Dépannage de Netflow sur IOS XE

Options de téléchargement

  • PDF     (426.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:17 juin 2026
ID du document:226065

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction


Ce document décrit comment dépanner Netflow sur les technologies pour Cisco IOS® XE.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Netflow
  • Cisco IOS XE

Pour plus d'informations sur ces sujets, consultez :

Présentation de Flexible Netflow
Configuration de Flexible NetFlow (commutateurs Catalyst 9300)
Configuration de Flexible NetFlow (commutateurs Catalyst 9400)

Configuration de Flexible NetFlow (commutateurs Catalyst 9500)

Configuration de Flexible NetFlow (commutateurs Catalyst 9600)

Composants utilisés

Les informations contenues dans ce document sont basées sur le logiciel Cisco IOS XE.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Dépannage de NetFlow sur les routeurs Cisco

Diagramme du réseau

Netflow on RoutersNetflow sur les routeurs

Le collecteur ne reçoit pas de paquets d'exportation NetFlow (CFLOWS) du routeur


Le collecteur ne reçoit pas les informations du routeur sur l'interface GigabitEthernet2.

Étape 1 : vérification de la configuration de l’exportateur

  • Adresse IP du collecteur
  • Interface source
  • Port UDP
  • Protocole d'exportation (NetFlow v9/IPFIX)

WAN_Router#show running-config | section flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60


Étape 2 : vérification de l’état des interfaces

Vérifiez que GigabitEthernet2 est opérationnel :

  • L'interface est up/up
  • L'adresse IP correcte est configurée
  • Pas d'erreurs ou de pertes excessives
WAN_Router#show interface gigabitEthernet 2 | include up|error|drop
GigabitEthernet2 is up, line protocol is up 
Full Duplex, 1000Mbps, link type is auto, media type is Virtual
output flow-control is unsupported, input flow-control is unsupported
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops

Étape 3 : vérification de l'accessibilité du collecteur

Testez la connectivité à partir de l’interface source :

WAN_Router#ping 203.0.113.10 source Loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms
WAN_Router#

WAN_Router#traceroute 203.0.113.10 source Loopback 0 numeric 
Type escape sequence to abort.
Tracing the route to 203.0.113.10
VRF info: (vrf in name/id, vrf out name/id)
1 X.X.X.X 2 msec 1 msec 1 msec
2 Y.Y.Y.Y 2 msec 2 msec 1 msec
3 Z.Z.Z.Z 2 msec * 2 msec
WAN_Router#

Étape 4. Vérification des statistiques sur les exportateurs

Vérifiez que le routeur génère et transmet des paquets d'exportation NetFlow à l'adresse du collecteur configurée.

  Vérifier :

  • Paquets envoyés avec succès
  • Modèles envoyés avec succès
  • Aucune défaillance de transmission
  • Aucune erreur de socket

WAN_Router#show flow exporter statistics 
Flow Exporter Netflow_Exporter:
Packet send statistics:
Successfully sent: 41 (3780 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750

Client: Flow Monitor MONITOR_EGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750

Étape 5 : vérification de la création du flux

Vérifiez que les entrées de flux sont renseignées et conservées dans le cache du moniteur de flux.

Vérifier :

  • Les flux actifs sont présents dans le cache du moniteur de flux.
  • Les entrées du cache s'incrémentent, ce qui indique que le trafic est en cours d'enregistrement.
  • Les entrées de flux expirent (expiration) dans les délais prévus.
note-icon

Remarque : Si aucun flux n'est observé dans le cache, examinez le moniteur de flux et enregistrez la configuration, car le problème n'est probablement pas lié à la fonction d'exportation.

WAN_Router#show flow monitor MONITOR_EGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 14
High Watermark: 27

Flows added: 3032
Flows aged: 3018
- Active timeout ( 60 secs) 200
- Inactive timeout ( 30 secs) 2818

IPV4 SOURCE ADDRESS: 198.51.100.200
IPV4 DESTINATION ADDRESS: 192.0.2.11
TRNS SOURCE PORT: 57188
TRNS DESTINATION PORT: 1967
INTERFACE OUTPUT: Gi2
IP TOS: 0x00
IP PROTOCOL: 17
counter bytes long: 80
counter packets long: 1
timestamp abs first: 22:09:34.067
timestamp abs last: 22:09:34.067

En fonction du résultat, peut être déterminé :

  • Le moniteur de flux MONITOR_EGRESS est opérationnel et remplit activement le cache avec des entrées de flux.
  • L'état du cache est confirmé : les entrées sont ajoutées et supprimées (obsolètes) aux taux prévus.
  • Une partie importante des flux (2818 sur 3018 âgés) expirent en raison du délai d'inactivité, qui est un comportement attendu pour le trafic de courte durée ou de basse fréquence.
  • L'entrée de cache affichée représente un flux UDP à paquet unique (protocole 17) de la source 198.51.100.200, port 57188, vers la destination 192.0.2.11, port 1967, sortant par l'interface GigabitEthernet2.

Étape 6. Vérification de la pièce jointe du moniteur


Vérifiez que le moniteur de flux est appliqué à l'interface appropriée.

WAN_Router#show running-config interface gigabitEthernet 2
Building configuration...

Current configuration : 217 bytes
!
interface GigabitEthernet2
ip flow monitor MONITOR_EGRESS output
ip address x.x.x.x 255.255.255.252
ip ospf network point-to-point
ip ospf 1 area 0
negotiation auto
end 


Étape 7 : vérification des listes de contrôle d’accès ou des stratégies de sécurité


Vérifiez qu'aucune liste de contrôle d'accès ou stratégie de sécurité configurée ne filtre ou ne supprime les paquets d'exportation NetFlow destinés au collecteur.

WAN_Router#show running-config | include access-group
WAN_Router#

Étape 8. Capture du trafic sur le routeur

  • Vérifiez le chemin de routage vers le collecteur en émettant la commande show ip route <collector_IP>. Identifiez l'interface de sortie par laquelle le routeur transfère le trafic d'exportation NetFlow.
  • Créez une liste de contrôle d'accès qui autorise les paquets UDP avec l'adresse IP source correspondant à l'interface source de l'exportateur NetFlow configurée et l'adresse IP de destination correspondant au collecteur. Appliquez cette liste de contrôle d’accès à la capture de paquets pour filtrer le trafic concerné.


WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#show ip route 203.0.113.10
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 02:12:27 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 02:12:27 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1

WAN_Router#show running-config interface Loopback0
Building configuration...

Current configuration : 87 bytes
!
interface Loopback0
ip address 198.51.100.10 255.255.255.255
ip ospf 1 area 0
end

WAN_Router(config)#ip access-list extended netflow
WAN_Router(config-ext-nacl)#permit udp host 198.51.100.10 host 203.0.113.10
WAN_Router(config-ext-nacl)#end
!
WAN_Router#monitor capture netflow interface gigabitEthernet 2 out access-list netflow buffer size 10
WAN_Router#monitor capture netflow start
Started capture point : netflow

WAN_Router#show monitor capture netflow buffer brief 
-------------------------------------------------------------------------------------
#    size     timestamp      source                destination     dscp   protocol
-------------------------------------------------------------------------------------
0    166      0.000000      198.51.100.10      -> 203.0.113.10      0 BE   UDP
1    166      0.055997      198.51.100.10      -> 203.0.113.10      0 BE   UDP
2    166      7.562019      198.51.100.10      -> 203.0.113.10      0 BE   UDP
3    166      7.617024      198.51.100.10      -> 203.0.113.10      0 BE   UDP
4    166      9.719009      198.51.100.10      -> 203.0.113.10      0 BE   UDP
5    166      9.776013      198.51.100.10      -> 203.0.113.10      0 BE   UDP
note-icon

Remarque : Les données capturées peuvent être stockées sur bootflash sous la forme d'un fichier .pcap ou extraites sous la forme d'un fichier de vidage hexadécimal dans un fichier texte, qui peut ensuite être importé dans un outil d'analyse de paquets tel que Wireshark pour un examen détaillé.
Configurer et capturer les paquets intégrés sur le logiciel

WAN_Router#show monitor capture netflow buffer dump 
0
0000: AABBCC00 18005254 00B62209 08004500 ......RT.."...E.
0010: 009863EA 0000FF11 F121C633 640ACB00 ..c......!.3d...
0020: 710AC027 270C0084 F2E70009 0002086E q..''..........n
0030: 9B7A6A2F 2ED40000 07CE0000 01000102 .zj/............
0040: 0068C000 020BC633 64C80011 07AFDCA1 .h.....3d.......
0050: 00000002 00000000 00000034 00000000 ...........4....
0060: 00000001 0000019E C84E6CDC 0000019E .........Nl.....
0070: C84E6CDC C000020B C63364C8 0011007B .Nl......3d....{
0080: DCA10000 00020000 00000000 002C0000 .............,..
0090: 00000000 00010000 019EC84E 6CF00000 ...........Nl...
00A0: 019EC84E 6CF0 ...Nl.

Sur la base de l'analyse de capture de paquets, les paquets d'exportation NetFlow (cflows) sont transmis du routeur au collecteur configuré.

Packet Capture NetflowNetflow de capture de paquets

Si les statistiques de l'exportateur indiquent des transmissions réussies mais qu'aucun paquet n'est reçu au niveau du collecteur, le problème réside probablement dans le chemin réseau entre le routeur et le collecteur plutôt que dans la configuration de l'exportateur NetFlow elle-même.

Pour isoler le problème, effectuez les vérifications suivantes :

  • Valider le chemin réseau : vérifiez toutes les listes de contrôle d'accès appliquées le long du chemin pour vous assurer que le port UDP NetFlow configuré n'est pas refusé ou filtré.
  • Vérifier les stratégies de pare-feu : si un pare-feu existe dans le chemin entre l'exportateur et le collecteur, vérifiez que la stratégie de sécurité applicable autorise le trafic UDP d'exportation NetFlow sur le port désigné.
  • Confirmer l'état de l'application du collecteur : vérifiez que le service ou le processus du collecteur est en cours d'exécution et qu'il écoute activement le port UDP attendu.


NetFlow Exporter ne transmet pas les données de flux au collecteur dans une topologie compatible VRF


Le collecteur ne reçoit pas les données d'exportation de flux de l'interface GigabitEthernet2. Bien que l'accessibilité au collecteur ait été vérifiée, les enregistrements de flux ne sont pas remis correctement.

Étape 1.  Vérifiez que le trafic est en cours d’apprentissage.

Vérifiez que le moniteur reçoit du trafic et crée des entrées de flux.

WAN_Router#show flow monitor MONITOR_INGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 7
High Watermark: 9

Flows added: 65
Flows aged: 58
- Active timeout ( 60 secs) 4
- Inactive timeout ( 30 secs) 54

IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: 224.0.0.5
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Gi2
IP TOS: 0xC0
IP PROTOCOL: 89
counter bytes long: 100
counter packets long: 1
timestamp abs first: 01:54:53.144
timestamp abs last: 01:54:53.144

Étape 2 : vérification des statistiques d'exportation

Vérifier le fonctionnement de l'exportateur.

WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 0 (0 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 0
Bytes added: 0

Le résultat indique que le moniteur de flux MONITOR_INGRESS collecte et met en cache correctement les données de flux ; toutefois, l'exportateur de flux Netflow_Exporter ne transmet aucun enregistrement au collecteur.

Étape 3 : vérification de l’accessibilité du collecteur dans la table de routage

Vérifiez qu'une route vers l'adresse IP du collecteur existe dans la table de routage appropriée. Il peut s’agir de la table de routage globale ou d’une table de routage spécifique au VRF, selon la topologie du réseau.

WAN_Router#show ip route 203.0.113.10
% Network not in table

WAN_Router#show ip cef 203.0.113.10
0.0.0.0/0
no route
WAN_Router#show ip vrf
Name           Default RD         Interfaces
A             <not set>           Lo0
                                  Gi1
                                  Gi2

WAN_Router#show ip route vrf A 203.0.113.10

Routing Table: A
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 00:37:34 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 00:37:34 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1 

WAN_Router#ping vrf A 203.0.113.10 source loopback0 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms
WAN_Router

Étape 4 : vérification de la configuration de l’exportateur de flux

Examiner la configuration de l'exportateur pour confirmer que le VRF approprié est spécifié, en s'assurant que l'exportateur connaît le VRF.

WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#

La cause principale de l'échec de l'exportation est l'absence d'une définition VRF dans la configuration de l'exportateur de flux. Dans un réseau compatible VRF, l'exportateur de flux doit être explicitement configuré avec le VRF approprié pour garantir que les paquets d'exportation sont transférés au collecteur via la table de routage appropriée.

La configuration corrigée et les étapes de vérification visant à confirmer que l'exportateur fonctionne comme prévu sont indiquées ici.

WAN_Router#show running-config | section flow exporter 
flow exporter Netflow_Exporter
destination 203.0.113.10 vrf A
source Loopback0
transport udp 9996
template data timeout 60

Étape 5 : vérification de l’état des paquets exportés vers le routeur

Activez les captures de paquets sur l'interface de sortie et utilisez les commandes show appropriées pour confirmer que les paquets d'exportation NetFlow sont envoyés au collecteur.

WAN_Router#show monitor capture netflow parameter 
monitor capture netflow interface GigabitEthernet2 OUT
monitor capture netflow access-list netflow
monitor capture netflow buffer size 10
monitor capture netflow limit pps 1000

WAN_Router#show flow exporter statistics 
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 7 (576 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 9
- sent: 9
Bytes added: 450
- sent: 450

WAN_Router#show monitor capture netflow buffer brief 
--------------------------------------------------------------------------------
#   size   timestamp      source               destination      dscp    protocol
--------------------------------------------------------------------------------
0    114    0.000000     198.51.100.10     -> 203.0.113.10         0 BE UDP
1    118    31.873947    198.51.100.10     -> 203.0.113.10         0 BE UDP
2    166    32.955004    198.51.100.10     -> 203.0.113.10         0 BE UDP
3    166    43.580963    198.51.100.10     -> 203.0.113.10         0 BE UDP
4    166    53.061993    198.51.100.10     -> 203.0.113.10         0 BE UDP
5    114    62.480978    198.51.100.10     -> 203.0.113.10         0 BE UDP

Dépannage de NetFlow sur les commutateurs Cisco

Diagramme du réseau

Netflow on SwitchesNetflow sur les commutateurs

Impossible d'appliquer le Moniteur de flux à l'interface

Lorsque vous tentez de relier le moniteur de flux Flexible NetFlow (FNF) à l'interface dans le sens de la sortie, le routeur rejette la configuration et génère un message d'erreur.

WAN_Switch(config-if)#interface TwentyFiveGigE1/0/1
WAN_Switch(config-if)#ip flow monitor MONITOR_INGRESS input 
% Flow Monitor: Failed to add monitor to interface: Invalid set of fields in monitor record for wired interface

Étape 1 : vérification de la configuration du moniteur

WAN_Switch#show running-config | section flow monitor
flow monitor MONITOR_INGRESS
exporter Netflow_Exporter
cache timeout inactive 30
cache timeout active 60
record INGRESS

 Étape 2. Vérifiez la configuration des enregistrements de flux pour les champs spécifiques à la direction. Le champ le plus courant à l'origine de ce problème est : correspond au nom de l'application.

WAN_Switch#show running-config | section flow record
flow record INGRESS
match ipv4 version
match ipv4 protocol
match application name
match ipv4 destination address
match ipv4 source address
match transport destination-port
match transport source-port
match interface input
match flow direction
collect timestamp absolute first
collect timestamp absolute last
collect counter bytes long
collect counter packets long


Le champ de nom d'application correspondant dans un enregistrement de flux Flexible NetFlow (FNF) est utilisé dans les déploiements AVC (Application Visibility and Control) pour identifier et classer le trafic en fonction de l'application générant le flux.


Ce champ utilise le moteur NBAR (Network-Based Application Recognition) pour effectuer une inspection approfondie des paquets (Deep Packet Inspection, DPI) et identifier l'application associée à chaque flux. Plutôt que de se fier uniquement aux numéros de port ou aux adresses IP, ce champ permet au routeur de classer le trafic au niveau de la couche application (couche 7).

Dans un déploiement qui utilise uniquement Flexible NetFlow (FNF) sans la fonctionnalité AVC activée, ce champ est incompatible avec la configuration de l'interface et empêche le moniteur de flux d'être connecté à l'interface surveillée.

note-icon

Remarque : Sur les plates-formes Catalyst 9500H et Catalyst 9600, la fonctionnalité AVC n'est pas disponible. Pour la surveillance de flux basée sur AVC, la gamme Catalyst 9300 est la plate-forme prise en charge.


3. Supprimez le champ non pris en charge de la configuration d'enregistrement de flux, puis réappliquez le moniteur de flux à l'interface.

WAN_Switch(config)#interface twentyFiveGigE 1/0/1 
WAN_Switch(config-if)#no ip flow monitor MONITOR_INGRESS in 
WAN_Switch(config)#no flow monitor MONITOR_INGRESS
WAN_Switch(config)#flow record INGRESS
WAN_Switch(config-flow-record)#no match flow direction
<snip>
note-icon

Remarque : Après avoir modifié l'enregistrement de flux, réappliquez la configuration du moniteur de flux et associez le moniteur de flux à l'interface pour terminer la modification de configuration.

Étape 4. Confirmez que le Moniteur de flux est opérationnel après l’application des modifications de configuration. 

WAN_Switch#show flow monitor MONITOR_INGRESS statistics 
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1

Flows added: 1
Flows aged: 0

WAN_Switch#show flow monitor MONITOR_INGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1

Flows added: 1
Flows aged: 0

IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: y.y.y.y
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Twe1/0/1
FLOW DIRECTION: Input
IP VERSION: 4
IP PROTOCOL: 89
counter bytes long: 708
counter packets long: 7
timestamp abs first: 20:38:23.408
timestamp abs last: 20:39:12.408

Historique de révision

Révision Date de publication Commentaires
1.0
18-Jun-2026
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Adriana Pacheco
    Ingénieur-conseil technique

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco