Überprüfen und Beheben von Netflow
Objective
In diesem Dokument erfahren Sie, wie Sie Netflow in den Palo Alto-Netzwerken überprüfen und beheben können. Firewall
Environment
- Firewall
- Schnittstelle nicht vertrauenswürdig: 100.2.3.4
- Vertrauensschnittstelle: 192.168.133.1
- DMZ Schnittstelle: 172.16.1.1
- Netflow Server (mit Netflow Analysis/Collector Software installiert):
- 172.16.1.10
- Kunde PC :
- 192.168.133.10
Procedure
Inhaltsverzeichnis
1. Netflow-Übersicht
2. So konfigurieren Sie Netflow
3. Überprüfen der Netflow-Konfiguration über Firewall Web UI
4. Überprüfen der Netflow-Konfiguration über Firewall CLI
5. Überprüfen Sie die Erreichbarkeit Ihres Netflow-Servers
6. Überprüfen von Leistungsindikatoren für Netflow-Statistiken, die inkrementiert werden
7. Überprüfen von Leistungsindikatoren für Netflow-bezogene globale Leistungsindikatoren, die inkrementiert werden
8. Überprüfen Sie, ob die firewall Anzahl der Protokollierungsraten/Sek.
9 nicht überschritten wird. Überprüfen Sie firewall Systemressourcen wie CPU , Speicher, Puffer usw.
10. Überprüfen Sie, ob Netflow-Pakete die firewall Mithilfe für eine Paketerfassung auf der Firewall
11 verlassen. Überprüfen Sie, ob Netflow-Pakete mithilfe einer Paketerfassung in der Netflow
Server-Netflow-Übersicht
beim Netflow-Server ankommen. Wenn Sie Netflow auf Ihrem konfiguriert haben, wenn firewall Datenverkehr durch eine Datenschnittstelle auf dem mit einem firewall konfigurierten Netflow-Profil fließt, erstellt der firewall einen Netflow-Datensatz und sendet diese Informationen an Ihren Netflow-Server
Es gibt vier Haupttypen von Netflow-Ereignissen/-Datensätzen, die von der firewall an einen Netflow-Server gesendet werden:
Flow erstellt - an Netflow-Server gesendet, wenn ein neuer Flow-Server an den Netflow-Server gesendet firewall wird. Wenn ein Datenverkehrsfluss/eine Datenverkehrssitzung in der erstellt wird firewall -
Flow-Aktualisierung - die regelmäßig alle Minuten an den Netflow-Server gesendet wird, wenn immer mehr Pakete in den für diesen X Datenverkehrsfluss gelöschten Datenverkehrsfluss eindringen und eingehen firewall -, wird an Netflow-Server
gesendet, wenn ein vorhandener Datenverkehrsfluss geschlossen wird ( ( FIN , RST ), Times out/Expires, oder wird auf dem firewall
Flow verweigert gelöscht/gelöscht - an Netflow-Server gesendet, wenn ein Datenverkehrsfluss von firewall policy
Netflow-Paketen verweigert wird, werden von der an einen Firewall Netflow-Server exportiert. Sie enthalten Informationen über den Datenverkehr, der in Ihre ein-/austretenden Datenverkehr eingeht, firewall z. B.:
Source Source Source Port Destination Destination Port Traffic Direction IP
IP
(Ingress vs. Egress)
Traffic Action: Session created, Session updated, Session deleted, Session denied
Traffic Protocol ( , , , TCP UDP ICMP etc.)
usw.
