Identificar e solucionar problemas do Netflow no IOS XE

Opções de download

  • PDF     (427.7 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:17 de junho de 2026
ID do documento:226065

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução


Este documento descreve como solucionar problemas do Netflow em tecnologias para Cisco IOS® XE.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Netflow
  • Cisco IOS XE

Para obter mais informações sobre esses tópicos, consulte:

Visão geral do Flexible Netflow
Configurando o Flexible NetFlow (switches Catalyst 9300)
Configurando o Flexible NetFlow (switches Catalyst 9400)

Configurando o Flexible NetFlow (switches Catalyst 9500)

Configurando o Flexible NetFlow (switches Catalyst 9600)

Componentes Utilizados

As informações neste documento são baseadas no software Cisco IOS XE.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Identificar e solucionar problemas do NetFlow em roteadores Cisco

Diagrama de Rede

Netflow on RoutersNetflow em roteadores

O coletor não está recebendo pacotes de exportação do NetFlow (CFLOWS) do roteador


O coletor não está recebendo as informações do roteador na interface GigabitEthernet2.

Etapa 1. Verificar a configuração do exportador.

  • Endereço IP do coletor
  • Interface de origem
  • porta UDP
  • Protocolo de exportação (NetFlow v9/IPFIX)

WAN_Router#show running-config | section flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60


Etapa 2. Verificar O Status Da Interface.

Confirme se GigabitEthernet2 está operacional:

  • A interface está ativa/ativa
  • O endereço IP correto está configurado
  • Sem excesso de erros ou quedas
WAN_Router#show interface gigabitEthernet 2 | include up|error|drop
GigabitEthernet2 is up, line protocol is up 
Full Duplex, 1000Mbps, link type is auto, media type is Virtual
output flow-control is unsupported, input flow-control is unsupported
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops

Etapa 3. Verificar o Acesso ao Coletor.

Teste a conectividade da interface de origem:

WAN_Router#ping 203.0.113.10 source Loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms
WAN_Router#

WAN_Router#traceroute 203.0.113.10 source Loopback 0 numeric 
Type escape sequence to abort.
Tracing the route to 203.0.113.10
VRF info: (vrf in name/id, vrf out name/id)
1 X.X.X.X 2 msec 1 msec 1 msec
2 Y.Y.Y.Y 2 msec 2 msec 1 msec
3 Z.Z.Z.Z 2 msec * 2 msec
WAN_Router#

Etapa 4. Verificar as estatísticas do exportador.

Verifique se o roteador está gerando e transmitindo pacotes de exportação do NetFlow para o endereço do coletor configurado.

  Verifique:

  • Pacotes enviados com êxito
  • Modelos enviados com êxito
  • Sem falhas de transmissão
  • Sem erros de soquete

WAN_Router#show flow exporter statistics 
Flow Exporter Netflow_Exporter:
Packet send statistics:
Successfully sent: 41 (3780 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750

Client: Flow Monitor MONITOR_EGRESS
Records added: 35
- sent: 35
Bytes added: 1750
- sent: 1750

Etapa 5. Verificar A Criação Do Fluxo.

Verifique se as entradas de fluxo estão sendo preenchidas e mantidas no cache do monitor de fluxo.

Verifique:

  • Fluxos ativos estão presentes no cache do monitor de fluxo.
  • As entradas de cache estão aumentando, o que indica que o tráfego está sendo gravado.
  • As entradas de fluxo estão expirando (expirando) dentro dos intervalos de tempo limite esperados.
note-icon

Note: Se nenhum fluxo for observado no cache, investigue o monitor de fluxo e registre a configuração, pois o problema provavelmente não está relacionado à função de exportação.

WAN_Router#show flow monitor MONITOR_EGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 14
High Watermark: 27

Flows added: 3032
Flows aged: 3018
- Active timeout ( 60 secs) 200
- Inactive timeout ( 30 secs) 2818

IPV4 SOURCE ADDRESS: 198.51.100.200
IPV4 DESTINATION ADDRESS: 192.0.2.11
TRNS SOURCE PORT: 57188
TRNS DESTINATION PORT: 1967
INTERFACE OUTPUT: Gi2
IP TOS: 0x00
IP PROTOCOL: 17
counter bytes long: 80
counter packets long: 1
timestamp abs first: 22:09:34.067
timestamp abs last: 22:09:34.067

Com base na saída, pode ser determinado:

  • O monitor de fluxo MONITOR_EGRESS está operacional e preenchendo ativamente o cache com entradas de fluxo.
  • A integridade do cache é confirmada - as entradas estão sendo adicionadas e removidas (expiradas) nas taxas esperadas.
  • Uma parte significativa dos fluxos (2818 dos 3018 antigos) está expirando devido ao tempo limite inativo, que é o comportamento esperado para tráfego de curta duração ou de baixa frequência.
  • A entrada de cache exibida representa um fluxo UDP de pacote único (protocolo 17) da origem 198.51.100.200, porta 57188, para o destino 192.0.2.11, porta 1967, saindo através da interface GigabitEthernet2.

