En las plataformas de 7K y 52XX PA FW, incluso cuando la ruta de servicio para NetFlow está establecida para utilizar la interfaz específica, puede suceder que los paquetes NetFlow enviados por el FW están tomando una interfaz diferente, y se originan desde una dirección IP diferente a la que se establece en la ruta de servicio Configuración.
En el ejemplo siguiente, la interfaz ethernet1/1 (IP: 10.220.254.241) está configurada para la ruta de servicio Netlow:
Set deviceconfig sistema de ruta de servicio NetFlow fuente Dirección 10.220.254.241/28
set deviceconfig sistema Route servicio NetFlow fuente interfaz ethernet1 /1
El perfil de servidor NetFlow contiene un servidor con IP 10.193.114.138:
configurar servidor compartido-perfil NetFlow test Server prueba1 host 10.193.114.138
conjunto servidor compartido-perfil NetFlow servidor de prueba prueba1 puerto 2055
conjunto servidor compartido-perfil NetFlow plantilla de prueba-actualizar-Rate minutos 1
establecer servidor compartido-perfil NetFlow Plantilla de prueba-paquetes de tasa de actualización 10
conjunto servidor compartido-perfil NetFlow test activo-timeout 5
set servidor compartido-perfil NetFlow prueba exportar-Enterprise-campos sí
En la tabla de enrutamiento tenemos ruta para el servidor NetFlow que apunta a la interfaz ethernet1/2.2321:
Mostrar ruta de enrutamiento | Match 10.193.114
10.193.114.136/29 10.193.114.139 0 A C ethernet1/2.2321
En el lado del servidor NetFlow, en la captura de paquetes, se puede ver que FW está enviando NetFlow paquetes con IP de origen de 10.193.114.139 (Ethernet 1/2.2321), no la IP que está configurada bajo ruta de servicio:
tcpdump: la salida detallada suprimida, usa-v o-VV para el protocolo completo que descifra
el escuchar en eth2, acoplamiento-tipo EN10MB (Ethernet), tamaño de la captura 65535 bytes
02:20:26.328551 IP 10.193.114.139.2055 > 10.193.114.138.2055: UDP, longitud 1400
02:20:26.828916 IP 10.193.114.139.2055 > 10.193.114.138.2055: UDP, longitud 1400
Este comportamiento se espera en las plataformas 7K y 52XX ya que todo el procesamiento de NetFlow ocurre en el DP para estas plataformas, por lo que la tabla de enrutamiento tiene que ser utilizada para enviar los paquetes NetFlow. La interfaz de origen configurada de la ruta de servicio se utiliza para obtener el enrutador virtual donde se debe realizar una búsqueda de ruta adicional y, a continuación, se realiza una búsqueda de ruta para la dirección del servidor NetFlow para determinar la interfaz de salida y la dirección IP de origen de los paquetes.