

  • 配置NetFlow缓存条目

交换机
Switch(config)#mls aging long 300

!--- Configures the switch to delete the active NetFlow 
!--- cache entries after 5 minutes. The default value is 32 minutes.



!

Switch(config)#mls aging normal 120

!--- Configures the switch to delete the inactive NetFlow 
!--- cache entries after 2 minutes. The default value is 5 minutes.



!

Switch(config)#mls sampling time-based 64

!--- 1 out of 64 packets is sampled for the NetFlow cache. By default, 
!--- sampling is disabled and every packet is captured into the NetFlow cache.



!

Switch(config)#ip flow-aggregation cache protocol-port
Switch(config-flow-cache)#cache entries 1024
Switch(config-flow-cache)#cache timeout active 30
Switch(config-flow-cache)#cache timeout inactive 300
Switch(config-flow-cache)#export destination 10.10.100.2 9996
Switch(config-flow-cache)#enabled
Switch(config-flow-cache)#exit


!--- Configures protocol and port aggregation scheme.

!

Switch(config)#mls nde flow exclude protocol tcp dest-port 23


!--- Configures the NDE not to export the traffic with destination port tcp 23.

!

Switch(config)#ip flow-cache entries 128000


!--- The change in number of entries take effect after either the next reboot or 
!--- when netflow is turned off on all interfaces.

混合 OS 中的配置

本部分展示运行混合 OS 的 Catalyst 6500 交换机的配置示例。该配置使用与 IOS 部分中相同的图表。本文档使用以下这些配置:

启用 NetFlow

假定已在 Supervisor 模块中创建了 VLAN,并且在 MSFC 中分配了 VLAN 接口 IP。此时在 Supervisor 模块和 MSFC 中都启用了 NetFlow。只能在第 3 层接口上启用 Netflow。

交换机
Catos(enable)set mls flow full
 

!--- Enables NetFlow and configures flow mask on the supervisor module. 
!--- In this example, flow mask is configured as full.

!
MSFC(config)#interface Vlan10
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit

MSFC(config)#interface Vlan20
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit

MSFC(config)#interface fastEthernet 3/1
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit


!--- Enables NetFlow on the MSFC.

配置 NDE

本部分同时展示 Supervisor 模块和 MSFC 上的 NDE 配置。在本例中,使用 VLAN 1 而非 loopback 0。

交换机
Catos(enable)set mls nde enable
Catos(enable)set mls nde version 7
Catos(enable)set mls nde 10.10.100.2 9996

!--- Configures NDE in the supervisor. This example configures NDE version 7.
!
MSFC(config)#ip flow-export version 5
MSFC(config)#ip flow-export source vlan 1
MSFC(config)#ip flow-export destination 10.10.100.2 9996

!--- Configures NDE on the MSFC with the NetFlow collector IP address 
!--- and the application port number 9996. This port number varies 
!--- depending on the NetFlow collector you use.

可选配置

本示例显示 Supervisor 模块中的 NetFlow 老化时间配置。

交换机
Catos(enable)set mls agingtime long-duration 300

!--- Configures the switch to delete the active NetFlow 
!--- cache entries after 5 minutes. The default value is 32 minutes.

!
Switch(config)#set mls agingtime 120

!--- Configures the switch to delete the inactive NetFlow 
!--- cache entries after 2 minutes. The default value is 5 minutes.

验证

本部分展示如何验证 NetFlow 缓存表和 NDE。此外,还提供示例 NetFlow 收集器输出。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • show mls netflow ip 命令显示 Supervisor 模块中的 NetFlow 缓存条目。以下是输出示例:

    Switch#show mls netflow ip
    Displaying Netflow entries in Supervisor Earl
    DstIP           SrcIP           Prot:SrcPort:DstPort  Src i/f          :AdjPtr
    -----------------------------------------------------------------------------
    Pkts         Bytes         Age   LastSeen  Attributes
    ---------------------------------------------------
    10.10.10.100   10.10.10.1     tcp :telnet :2960     --               :0x0
    
    26           1223          101   20:35:41   L2 - Dynamic
    10.10.20.2     10.10.20.1     tcp :11837  :179      --               :0x0
    
    6            315           174   20:35:29   L2 - Dynamic
    10.10.200.1     10.10.200.2     tcp :21124  :179      --               :0x0
    
    0            0             176   20:35:28   L3 - Dynamic
    10.10.20.1     10.10.20.2     tcp :179    :11837    --               :0x0
    
    0            0             174   20:35:29   L3 - Dynamic
    171.68.222.140  10.10.10.100   udp :3046   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   64.101.128.56   udp :dns    :2955     --               :0x0
    
    6            944           178   20:34:29   L3 - Dynamic
    10.10.200.2     10.10.200.1     tcp :179    :21124    --               :0x0
    
    5            269           133   20:35:28   L2 - Dynamic
    0.0.0.0         0.0.0.0         0   :0      :0        --               :0x0
    
    87           10488         133   20:35:29   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3047   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   171.70.144.201  icmp:0      :0        --               :0x0
    
    1            60            71    20:34:30   L3 - Dynamic
    171.68.222.140  10.10.10.100   udp :3045   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   64.101.128.92   tcp :3128   :2993     --               :0x0
    
    20           13256         102   20:34:00   L3 - Dynamic
    10.10.10.100   171.68.222.140  udp :1029   :3045     --               :0x0
    
    1            368           2     20:35:39   L3 - Dynamic
    171.68.222.140  10.10.10.100   icmp:771    :0        --               :0x0
    
    1            176           2     20:35:39   L3 - Dynamic
    10.10.10.100   10.16.151.97    udp :1029   :3048     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    10.16.151.97    10.10.10.100   udp :3045   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3049   :1029     --               :0x0
    
    2            152           2     20:35:39   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3045   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    64.101.128.56   10.10.10.100   udp :2955   :dns      --               :0x0
    
    6            389           178   20:34:29   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3045     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3050   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.16.151.97    10.10.10.100   udp :3048   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   64.101.128.92   tcp :3128   :2991     --               :0x0
    
    15           4889          106   20:34:00   L3 - Dynamic
    10.10.10.100   10.16.151.97    udp :1029   :3045     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    171.68.222.140  10.10.10.100   udp :3051   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.16.151.97    10.10.10.100   icmp:771    :0        --               :0x0
    
    1            176           2     20:35:39   L3 - Dynamic
    10.10.10.100   64.101.128.92   tcp :3128   :2992     --               :0x0
    
    16           7019          106   20:34:00   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3047     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    10.16.151.97    10.10.10.100   udp :3052   :1029     --               :0x0
    
    1            46            2     20:35:39   L3 - Dynamic
    10.10.10.100   171.68.222.140  udp :1029   :3046     --               :0x0
    
    1            368           2     20:35:39   L3 - Dynamic
    10.10.10.1     10.10.10.100   tcp :2960   :telnet   --               :0x0
    
    0            0             101   20:35:41   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3049     --               :0x0
    
    2            961           2     20:35:39   L3 - Dynamic
    171.68.222.136  10.10.10.100   udp :3053   :1029     --               :0x0
    
    2            152           2     20:35:40   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3050     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    10.10.10.100   171.68.222.136  udp :1029   :3053     --               :0x0
    
    2            961           1     20:35:40   L3 - Dynamic
    10.10.10.100   171.68.222.140  udp :1029   :3051     --               :0x0
    
    1            368           2     20:35:39   L3 - Dynamic
    10.10.10.100   10.16.151.97    udp :1029   :3052     --               :0x0
    
    1            366           2     20:35:39   L3 - Dynamic
    172.22.1.110    10.10.200.1     udp :52039  :9996     --               :0x0
    
    9            876           209   20:35:12   L2 - Dynamic
    10.175.52.255   10.10.10.100   udp :137    :137      --               :0x0
    
    3            234           72    20:34:31   L2 - Dynamic
    171.70.144.201  10.10.10.100   icmp:8      :0        --               :0x0
    
    1            60            72    20:34:29   L3 - Dynamic

    在生产环境中,此类输出的量将非常巨大。show mls netflow ip 命令有几个选项可仅列出相关的流量。以下输出显示选项的列表:

    Switch#show mls netflow ip ?
      count         total number of mls entries
      destination   show entries with destination ip address
      detail        display additional per-flow detail
      dynamic       hardware created netflow statistics entries
      flow          flow
      module        Show for module
      nowrap        no text wrap
      qos           qos statistics
      source        show entries with source ip address
      sw-installed  s/w installed netflow entries
      |             Output modifiers
      <cr>
  • show mls nde 命令显示 NetFlow 导出信息。这些信息显示该命令导出哪个 NetFlow 收集器以及该命令所导出的数据包的数量。以下是输出示例:

    Switch#show mls nde
     Netflow Data Export enabled 
     Exporting flows to  10.10.100.2 (9996)
     Exporting flows from 10.10.1.1 (52039)
     Version: 5
     Layer2 flow creation is enabled on vlan 10,20
     Layer2 flow export is enabled on vlan 10,20
     Include Filter not configured 
     Exclude Filter not configured 
     Total Netflow Data Export Packets are:
        337 packets, 0 no packets, 3304 records
     Total Netflow Data Export Send Errors:
    	IPWRITE_NO_FIB = 0
    	IPWRITE_ADJ_FAILED = 0
    	IPWRITE_PROCESS = 0
    	IPWRITE_ENQUEUE_FAILED = 0
    	IPWRITE_IPC_FAILED = 0
    	IPWRITE_OUTPUT_FAILED = 0
    	IPWRITE_MTU_FAILED = 0
    	IPWRITE_ENCAPFIX_FAILED = 0
     Netflow Aggregation Disabled

    发出 clear mls nde flow counters 命令清除 NDE 统计数据。

  • 下图显示 NetFlow 收集器中的示例输出:

    http://www.cisco.com/c/dam/en/us/support/docs/switches/catalyst-6500-series-switches/70974-netflow-catalyst6500-graph.gif

故障排除

本部分提供的信息可用于对配置进行故障排除。

需要了解几点情况以确保您的配置正常工作:

  • 必须在 MSFC 第 3 层接口上启用 NetFlow 以支持 PFC 上的 NDE 和 MSFC 上的 NDE。必须按照启用 NetFlow 部分配置交换机。如果不需要启用第 2 层桥接流量,则用 no ip flow ingress layer2-switched 命令取消 ip flow ingress layer2-switched 命令。

  • 如果配置全双工interface-full流掩码,您不能在网络地址转换(NAT)启用接口的以启用NetFlow。这表示如果用 ip nat inside 命令或 ip nat outside 命令配置了接口,并且已配置了 full 和 interface-full 流掩码,则无法在该接口上启用 NetFlow。您将看到以下错误消息:

    %FM_EARL7-4-FEAT_FLOWMASK_REQ_CONFLICT: Feature NDE requested flowmask Int
    f Full Flow Least conflicts with other features on interface Vlan52, flowmask re
    quest Unsuccessful for the feature
  • Policy Feature Card 3 (PFC3) 和 Policy Feature Card 2 (PFC2) 对于硬件第 3 层交换不使用 NetFlow 表。

  • NetFlow 聚合使用 NDE 版本 8。需要确保 NetFlow 收集器支持版本 8 格式。

    注意: 在当前思科Catalyst 6500 Supervisor 720家族的Netflow是仅入口接口功能。Cisco IOS 软件 12.2(33)SXH 版及更高版本支持按接口 NDE,此功能按接口启用 PFC NetFlow 数据收集。对于 Cisco IOS 软件 12.2(33)SXH 版之前的 Cisco IOS 软件版本,只能全局地启用和禁用 PFC 上的 NetFlow。

  • 必须在本地路由器上启用 Netflow 才能执行第 2 层分析。

禁用了 MLS 老化

在以本地IOS运行的思科Catalyst 6500交换机中, MLS长过期不能老化NetFlow缓存条目,当您启用服务器负载均衡(SLB)时。Cisco bug ID CSCea83612仅限注册用户)中记录了此问题。升级到不受此 bug 影响的最新 Cisco IOS。

NetFlow 显示单向流量

启用 NetFlow 之后,show mls netflow ip 命令仅显示单向流量。默认情况下,NetFlow 仅缓存入口流量。在入站和出站接口上都发出 ip route-cache flow 命令以同时缓存入站和出站流量。

NetFlow 不显示交换或桥接流量

默认情况下,NetFlow 不显示通过相同 VLAN 的流量的统计数据,而仅显示从一个 VLAN 进入并向另一个流出的流量的统计数据。例如,逐个为其配置了 ip route-cache flow 命令的那些 VLAN 接口。

注意: 要查看去在同样VLAN间的流量的统计信息,禁用软件交换的Netflow,即不配置第3层接口的iproute缓存流

要能对某个特定的 VLAN 创建交换、桥接和第 2 层 IP 流,请发出 ip flow layer2-switched 命令。

要能收集第 2 层中的交换、桥接和 IP 流,请发出 ip flow ingress layer2-switched vlan {num|vlanlist} 命令。要能导出第 2 层中的交换、桥接和 IP 流,请发出 ip flow export layer2-switched vlan {num|vlanlist} 命令。

仅 PFC3B 和 PFC3BXL 模式下的 Supervisor 引擎 720 上以及含有 PFC2 的 Supervisor 引擎 2 上支持该命令。

在用 Supervisor 引擎 720 配置的 Catalyst 6500 系列交换机上使用此命令之前,必须确保有相应的 VLAN 接口,并且该接口具有有效的 IP 地址。本指南不适用于用 Supervisor 引擎 2 配置的 Catalyst 6500 系列交换机。当 Supervisor 720 引擎将 NetFlow 信息导出到收集器进行分析时,tcp 标记设置为 ZERO。这是因为 Supervisor 720 在使用 EARL7 ASIC 时的硬件限制所致。EARL8 ASIC 中集成了对 TCP 标记的支持。

IP 流中看不到源 IP 地址和目标 IP 地址

以下是 IP 流不显示源和目标 IP 地址的原因。

  • ACL 阻止了数据包。

  • 正在对数据包进行进程交换。

  • 多播流量

  • 要发送到路由器的数据包

  • 隧道(IPIP、GRE、IPSEC、L2TP)和 WCCP

  • 到 null0 为静态路由

  • 因 CAR 而丢弃流量时 DstIf 为 NULL。

要避免此问题,请使用 ip flow ingress infer-fields 命令以推断的输入/输出接口和源/目标信息启用 NetFlow。

如果需要检查子接口上的流,则有两个选项:

  1. 在主接口中配置 ip route-cache flow。这样将从所有子接口发送流。

  2. 在子接口上配置 ip flow ingress,在这种情况下,主接口没有任何 NetFlow 配置,并且从启用了 ip flow ingress 命令的每个子接口发送流。

支持统计 VLAN 上的桥接流

Supervisor 引擎 1 或 1A/PFC、Supervisor 引擎 2/PFC2 上支持此功能,并且不需要 MSFC/MSFC2。Supervisor 720/PFC3BXL 上支持此功能,并具有 Cisco Catalyst OS 8.5 (1) 或更高版本中的有限功能。

请使用 set mls bridged-flow-statistics 命令启用或禁用所指定 VLAN 的桥接流统计数据。可以输入一个或多个 VLAN。可以按 VLAN 允许创建 NetFlow 表条目。但是,由于桥接流统计数据和按 VLAN 创建条目对于收集统计数据使用相同的机制,因此 VLAN 条目可以重叠。

NetFlow 中的 BGP_NEXTHOP 不正确

如果将 NetFlow BGP Next Hop 配置为支持记帐和分析,则 BGP Next Hop 与普通的下一跳不同。

当通过若干 IGP 链路循环让 BGP Next Hop 的路由分担负载时,NetFlow 缓存不捕获该 BGP Next Hop。NetFlow 缓存转而从 BGP 路由循环采用的分担负载的一组随机路由捕获实际的简单下一跳。因此,当有循环的负载分担链路时不支持 NetFlow BGP Next Hop。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 70974