Wie konfigurieren Sie Netflow
1. Wechseln Sie zu Geräte> Serverprofile > Netflow > klicken Sie auf Erstellen >> geben Sie ihm einen Namen,eine IP Adresseund einen Port >> klicken Sie auf Ok
2. Wechseln Sie zu Netzwerk->>-Schnittstellen >> wählen Sie die Schnittstelle aus, die Sie Netflow aktivieren möchten, >> klicken Sie auf Netflow-Profil-Dropdown, um das in Schritt 1 oben erstellte Netflow-Serverprofil auszuwählen, >> klicken Sie auf Ok
3. Gehen Sie auf die Registerkarte "Device >> Setup >> Services", >> auf "Quellroute-Konfiguration" klicken >> auf Quellschnittstelle klicken >> die Schnittstelle auswählen, die Ihr Netflow Server verwaltet, d. h. die Schnittstelle, die Netflow-Pakete senden, um zu Ihrem Netflow-Server zu wechseln, >> wählen Sie eine IP Quelladresse aus >> klicken Sie auf Ok-Hinweis:
Sie können die Verwaltungsschnittstelle ( ) nicht verwenden, um MGT NetFlow-Datensätze aus den PA-7000 Serien-, PA-5200 Serien- und PA-3200 Serienfirewalls zu firewall
senden. begehen
Walkthrough mit Screenshots: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJzCA
Überprüfen der Netflow-Konfiguration über Firewall Web UI
1. Wechseln Sie zu Geräte> Serverprofile > Netflow > klicken Sie auf Bearbeiten >> überprüfen Sie, ob es einen Namen,eine richtige IP Adresseund einen korrekten Port (normalerweise 2055)
2 enthält. Wechseln Sie zu Netzwerk- >> Schnittstellen >> wählen Sie die Schnittstelle aus, über die Datenverkehr fließt, >> überprüfen Sie, ob das richtige Netflow-Profil in der Dropdown-Datei 3 ausgewählt
ist. Wechseln Sie zur Registerkarte Gerät >> Setup >> Services >> klicken Sie auf ServiceRoute-Konfiguration >> klicken Sie auf Netflow >> klicken Sie auf Quellschnittstelle >> überprüfen Sie, ob die richtige Quellschnittstelle ausgewählt ist (d. h. die Schnittstelle, die netflow-Pakete senden sollen, um Ihren Netflow-Server zu erreichen)
4. Gehen Sie auf die Registerkarte Gerät >> Setup >> Services >> klicken Sie auf ServiceRoute-Konfiguration >> klicken Sie auf Netflow >> klicken Sie auf Quellschnittstelle >> überprüfen Sie, ob die richtige IP Quelladresse ausgewählt ist (d. h. die Schnittstelle IP Adresse der Schnittstelle, aus der Netflow-Pakete gesendet werden sollen, um zu Ihrem Netflow Server zu wechseln) Hinweis: Wenn Sie
eine PA-7000 Serie, Serie oder Serie PA-5200 PA-3200 firewall verwenden, müssen Sie eine Serviceroute aus einer Datenschnittstelle konfigurieren (nicht die Schnittstelle ). MGT MGT
Vergewissern Sie sich, dass Sie die Konfiguration an Ihre Firewall (und Pushed, falls Panorama in Verwendung)
Überprüfen der Netflow-Konfiguration Firewall über CLI
> set cli config-output-format set > configure # show | match netflow set deviceconfig system route service netflow source address 172.16.1.1 set deviceconfig system route service netflow source interface ethernet1/3 set network interface ethernet ethernet1/3 layer3 netflow-profile pantaclab_netflow_server_profile set network interface ethernet ethernet1/6 layer3 netflow-profile pantaclab_netflow_server_profile set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server host 172.16.1.10 set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server port 2055 set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate minutes 30 set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate packets 20 set vsys vsys1 server-profile pantaclab_netflow_server_profile active-timeout 5
Überprüfen Sie die
Erreichbarkeit Ihres Netflow Servers
a. Wenn Sie die Verwaltungsschnittstelle als Quellschnittstelle für Netflow verwenden
> ping host <netflow_server_ip_address>
B. Wenn Sie eine Datenschnittstelle (ethernet1/ X ) als Quellschnittstelle für Netflow
> ping source <firewall_source_interface_ip_address> host <netflow_server_ip_address>
Stellen Sie außerdem sicher, dass UDP Port 2055 zwischen Firewall dem und dem Netflow Server
geöffnet ist.
> debug log-receiver netflow statistics > debug dataplane netflow statistics (for PA-7000/PA-5200/PA-3200 series) Netflow Statistics -------------------------------------------------------------------------------- Template Config Last Refreshes Pkts Sent (errors) -------------------------------------------------------------------------------- Server Profile : pantaclab_netflow_server_profile 30 min/20 pkts 28 min/8 pkts 3223 (0) Total Netflow packets exported : 3223 (errors 0)
Um die oben genannten Leistungsindikatoren zu löschen, führen Sie diesen Befehl aus:
> debug log-receiver netflow clear
Überprüfen von Leistungsindikatoren für Netflow-bezogene globale Leistungsindikatoren, die inkrementiert werden
> show counter global | match netflow name value rate severity category aspect description -------------------------------------------------------------------------------------------------------------------------------------------------------------- log_netflow_cnt 2 0 info log system Number of netflow records (For PA-7000, PA-5200, and PA-3200 series firewalls only): flow_netflow_event_created 58 1 info flow netflow NetFlow flowsets added for flow_created event flow_netflow_event_deleted 43 0 info flow netflow NetFlow flowsets added for flow_deleted event flow_netflow_event_update 1 0 info flow netflow NetFlow flowsets added for flow_update event flow_netflow_event_denied 213 1 info flow netflow NetFlow flowsets added for flow_denied event flow_netflow_wqe_success 1 0 info flow netflow WQE created for NetFlow flow_netflow_data_send_success 1 0 info flow netflow NetFlow data packet sent flow_netflow_data_flush_success 1 0 info flow netflow NetFlow data packet flushed Note: If a traffic flow is 'hardware offloaded' you may see the following counter increment when the offload processor informs the DP that the DP needs to create + send out a Netflow event/record): > show counter global | match fpga_flow flow_fpga_flow_update 3 0 info flow offload fpga flow update transaction flow_fpga_flow_delete 3 0 info flow offload fpga flow delete transactions flow_fpga_rcv_stats
Um die oben genannten Leistungsindikatoren zu löschen, führen Sie diesen Befehl aus:
> clear counter global
Überprüfen Sie, ob die Maximale Protokollierungsrate
nicht überschritten firewall wird:
firewall
> show system setting logging Max. logging rate: 50000 cnt/sec
Überprüfen Sie die Zähler unten, um festzustellen, ob Die Leistungsindikatoren ihre maximale Protokollierungsrate (pro Sekunde) übersteigen:
> debug log-receiver statistics Log incoming rate: 3/sec Log written rate: 3/sec
Überprüfen Sie firewall Systemressourcen wie CPU , Speicher, Puffer usw.
Gehen Sie zu Monitor >> Systemprotokolle >> suchen Sie nach/stellen Sie sicher, dass Sie keine Protokolle über CPU hohen, hohen Speicher, hohe Pufferauslastung usw. mit Filtern
überprüfen Netflow-Pakete verlassen die firewall verwendung einer Paketerfassung
Warnung: Die folgenden Schritte (Paketerfassung) kann /wird die Leistung / Stabilität des und des Datenverkehrs beeinflussen, firewall wenn nicht korrekt/ sorgfältig durchgeführt - gehen Sie mit Vorsicht
a. Wenn Sie die Verwaltungsschnittstelle als Quellschnittstelle für Netflow verwenden
> tcpdump snaplen 0 filter “port 2055” <ctrl+C after 5-10 seconds> > view-pcap mgmt-pcap mgmt.pcap 17:15:06.895193 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1369 17:15:10.224250 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1356 17:15:13.021765 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1392
Wenn Sie diese Pcaps von ihrem firewall oder Server zur Anzeige in SCP TFTP Wireshark exportieren möchten:
> scp export mgmt-pcap from mgmt.pcap to <username@host:path> > tftp export mgmt-pcap from mgmt.pcap to <host>
