Catalyst Switches der Serien 6500/6000 - NetFlow-Konfiguration und Fehlerbehebung

Download-Optionen

  • PDF     (236.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (149.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (238.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:20. Januar 2012
Dokument-ID:70974

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Dieses Dokument enthält ein Beispiel für die Konfiguration von NetFlow auf dem Catalyst 6500/6000-Switch, der ein natives IOS oder ein Hybrid-Betriebssystem ausführt. Es kann erforderlich sein, den Datenverkehr zu überwachen, der über den Catalyst 6500/6000 fließt, wenn er als Core-Gerät im Netzwerk fungiert.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Catalyst 6500 mit Supervisor Engine 32, MSFC2A und PFC3

  • Catalyst 6500 mit Cisco IOS? Softwareversion 12.2(18)SXF4

Hinweis: NetFlow-Konfigurationen werden auch auf Route Switch Processor 720, Supervisor Engine 720 unterstützt. Hinsichtlich NetFlow gibt es keinen Unterschied zwischen der Supervisor Engine 720 und dem Route Switch Processor 720. Dieselbe Konfiguration gilt also sowohl für die Supervisor Engine 720 als auch für den Route Switch Processor 720.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

NetFlow ist eine Cisco IOS-Anwendung, die Statistiken zu Paketen liefert, die den Router durchlaufen. NetFlow erfasst global Statistiken aus dem Datenverkehr, der über den Switch fließt, und speichert die Statistiken in der NetFlow-Tabelle. Sie können über die Befehlszeile auf die NetFlow-Tabelle zugreifen. Sie können die NetFlow-Statistiken auch auf einen Berichtsserver exportieren, der als NetFlow Collector bezeichnet wird. Sie müssen den NetFlow Data Export (NDE) auf dem Switch konfigurieren, um die NetFlow-Statistiken in einen NetFlow Collector zu exportieren. NetFlow überwacht nur den CEF/Fast-Switched-Datenverkehr. Um Fast Switching zu aktivieren, geben Sie den Befehl ip route-cache an die zu überwachenden Schnittstellen ein.

Vor der Konfiguration von NetFlow sollten Sie einige Punkte kennen:

  • Der NetFlow-Cache auf der Multilayer Switch Feature Card (MSFC) erfasst Statistiken für in der Software weitergeleitete Datenströme.

  • Der NetFlow-Cache auf der Policy Feature Card (PFC) erfasst Statistiken für in der Hardware weitergeleitete Datenströme.

  • Eine Flussmaske definiert das Format eines Cacheeintrags in der NetFlow-Cachetabelle. Es gibt einige Typen von Flow-Masken, die von PFC unterstützt werden, und NetFlow verwendet für alle Statistiken nur eine Flow-Maske. Sie können den Typ der Flussmaske je nach Ihren Anforderungen konfigurieren. Dies ist die Liste der Flussmasken, die im PFC verfügbar sind:

    • source-only: Eine weniger spezifische Flow-Maske. Die PFC unterhält einen Eintrag für jede Quell-IP-Adresse. Alle Datenflüsse aus einer bestimmten Quell-IP-Adresse verwenden diesen Eintrag.

    • destination: Eine weniger spezifische Maske für den Datenfluss. Die PFC unterhält einen Eintrag für jede Ziel-IP-Adresse. Für alle Datenflüsse an eine bestimmte Ziel-IP-Adresse wird dieser Eintrag verwendet.

    • destination-source: Eine spezifischere Flow-Maske. Der PFC unterhält einen Eintrag für jedes Quell- und Ziel-IP-Adresspaar. Dieser Eintrag wird für alle Datenflüsse zwischen denselben Quell- und Ziel-IP-Adressen verwendet.

    • destination-source-interface - Eine spezifischere Flow-Maske. Fügt den Informationen in der Flow-Maske für die Zielquelle das Source VLAN Simple Network Management Protocol (SNMP) ifIndex hinzu.

    • full (Vollständig): Eine spezifischere Maske für den Datenfluss. Die PFC erstellt und verwaltet einen separaten Cache-Eintrag für jeden IP-Fluss. Ein vollständiger Eintrag umfasst die Quell-IP-Adresse, die Ziel-IP-Adresse, das Protokoll und die Protokollschnittstellen.

    • full-interface (Vollschnittstelle) - Die spezifischste Flussmaske. Fügt den Informationen in der Volllaufmaske das Quell-VLAN-SNMP ifIndex hinzu.

  • NDE auf der PFC unterstützt NDE-Versionen 5 und 7 für die auf der PFC erfassten Statistiken.

Hinweis: Im PFC3B- oder PFC3BXL-Modus mit Cisco IOS Software Release 12.2(18)SXE und höher können Sie NDE konfigurieren, um Statistiken für gerouteten und überbrückten Datenverkehr zu sammeln. Im PFC3A-Modus oder mit Versionen vor der Cisco IOS Software Version 12.2(18)SXE sammelt NDE Statistiken nur für gerouteten Datenverkehr.

Konfigurieren

Das Konfigurationsbeispiel in diesem Abschnitt zeigt, wie NetFlow auf dem Switch konfiguriert wird und wie NDE konfiguriert wird, um den NetFlow-Cache in den NetFlow-Collector zu exportieren. Außerdem werden die optionalen Parameter erläutert, mit denen NetFlow an Ihr Netzwerk angepasst werden kann. In diesem Beispiel verfügt der Catalyst Switch der Serie 6500 über zwei VLANs, 10 und 20, für das interne Netzwerk. Die Schnittstelle fa3/1 ist mit der Außenseite des Netzwerks verbunden.

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Die Netflow-Konfiguration unterbricht weder den Datenverkehr noch deaktiviert die konfigurierte Schnittstelle.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

netflow-catalyst6500-network.gif

Konfigurationen in nativem IOS

In diesem Dokument werden folgende Konfigurationen verwendet:

NetFlow aktivieren

Der erste Schritt zur Konfiguration von NetFlow in Ihrem Netzwerk besteht darin, NetFlow sowohl in der MSFC als auch in der PFC zu aktivieren. In diesem Beispiel wird Schritt für Schritt beschrieben, wie NetFlow aktiviert wird:

  1. Aktivieren Sie NetFlow auf der PFC.

  2. Konfigurieren Sie die Flussmaske für PFC.

  3. Aktivieren Sie NetFlow auf der MSFC.

  4. Aktivieren Sie NetFlow für Layer-2-Switched-Datenverkehr auf der PFC.

Switch 
Switch(config)#interface Vlan10
 Switch(config-if)#ip address 10.10.10.1 255.255.255.0
 Switch(config-if)#exit

Switch(config)#interface Vlan20
 Switch(config-if)#ip address 10.10.20.1 255.255.255.0
 Switch(config-if)#exit

Switch(config)#interface loopback 0
 Switch(config-if)#ip address 10.10.1.1 255.255.255.255
 Switch(config-if)#exit

Switch(config)#interface fastEthernet 3/1
 Switch(config-if)#no switchport
 Switch(config-if)#ip address 10.10.200.1 255.255.255.0
 Switch(config-if)#exit

!--- This configuration shows that !--- the VLANs are configured with IP addresses.



!
Switch(config)#mls netflow


!--- Enables NetFlow on the PFC.

!
Switch(config)#mls flow ip full
 

!--- Configures flow mask on the PFC. !--- In this example, flow mask is configured as full.

!
Switch(config)#interface Vlan10
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit

Switch(config)#interface Vlan20
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit

Switch(config)#interface fastEthernet 3/1
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit


!--- Enables NetFlow on the MSFC.


Switch(config)#ip flow ingress layer2-switched vlan 10,20

!--- Enables NetFlow for Layer 2-switched traffic on the PFC. !--- It also enables the NDE for Layer 2-switched traffic on the PFC.

NDE konfigurieren

NetFlow verwaltet die aktive NetFlow in der NetFlow-Cache-Tabelle. Sie können den Befehl show mls netflow ip ausführen, um den aktiven NetFlow-Cache im Switch anzuzeigen. Nach Ablauf des NetFlow-Cache wird der NetFlow-Datenverkehr, der die Befehlszeile verwendet, nicht mehr angezeigt. Sie können den abgelaufenen NetFlow-Cache in den NetFlow-Datensammler exportieren. Wenn Sie den NetFlow-Datenerfasser zum Speichern des bisherigen NetFlow-Datenverkehrs verwenden, müssen Sie den NDE auf dem Catalyst 6500-Switch konfigurieren. Es sind viele NetFlow-Collectors verfügbar. Dazu gehören Cisco NetFlow Collector und Cisco CS-Mars. Es ist nicht erforderlich, dass die NDE-Senderversion mit der IP-Flow-Exportversion übereinstimmt, da es sich beim NDE-Sender um Layer-2-Datenverkehr und beim IP-Route-Cache-Datenverkehr um Layer-3-Datenverkehr handelt.Die Liste der NetFlow-Collectors in Tabelle 2 von Einführung in Cisco IOS NetFlow - Eine technische Übersicht ist zu sehen. In diesem Abschnitt wird die NDE-Konfiguration des Catalyst 6500-Switches erläutert.

  1. Konfigurieren von NDE auf der PFC

  2. Konfigurieren Sie NDE auf der MSFC.

  3. Aktivieren Sie NDE für Layer-2-Switched-Datenverkehr auf der PFC.

Switch 
Switch(config)#mls nde sender version 5

!--- Configures NDE in the PFC. This example configures NDE version 5. !--- You need to configure the version based on your NetFlow collector.


!--- The mls nde sender command configures !--- the NDE with default version 7. If your NetFlow collector supports !--- version 7 NDE format, you need to issue the !--- mls nde sender command.





!

Switch(config)#ip flow-export source loopback 0

Switch(config)#ip flow-export destination 10.10.100.2 9996

!--- Configures NDE on the MSFC with the NetFlow collector IP address !--- and the application port number 9996. This port number varies !--- depending on the NetFlow collector you use.





Switch(config)#ip flow export layer2-switched vlan 10,20

!--- Enabling ip flow ingress as in the Enable NetFlow Section !--- automatically enables ip flow export. !--- If you disabled ip flow export earlier, you can enable it as mentioned.





!--- Show run does not show the ip flow export command.

Optionale Konfiguration

NetFlow enthält nur wenige optionale Konfigurationen. Dies hängt von Ihrem Netzwerkdesign, der Menge an Datenverkehr, der im Netzwerk fließt, und von Ihrer Anforderung an die NetFlow-Daten ab. Dies sind kurze Beschreibungen der optionalen Konfigurationen:

  • MLS-Alterung (Multilayer Switching): Wenn der NetFlow-Datenverkehr aktiv ist, läuft der NetFlow-Cache nicht ab. Wenn dieser Vorgang nicht abläuft, exportiert der NetFlow-Cache nicht in den NetFlow-Datensammler. Um eine regelmäßige Berichterstattung über kontinuierlich aktive Datenflüsse sicherzustellen, laufen Einträge für kontinuierlich aktive Datenflüsse am Ende des Intervalls ab, das mit dem Befehl mls aging long (Standard: 32 Minuten) konfiguriert ist. Diese Ausgabe zeigt das Standardintervall für das Altern im mls-Cache: 

    asnml-c6509-01#show mls netflow aging
             enable timeout  packet threshold
             ------ -------  ----------------
normal aging true       300        N/A
fast aging   false      32         100
long aging   true       1920       N/A

  • NetFlow-Sampling - Standardmäßig erfasst NetFlow alle Pakete im Flow. Wenn Sie NetFlow-Sampling verwenden, können Sie eine Teilmenge von Paketen erfassen. NetFlow-Sampling kann als zeit- oder paketbasiert aktiviert werden.

  • NetFlow-Aggregation - Der Aggregation-Cache ist eine zusätzliche NetFlow-Cache-Tabelle im Switch, die die aggregierten Flow-Statistiken des NetFlow-Datenverkehrs enthält. Der Catalyst 6500 verfügt über verschiedene Schemas, z. B. Quell-Präfix, Zielpräfix und Protokollport für die NetFlow-Aggregation. Sie können mehrere Schemata im Switch konfigurieren und NDE verwenden, um die Statistiken in den NetFlow Collector zu exportieren. NetFlow-Aggregations-Caches reduzieren die zwischen dem Switch und dem NetFlow Collector erforderliche Bandbreite.

  • NDE-Flow-Filter - Sie können einen NDE-Flow-Filter so konfigurieren, dass nur der interessierte NetFlow-Cache exportiert wird. Nachdem Sie einen Filter konfiguriert haben, werden nur abgelaufene und gelöschte Flüsse exportiert, die den angegebenen Filterkriterien entsprechen. Sie können den NetFlow-Cache-Eintrag nach Quelladresse, Zieladresse, Quellport und Zielport filtern.

  • NetFlow-Cache-Einträge - Sie können die Anzahl der NetFlow-Einträge im NetFlow-Cache erhöhen oder verringern.

In diesem Abschnitt wird die optionale Konfiguration erläutert. Diese Konfiguration hängt von Ihren Anforderungen ab.

  • Konfigurieren der MLS-Alterung

  • Konfigurieren von NetFlow-Sampling

  • Konfigurieren der NetFlow-Aggregation

  • NDE-Flussfilter konfigurieren

  • Konfigurieren von NetFlow-Cache-Einträgen

Switch 
Switch(config)#mls aging long 300

!--- Configures the switch to delete the active NetFlow !--- cache entries after 5 minutes. The default value is 32 minutes.



!

Switch(config)#mls aging normal 120

!--- Configures the switch to delete the inactive NetFlow !--- cache entries after 2 minutes. The default value is 5 minutes.



!

Switch(config)#mls sampling time-based 64

!--- 1 out of 64 packets is sampled for the NetFlow cache. By default, !--- sampling is disabled and every packet is captured into the NetFlow cache.



!

Switch(config)#ip flow-aggregation cache protocol-port
Switch(config-flow-cache)#cache entries 1024
Switch(config-flow-cache)#cache timeout active 30
Switch(config-flow-cache)#cache timeout inactive 300
Switch(config-flow-cache)#export destination 10.10.100.2 9996
Switch(config-flow-cache)#enabled
Switch(config-flow-cache)#exit


!--- Configures protocol and port aggregation scheme.

!

Switch(config)#mls nde flow exclude protocol tcp dest-port 23


!--- Configures the NDE not to export the traffic with destination port tcp 23.

!

Switch(config)#ip flow-cache entries 128000


!--- The change in number of entries take effect after either the next reboot or !--- when netflow is turned off on all interfaces.

Konfigurationen in Hybrid-OS

Dieser Abschnitt zeigt ein Konfigurationsbeispiel für den Catalyst 6500-Switch, der ein Hybrid-Betriebssystem ausführt. Für die Konfiguration wird dasselbe Diagramm wie im IOS-Abschnitt verwendet. Das Dokument verwendet folgende Konfigurationen:

NetFlow aktivieren

Es wird davon ausgegangen, dass die VLANs bereits im Supervisor-Modul erstellt wurden und die VLAN-Schnittstellen-IPs in der MSFC zugewiesen sind. Hier wird NetFlow sowohl im Supervisor-Modul als auch in der MSFC aktiviert. NetFlow kann nur an Layer-3-Schnittstellen aktiviert werden.

Switch 
Catos(enable)set mls flow full
 

!--- Enables NetFlow and configures flow mask on the supervisor module. !--- In this example, flow mask is configured as full.

!
MSFC(config)#interface Vlan10
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit

MSFC(config)#interface Vlan20
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit

MSFC(config)#interface fastEthernet 3/1
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit


!--- Enables NetFlow on the MSFC.

NDE konfigurieren

In diesem Abschnitt wird die NDE-Konfiguration für das Supervisor-Modul und MSFC angezeigt. In diesem Beispiel wird VLAN 1 anstelle des Loopbacks 0 verwendet.

Switch 
Catos(enable)set mls nde enable
Catos(enable)set mls nde version 7
Catos(enable)set mls nde 10.10.100.2 9996

!--- Configures NDE in the supervisor. This example configures NDE version 7.
!
MSFC(config)#ip flow-export version 5
MSFC(config)#ip flow-export source vlan 1
MSFC(config)#ip flow-export destination 10.10.100.2 9996

!--- Configures NDE on the MSFC with the NetFlow collector IP address !--- and the application port number 9996. This port number varies !--- depending on the NetFlow collector you use.

Optionale Konfiguration

Dieses Beispiel zeigt die Konfiguration der NetFlow-Alterungszeit im Supervisor-Modul.

Switch 
Catos(enable)set mls agingtime long-duration 300

!--- Configures the switch to delete the active NetFlow !--- cache entries after 5 minutes. The default value is 32 minutes.

!
Switch(config)#set mls agingtime 120

!--- Configures the switch to delete the inactive NetFlow !--- cache entries after 2 minutes. The default value is 5 minutes.

Überprüfung

In diesem Abschnitt wird veranschaulicht, wie die NetFlow-Cachetabelle und NDE überprüft werden. Außerdem wird eine NetFlow-Beispielkollektorausgabe bereitgestellt.

Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.

  • Der Befehl show mls netflow ip zeigt die NetFlow-Cache-Einträge im Supervisor-Modul an. Dies ist eine Beispielausgabe:

    Switch#show mls netflow ip
Displaying Netflow entries in Supervisor Earl
DstIP           SrcIP           Prot:SrcPort:DstPort  Src i/f          :AdjPtr
-----------------------------------------------------------------------------
Pkts         Bytes         Age   LastSeen  Attributes
---------------------------------------------------
10.10.10.100   10.10.10.1     tcp :telnet :2960     --               :0x0

26           1223          101   20:35:41   L2 - Dynamic
10.10.20.2     10.10.20.1     tcp :11837  :179      --               :0x0

6            315           174   20:35:29   L2 - Dynamic
10.10.200.1     10.10.200.2     tcp :21124  :179      --               :0x0

0            0             176   20:35:28   L3 - Dynamic
10.10.20.1     10.10.20.2     tcp :179    :11837    --               :0x0

0            0             174   20:35:29   L3 - Dynamic
171.68.222.140  10.10.10.100   udp :3046   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   64.101.128.56   udp :dns    :2955     --               :0x0

6            944           178   20:34:29   L3 - Dynamic
10.10.200.2     10.10.200.1     tcp :179    :21124    --               :0x0

5            269           133   20:35:28   L2 - Dynamic
0.0.0.0         0.0.0.0         0   :0      :0        --               :0x0

87           10488         133   20:35:29   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3047   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   171.70.144.201  icmp:0      :0        --               :0x0

1            60            71    20:34:30   L3 - Dynamic
171.68.222.140  10.10.10.100   udp :3045   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   64.101.128.92   tcp :3128   :2993     --               :0x0

20           13256         102   20:34:00   L3 - Dynamic
10.10.10.100   171.68.222.140  udp :1029   :3045     --               :0x0

1            368           2     20:35:39   L3 - Dynamic
171.68.222.140  10.10.10.100   icmp:771    :0        --               :0x0

1            176           2     20:35:39   L3 - Dynamic
10.10.10.100   10.16.151.97    udp :1029   :3048     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
10.16.151.97    10.10.10.100   udp :3045   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3049   :1029     --               :0x0

2            152           2     20:35:39   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3045   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
64.101.128.56   10.10.10.100   udp :2955   :dns      --               :0x0

6            389           178   20:34:29   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3045     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3050   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.16.151.97    10.10.10.100   udp :3048   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   64.101.128.92   tcp :3128   :2991     --               :0x0

15           4889          106   20:34:00   L3 - Dynamic
10.10.10.100   10.16.151.97    udp :1029   :3045     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
171.68.222.140  10.10.10.100   udp :3051   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.16.151.97    10.10.10.100   icmp:771    :0        --               :0x0

1            176           2     20:35:39   L3 - Dynamic
10.10.10.100   64.101.128.92   tcp :3128   :2992     --               :0x0

16           7019          106   20:34:00   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3047     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
10.16.151.97    10.10.10.100   udp :3052   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   171.68.222.140  udp :1029   :3046     --               :0x0

1            368           2     20:35:39   L3 - Dynamic
10.10.10.1     10.10.10.100   tcp :2960   :telnet   --               :0x0

0            0             101   20:35:41   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3049     --               :0x0

2            961           2     20:35:39   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3053   :1029     --               :0x0

2            152           2     20:35:40   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3050     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3053     --               :0x0

2            961           1     20:35:40   L3 - Dynamic
10.10.10.100   171.68.222.140  udp :1029   :3051     --               :0x0

1            368           2     20:35:39   L3 - Dynamic
10.10.10.100   10.16.151.97    udp :1029   :3052     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
172.22.1.110    10.10.200.1     udp :52039  :9996     --               :0x0

9            876           209   20:35:12   L2 - Dynamic
10.175.52.255   10.10.10.100   udp :137    :137      --               :0x0

3            234           72    20:34:31   L2 - Dynamic
171.70.144.201  10.10.10.100   icmp:8      :0        --               :0x0

1            60            72    20:34:29   L3 - Dynamic

    In einer Produktionsumgebung ist diese Leistung enorm. Der Befehl show mls netflow ip hat einige Optionen, um nur den interessierten Datenverkehr aufzulisten. Diese Ausgabe zeigt eine Liste der Optionen an:

    Switch#show mls netflow ip ?
  count         total number of mls entries
  destination   show entries with destination ip address
  detail        display additional per-flow detail
  dynamic       hardware created netflow statistics entries
  flow          flow
  module        Show for module
  nowrap        no text wrap
  qos           qos statistics
  source        show entries with source ip address
  sw-installed  s/w installed netflow entries
  |             Output modifiers
  <cr>

  • Der Befehl show mls zeigt die NetFlow-Exportinformationen an. Diese Informationen zeigen, welcher NetFlow-Collector exportiert und wie viele Pakete er exportiert. Dies ist eine Beispielausgabe:

    Switch#show mls nde
 Netflow Data Export enabled 
 Exporting flows to  10.10.100.2 (9996)
 Exporting flows from 10.10.1.1 (52039)
 Version: 5
 Layer2 flow creation is enabled on vlan 10,20
 Layer2 flow export is enabled on vlan 10,20
 Include Filter not configured 
 Exclude Filter not configured 
 Total Netflow Data Export Packets are:
    337 packets, 0 no packets, 3304 records
 Total Netflow Data Export Send Errors:
	IPWRITE_NO_FIB = 0
	IPWRITE_ADJ_FAILED = 0
	IPWRITE_PROCESS = 0
	IPWRITE_ENQUEUE_FAILED = 0
	IPWRITE_IPC_FAILED = 0
	IPWRITE_OUTPUT_FAILED = 0
	IPWRITE_MTU_FAILED = 0
	IPWRITE_ENCAPFIX_FAILED = 0
 Netflow Aggregation Disabled

    Geben Sie den Befehl clear mls nde flow zähls ein, um die NDE-Statistiken zu löschen.

  • Dieses Diagramm zeigt eine Beispielausgabe aus einem NetFlow-Collector:

    netflow-catalyst6500-graph.gif

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Es gibt einige Punkte, die Sie kennen müssen, um sicherzustellen, dass Ihre Konfiguration funktioniert:

  • Sie müssen NetFlow auf den MSFC-Layer-3-Schnittstellen aktivieren, um NDE auf der PFC und NDE auf der MSFC zu unterstützen. Sie müssen den Switch gemäß dem Abschnitt Enable NetFlow konfigurieren. Wenn Sie keinen Layer-2-Bridge-Datenverkehr benötigen, müssen Sie den Befehl ip flow Ingress Layer2-Switched mit dem Befehl no ip flow Ingress Layer2-Switched rückgängig machen.

  • Sie können NetFlow auf den NAT-fähigen Schnittstellen (Network Address Translation) nicht aktivieren, wenn Sie die vollständigen und schnittstellenvollständigen Flow-Masken konfiguriert haben. Wenn die Schnittstelle entweder mit dem Befehl ip nat inside oder mit dem Befehl ip nat outside und Sie haben die vollständigen und schnittstellenvollen Flow-Masken konfiguriert, können Sie NetFlow nicht auf der Schnittstelle aktivieren. Sie sehen diese Fehlermeldung: 

    %FM_EARL7-4-FEAT_FLOWMASK_REQ_CONFLICT: Feature NDE requested flowmask Int
f Full Flow Least conflicts with other features on interface Vlan52, flowmask re
quest Unsuccessful for the feature

  • Die Policy Feature Card 3 (PFC3) und die Policy Feature Card 2 (PFC2) verwenden die NetFlow-Tabelle nicht für Layer-3-Switching in der Hardware.

  • NetFlow-Aggregation verwendet NDE Version 8. Sie müssen sicherstellen, dass Ihr NetFlow Collector das Format Version 8 unterstützt.

    Hinweis: NetFlow auf der aktuellen Cisco Catalyst 6500 Supervisor 720-Produktfamilie ist nur eine Eingangs-Schnittstellenfunktion. Die Cisco IOS Softwareversion 12.2(33)SXH und höher unterstützt NDE pro Schnittstelle, wodurch die PFC-NetFlow-Datenerfassung auf Schnittstellenbasis ermöglicht wird. Bei Cisco IOS-Softwareversionen vor der Cisco IOS-SoftwareVersion 12.2(33)SXH kann NetFlow auf der PFC-Plattform nur aktiviert und global deaktiviert werden.

  • NetFlow muss auf dem lokalen Router aktiviert werden, um eine Layer-2-Analyse durchzuführen.

MLS Aging deaktiviert

Bei den Cisco Catalyst Switches der Serie 6500, die mit nativem IOS ausgeführt werden, werden bei Aktivierung des Server Load Balancing (SLB) die NetFlow-Cache-Einträge bei MLS Long Ageing nicht veraltet. Dieses Problem ist in der Cisco Bug-ID CSCea83612 dokumentiert (nur registrierte Kunden). Aktualisieren Sie auf das neueste Cisco IOS, das von diesem Fehler nicht betroffen ist.

NetFlow zeigt Datenverkehr in einer Richtung an

Nach der Aktivierung von NetFlow zeigt der Befehl show mls netflow ip nur den Datenverkehr in eine Richtung an. Standardmäßig speichert NetFlow nur den eingehenden Datenverkehr. Geben Sie den Befehl ip route-cache flow sowohl für die Eingangs- als auch die Ausgangsschnittstellen aus, um sowohl eingehenden als auch ausgehenden Datenverkehr zwischenspeichern zu können.

NetFlow zeigt keinen Switched- oder Bridge-Datenverkehr an

Standardmäßig zeigt NetFlow keine Statistiken für Datenverkehr an, der über dasselbe VLAN läuft, sondern nur für Datenverkehr, der von einem VLAN in ein anderes eingeht. Beispiel: VLAN-Schnittstellen, wenn für diese Schnittstellen der Befehl ip route-cache flow einzeln konfiguriert wurde.

Hinweis: Um Statistiken für Datenverkehr anzuzeigen, der über dasselbe VLAN läuft, deaktivieren Sie den Software-Switched-Netflow, d. h. konfigurieren Sie ip route-cache-Fluss auf der Layer-3-Schnittstelle nicht.

Um die Erstellung von Switch-, Bridge- und Layer 2-IP-Datenflüssen für ein bestimmtes VLAN zu ermöglichen, führen Sie den Befehl ip flow layer2 Switched aus.

Um die Erfassung von Switch-, Bridge- und IP-Datenflüssen in Layer 2 zu ermöglichen, muss das Layer 2-Switched-VLAN für den IP-Datenfluss {num | vlanlist}-Befehl. Um den Export von Switch-, Bridge- und IP-Datenströmen in Layer 2 zu ermöglichen, muss das Layer-2-Switched-VLAN "ip flow export" {num | vlanlist}-Befehl.

Der Befehl wird nur auf der Supervisor Engine 720 im PFC3B- und PFC3BXL-Modus und auf der Supervisor Engine 2 mit PFC2 unterstützt.

Bevor Sie diesen Befehl auf Catalyst Switches der Serie 6500 verwenden, die mit der Supervisor Engine 720 konfiguriert sind, müssen Sie sicherstellen, dass eine entsprechende VLAN-Schnittstelle verfügbar ist und über eine gültige IP-Adresse verfügt. Diese Richtlinie gilt nicht für Catalyst Switches der Serie 6500, die mit der Supervisor Engine 2 konfiguriert sind. Wenn NetFlow-Informationen von der Supervisor 720 Engine zur Analyse in den Collector exportiert werden, wird das tcp-Flag auf ZERO festgelegt. Dies ist auf die Hardware-Einschränkung des Supervisor 720 zurückzuführen, da dieser EARL7 ASIC verwendet. Die Unterstützung für TCP-Flag ist in EARL8 ASIC integriert.

Quell-IP-Adresse und Ziel-IP-Adresse werden in IP Flow nicht angezeigt.

Aus diesen Gründen werden die Quell- und Ziel-IP-Adresse nicht in IP Flow angezeigt.

  • Die Pakete werden durch eine ACL blockiert.

  • Die Pakete werden verarbeitet.

  • Multicast-Datenverkehr

  • Für den Router bestimmte Pakete

  • Tunnel (IPIP, GRE, IPSEC, L2TP) und WCCP

  • Statische Route zu null0

  • DstIf ist NULL, wenn der Datenverkehr aufgrund von CAR verworfen wird.

Um dieses Problem zu vermeiden, verwenden Sie den Befehl ip flow Infer-fields, um NetFlow mit abgeleiteten Eingangs-/Ausgangsschnittstellen und Quell-/Zielinformationen zu aktivieren.

Wenn die Datenflüsse an den Subschnittstellen überprüft werden müssen, gibt es zwei Optionen:

  1. Konfigurieren Sie den ip route-cache-Fluss in der Hauptschnittstelle. Dadurch werden die Flüsse von allen Subschnittstellen gesendet.

  2. Konfigurieren Sie den IP-Flow-Eingang auf den Subschnittstellen, die in diesem Fall über keine NetFlow-Konfiguration verfügen, und senden Sie den Fluss von jeder Subschnittstelle, auf der der Befehl ip flow Ingress aktiviert ist.

Unterstützung von Bridge-Flow-Statistiken für VLANs

Diese Funktion wird von der Supervisor Engine 1 oder 1A/PFC, der Supervisor Engine 2/PFC2 unterstützt, und MSFC/MSFC2 ist nicht erforderlich. Diese Funktion wird auf dem Supervisor 720/PFC3BXL mit eingeschränkter Funktionalität von Cisco Catalyst OS 8.5(1) oder höheren Versionen unterstützt.

Verwenden Sie den Befehl set mls brücken-flow-statistics , um die Überbrückungsstatistik für die angegebenen VLANs zu aktivieren oder zu deaktivieren. Sie können ein oder mehrere VLANs eingeben. Sie können die Erstellung der NetFlow-Tabelle auf VLAN-Basis aktivieren. Da jedoch für die Statistiken des Bridge-Datenflusses und die Erstellung der VLAN-Einträge derselbe Mechanismus für die Erfassung der Statistiken verwendet wird, können sich die VLAN-Einträge überschneiden.

Falsches BGP_NEXTHOP in NetFlow

Wenn der NetFlow BGP Next Hop für die Unterstützung von Accounting und Analysis konfiguriert ist, unterscheidet sich der BGP Next Hop vom normalen Next Hop.

Der NetFlow-Cache erfasst den BGP Next Hop nicht, wenn die Route zu diesem BGP Next Hop rekursiv durch mehrere IGP-Links gemeinsam genutzt wird. Stattdessen erfasst der NetFlow-Cache den effektiven einfachen nächsten Hop aus einer zufälligen Auswahl der Load-Shared-Routen, zu denen die BGP-Route rekursiv wird. Daher wird der NetFlow BGP Next Hop nicht unterstützt, wenn Sie rekursive Load-Sharing-Links haben.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
01-Dec-2013
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.