IOS XEでのNetflowのトラブルシューティング
はじめに
このドキュメントでは、Cisco IOS® XEのNetflow on Technologiesをトラブルシューティングする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- NetFlow
- Cisco IOS XE
これらのトピックの詳細は、次の項を参照してください。
Flexible Netflowの概要
Flexible NetFlowの設定(Catalyst 9300スイッチ)
Flexible NetFlowの設定(Catalyst 9400スイッチ)
Flexible NetFlowの設定(Catalyst 9500スイッチ)
Flexible NetFlowの設定(Catalyst 9600スイッチ)
使用するコンポーネント
このドキュメントの情報は、Cisco IOS XEソフトウェアに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
CiscoルータでのNetFlowのトラブルシューティング
ネットワーク図
ルータのNetFlow
コレクタがルータからNetFlowエクスポートパケット(CFLOWS)を受信していない
コレクタがインターフェイスGigabitEthernet2のルータから情報を受信していない。
ステップ 1:エクスポータの設定を確認します。
- コレクタIPアドレス
- 送信元インターフェイス
- UDPポート
- エクスポートプロトコル(NetFlow v9/IPFIX)
WAN_Router#show running-config | section flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
ステップ 2インターフェイスステータスを確認します。
GigabitEthernet2が動作していることを確認します。
- インターフェイスはup/upです。
- 正しいIPアドレスが設定されている
- 過剰なエラーやドロップがない
WAN_Router#show interface gigabitEthernet 2 | include up|error|drop
GigabitEthernet2 is up, line protocol is up
Full Duplex, 1000Mbps, link type is auto, media type is Virtual
output flow-control is unsupported, input flow-control is unsupported
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
ステップ 3コレクタへの到達可能性を確認します。
送信元インターフェイスからの接続をテストします。
WAN_Router#ping 203.0.113.10 source Loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms
WAN_Router#
WAN_Router#traceroute 203.0.113.10 source Loopback 0 numeric
Type escape sequence to abort.
Tracing the route to 203.0.113.10
VRF info: (vrf in name/id, vrf out name/id)
1 X.X.X.X 2 msec 1 msec 1 msec
2 Y.Y.Y.Y 2 msec 2 msec 1 msec
3 Z.Z.Z.Z 2 msec * 2 msec
WAN_Router#
ステップ 4エクスポータの統計情報を確認します。
ルータがNetFlowエクスポートパケットを生成し、設定されたコレクタアドレスに送信していることを確認します。
確認:
- 正常に送信されたパケット
- テンプレートが正常に送信されました
- 伝送障害なし
- ソケットエラーなし
WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics:
Successfully sent: 41 (3780 bytes)
Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750
Client: Flow Monitor MONITOR_EGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750
ステップ 5フロー作成を確認します。
フローエントリが入力され、フローモニタのキャッシュに保持されていることを確認します。
確認:
- アクティブなフローは、フローモニタのキャッシュに存在します。
- キャッシュエントリが増加しています。これは、トラフィックが記録されていることを示します。
- 予期されたタイムアウト間隔内にフローエントリが期限切れになる(エージングアウトする)。
注:キャッシュ内にフローが確認されない場合は、問題がエクスポート機能に関係していない可能性があるため、フローモニタとレコードの設定を調査してください。
WAN_Router#show flow monitor MONITOR_EGRESS cache
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 14
High Watermark: 27
Flows added: 3032
Flows aged: 3018
- Active timeout ( 60 secs) 200
- Inactive timeout ( 30 secs) 2818
IPV4 SOURCE ADDRESS: 198.51.100.200
IPV4 DESTINATION ADDRESS: 192.0.2.11
TRNS SOURCE PORT: 57188
TRNS DESTINATION PORT: 1967
INTERFACE OUTPUT: Gi2
IP TOS: 0x00
IP PROTOCOL: 17
counter bytes long: 80
counter packets long: 1
timestamp abs first: 22:09:34.067
timestamp abs last: 22:09:34.067
出力に基づいて、次の項目を判別できます。
- フローモニタMONITOR_EGRESSが動作しており、キャッシュにフローエントリがアクティブに入力されている。
- キャッシュの状態が確認されました。エントリは予期されたレートで追加および削除(エージングアウト)されています。
- 短時間または低頻度のトラフィックに予想される動作である非アクティブタイムアウトにより、フローのかなりの部分(3018年のうち2818年まで)が時間切れになります。
- 表示されているキャッシュエントリは、送信元198.51.100.200のポート57188から宛先192.0.2.11のポート1967への単一パケットのUDPフロー(プロトコル17)がインターフェイスGigabitEthernet2経由で発信されていることを表しています。
ステップ 6モニタの接続を確認します。
フローモニタが正しいインターフェイスに適用されていることを確認します。
WAN_Router#show running-config interface gigabitEthernet 2
Building configuration...
Current configuration : 217 bytes
!
interface GigabitEthernet2
ip flow monitor MONITOR_EGRESS output
ip address x.x.x.x 255.255.255.252
ip ospf network point-to-point
ip ospf 1 area 0
negotiation auto
end
ステップ 7ACLまたはセキュリティポリシーを確認します。
設定済みのACLまたはセキュリティポリシーが、コレクタ宛てのNetFlowエクスポートパケットをフィルタリングまたはドロップしていないことを確認します。
WAN_Router#show running-config | include access-group
WAN_Router#
ステップ 8ルータのトラフィックをキャプチャします。
- show ip route <collector_IP>コマンドを発行して、コレクタへのルーティングパスを確認します。ルータがNetFlowエクスポートトラフィックの転送に使用する出力インターフェイスを特定します。
- 送信元IPアドレスが設定済みのNetFlowエクスポータの送信元インターフェイスと一致し、宛先IPアドレスがコレクタと一致するUDPパケットを許可するACLを作成します。このACLをパケットキャプチャに適用して、関連するトラフィックをフィルタリングします。
WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#show ip route 203.0.113.10
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 02:12:27 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 02:12:27 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1
WAN_Router#show running-config interface Loopback0
Building configuration...
Current configuration : 87 bytes
!
interface Loopback0
ip address 198.51.100.10 255.255.255.255
ip ospf 1 area 0
end
WAN_Router(config)#ip access-list extended netflow
WAN_Router(config-ext-nacl)#permit udp host 198.51.100.10 host 203.0.113.10
WAN_Router(config-ext-nacl)#end
!
WAN_Router#monitor capture netflow interface gigabitEthernet 2 out access-list netflow buffer size 10
WAN_Router#monitor capture netflow start
Started capture point : netflow
WAN_Router#show monitor capture netflow buffer brief
-------------------------------------------------------------------------------------
# size timestamp source destination dscp protocol
-------------------------------------------------------------------------------------
0 166 0.000000 198.51.100.10 -> 203.0.113.10 0 BE UDP
1 166 0.055997 198.51.100.10 -> 203.0.113.10 0 BE UDP
2 166 7.562019 198.51.100.10 -> 203.0.113.10 0 BE UDP
3 166 7.617024 198.51.100.10 -> 203.0.113.10 0 BE UDP
4 166 9.719009 198.51.100.10 -> 203.0.113.10 0 BE UDP
5 166 9.776013 198.51.100.10 -> 203.0.113.10 0 BE UDP
注:キャプチャされたデータは、.pcapファイルとしてブートフラッシュに保存したり、テキストファイルに16進数ダンプとして抽出したりできます。これらのファイルは、Wiresharkなどのパケット分析ツールにインポートして詳細を確認できます。
ソフトウェアでの組み込みパケットの設定およびキャプチャ
WAN_Router#show monitor capture netflow buffer dump
0
0000: AABBCC00 18005254 00B62209 08004500 ......RT.."...E.
0010: 009863EA 0000FF11 F121C633 640ACB00 ..c......!.3d...
0020: 710AC027 270C0084 F2E70009 0002086E q..''..........n
0030: 9B7A6A2F 2ED40000 07CE0000 01000102 .zj/............
0040: 0068C000 020BC633 64C80011 07AFDCA1 .h.....3d.......
0050: 00000002 00000000 00000034 00000000 ...........4....
0060: 00000001 0000019E C84E6CDC 0000019E .........Nl.....
0070: C84E6CDC C000020B C63364C8 0011007B .Nl......3d....{
0080: DCA10000 00020000 00000000 002C0000 .............,..
0090: 00000000 00010000 019EC84E 6CF00000 ...........Nl...
00A0: 019EC84E 6CF0 ...Nl.
パケットキャプチャ分析に基づいて、NetFlowエクスポートパケット(cflows)がルータから設定されたコレクタに送信されています。
パケットキャプチャNetflow
エクスポータの統計情報に送信の成功が示されているが、コレクタでパケットが受信されない場合、NetFlowエクスポータの設定自体ではなく、ルータとコレクタの間のネットワークパスに問題がある可能性があります。
問題を切り分けるには、次の検証を実行します。
- ネットワークパスの検証:パスに沿って適用されるすべてのACLを確認し、設定されたNetFlow UDPポートが拒否またはフィルタリングされていないことを確認します。
- ファイアウォールポリシーの確認:エクスポータとコレクタの間のパスにファイアウォールが存在する場合、該当するセキュリティポリシーで、指定されたポートでのNetFlowエクスポートUDPトラフィックが許可されていることを確認します。
- コレクタアプリケーションのステータスの確認:コレクタサービスまたはプロセスが実行中であり、予期されるUDPポートでアクティブにリッスンしていることを確認します。
NetFlowエクスポータがVRF対応トポロジのコレクタにフローデータを送信できない
コレクタは、インターフェイスGigabitEthernet2からのフローエクスポートデータを受信しません。コレクタへの到達可能性は確認されていますが、フローレコードは正常に配信されていません。
手順1:トラフィックが学習されていることを確認する。
モニタがトラフィックを受信し、フローエントリを作成していることを確認します。
WAN_Router#show flow monitor MONITOR_INGRESS cache
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 7
High Watermark: 9
Flows added: 65
Flows aged: 58
- Active timeout ( 60 secs) 4
- Inactive timeout ( 30 secs) 54
IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: 224.0.0.5
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Gi2
IP TOS: 0xC0
IP PROTOCOL: 89
counter bytes long: 100
counter packets long: 1
timestamp abs first: 01:54:53.144
timestamp abs last: 01:54:53.144
ステップ 2エクスポート統計を確認します。
エクスポータの動作を確認します。
WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 0 (0 bytes)
Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 0
Bytes added: 0
この出力は、フローモニタMONITOR_INGRESSがフローデータを正常に収集してキャッシュしていることを示していますが、フローエクスポータNetflow_Exporterはコレクタにレコードを送信していません。
ステップ 3コレクタの到達可能性をルーティングテーブルで確認します。
コレクタIPアドレスへのルートが適切なルーティングテーブルに存在することを確認します。これは、ネットワークトポロジに応じて、グローバルルーティングテーブルまたはVRF固有のルーティングテーブルになります。
WAN_Router#show ip route 203.0.113.10
% Network not in table
WAN_Router#show ip cef 203.0.113.10
0.0.0.0/0
no route
WAN_Router#show ip vrf
Name Default RD Interfaces
A <not set> Lo0
Gi1
Gi2
WAN_Router#show ip route vrf A 203.0.113.10
Routing Table: A
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 00:37:34 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 00:37:34 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1
WAN_Router#ping vrf A 203.0.113.10 source loopback0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms
WAN_Router
ステップ 4 フローエクスポータの設定を確認します。
エクスポータの設定をレビューして、適切なVRFが指定されていることを確認し、エクスポータがVRFを認識していることを確認します。
WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#
エクスポート失敗の根本原因は、フローエクスポータの設定にVRF定義が含まれていないことです。VRF対応ネットワークでは、エクスポートパケットが正しいルーティングテーブルを介してコレクタに転送されるように、フローエクスポータに適切なVRFを明示的に設定する必要があります。
エクスポータが期待どおりに機能していることを確認するための修正された設定と確認手順を次に示します。
WAN_Router#show running-config | section flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10 vrf A
source Loopback0
transport udp 9996
template data timeout 60
ステップ 5エクスポートパケットがルータから出力されていることを確認します。
出力インターフェイスでパケットキャプチャを有効にし、関連するshowコマンドを使用して、NetFlowエクスポートパケットがコレクタに送信されていることを確認します。
WAN_Router#show monitor capture netflow parameter
monitor capture netflow interface GigabitEthernet2 OUT
monitor capture netflow access-list netflow
monitor capture netflow buffer size 10
monitor capture netflow limit pps 1000
WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 7 (576 bytes)
Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 9
- sent: 9
Bytes added: 450
- sent: 450
WAN_Router#show monitor capture netflow buffer brief
--------------------------------------------------------------------------------
# size timestamp source destination dscp protocol
--------------------------------------------------------------------------------
0 114 0.000000 198.51.100.10 -> 203.0.113.10 0 BE UDP
1 118 31.873947 198.51.100.10 -> 203.0.113.10 0 BE UDP
2 166 32.955004 198.51.100.10 -> 203.0.113.10 0 BE UDP
3 166 43.580963 198.51.100.10 -> 203.0.113.10 0 BE UDP
4 166 53.061993 198.51.100.10 -> 203.0.113.10 0 BE UDP
5 114 62.480978 198.51.100.10 -> 203.0.113.10 0 BE UDP
CiscoスイッチでのNetFlowのトラブルシューティング
ネットワーク図
スイッチ上のNetFlow
フローモニタをインターフェイスに適用できない
Flexible NetFlow(FNF)Flow monitorを出力方向のインターフェイスに接続しようとすると、ルータは設定を拒否し、エラーメッセージを生成します。
WAN_Switch(config-if)#interface TwentyFiveGigE1/0/1
WAN_Switch(config-if)#ip flow monitor MONITOR_INGRESS input
% Flow Monitor: Failed to add monitor to interface: Invalid set of fields in monitor record for wired interface
ステップ 1:モニタの設定を確認します。
WAN_Switch#show running-config | section flow monitor
flow monitor MONITOR_INGRESS
exporter Netflow_Exporter
cache timeout inactive 30
cache timeout active 60
record INGRESS
ステップ 2方向に固有のフィールドのフローレコード設定を確認します。この問題の原因となる最も一般的なフィールドは、match application nameです。
WAN_Switch#show running-config | section flow record
flow record INGRESS
match ipv4 version
match ipv4 protocol
match application name
match ipv4 destination address
match ipv4 source address
match transport destination-port
match transport source-port
match interface input
match flow direction
collect timestamp absolute first
collect timestamp absolute last
collect counter bytes long
collect counter packets long
Flexible NetFlow(FNF)フローレコードのmatch application name(CNAME)フィールドは、Application Visibility and Control(AVC)導入内で使用され、フローを生成するアプリケーションに基づいてトラフィックを識別および分類します。
このフィールドは、Network-Based Application Recognition(NBAR)エンジンを利用して、ディープパケットインスペクション(DPI)を実行し、各フローに関連付けられているアプリケーションを特定します。このフィールドは、ポート番号やIPアドレスだけに依存するのではなく、ルータがアプリケーション層(レイヤ7)でトラフィックを分類できるようにします。
AVC機能を有効にせずにFlexible NetFlow(FNF)だけを使用する導入では、このフィールドはインターフェイス設定と互換性がなく、フローモニタをモニタ対象インターフェイスに割り当てることができません。
注:Catalyst 9500HおよびCatalyst 9600プラットフォームでは、AVC機能は使用できません。AVCベースのフローモニタリングでは、Catalyst 9300シリーズがサポートされるプラットフォームです。
3. サポートされていないフィールドをフローレコード設定から削除し、フローモニタをインターフェイスに再適用します。
WAN_Switch(config)#interface twentyFiveGigE 1/0/1
WAN_Switch(config-if)#no ip flow monitor MONITOR_INGRESS in
WAN_Switch(config)#no flow monitor MONITOR_INGRESS
WAN_Switch(config)#flow record INGRESS
WAN_Switch(config-flow-record)#no match flow direction
<snip>
注:フローレコードを変更した後、フローモニタ設定を再適用し、フローモニタをインターフェイスに接続して設定変更を完了してください。
ステップ 4設定の変更が適用された後、フローモニタが動作していることを確認します。
WAN_Switch#show flow monitor MONITOR_INGRESS statistics
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1
Flows added: 1
Flows aged: 0
WAN_Switch#show flow monitor MONITOR_INGRESS cache
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1
Flows added: 1
Flows aged: 0
IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: y.y.y.y
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Twe1/0/1
FLOW DIRECTION: Input
IP VERSION: 4
IP PROTOCOL: 89
counter bytes long: 708
counter packets long: 7
timestamp abs first: 20:38:23.408
timestamp abs last: 20:39:12.408
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
18-Jun-2026
|
初版 |
フィードバック