Etapa 6. Verificar a Conexão do Monitor.


Confirme se o monitor de fluxo está aplicado à interface correta.

WAN_Router#show running-config interface gigabitEthernet 2
Building configuration...

Current configuration : 217 bytes
!
interface GigabitEthernet2
ip flow monitor MONITOR_EGRESS output
ip address x.x.x.x 255.255.255.252
ip ospf network point-to-point
ip ospf 1 area 0
negotiation auto
end 


Etapa 7. Verificar ACLs ou políticas de segurança.


Verifique se nenhuma ACL configurada ou política de segurança está filtrando ou descartando pacotes de exportação do NetFlow destinados ao coletor.:

WAN_Router#show running-config | include access-group
WAN_Router#

Etapa 8. Capturar o tráfego no roteador.

  • Verifique o caminho de roteamento para o coletor emitindo o comando show ip route <collector_IP>. Identifique a interface de saída através da qual o roteador encaminha o tráfego de exportação do NetFlow.
  • Crie uma ACL que permita pacotes UDP com o endereço IP de origem correspondente à interface de origem do exportador do NetFlow configurado e o endereço IP de destino correspondente ao coletor. Aplique essa ACL à captura de pacotes para filtrar o tráfego relevante.


WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#show ip route 203.0.113.10
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 02:12:27 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 02:12:27 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1

WAN_Router#show running-config interface Loopback0
Building configuration...

Current configuration : 87 bytes
!
interface Loopback0
ip address 198.51.100.10 255.255.255.255
ip ospf 1 area 0
end

WAN_Router(config)#ip access-list extended netflow
WAN_Router(config-ext-nacl)#permit udp host 198.51.100.10 host 203.0.113.10
WAN_Router(config-ext-nacl)#end
!
WAN_Router#monitor capture netflow interface gigabitEthernet 2 out access-list netflow buffer size 10
WAN_Router#monitor capture netflow start
Started capture point : netflow

WAN_Router#show monitor capture netflow buffer brief 
-------------------------------------------------------------------------------------
#    size     timestamp      source                destination     dscp   protocol
-------------------------------------------------------------------------------------
0    166      0.000000      198.51.100.10      -> 203.0.113.10      0 BE   UDP
1    166      0.055997      198.51.100.10      -> 203.0.113.10      0 BE   UDP
2    166      7.562019      198.51.100.10      -> 203.0.113.10      0 BE   UDP
3    166      7.617024      198.51.100.10      -> 203.0.113.10      0 BE   UDP
4    166      9.719009      198.51.100.10      -> 203.0.113.10      0 BE   UDP
5    166      9.776013      198.51.100.10      -> 203.0.113.10      0 BE   UDP
note-icon

Note: Os dados capturados podem ser armazenados no bootflash como um arquivo .pcap ou extraídos como um dump hexadecimal em um arquivo de texto, que pode então ser importado em uma ferramenta de análise de pacotes, como o Wireshark, para exame detalhado.
Configurar e capturar pacotes integrados no software

WAN_Router#show monitor capture netflow buffer dump 
0
0000: AABBCC00 18005254 00B62209 08004500 ......RT.."...E.
0010: 009863EA 0000FF11 F121C633 640ACB00 ..c......!.3d...
0020: 710AC027 270C0084 F2E70009 0002086E q..''..........n
0030: 9B7A6A2F 2ED40000 07CE0000 01000102 .zj/............
0040: 0068C000 020BC633 64C80011 07AFDCA1 .h.....3d.......
0050: 00000002 00000000 00000034 00000000 ...........4....
0060: 00000001 0000019E C84E6CDC 0000019E .........Nl.....
0070: C84E6CDC C000020B C63364C8 0011007B .Nl......3d....{
0080: DCA10000 00020000 00000000 002C0000 .............,..
0090: 00000000 00010000 019EC84E 6CF00000 ...........Nl...
00A0: 019EC84E 6CF0 ...Nl.

Com base na análise de captura de pacotes, os pacotes de exportação do NetFlow (cflows) estão sendo transmitidos do roteador para o coletor configurado.

Packet Capture NetflowNetflow de captura de pacote

Se as estatísticas do exportador indicam transmissões bem-sucedidas, mas nenhum pacote é recebido no coletor, o problema provavelmente reside no caminho de rede entre o roteador e o coletor, e não na própria configuração do exportador do NetFlow.

Para isolar o problema, execute estas verificações:

  • Validar o caminho da rede - Reveja todas as ACLs aplicadas ao longo do caminho para garantir que a porta UDP do NetFlow configurado não seja negada ou filtrada.
  • Verificar políticas de firewall - Se existir um firewall no caminho entre o exportador e o coletor, confirme se a política de segurança aplicável permite que o NetFlow exporte tráfego UDP na porta designada.
  • Confirme o status do aplicativo coletor - verifique se o serviço ou processo coletor está em execução e ouvindo ativamente na porta UDP esperada.


O NetFlow Exporter falha ao transmitir dados de fluxo ao coletor em uma topologia sensível a VRF


O coletor não recebe dados de exportação de fluxo da interface GigabitEthernet2. Embora a acessibilidade ao coletor tenha sido verificada, os registros de fluxo não estão sendo entregues com êxito.

Etapa 1.  Verifique se o tráfego está sendo aprendido.

Verifique se o monitor está recebendo tráfego e criando entradas de fluxo.

WAN_Router#show flow monitor MONITOR_INGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 200000
Current entries: 7
High Watermark: 9

Flows added: 65
Flows aged: 58
- Active timeout ( 60 secs) 4
- Inactive timeout ( 30 secs) 54

IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: 224.0.0.5
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Gi2
IP TOS: 0xC0
IP PROTOCOL: 89
counter bytes long: 100
counter packets long: 1
timestamp abs first: 01:54:53.144
timestamp abs last: 01:54:53.144

Etapa 2. Verificar Estatísticas de Exportação.

Verifique a operação do exportador.

WAN_Router#show flow exporter statistics
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 0 (0 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 0
Bytes added: 0

A saída indica que o monitor de fluxo MONITOR_INGRESS está a recolher e a armazenar em cache dados de fluxo com êxito; no entanto, o exportador de fluxo Netflow_Exporter não está transmitindo nenhum registro para o coletor.

Etapa 3. Verificar a acessibilidade do coletor na tabela de roteamento.

Verifique se existe uma rota para o endereço IP do coletor na tabela de roteamento apropriada. Pode ser a tabela de roteamento global ou uma tabela de roteamento específica de VRF, dependendo da topologia da rede.

WAN_Router#show ip route 203.0.113.10
% Network not in table

WAN_Router#show ip cef 203.0.113.10
0.0.0.0/0
no route
WAN_Router#show ip vrf
Name           Default RD         Interfaces
A             <not set>           Lo0
                                  Gi1
                                  Gi2

WAN_Router#show ip route vrf A 203.0.113.10

Routing Table: A
Routing entry for 203.0.113.10/32
Known via "ospf 1", distance 110, metric 22, type intra area
Last update from x.x.x.x on GigabitEthernet2, 00:37:34 ago
Routing Descriptor Blocks:
* x.x.x.x, from 203.0.113.10, 00:37:34 ago, via GigabitEthernet2
Route metric is 22, traffic share count is 1 

WAN_Router#ping vrf A 203.0.113.10 source loopback0 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.113.10, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms
WAN_Router

Etapa 4. Verifique a configuração do exportador de fluxo.

Revise a configuração do exportador para confirmar se o VRF apropriado está especificado, garantindo que o exportador esteja ciente do VRF.

WAN_Router#show running-config | sec flow exporter
flow exporter Netflow_Exporter
destination 203.0.113.10
source Loopback0
transport udp 9996
template data timeout 60
WAN_Router#

A causa principal da falha de exportação é a ausência de uma definição de VRF na configuração do exportador de fluxo. Em uma rede preparada para VRF, o exportador de fluxo deve ser explicitamente configurado com o VRF apropriado para garantir que os pacotes de exportação sejam encaminhados ao coletor através da tabela de roteamento correta.

A configuração corrigida e as etapas de verificação para confirmar que o exportador está a funcionar como previsto são apresentadas aqui.

WAN_Router#show running-config | section flow exporter 
flow exporter Netflow_Exporter
destination 203.0.113.10 vrf A
source Loopback0
transport udp 9996
template data timeout 60

Etapa 5. Verificar se os pacotes de exportação estão saindo do roteador.

Ative as capturas de pacotes na interface de saída e use os comandos show relevantes para confirmar se os pacotes de exportação do NetFlow estão sendo enviados para o coletor.

WAN_Router#show monitor capture netflow parameter 
monitor capture netflow interface GigabitEthernet2 OUT
monitor capture netflow access-list netflow
monitor capture netflow buffer size 10
monitor capture netflow limit pps 1000

WAN_Router#show flow exporter statistics 
Flow Exporter Netflow_Exporter:
Packet send statistics :
Successfully sent: 7 (576 bytes)

Client send statistics:
Client: Flow Monitor MONITOR_INGRESS
Records added: 9
- sent: 9
Bytes added: 450
- sent: 450

WAN_Router#show monitor capture netflow buffer brief 
--------------------------------------------------------------------------------
#   size   timestamp      source               destination      dscp    protocol
--------------------------------------------------------------------------------
0    114    0.000000     198.51.100.10     -> 203.0.113.10         0 BE UDP
1    118    31.873947    198.51.100.10     -> 203.0.113.10         0 BE UDP
2    166    32.955004    198.51.100.10     -> 203.0.113.10         0 BE UDP
3    166    43.580963    198.51.100.10     -> 203.0.113.10         0 BE UDP
4    166    53.061993    198.51.100.10     -> 203.0.113.10         0 BE UDP
5    114    62.480978    198.51.100.10     -> 203.0.113.10         0 BE UDP

Identificar e solucionar problemas do NetFlow em switches Cisco

Diagrama de Rede

Netflow on SwitchesNetflow em switches

O Monitor de fluxo não pode ser aplicado à interface

Ao tentar conectar o monitor de fluxo Flexible NetFlow (FNF) à interface na direção de saída, o roteador rejeita a configuração e gera uma mensagem de erro.

WAN_Switch(config-if)#interface TwentyFiveGigE1/0/1
WAN_Switch(config-if)#ip flow monitor MONITOR_INGRESS input 
% Flow Monitor: Failed to add monitor to interface: Invalid set of fields in monitor record for wired interface

Etapa 1. Verificar a configuração do monitor.

WAN_Switch#show running-config | section flow monitor
flow monitor MONITOR_INGRESS
exporter Netflow_Exporter
cache timeout inactive 30
cache timeout active 60
record INGRESS

 Etapa 2. Revise a configuração do registro de fluxo para campos específicos de direção. O campo mais comum que causa esse problema é: corresponde ao nome do aplicativo.

WAN_Switch#show running-config | section flow record
flow record INGRESS
match ipv4 version
match ipv4 protocol
match application name
match ipv4 destination address
match ipv4 source address
match transport destination-port
match transport source-port
match interface input
match flow direction
collect timestamp absolute first
collect timestamp absolute last
collect counter bytes long
collect counter packets long


O campo de correspondência de nome de aplicativo em um registro de fluxo do Flexible NetFlow (FNF) é usado em implantações do Application Visibility and Control (AVC) para identificar e classificar o tráfego com base no aplicativo que gera o fluxo.


Esse campo aproveita o mecanismo NBAR (Network-Based Application Recognition, reconhecimento de aplicativos baseados em rede) para executar DPI (Deep Packet Inspection, inspeção profunda de pacotes) e identificar o aplicativo associado a cada fluxo. Em vez de depender apenas de números de porta ou endereços IP, esse campo permite que o roteador classifique o tráfego na camada de aplicação (Camada 7).

Em uma implantação que usa apenas o Flexible NetFlow (FNF) sem o recurso AVC habilitado, esse campo é incompatível com a configuração da interface e impede que o monitor de fluxo seja conectado à interface monitorada.

note-icon

Note: Nas plataformas Catalyst 9500H e Catalyst 9600, o recurso AVC não está disponível. Para o monitoramento de fluxo baseado em AVC, a série Catalyst 9300 é a plataforma suportada.


3. Remova o campo não suportado da configuração do registro de fluxo e reaplique o monitor de fluxo à interface.

WAN_Switch(config)#interface twentyFiveGigE 1/0/1 
WAN_Switch(config-if)#no ip flow monitor MONITOR_INGRESS in 
WAN_Switch(config)#no flow monitor MONITOR_INGRESS
WAN_Switch(config)#flow record INGRESS
WAN_Switch(config-flow-record)#no match flow direction
<snip>
note-icon

Note: Após modificar o registro de fluxo, reaplique a configuração do monitor de fluxo e conecte o monitor de fluxo à interface para concluir a alteração de configuração.

Etapa 4. Confirme se o monitor de fluxo está operacional após as alterações de configuração terem sido aplicadas. 

WAN_Switch#show flow monitor MONITOR_INGRESS statistics 
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1

Flows added: 1
Flows aged: 0

WAN_Switch#show flow monitor MONITOR_INGRESS cache 
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 1

Flows added: 1
Flows aged: 0

IPV4 SOURCE ADDRESS: x.x.x.x
IPV4 DESTINATION ADDRESS: y.y.y.y
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
INTERFACE INPUT: Twe1/0/1
FLOW DIRECTION: Input
IP VERSION: 4
IP PROTOCOL: 89
counter bytes long: 708
counter packets long: 7
timestamp abs first: 20:38:23.408
timestamp abs last: 20:39:12.408

Histórico de revisões

Revisão Data de publicação Comentários
1.0
18-Jun-2026
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Adriana Pacheco
    Engenheiro de consultoria técnica

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco