Fehlerbehebung: SNMP Polling und falsche Schnittstellendetails für SNA

Download-Optionen

  • PDF     (1.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (850.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (774.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:26. Januar 2024
Dokument-ID:221510

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Fehlerbehebung bei fehlenden Exportschnittstellen in Secure Network Analytics beschrieben.

    Voraussetzungen

    • Cisco empfiehlt grundlegendes SNMP-Polling
    • Cisco empfiehlt grundlegende Kenntnisse im Bereich Secure Network Analytics (SNA/StealthWatch).

    Anforderungen

    • SNA Manager ab Version 7.4.1
    • SNA Flow Collector in Version 7.4.1 oder höher
    • Exporter sendet NetFlow aktiv an SNA

    Verwendete Komponenten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen

    • SNA Manager ab Version 7.4.1
    • SNA Flow Collector in Version 7.4.1 oder höher
    • SNMPwalk-Software
    • Wireshark-Software

    Konfigurationen

    • Gerätekonfiguration: Die Exporteure müssen so konfiguriert werden, dass sie SNMP-Zugriff zulassen. Dazu gehört die Konfiguration der SNMP-Einstellungen auf jedem Gerät, einschließlich der Einrichtung von SNMP Community Strings, Zugriffskontrolllisten (ACLs) und der Definition der zu verwendenden SNMP-Version
    • SNMP Polling Configuration on SNA (SNMP-Polling-Konfiguration für SNA): Nach erfolgreicher Konfiguration der Exporteure wird SNMP Polling auf dem SMC standardmäßig mithilfe voreingestellter Parameter aktiviert. Es ist wichtig, die erforderlichen Details für die Exporteure bereitzustellen, z. B. SNMP-Community-Strings und SNMP-Versionen, um sicherzustellen, dass der Abfragemechanismus optimal funktioniert.

    Hintergrundinformationen

    SNA bietet umfassende Statusberichte für Schnittstellen sowie die Möglichkeit, Schnittstellennamen für Exporteure anzuzeigen, die NetFlow-Daten aktiv an einen Flow Collector übertragen.  Diese Schnittstellendetails werden angezeigt, wenn Sie über die Manager-Webbenutzeroberfläche zum Menü Investigate -> Interfaces (Untersuchen -> Schnittstellen) navigieren.

    Schnittstellenliste - Gut

    Fehlerbehebung

    Falsche Schnittstellennamen

    Falls der generierte Bericht eine "ifindex-#" anzeigt, die nicht Ihren Exporterschnittstellen entspricht, deutet dies auf ein potenzielles Konfigurationsproblem mit SNMP-Polling entweder auf dem SMC oder auf dem Exporteur selbst hin.   In diesem Beispiel habe ich ein offensichtliches Problem mit dem SNMP Polling eines bestimmten Exporteurs hervorgehoben.

    Schnittstellenliste - Falsch

    Exporter oder Schnittstellen fehlen

    Die Überprüfung von Vorlagen ist für die NetFlow-Datenverarbeitung von großer Bedeutung. Insbesondere wird sichergestellt, dass die vom Exporteur empfangene NetFlow-Vorlage alle erforderlichen Felder enthält, die für eine erfolgreiche Decodierung und Verarbeitung durch den Flow Collector erforderlich sind. Wenn keine gültige Vorlage gefunden wird, werden die zugehörigen Flows von der Decodierung ausgeschlossen, sodass sie nicht in der Schnittstellenliste aufgeführt sind.

    Wenn die erwarteten Exporter/Schnittstellen nicht in der Schnittstellenliste angezeigt werden, sollten Sie die Vorlage für die eingehenden NetFlow-Daten überprüfen.  Um die NetFlow-Vorlage zu überprüfen, kann auf der Flow Collector-Seite eine Paketerfassung erstellt werden, die die IP-Adresse des Exporteurs angibt, von dem NetFlow abgerufen wird, indem "x.x.x.x" geändert wird:

    • Melden Sie sich bei Flow Collector über SSH oder eine Konsole mit Root-Anmeldeinformationen an.
    • Führen Sie eine Paketerfassung vom betreffenden Export-IP- und NetFlow-Port aus: 
      tcpdump -s0 -v -nnn -i eth0 host x.x.x.x and port 2055 -w /lancope/var/admin/tmp/<name>.pcap
    • Kopieren Sie die Paketerfassung von der Appliance auf eine Workstation, auf der die Wireshark-Anwendung installiert ist. Verwenden Sie dabei Ihre bevorzugte Methode (Beispiel: SCP, SFTP).
    • Öffnen Sie die Paketerfassung mit Wireshark, und überprüfen Sie die Vorlage und die Daten, die der Exporteur an den Flow Collector sendet.

    NetFlow-Vorlage1

    Vergewissern Sie sich, dass die NetFlow-Vorlage die 9 erforderlichen Felder verwendet. Der genaue Name dieser Vorlagenfelder kann je nach Exportertyp variieren. Lesen Sie deshalb die Dokumentation zu dem von Ihnen konfigurierten Exportertyp:

    • IP-Quelladresse
    • Ziel-IP-Adresse
    • Quell-Port
    • Ziel-Port
    • Layer-4-Protokoll
    • Byte-Anzahl
    • Paketanzahl
    • Flow-Startzeit
    • Flow-Endzeit

    Um Schnittstellen korrekt anzuzeigen, fügen Sie bitte auch Folgendes hinzu:

      • Schnittstellenausgang
      • Schnittstelleneingang

    Hier sehen Sie ein Beispiel für eine Vorlagen-Paketerfassung von einem bestimmten Exportgerät.

    • Rote Pfeile: erforderliche NetFlow-Felder
    • Grüne Pfeile: SNMP-Felder

    NetFlow-Vorlage 2

    Hinweis: Der im Beispielbefehl aufgeführte Port kann je nach Exportkonfiguration variieren. Der Standardwert ist 2055.

    Hinweis: Halten Sie die Paketerfassung von 5-10 Minuten laufen, je nach Exporteur kann die Vorlage alle N Minuten gesendet werden, und Sie müssen diese Vorlage fangen, sodass der NetFlow richtig decodiert wird. Wenn die Vorlage nicht angezeigt wird, wiederholen Sie die Paketerfassung für einen längeren Zeitraum

    Verbindungsprobleme

    Konnektivität prüfen: Stellen Sie sicher, dass eine Verbindung zwischen der SNA Manager-Appliance und den Exporteuren besteht. Überprüfen Sie, ob die Exporteure über die StealthWatch-Verwaltungskonsole erreichbar sind, indem Sie deren IP-Adressen pingen. Treten Probleme mit der Netzwerkverbindung auf, beheben Sie diese entsprechend, und beheben Sie die Probleme.

    Möglichkeit zur Abfrage von Exporteuren durch Validate Manager (SMC)

    • Stellen Sie eine Verbindung zum SNA-Manager über SSH her, und melden Sie sich mit Root-Anmeldeinformationen an.
    • Analysieren Sie die Datei /lancope/var/smc/log/smc-configuration.log, und suchen Sie nach den Protokollen vom Typ ExporterSnmpSession:  
      INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
      INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
      WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
      INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 
      WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
      INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 

    • In diesem Abfragebeispiel wurden keine Fehler für Exporteur 10.1.0.253 erkannt. Bei Exporteur 10.1.0.254 trat jedoch eine Zeitüberschreitung auf.  Das Standard-Zeitüberschreitungsintervall beträgt 5.000 ms mit einer Anzahl von Wiederholungen von 3. Vom Zeitpunkt der Abfrage eines Exporteurs bis zum Zeitpunkt der Zeitüberschreitung sollten in einer Umgebung, in der Sie die Einstellungen nicht geändert haben, 20 Sekunden vergehen.

    Generieren Sie eine Paketerfassung auf dem SMC unter Verwendung der IP-Adresse eines Exporteurs.

    • Melden Sie sich beim Manager-Knoten über SSH oder die Konsole mit Root-Anmeldeinformationen an.
    • Ausgeführt: 
      tcpdump -s0 -v -nnn -i [Interface] host [Exporter_IP_address] -w /lancope/var/admin/tmp/[file_name].pcap
    • Exportieren Sie die Paketerfassung von der Appliance mit der bevorzugten Methode (Beispiel: SCP, SFTP).
    • Öffnen der Paketerfassung mit Wireshark zum Anzeigen der erfolgreichen Abrufversuche
      • Anfrage vom SMC:NetFlow-Vorlage 3

      • SNMP-Antwort vom Exporteur mit Schnittstelleninformationen: NetFlow-Vorlage 4

    SNMP-Polling-Einstellungen überprüfen

    Stellen Sie sicher, dass die Abfrageintervalle angemessen sind und dass die gewünschten Metriken in die SNMP-Abfragen einbezogen werden.

    • Navigieren Sie auf der Webbenutzeroberfläche zu: Konfigurieren -> Exporter -> Exporter SNMP-Profile:
    • Überprüfen Sie, ob der richtige SNMP-Port (in der Regel der UDP-Port 161) und die richtige ausgewählte SNMP-Abfragemethode mit dem Export übereinstimmen müssen (ifxTable Columns, CatOS MIB, PanOS MIB).SNMP-Polling-Konfiguration 1

    Hinweis: Wenn Sie Schnittstellen mit 10 Gbit/s haben, empfehlen wir Ihnen, die Option ifxTable Spalten für die SNMP-Abfragemethode auszuwählen.

    Hinweis: Für eine optimale Systemleistung stellen Sie SNMP Polling auf ein 12-Stunden-Intervall ein. Durch häufigere Abfragen werden Ihre Nutzungsmetriken nicht aktueller und das System kann langsamer ausgeführt werden.

    • Überprüfen Sie, ob die auf SNA und den Exporteuren konfigurierten SNMP-Versionen kompatibel sind. SNA unterstützt SNMPv1, SNMPv2c und SNMPv3. Überprüfen Sie, ob die Exporteure so konfiguriert sind, dass sie die gleiche SNMP-Version verwenden, die in SNA konfiguriert wurde.
      • Falls Sie SNMPv3 verwenden, stellen Sie sicher, dass die SNMP-Konfiguration korrekt ist (Benutzername, Authentifizierungskennwort, Authentifizierungsprotokoll, Datenschutzkennwort, Datenschutzprotokoll).

    Live-Fehlerbehebung für SNMP Polling

    Navigieren Sie in der Webbenutzeroberfläche zu Configure -> Exporters -> Exporter SNMP Profiles.

    • Stellen Sie Polling (Minuten) vorübergehend auf 1 (Minute) ein.

    SNMP-Polling-Konfiguration 2

    • Melden Sie sich bei SMC über SSH oder eine Konsole mit Root-Anmeldeinformationen an.
    • Navigieren Sie zu diesem Ordner: 
      cd /lancope/var/smc/log
    • Ausgeführt: 
      tail -f smc-configuration.log
    • Für SNMPv3 lautet eine gängige Fehlermeldung: 
      failed: java.lang.IllegalArgumentException: USM passphrases must be at least 8 bytes long (RFC3414 §11.2)
    • Vergewissern Sie sich, dass das Authentifizierungskennwort im SNMP-Profil auf mindestens 8 Zeichen eingestellt ist.
    • Sobald die Live-Fehlerbehebung abgeschlossen ist, setzen Sie die Polling-Konfiguration (in Minuten) für den Exporteur oder dessen Konfigurationsvorlage auf den vorherigen Wert zurück.

    Testen von SNMP Polling von einem anderen Gerät

    SNMP-Polling testen: Manuelles Initiieren einer SNMP-Abfrage von einem lokalen Computer an ein bestimmtes Netzwerkgerät und Überprüfen, ob eine Antwort eingeht. Dies kann mithilfe von SNMP-Polling-Tools oder Dienstprogrammen wie SNMPwalk erfolgen. Überprüfen Sie, ob das Netzwerkgerät mit den angeforderten SNMP-Daten antwortet. Wenn keine Antwort erfolgt, weist dies auf ein Problem mit der SNMP-Konfiguration oder -Verbindung hin.

    • Ersetzen Sie auf Ihrem lokalen Computer mit SNMPwalk-Software "x.x.x.x" als Export-IP, und führen Sie es auf der Kommandozeile aus: 
      snmpwalk -v2c -c public x.x.x.x
      • -v2c: gibt die zu verwendende SNMP-Version an
      •  -c: legt den Community-String fest

    NetFlow-Vorlage 5

    • Überprüfen Sie, ob der Exporteur mit SNMP-Daten antwortet.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    21-Feb-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jesus Ibarra

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.