b. Wenn Sie eine Datenschnittstelle (ethernet1/ X ) als Quellschnittstelle für die Netzwerk-Start-Paketerfassung verwenden,
klicken
Sie auf >> Paketerfassung überwachen >> klicken Sie auf Filter verwalten >> klicken Sie auf >> Geben Sie Ihre Netflow-Serveradresse in der Spalte Ziel ein >> klicken Sie auf IP Ok
unter Stufe >> klicken Sie auf Hinzufügen >> Hinzufügen ' ' Stage >> klicken Sie auf Ok
Toggle Filters to Toggle
Packet Capture to On
Stop Packet Capture
Toggle Packet Capture to Off
Toggle Filters to Off
Click Refresh (oben rechts) Klicken Sie auf
Download, um Ihre "Transmit"-Paketerfassung auf Ihre Paketerfassung öffnen in Wir PC
eshark - filter nach 'udp.port==2055' und überprüfen Sie die unten Überprüfen
Sie, ob die Netflow-Pakete die mit der richtigen firewall IP Quelladresse verlassen (Schnittstelle konfiguriert in Device >> Setup >> Services Registerkarte >> Service Route Configuration) Überprüfen Sie die
Netflow-Pakete Die richtige Schnittstelle lassen sie firewall aus, indem Sie die MAC Src-Adresse (Schnittstelle konfiguriert in Device >> Setup >> Services-Registerkarte >> Serviceroute-Konfiguration)
überprüfen, ob die Netflow-Pakete die firewall mit der richtigen IP Zieladresse verlassen (konfiguriert in Device >> Netflow Server Profile >> Klicken Sie auf Bearbeiten)
Überprüfen Sie, ob die Netflow-Pakete den firewall mit dem richtigen Zielport verlassen (konfiguriert in Device >> Netflow Server Profile >> klicken Sie auf Bearbeiten)
Beispiel:
Tipp: Wenn Sie 'Keine Vorlage gefunden' in Ihrem Wireshark-Paket von Netflow-Paketen / can' t sehen Sie sich die Flowsets an - keine Sorge - machen Sie einfach die Paketerfassung wieder, aber für eine längere Zeit - dies geschieht, weil Wireshark eine Netflow-Vorlage zusammen mit den Netflow-Flowsets erfassen muss, um Ihnen die Netflow-Flowsets anzeigen zu können.
Überprüfen Sie, ob Netflow-Pakete mithilfe einer Paketerfassung beim Netflow-Server ankommen,
nehmen Sie eine Paketerfassung auf Ihrem Netflow-Server mithilfe der Paketerfassungssoftware/-utility Ihrer Wahl (Wireshark, tcpdump usw.) - ( Filter nach 'udp.port==2055' )
Stellen Sie sicher, dass die Pakete, die die (im vorherigen Schritt) verlassen haben, firewall in dieser Netflow Server-Paketerfassung angezeigt werden.
Additional Information
Beispiele für Flow Created, Flow Update, Flow Deleted PAN Firewall und Flow Denied-Ereignisse, die von :
Flow Created
erstellt wurden Flow Update
Flow Deleted Flow Denied
Tip: Wenn Sie "Keine Vorlage gefunden" in Ihrem Wireshark-Paket erfassung enthervon Netflow-Paketen sehen, dann machen Sie die Paketerfassung erneut, aber für eine längere Zeit - das liegt daran, dass Wireshark eine Netflow-Vorlage zusammen mit den Netflow-Flowsets erfassen muss, um die Netflow-Flowsets Anzeigen zu machen,
was ist eine Netflow-Vorlage?
Netflow-Vorlage - Dies ist ein Paket, das gelegentlich pro Konfiguration vom Netflow-Server gesendet wird firewall (Netflow-Server benötigen dieses Vorlagenpaket, um das Format/die Felder zu interpretieren/verstehen, die in den oben in den Flow Created/Updated/Deleted/Denied-Paketen vorhanden sind)
Netflow Server-Schnittstellennummerierungskonvention für PAN Firewalls:
https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -admin/monitoring/ firewall -interface-identifiers-in-snmp-managers-and-netflow-collectors.html
So konfigurieren SieNetflow auf Palo Alto Networks Firewall :
https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -admin/monitoring/netflow-monitoring/configure-netflow-exports.html
Palo Alto Networks Firewall Netflow Templates:
https://docs.paloaltonetworks.com/ pan-os /9-1/ pan-os -admin/monitoring/netflow-monitoring/netflow-templates.html
Verwenden von Netflow-Profilen mit Subschnittstellen:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzyCAC