Solución de problemas de Netflow en IOS XE

Opciones de descarga

  • PDF     (427.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:17 de junio de 2026
ID del documento:226065

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción


Este documento describe cómo resolver problemas de Netflow en Tecnologías para Cisco IOS® XE.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Netflow
  • Cisco IOS XE

Para obtener más información sobre estos temas, consulte:

Descripción general de Flexible Netflow
Configuración de Flexible NetFlow (switches Catalyst 9300)
Configuración de Flexible NetFlow (switches Catalyst 9400)

Configuración de Flexible NetFlow (switches Catalyst 9500)

Configuración de Flexible NetFlow (switches Catalyst 9600)

Componentes Utilizados

La información de este documento se basa en el software Cisco IOS XE.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Solución de problemas de NetFlow en routers Cisco

Diagrama de la red

Netflow on RoutersNetflow en routers

El recopilador no recibe paquetes de exportación de NetFlow (CFLOWS) del router


El colector no está recibiendo la información del router en la interfaz GigabitEthernet2.

Paso 1. Verifique la configuración del exportador.

  • Dirección IP del recopilador
  • Interfaz de origen
  • puerto UDP
  • Protocolo de exportación (NetFlow v9/IPFIX)

WAN_Router#show running-config | section flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60


Paso 2. Verifique el estado de la interfaz.

Confirme que GigabitEthernet2 esté operativo:

  • La interfaz está activa/activa
  • Se ha configurado la dirección IP correcta
  • Sin errores o caídas excesivas
WAN_Router#show interface gigabitEthernet 2 | include up|error|drop
GigabitEthernet2 is up, line protocol is up 
Full Duplex, 1000Mbps, link type is auto, media type is Virtual
output flow-control is unsupported, input flow-control is unsupported
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops

Paso 3. Verifique la disponibilidad del colector.

Pruebe la conectividad desde la interfaz de origen:

WAN_Router#ping 203.0.113.10 source Loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms
WAN_Router#

WAN_Router#traceroute 203.0.113.10 source Loopback 0 numeric 
Type escape sequence to abort.
Tracing the route to 203.0.113.10
VRF info: (vrf in name/id, vrf out name/id)
1 X.X.X.X 2 msec 1 msec 1 msec
2 Y.Y.Y.Y 2 msec 2 msec 1 msec
3 Z.Z.Z.Z 2 msec * 2 msec
WAN_Router#

Paso 4. Verificar las estadísticas del exportador.

Verifique que el router esté generando y transmitiendo paquetes de exportación de NetFlow a la dirección del colector configurada.

  Controle lo siguiente:

  • Paquetes enviados correctamente
  • Plantillas enviadas correctamente
  • Sin fallos de transmisión
  • Sin errores de socket

WAN_Router#show flow exporter statistics 
Flow Exporter Netflow_Exporter:
Packet send statistics:
Successfully sent: 41 (3780 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750

Client: Flow Monitor MONITOR_EGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750

Paso 5. Verifique la creación del flujo.

Verifique que las entradas de flujo se estén rellenando y manteniendo en la memoria caché del monitor de flujo.

Controle lo siguiente:

  • Los flujos activos están presentes en la memoria caché del monitor de flujo.
  • Las entradas de la memoria caché aumentan, lo que indica que se está registrando el tráfico.
  • Las entradas de flujo caducan (caducan) dentro de los intervalos de tiempo de espera esperados.
note-icon

Nota: Si no se observan flujos en la memoria caché, investigue la configuración del monitor de flujo y del registro, ya que es probable que el problema no esté relacionado con la función de exportación.

WAN_Router#show flow monitor MONITOR_EGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 14
High Watermark: 27

Flows added: 3032
Flows aged: 3018
- Active timeout ( 60 secs) 200
- Inactive timeout ( 30 secs) 2818

IPV4 SOURCE ADDRESS: 198.51.100.200
IPV4 DESTINATION ADDRESS: 192.0.2.11
TRNS SOURCE PORT: 57188
TRNS DESTINATION PORT: 1967
INTERFACE OUTPUT: Gi2
IP TOS: 0x00
IP PROTOCOL: 17
counter bytes long: 80
counter packets long: 1
timestamp abs first: 22:09:34.067
timestamp abs last: 22:09:34.067

En función de la salida, se puede determinar:

  • El monitor de flujo MONITOR_EGRESS está operativo y llena activamente la memoria caché con entradas de flujo.
  • Se ha confirmado el estado de la caché: las entradas se están agregando y quitando (caducadas) a las velocidades esperadas.
  • Una parte significativa de los flujos (2818 de 3018 de antigüedad) vencen debido al tiempo de espera inactivo, que es el comportamiento esperado para el tráfico de corta duración o de baja frecuencia.
  • La entrada de caché mostrada representa un flujo UDP de un solo paquete (protocolo 17) desde el origen 198.51.100.200, puerto 57188, hasta el destino 192.0.2.11, puerto 1967, saliendo a través de la interfaz GigabitEthernet2.

Paso 6. Verifique el archivo adjunto del monitor.


Confirme que el monitor de flujo se aplica a la interfaz correcta.

WAN_Router#show running-config interface gigabitEthernet 2
Building configuration...

Current configuration : 217 bytes
!
interface GigabitEthernet2
ip flow monitor MONITOR_EGRESS output
ip address x.x.x.x 255.255.255.252
ip ospf network point-to-point
ip ospf 1 area 0
negotiation auto
end 


Paso 7. Verifique las ACL o las políticas de seguridad.


Verifique que ninguna ACL o política de seguridad configurada esté filtrando o descartando los paquetes de exportación de NetFlow destinados al colector.:

WAN_Router#show running-config | include access-group
WAN_Router#

Paso 8. Capture el tráfico en el router.

  • Verifique la trayectoria de ruteo al colector mediante la ejecución del comando show ip route <collector_IP>. Identifique la interfaz de salida a través de la cual el router reenvía el tráfico de exportación de NetFlow.
  • Cree una ACL que permita paquetes UDP con la dirección IP de origen que coincida con la interfaz de origen del exportador de NetFlow configurado y la dirección IP de destino que coincida con el recopilador. Aplique esta ACL a la captura de paquetes para filtrar el tráfico relevante.


WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#show ip route 203.0.113.10
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 02:12:27 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 02:12:27 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1

WAN_Router#show running-config interface Loopback0
Building configuration...

Current configuration : 87 bytes
!
interface Loopback0
ip address 198.51.100.10 255.255.255.255
ip ospf 1 area 0
end

WAN_Router(config)#ip access-list extended netflow
WAN_Router(config-ext-nacl)#permit udp host 198.51.100.10 host 203.0.113.10
WAN_Router(config-ext-nacl)#end
!
WAN_Router#monitor capture netflow interface gigabitEthernet 2 out access-list netflow buffer size 10
WAN_Router#monitor capture netflow start
Started capture point : netflow

WAN_Router#show monitor capture netflow buffer brief 
-------------------------------------------------------------------------------------
#    size     timestamp      source                destination     dscp   protocol
-------------------------------------------------------------------------------------
0    166      0.000000      198.51.100.10      -> 203.0.113.10      0 BE   UDP
1    166      0.055997      198.51.100.10      -> 203.0.113.10      0 BE   UDP
2    166      7.562019      198.51.100.10      -> 203.0.113.10      0 BE   UDP
3    166      7.617024      198.51.100.10      -> 203.0.113.10      0 BE   UDP
4    166      9.719009      198.51.100.10      -> 203.0.113.10      0 BE   UDP
5    166      9.776013      198.51.100.10      -> 203.0.113.10      0 BE   UDP
note-icon

Nota: Los datos capturados se pueden almacenar en la memoria de inicialización como un archivo .pcap o extraerse como un volcado hexadecimal en un archivo de texto, que luego se puede importar a una herramienta de análisis de paquetes como Wireshark para su examen detallado.
Configuración y captura de paquetes integrados en el software

WAN_Router#show monitor capture netflow buffer dump 
0
0000: AABBCC00 18005254 00B62209 08004500 ......RT.."...E.
0010: 009863EA 0000FF11 F121C633 640ACB00 ..c......!.3d...
0020: 710AC027 270C0084 F2E70009 0002086E q..''..........n
0030: 9B7A6A2F 2ED40000 07CE0000 01000102 .zj/............
0040: 0068C000 020BC633 64C80011 07AFDCA1 .h.....3d.......
0050: 00000002 00000000 00000034 00000000 ...........4....
0060: 00000001 0000019E C84E6CDC 0000019E .........Nl.....
0070: C84E6CDC C000020B C63364C8 0011007B .Nl......3d....{
0080: DCA10000 00020000 00000000 002C0000 .............,..
0090: 00000000 00010000 019EC84E 6CF00000 ...........Nl...
00A0: 019EC84E 6CF0 ...Nl.

Según el análisis de captura de paquetes, los paquetes de exportación de NetFlow (cflows) se transmiten desde el router al recopilador configurado.

Packet Capture NetflowNetflow de captura de paquetes

Si las estadísticas del exportador indican transmisiones exitosas pero no se reciben paquetes en el colector, es probable que el problema resida en la trayectoria de red entre el router y el colector en lugar de en la configuración del exportador de NetFlow en sí.

Para aislar el problema, realice estas verificaciones:

  • Validar la trayectoria de red - Revise todas las ACL aplicadas a lo largo de la trayectoria para asegurarse de que el puerto UDP de NetFlow configurado no sea denegado o filtrado.
  • Verificar políticas de firewall: si existe un firewall en la trayectoria entre el exportador y el colector, confirme que la política de seguridad aplicable permite que NetFlow exporte tráfico UDP en el puerto designado.
  • Confirmar el estado de la aplicación del colector - Verifique que el servicio o proceso del colector se esté ejecutando y que esté escuchando activamente en el puerto UDP esperado.


El Exportador de NetFlow no Transmite los Datos de Flujo al Recopilador en una Topología que Reconoce VRF


El recopilador no recibe datos de exportación de flujo de la interfaz GigabitEthernet2. Aunque se ha verificado la disponibilidad del recopilador, los registros de flujo no se entregan correctamente.

Paso 1.  Verifique que se está aprendiendo el tráfico.

Verifique que el monitor esté recibiendo tráfico y creando entradas de flujo.

WAN_Router#show flow monitor MONITOR_INGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 7
High Watermark: 9

Flows added: 65
Flows aged: 58
- Active timeout ( 60 secs) 4
- Inactive timeout ( 30 secs) 54

IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: 224.0.0.5
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Gi2
IP TOS: 0xC0
IP PROTOCOL: 89
counter bytes long: 100
counter packets long: 1
timestamp abs first: 01:54:53.144
timestamp abs last: 01:54:53.144

Paso 2. Verificar estadísticas de exportación.

Compruebe el funcionamiento del exportador.

WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 0 (0 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 0
Bytes added: 0

El resultado indica que el monitor de flujo MONITOR_INGRESS está recopilando y almacenando en caché correctamente los datos de flujo; sin embargo, el exportador de flujo Netflow_Exporter no transmite ningún registro al recopilador.

Paso 3. Verifique la Disponibilidad del Recopilador en la Tabla de Ruteo.

Verifique que exista una ruta a la dirección IP del colector en la tabla de ruteo apropiada. Puede ser la tabla de ruteo global o una tabla de ruteo específica de VRF, según la topología de red.

WAN_Router#show ip route 203.0.113.10
% Network not in table

WAN_Router#show ip cef 203.0.113.10
0.0.0.0/0
no route
WAN_Router#show ip vrf
Name           Default RD         Interfaces
A             <not set>           Lo0
                                  Gi1
                                  Gi2

WAN_Router#show ip route vrf A 203.0.113.10

Routing Table: A
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 00:37:34 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 00:37:34 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1 

WAN_Router#ping vrf A 203.0.113.10 source loopback0 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms
WAN_Router

Paso 4. Verifique la configuración del exportador de flujo.

Revise la configuración del exportador para confirmar que se ha especificado el VRF apropiado, asegurándose de que el exportador reconoce el VRF.

WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#

La causa raíz de la falla de exportación es la ausencia de una definición VRF en la configuración del exportador de flujo. En una red que reconoce VRF, el exportador de flujo debe configurarse explícitamente con el VRF apropiado para asegurarse de que los paquetes de exportación se reenvíen al colector a través de la tabla de ruteo correcta.

Aquí se muestran la configuración corregida y los pasos de verificación para confirmar que el exportador está funcionando como se esperaba.

WAN_Router#show running-config | section flow exporter 
flow exporter Netflow_Exporter
destination 203.0.113.10 vrf A
source Loopback0
transport udp 9996
template data timeout 60

Paso 5. Verifique que los paquetes de exportación estén egresando el router.

Habilite las capturas de paquetes en la interfaz de salida y utilice los comandos show relevantes para confirmar que los paquetes de exportación de NetFlow se están enviando al recolector.

WAN_Router#show monitor capture netflow parameter 
monitor capture netflow interface GigabitEthernet2 OUT
monitor capture netflow access-list netflow
monitor capture netflow buffer size 10
monitor capture netflow limit pps 1000

WAN_Router#show flow exporter statistics 
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 7 (576 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 9
- sent: 9
Bytes added: 450
- sent: 450

WAN_Router#show monitor capture netflow buffer brief 
--------------------------------------------------------------------------------
#   size   timestamp      source               destination      dscp    protocol
--------------------------------------------------------------------------------
0    114    0.000000     198.51.100.10     -> 203.0.113.10         0 BE UDP
1    118    31.873947    198.51.100.10     -> 203.0.113.10         0 BE UDP
2    166    32.955004    198.51.100.10     -> 203.0.113.10         0 BE UDP
3    166    43.580963    198.51.100.10     -> 203.0.113.10         0 BE UDP
4    166    53.061993    198.51.100.10     -> 203.0.113.10         0 BE UDP
5    114    62.480978    198.51.100.10     -> 203.0.113.10         0 BE UDP

Solución de problemas de NetFlow en switches Cisco

Diagrama de la red

Netflow on SwitchesNetflow en switches

No se puede aplicar el monitor de flujo a la interfaz

Al intentar conectar el monitor de flujo de Flexible NetFlow (FNF) a la interfaz en la dirección de salida, el router rechaza la configuración y genera un mensaje de error.

WAN_Switch(config-if)#interface TwentyFiveGigE1/0/1
WAN_Switch(config-if)#ip flow monitor MONITOR_INGRESS input 
% Flow Monitor: Failed to add monitor to interface: Invalid set of fields in monitor record for wired interface

Paso 1. Verifique la configuración del monitor.

WAN_Switch#show running-config | section flow monitor
flow monitor MONITOR_INGRESS
exporter Netflow_Exporter
cache timeout inactive 30
cache timeout active 60
record INGRESS

 Paso 2. Revise la configuración del registro de flujo para los campos específicos de dirección. El campo más común que causa este problema es: nombre de aplicación coincidente.

WAN_Switch#show running-config | section flow record
flow record INGRESS
match ipv4 version
match ipv4 protocol
match application name
match ipv4 destination address
match ipv4 source address
match transport destination-port
match transport source-port
match interface input
match flow direction
collect timestamp absolute first
collect timestamp absolute last
collect counter bytes long
collect counter packets long


El campo de coincidencia de nombre de aplicación en un registro de flujo de Flexible NetFlow (FNF) se utiliza en implementaciones de Application Visibility and Control (AVC) para identificar y clasificar el tráfico en función de la aplicación que genera el flujo.


Este campo aprovecha el motor de reconocimiento de aplicaciones basadas en red (NBAR) para realizar una inspección profunda de paquetes (DPI) e identificar la aplicación asociada a cada flujo. En lugar de depender únicamente de números de puerto o direcciones IP, este campo permite al router clasificar el tráfico en la capa de aplicación (capa 7).

En una implementación que utiliza solo Flexible NetFlow (FNF) sin la función AVC habilitada, este campo es incompatible con la configuración de la interfaz e impide que el monitor de flujo se conecte a la interfaz supervisada.

note-icon

Nota: En las plataformas Catalyst 9500H y Catalyst 9600, la función AVC no está disponible. Para la supervisión de flujo basada en AVC, Catalyst serie 9300 es la plataforma compatible.


3. Elimine el campo no admitido de la configuración del registro de flujo y vuelva a aplicar el monitor de flujo a la interfaz.

WAN_Switch(config)#interface twentyFiveGigE 1/0/1 
WAN_Switch(config-if)#no ip flow monitor MONITOR_INGRESS in 
WAN_Switch(config)#no flow monitor MONITOR_INGRESS
WAN_Switch(config)#flow record INGRESS
WAN_Switch(config-flow-record)#no match flow direction
<snip>
note-icon

Nota: Después de modificar el registro de flujo, vuelva a aplicar la configuración del monitor de flujo y conecte el monitor de flujo a la interfaz para completar el cambio de configuración.

Paso 4. Confirme que el monitor de flujo esté operativo después de que se hayan aplicado los cambios de configuración. 

WAN_Switch#show flow monitor MONITOR_INGRESS statistics 
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1

Flows added: 1
Flows aged: 0

WAN_Switch#show flow monitor MONITOR_INGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1

Flows added: 1
Flows aged: 0

IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: y.y.y.y
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Twe1/0/1
FLOW DIRECTION: Input
IP VERSION: 4
IP PROTOCOL: 89
counter bytes long: 708
counter packets long: 7
timestamp abs first: 20:38:23.408
timestamp abs last: 20:39:12.408

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
18-Jun-2026
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Adriana Pacheco
    Ingeniero de consultoría técnica

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco