Risoluzione dei problemi di Netflow su IOS XE

Opzioni per il download

  • PDF     (427.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:17 giugno 2026
ID documento:226065

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione


In questo documento viene descritto come risolvere i problemi relativi a Netflow su Tecnologie per Cisco IOS® XE.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • NetFlow
  • Cisco IOS XE

Per ulteriori informazioni su questi argomenti, vedere:

Panoramica di Flexible Netflow
Configurazione di Flexible NetFlow (switch Catalyst 9300)
Configurazione di Flexible NetFlow (switch Catalyst 9400)

Configurazione di Flexible NetFlow (switch Catalyst 9500)

Configurazione di Flexible NetFlow (switch Catalyst 9600)

Componenti usati

Il riferimento delle informazioni contenute in questo documento è il software Cisco IOS XE.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Risoluzione dei problemi di NetFlow sui router Cisco

Esempio di rete

Netflow on RoutersNetFlow sui router

Collector non riceve pacchetti di esportazione NetFlow (CFLOWS) dal router


L'agente di raccolta non riceve le informazioni dal router sull'interfaccia Gigabit Ethernet2.

Passaggio 1. Verificare la configurazione dell'utilità di esportazione.

  • Indirizzo IP agente di raccolta
  • Source interface
  • porta UDP
  • Protocollo di esportazione (NetFlow v9/IPFIX)

WAN_Router#show running-config | section flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60


Passaggio 2. Verificare lo stato dell'interfaccia.

Confermare che Gigabit Ethernet2 sia operativo:

  • Interfaccia attiva/attiva
  • È stato configurato l'indirizzo IP corretto
  • Nessun errore o calo eccessivo
WAN_Router#show interface gigabitEthernet 2 | include up|error|drop
GigabitEthernet2 is up, line protocol is up 
Full Duplex, 1000Mbps, link type is auto, media type is Virtual
output flow-control is unsupported, input flow-control is unsupported
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops

Passaggio 3. Verificare la raggiungibilità al collector.

Verificare la connettività dall'interfaccia di origine:

WAN_Router#ping 203.0.113.10 source Loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms
WAN_Router#

WAN_Router#traceroute 203.0.113.10 source Loopback 0 numeric 
Type escape sequence to abort.
Tracing the route to 203.0.113.10
VRF info: (vrf in name/id, vrf out name/id)
1 X.X.X.X 2 msec 1 msec 1 msec
2 Y.Y.Y.Y 2 msec 2 msec 1 msec
3 Z.Z.Z.Z 2 msec * 2 msec
WAN_Router#

Passaggio 4. Verificare le statistiche dell'esportatore.

Verificare che il router stia generando e trasmettendo i pacchetti di esportazione NetFlow all'indirizzo del raccoglitore configurato.

  Verifica:

  • Pacchetti inviati
  • Modelli inviati
  • Nessun errore di trasmissione
  • Nessun errore socket

WAN_Router#show flow exporter statistics 
Flow Exporter Netflow_Exporter:
Packet send statistics:
Successfully sent: 41 (3780 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750

Client: Flow Monitor MONITOR_EGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750

Passaggio 5. Verificare la creazione del flusso.

Verificare che le voci di flusso vengano popolate e gestite nella cache del monitoraggio del flusso.

Verifica:

  • I flussi attivi sono presenti nella cache del monitoraggio del flusso.
  • Le voci della cache sono in aumento, il che indica che il traffico viene registrato.
  • Le voci di flusso scadono (scadenza) entro gli intervalli di timeout previsti.
note-icon

Nota: Se nella cache non vengono rilevati flussi, esaminare il monitoraggio del flusso e la configurazione dei record, poiché il problema probabilmente non è correlato alla funzione di esportazione.

WAN_Router#show flow monitor MONITOR_EGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 14
High Watermark: 27

Flows added: 3032
Flows aged: 3018
- Active timeout ( 60 secs) 200
- Inactive timeout ( 30 secs) 2818

IPV4 SOURCE ADDRESS: 198.51.100.200
IPV4 DESTINATION ADDRESS: 192.0.2.11
TRNS SOURCE PORT: 57188
TRNS DESTINATION PORT: 1967
INTERFACE OUTPUT: Gi2
IP TOS: 0x00
IP PROTOCOL: 17
counter bytes long: 80
counter packets long: 1
timestamp abs first: 22:09:34.067
timestamp abs last: 22:09:34.067

In base all'output, è possibile determinare:

  • Il monitor di flusso MONITOR_EGRESS è operativo e sta popolando attivamente la cache con voci di flusso.
  • Integrità della cache confermata. Le voci verranno aggiunte e rimosse (obsolete) alla velocità prevista.
  • Una parte significativa dei flussi (2818 su 3018 invecchiati) sta scadendo a causa del timeout inattivo, che è il comportamento previsto per il traffico di breve durata o a bassa frequenza.
  • La voce visualizzata nella cache rappresenta un flusso UDP a pacchetto singolo (protocollo 17) dall'origine 198.51.100.200, porta 57188, alla destinazione 192.0.2.11, porta 1967, in uscita tramite l'interfaccia Gigabit Ethernet2.

Passaggio 6. Verificare l'allegato di monitoraggio.


Verificare che il monitor del flusso sia applicato all'interfaccia corretta.

WAN_Router#show running-config interface gigabitEthernet 2
Building configuration...

Current configuration : 217 bytes
!
interface GigabitEthernet2
ip flow monitor MONITOR_EGRESS output
ip address x.x.x.x 255.255.255.252
ip ospf network point-to-point
ip ospf 1 area 0
negotiation auto
end 


Passaggio 7. Verificare gli ACL o i criteri di sicurezza.


Verificare che nessun ACL o criterio di sicurezza configurato stia filtrando o eliminando pacchetti di esportazione NetFlow destinati all'agente di raccolta.:

WAN_Router#show running-config | include access-group
WAN_Router#

Passaggio 8. Acquisire il traffico sul router.

  • Verificare il percorso di routing all'agente di raccolta usando il comando show ip route <collector_IP>. Identificare l'interfaccia di uscita attraverso cui il router inoltra il traffico di esportazione NetFlow.
  • Creare un ACL che autorizzi i pacchetti UDP con l'indirizzo IP di origine corrispondente all'interfaccia di origine dell'esportatore NetFlow configurata e l'indirizzo IP di destinazione corrispondente al collector. Applicare questo ACL all'acquisizione del pacchetto per filtrare il traffico pertinente.


WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#show ip route 203.0.113.10
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 02:12:27 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 02:12:27 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1

WAN_Router#show running-config interface Loopback0
Building configuration...

Current configuration : 87 bytes
!
interface Loopback0
ip address 198.51.100.10 255.255.255.255
ip ospf 1 area 0
end

WAN_Router(config)#ip access-list extended netflow
WAN_Router(config-ext-nacl)#permit udp host 198.51.100.10 host 203.0.113.10
WAN_Router(config-ext-nacl)#end
!
WAN_Router#monitor capture netflow interface gigabitEthernet 2 out access-list netflow buffer size 10
WAN_Router#monitor capture netflow start
Started capture point : netflow

WAN_Router#show monitor capture netflow buffer brief 
-------------------------------------------------------------------------------------
#    size     timestamp      source                destination     dscp   protocol
-------------------------------------------------------------------------------------
0    166      0.000000      198.51.100.10      -> 203.0.113.10      0 BE   UDP
1    166      0.055997      198.51.100.10      -> 203.0.113.10      0 BE   UDP
2    166      7.562019      198.51.100.10      -> 203.0.113.10      0 BE   UDP
3    166      7.617024      198.51.100.10      -> 203.0.113.10      0 BE   UDP
4    166      9.719009      198.51.100.10      -> 203.0.113.10      0 BE   UDP
5    166      9.776013      198.51.100.10      -> 203.0.113.10      0 BE   UDP
note-icon

Nota: I dati acquisiti possono essere memorizzati su bootflash come file .pcap o estratti come dump esadecimale in un file di testo, che può quindi essere importato in uno strumento di analisi dei pacchetti come Wireshark per un esame dettagliato.
Configurazione della funzione EPC (Embedded Packet Capture) nel software

WAN_Router#show monitor capture netflow buffer dump 
0
0000: AABBCC00 18005254 00B62209 08004500 ......RT.."...E.
0010: 009863EA 0000FF11 F121C633 640ACB00 ..c......!.3d...
0020: 710AC027 270C0084 F2E70009 0002086E q..''..........n
0030: 9B7A6A2F 2ED40000 07CE0000 01000102 .zj/............
0040: 0068C000 020BC633 64C80011 07AFDCA1 .h.....3d.......
0050: 00000002 00000000 00000034 00000000 ...........4....
0060: 00000001 0000019E C84E6CDC 0000019E .........Nl.....
0070: C84E6CDC C000020B C63364C8 0011007B .Nl......3d....{
0080: DCA10000 00020000 00000000 002C0000 .............,..
0090: 00000000 00010000 019EC84E 6CF00000 ...........Nl...
00A0: 019EC84E 6CF0 ...Nl.

In base all'analisi dell'acquisizione dei pacchetti, i pacchetti di esportazione NetFlow (cflow) vengono trasmessi dal router al collector configurato.

Packet Capture NetflowPacket Capture NetFlow

Se le statistiche dell'esportatore indicano trasmissioni riuscite ma non viene ricevuto alcun pacchetto presso l'agente di raccolta, è probabile che il problema si verifichi nel percorso di rete tra il router e l'agente di raccolta piuttosto che nella stessa configurazione dell'esportatore NetFlow.

Per isolare il problema, eseguire le verifiche seguenti:

  • Convalida del percorso di rete: rivedere tutti gli ACL applicati al percorso per verificare che la porta UDP NetFlow configurata non venga negata o filtrata.
  • Verifica dei criteri del firewall - Se esiste un firewall nel percorso tra l'utilità di esportazione e l'agente di raccolta, confermare che i criteri di sicurezza applicabili consentano l'esportazione da NetFlow del traffico UDP sulla porta designata.
  • Confermare lo stato dell'applicazione di raccolta - Verificare che il servizio o il processo di raccolta sia in esecuzione e in ascolto attivo sulla porta UDP prevista.


Esportatore NetFlow: impossibile trasmettere i dati di flusso al raccoglitore in una topologia compatibile con VRF


L'agente di raccolta non riceve i dati di esportazione del flusso dall'interfaccia Gigabit Ethernet2. Sebbene sia stata verificata la raggiungibilità dell'agente di raccolta, i record del flusso non vengono recapitati correttamente.

Passaggio 1.  Verificare che il traffico sia stato appreso.

Verificare che il monitoraggio riceva traffico e crei voci di flusso.

WAN_Router#show flow monitor MONITOR_INGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 7
High Watermark: 9

Flows added: 65
Flows aged: 58
- Active timeout ( 60 secs) 4
- Inactive timeout ( 30 secs) 54

IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: 224.0.0.5
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Gi2
IP TOS: 0xC0
IP PROTOCOL: 89
counter bytes long: 100
counter packets long: 1
timestamp abs first: 01:54:53.144
timestamp abs last: 01:54:53.144

Passaggio 2. Verificare le statistiche di esportazione.

Operazione di esportazione assegni.

WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 0 (0 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 0
Bytes added: 0

L'output indica che il monitor di flusso MONITOR_INGRESS sta raccogliendo e memorizzando correttamente nella cache i dati di flusso; tuttavia, l'utilità di esportazione del flusso Netflow_Exporter non trasmette alcun record all'agente di raccolta.

Passaggio 3. Verificare la raggiungibilità dell'agente di raccolta nella tabella di routing.

Verificare che nella tabella di routing appropriata esista una route per l'indirizzo IP dell'agente di raccolta. Può trattarsi della tabella di routing globale o di una tabella di routing specifica del VRF, a seconda della topologia di rete.

WAN_Router#show ip route 203.0.113.10
% Network not in table

WAN_Router#show ip cef 203.0.113.10
0.0.0.0/0
no route
WAN_Router#show ip vrf
Name           Default RD         Interfaces
A             <not set>           Lo0
                                  Gi1
                                  Gi2

WAN_Router#show ip route vrf A 203.0.113.10

Routing Table: A
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 00:37:34 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 00:37:34 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1 

WAN_Router#ping vrf A 203.0.113.10 source loopback0 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms
WAN_Router

Passaggio 4. Verificare la configurazione di esportazione flusso.

Esaminare la configurazione dell'esportatore per verificare che sia stato specificato il VRF appropriato, accertandosi che l'esportatore sia in grado di riconoscere il VRF.

WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#

La causa principale dell'errore di esportazione è l'assenza di una definizione VRF nella configurazione dell'utilità di esportazione del flusso. In una rete compatibile con VRF, l'utilità di esportazione del flusso deve essere configurata in modo esplicito con il VRF appropriato per garantire che i pacchetti di esportazione vengano inoltrati al raccoglitore tramite la tabella di routing corretta.

La configurazione corretta e le fasi di verifica intese a verificare che l'esportatore funzioni come previsto sono illustrate di seguito.

WAN_Router#show running-config | section flow exporter 
flow exporter Netflow_Exporter
destination 203.0.113.10 vrf A
source Loopback0
transport udp 9996
template data timeout 60

Passaggio 5. Verificare Che I Pacchetti Da Esportare Stiano Avanzando Verso Il Router.

Abilitare le acquisizioni dei pacchetti sull'interfaccia in uscita e usare i comandi show appropriati per confermare che i pacchetti di esportazione NetFlow sono stati inviati all'agente di raccolta.

WAN_Router#show monitor capture netflow parameter 
monitor capture netflow interface GigabitEthernet2 OUT
monitor capture netflow access-list netflow
monitor capture netflow buffer size 10
monitor capture netflow limit pps 1000

WAN_Router#show flow exporter statistics 
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 7 (576 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 9
- sent: 9
Bytes added: 450
- sent: 450

WAN_Router#show monitor capture netflow buffer brief 
--------------------------------------------------------------------------------
#   size   timestamp      source               destination      dscp    protocol
--------------------------------------------------------------------------------
0    114    0.000000     198.51.100.10     -> 203.0.113.10         0 BE UDP
1    118    31.873947    198.51.100.10     -> 203.0.113.10         0 BE UDP
2    166    32.955004    198.51.100.10     -> 203.0.113.10         0 BE UDP
3    166    43.580963    198.51.100.10     -> 203.0.113.10         0 BE UDP
4    166    53.061993    198.51.100.10     -> 203.0.113.10         0 BE UDP
5    114    62.480978    198.51.100.10     -> 203.0.113.10         0 BE UDP

Risoluzione dei problemi di NetFlow sugli switch Cisco

Esempio di rete

Netflow on SwitchesNetFlow sugli switch

Impossibile applicare Flow Monitor all'interfaccia

Quando si tenta di collegare il monitor di flusso FNF (Flexible NetFlow) all'interfaccia nella direzione di uscita, il router rifiuta la configurazione e genera un messaggio di errore.

WAN_Switch(config-if)#interface TwentyFiveGigE1/0/1
WAN_Switch(config-if)#ip flow monitor MONITOR_INGRESS input 
% Flow Monitor: Failed to add monitor to interface: Invalid set of fields in monitor record for wired interface

Passaggio 1. Verificare la configurazione del monitoraggio.

WAN_Switch#show running-config | section flow monitor
flow monitor MONITOR_INGRESS
exporter Netflow_Exporter
cache timeout inactive 30
cache timeout active 60
record INGRESS

 Passaggio 2. Esaminare la configurazione del record di flusso per i campi specifici della direzione. Il campo più comune che causa questo problema è il seguente: nome applicazione corrispondente.

WAN_Switch#show running-config | section flow record
flow record INGRESS
match ipv4 version
match ipv4 protocol
match application name
match ipv4 destination address
match ipv4 source address
match transport destination-port
match transport source-port
match interface input
match flow direction
collect timestamp absolute first
collect timestamp absolute last
collect counter bytes long
collect counter packets long


Il campo Corrispondenza nome applicazione in un record di flusso FNF (Flexible NetFlow) viene utilizzato nelle distribuzioni AVC (Application Visibility and Control) per identificare e classificare il traffico in base all'applicazione che genera il flusso.


Questo campo sfrutta il motore NBAR (Network-Based Application Recognition) per eseguire l'ispezione approfondita dei pacchetti (DPI) e identificare l'applicazione associata a ciascun flusso. Anziché basarsi esclusivamente su numeri di porta o indirizzi IP, questo campo consente al router di classificare il traffico a livello di applicazione (livello 7).

In un'implementazione che utilizza solo Flexible NetFlow (FNF) senza la funzionalità AVC abilitata, questo campo è incompatibile con la configurazione dell'interfaccia e impedisce che il monitor del flusso venga collegato all'interfaccia monitorata.

note-icon

Nota: Sulle piattaforme Catalyst 9500H e Catalyst 9600, la funzione AVC non è disponibile. Per il monitoraggio del flusso basato su AVC, Catalyst serie 9300 è la piattaforma supportata.


3. Rimuovere il campo non supportato dalla configurazione del record di flusso, quindi riapplicare il monitoraggio del flusso all'interfaccia.

WAN_Switch(config)#interface twentyFiveGigE 1/0/1 
WAN_Switch(config-if)#no ip flow monitor MONITOR_INGRESS in 
WAN_Switch(config)#no flow monitor MONITOR_INGRESS
WAN_Switch(config)#flow record INGRESS
WAN_Switch(config-flow-record)#no match flow direction
<snip>
note-icon

Nota: Dopo aver modificato il record di flusso, riapplicare la configurazione del monitor di flusso e collegare il monitor di flusso all'interfaccia per completare la modifica della configurazione.

Passaggio 4. Confermare che il monitoraggio del flusso sia operativo dopo l'applicazione delle modifiche alla configurazione. 

WAN_Switch#show flow monitor MONITOR_INGRESS statistics 
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1

Flows added: 1
Flows aged: 0

WAN_Switch#show flow monitor MONITOR_INGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1

Flows added: 1
Flows aged: 0

IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: y.y.y.y
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Twe1/0/1
FLOW DIRECTION: Input
IP VERSION: 4
IP PROTOCOL: 89
counter bytes long: 708
counter packets long: 7
timestamp abs first: 20:38:23.408
timestamp abs last: 20:39:12.408

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
18-Jun-2026
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Adriana Pacheco
    Tecnico di consulenza

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci