In dit document wordt beschreven hoe u problemen met Netflow op kunt lossen met Netflow Technologies voor Cisco IOS® XE.
Cisco raadt kennis van de volgende onderwerpen aan:
Voor meer informatie over deze onderwerpen, zie:
Overzicht van de flexibele netwerkstroom
Flexibele NetFlow configureren (Catalyst 9300 Switches)
Flexibele NetFlow configureren (Catalyst 9400 Switches)
Flexible NetFlow configureren (katalysator 9500 Switches)
Flexibele NetFlow configureren (Catalyst 9600 Switches)
De informatie in dit document is gebaseerd op Cisco IOS XE-software.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Netflow op routers
De verzamelaar ontvangt de informatie niet van de router op de GigabitEthernet2-interface.
Stap 1. Exportconfiguratie controleren.
WAN_Router#show running-config | section flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
Stap 2. Interfacestatus controleren.
Controleer of GigabitEthernet2 operationeel is:
WAN_Router#show interface gigabitEthernet 2 | include up|error|drop
GigabitEthernet2 is up, line protocol is up
Full Duplex, 1000Mbps, link type is auto, media type is Virtual
output flow-control is unsupported, input flow-control is unsupported
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
Stap 3. Controleer de bereikbaarheid van de collector.
Connectiviteit testen vanaf de broninterface:
WAN_Router#ping 203.0.113.10 source Loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms
WAN_Router#
WAN_Router#traceroute 203.0.113.10 source Loopback 0 numeric
Type escape sequence to abort.
Tracing the route to 203.0.113.10
VRF info: (vrf in name/id, vrf out name/id)
1 X.X.X.X 2 msec 1 msec 1 msec
2 Y.Y.Y.Y 2 msec 2 msec 1 msec
3 Z.Z.Z.Z 2 msec * 2 msec
WAN_Router#
Stap 4. Controleer de exportstatistieken.
Controleer of de router NetFlow-exportpakketten genereert en verzendt naar het geconfigureerde verzameladres.
Verifiëren:
WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics:
Successfully sent: 41 (3780 bytes)
Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750
Client: Flow Monitor MONITOR_EGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750
Stap 5. Controleer de aanmaak van de stroom.
Controleer of de stroomgegevens worden ingevuld en onderhouden in de cache van de stroommonitor.
Verifiëren:
Opmerking: Als er geen stromen worden waargenomen in de cache, onderzoekt u de stroommonitor en registreert u de configuratie, omdat het probleem waarschijnlijk geen verband houdt met de exportfunctie.
WAN_Router#show flow monitor MONITOR_EGRESS cache
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 14
High Watermark: 27
Flows added: 3032
Flows aged: 3018
- Active timeout ( 60 secs) 200
- Inactive timeout ( 30 secs) 2818
IPV4 SOURCE ADDRESS: 198.51.100.200
IPV4 DESTINATION ADDRESS: 192.0.2.11
TRNS SOURCE PORT: 57188
TRNS DESTINATION PORT: 1967
INTERFACE OUTPUT: Gi2
IP TOS: 0x00
IP PROTOCOL: 17
counter bytes long: 80
counter packets long: 1
timestamp abs first: 22:09:34.067
timestamp abs last: 22:09:34.067
Op basis van de output kan worden bepaald:
Stap 6. Controleer de bijlage bij de monitor.
Controleer of de stroommonitor op de juiste interface is toegepast.
WAN_Router#show running-config interface gigabitEthernet 2
Building configuration...
Current configuration : 217 bytes
!
interface GigabitEthernet2
ip flow monitor MONITOR_EGRESS output
ip address x.x.x.x 255.255.255.252
ip ospf network point-to-point
ip ospf 1 area 0
negotiation auto
end
Stap 7. Controleer ACL's of beveiligingsbeleid.
Controleer of er geen geconfigureerde ACL's of beveiligingsbeleidsregels zijn die NetFlow-exportpakketten filteren of laten vallen die bestemd zijn voor de verzamelaar:
WAN_Router#show running-config | include access-group
WAN_Router#
Stap 8. Verkeer vastleggen op de router.
WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#show ip route 203.0.113.10
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 02:12:27 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 02:12:27 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1
WAN_Router#show running-config interface Loopback0
Building configuration...
Current configuration : 87 bytes
!
interface Loopback0
ip address 198.51.100.10 255.255.255.255
ip ospf 1 area 0
end
WAN_Router(config)#ip access-list extended netflow
WAN_Router(config-ext-nacl)#permit udp host 198.51.100.10 host 203.0.113.10
WAN_Router(config-ext-nacl)#end
!
WAN_Router#monitor capture netflow interface gigabitEthernet 2 out access-list netflow buffer size 10
WAN_Router#monitor capture netflow start
Started capture point : netflow
WAN_Router#show monitor capture netflow buffer brief
-------------------------------------------------------------------------------------
# size timestamp source destination dscp protocol
-------------------------------------------------------------------------------------
0 166 0.000000 198.51.100.10 -> 203.0.113.10 0 BE UDP
1 166 0.055997 198.51.100.10 -> 203.0.113.10 0 BE UDP
2 166 7.562019 198.51.100.10 -> 203.0.113.10 0 BE UDP
3 166 7.617024 198.51.100.10 -> 203.0.113.10 0 BE UDP
4 166 9.719009 198.51.100.10 -> 203.0.113.10 0 BE UDP
5 166 9.776013 198.51.100.10 -> 203.0.113.10 0 BE UDP
Opmerking: De vastgelegde gegevens kunnen worden opgeslagen op bootflash als een .pcap-bestand of worden geëxtraheerd als een hexadecimale dump in een tekstbestand, dat vervolgens kan worden geïmporteerd in een pakketanalysetool zoals Wireshark voor gedetailleerd onderzoek.
Geïntegreerd pakket configureren en vastleggen op software
WAN_Router#show monitor capture netflow buffer dump
0
0000: AABBCC00 18005254 00B62209 08004500 ......RT.."...E.
0010: 009863EA 0000FF11 F121C633 640ACB00 ..c......!.3d...
0020: 710AC027 270C0084 F2E70009 0002086E q..''..........n
0030: 9B7A6A2F 2ED40000 07CE0000 01000102 .zj/............
0040: 0068C000 020BC633 64C80011 07AFDCA1 .h.....3d.......
0050: 00000002 00000000 00000034 00000000 ...........4....
0060: 00000001 0000019E C84E6CDC 0000019E .........Nl.....
0070: C84E6CDC C000020B C63364C8 0011007B .Nl......3d....{
0080: DCA10000 00020000 00000000 002C0000 .............,..
0090: 00000000 00010000 019EC84E 6CF00000 ...........Nl...
00A0: 019EC84E 6CF0 ...Nl.
Op basis van de analyse van de pakketopname worden de NetFlow-exportpakketten (cflows) van de router naar de geconfigureerde collector verzonden.
Packet Capture NetFlow
Als de exportstatistieken succesvolle uitzendingen aangeven, maar er geen pakketten worden ontvangen bij de verzamelaar, ligt het probleem waarschijnlijk in het netwerkpad tussen de router en de verzamelaar in plaats van in de NetFlow-exportconfiguratie zelf.
Om het probleem te isoleren, voert u de volgende verificaties uit:
De verzamelaar ontvangt geen stroom-exportgegevens van de Gigabit Ethernet2-interface. Hoewel de bereikbaarheid voor de verzamelaar is geverifieerd, worden de stroomrecords niet met succes afgeleverd.
Stap 1. Controleer of het verkeer wordt aangeleerd.
Controleer of de monitor verkeer ontvangt en stroomitems maakt.
WAN_Router#show flow monitor MONITOR_INGRESS cache
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 7
High Watermark: 9
Flows added: 65
Flows aged: 58
- Active timeout ( 60 secs) 4
- Inactive timeout ( 30 secs) 54
IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: 224.0.0.5
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Gi2
IP TOS: 0xC0
IP PROTOCOL: 89
counter bytes long: 100
counter packets long: 1
timestamp abs first: 01:54:53.144
timestamp abs last: 01:54:53.144
Stap 2. Exportstatistieken controleren.
Controle van de uitvoertransactie.
WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 0 (0 bytes)
Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 0
Bytes added: 0
De uitvoer geeft aan dat de stroommonitor MONITOR_INGRESS met succes stroomgegevens verzamelt en cachet; de stroomexporteur Netflow_Exporter verzendt echter geen records naar de verzamelaar.
Stap 3. Controleer de bereikbaarheid van de collector in de routeringstabel.
Controleer of er een route naar het IP-adres van de verzamelaar bestaat in de juiste routeringstabel. Dit kan de globale routeringstabel zijn of een VRF-specifieke routeringstabel, afhankelijk van de netwerktopologie.
WAN_Router#show ip route 203.0.113.10
% Network not in table
WAN_Router#show ip cef 203.0.113.10
0.0.0.0/0
no route
WAN_Router#show ip vrf
Name Default RD Interfaces
A <not set> Lo0
Gi1
Gi2
WAN_Router#show ip route vrf A 203.0.113.10
Routing Table: A
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 00:37:34 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 00:37:34 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1
WAN_Router#ping vrf A 203.0.113.10 source loopback0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms
WAN_Router
Stap 4. Controleer de configuratie van de stroomexporteur.
Controleer de configuratie van de exporteur om te bevestigen dat de juiste VRF is gespecificeerd, zodat de exporteur VRF-bewust is.
WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#
De hoofdoorzaak van het exportfalen is het ontbreken van een VRF-definitie in de configuratie van de stroomexporteur. In een VRF-bewust netwerk moet de flow-exporteur expliciet worden geconfigureerd met de juiste VRF om ervoor te zorgen dat exportpakketten via de juiste routeringstabel naar de verzamelaar worden doorgestuurd.
De gecorrigeerde configuratie en de controlestappen om te bevestigen dat de exporteur naar verwachting functioneert, worden hier weergegeven.
WAN_Router#show running-config | section flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10 vrf A
source Loopback0
transport udp 9996
template data timeout 60
Stap 5. Controleer of de exportpakketten de router verlaten.
Schakel pakketopnames in op de uitgang-interface en gebruik de relevante show-opdrachten om te bevestigen dat NetFlow-exportpakketten naar de verzamelaar worden verzonden.
WAN_Router#show monitor capture netflow parameter
monitor capture netflow interface GigabitEthernet2 OUT
monitor capture netflow access-list netflow
monitor capture netflow buffer size 10
monitor capture netflow limit pps 1000
WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 7 (576 bytes)
Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 9
- sent: 9
Bytes added: 450
- sent: 450
WAN_Router#show monitor capture netflow buffer brief
--------------------------------------------------------------------------------
# size timestamp source destination dscp protocol
--------------------------------------------------------------------------------
0 114 0.000000 198.51.100.10 -> 203.0.113.10 0 BE UDP
1 118 31.873947 198.51.100.10 -> 203.0.113.10 0 BE UDP
2 166 32.955004 198.51.100.10 -> 203.0.113.10 0 BE UDP
3 166 43.580963 198.51.100.10 -> 203.0.113.10 0 BE UDP
4 166 53.061993 198.51.100.10 -> 203.0.113.10 0 BE UDP
5 114 62.480978 198.51.100.10 -> 203.0.113.10 0 BE UDP
Netflow op SwitchesWanneer de Flexible NetFlow (FNF)-stroommonitor in de richting van de uitgang op de interface wordt aangesloten, wijst de router de configuratie af en genereert deze een foutbericht.
WAN_Switch(config-if)#interface TwentyFiveGigE1/0/1
WAN_Switch(config-if)#ip flow monitor MONITOR_INGRESS input
% Flow Monitor: Failed to add monitor to interface: Invalid set of fields in monitor record for wired interface
Stap 1. Controleer de monitorconfiguratie.
WAN_Switch#show running-config | section flow monitor
flow monitor MONITOR_INGRESS
exporter Netflow_Exporter
cache timeout inactive 30
cache timeout active 60
record INGRESS
Stap 2. Controleer de stroomrecordconfiguratie voor richtingspecifieke velden. Het meest voorkomende veld dat dit probleem veroorzaakt, is de naam van de overeenkomende toepassing.
WAN_Switch#show running-config | section flow record
flow record INGRESS
match ipv4 version
match ipv4 protocol
match application name
match ipv4 destination address
match ipv4 source address
match transport destination-port
match transport source-port
match interface input
match flow direction
collect timestamp absolute first
collect timestamp absolute last
collect counter bytes long
collect counter packets long
Het veld Naam van toepassing matchen in een Flexible NetFlow (FNF)-stroomrecord wordt gebruikt in AVC-implementaties (Application Visibility and Control) om verkeer te identificeren en te classificeren op basis van de toepassing die de stroom genereert.
Dit veld maakt gebruik van de Network-Based Application Recognition (NBAR) -engine om diepe pakketinspectie (DPI) uit te voeren en de toepassing te identificeren die aan elke stroom is gekoppeld. In plaats van alleen te vertrouwen op poortnummers of IP-adressen, stelt dit veld de router in staat om verkeer op de toepassingslaag te classificeren (Layer 7).
In een implementatie waarbij alleen Flexible NetFlow (FNF) wordt gebruikt zonder dat de AVC-functie is ingeschakeld, is dit veld niet compatibel met de interfaceconfiguratie en voorkomt het dat de stroommonitor wordt aangesloten op de bewaakte interface.
Opmerking: op de Catalyst 9500H- en Catalyst 9600-platforms is de AVC-functie niet beschikbaar. Voor AVC-gebaseerde stroombewaking is de Catalyst 9300-serie het ondersteunde platform.
3. Verwijder het niet-ondersteunde veld uit de stroomrecordconfiguratie en pas de stroommonitor vervolgens opnieuw toe op de interface.
WAN_Switch(config)#interface twentyFiveGigE 1/0/1
WAN_Switch(config-if)#no ip flow monitor MONITOR_INGRESS in
WAN_Switch(config)#no flow monitor MONITOR_INGRESS
WAN_Switch(config)#flow record INGRESS
WAN_Switch(config-flow-record)#no match flow direction
<snip>
Opmerking: Nadat u het stroomrecord hebt gewijzigd, past u de configuratie van de stroommonitor opnieuw toe en koppelt u de stroommonitor aan de interface om de configuratiewijziging te voltooien.
Stap 4. Bevestig dat de stroommonitor operationeel is nadat de configuratiewijzigingen zijn toegepast.
WAN_Switch#show flow monitor MONITOR_INGRESS statistics
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1
Flows added: 1
Flows aged: 0
WAN_Switch#show flow monitor MONITOR_INGRESS cache
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1
Flows added: 1
Flows aged: 0
IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: y.y.y.y
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Twe1/0/1
FLOW DIRECTION: Input
IP VERSION: 4
IP PROTOCOL: 89
counter bytes long: 708
counter packets long: 7
timestamp abs first: 20:38:23.408
timestamp abs last: 20:39:12.408
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
18-Jun-2026
|
Eerste vrijgave |