Überprüfen und Beheben von Netflow

• Firewall
• Schnittstelle nicht vertrauenswürdig: 100.2.3.4
• Vertrauensschnittstelle: 192.168.133.1
• DMZ Schnittstelle: 172.16.1.1

• Netflow Server (mit Netflow Analysis/Collector Software installiert):
• 172.16.1.10

• Kunde PC :
• 192.168.133.10

Walkthrough mit Screenshots: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJzCA

Überprüfen der Netflow-Konfiguration über Firewall Web UI
1. Wechseln Sie zu Geräte> Serverprofile > Netflow > klicken Sie auf Bearbeiten >> überprüfen Sie, ob es einen Namen,eine richtige IP Adresseund einen korrekten Port (normalerweise 2055)
2 enthält. Wechseln Sie zu Netzwerk- >> Schnittstellen >> wählen Sie die Schnittstelle aus, über die Datenverkehr fließt, >> überprüfen Sie,   ob das richtige Netflow-Profil in der Dropdown-Datei 3 ausgewählt
ist. Wechseln Sie zur Registerkarte Gerät >> Setup >> Services >> klicken Sie auf ServiceRoute-Konfiguration >> klicken Sie auf Netflow >> klicken Sie auf Quellschnittstelle >> überprüfen Sie, ob die richtige Quellschnittstelle ausgewählt ist (d. h. die Schnittstelle, die netflow-Pakete senden sollen, um Ihren Netflow-Server zu erreichen)
4. Gehen Sie auf die Registerkarte Gerät >> Setup >> Services >> klicken Sie auf ServiceRoute-Konfiguration >> klicken Sie auf Netflow >> klicken Sie auf Quellschnittstelle >> überprüfen Sie, ob die richtige IP Quelladresse ausgewählt ist (d. h. die Schnittstelle IP Adresse der Schnittstelle, aus der Netflow-Pakete gesendet werden sollen, um zu Ihrem Netflow Server zu wechseln) Hinweis: Wenn Sie
eine PA-7000 Serie, Serie oder Serie PA-5200 PA-3200 firewall verwenden, müssen Sie eine Serviceroute aus einer Datenschnittstelle konfigurieren (nicht die Schnittstelle ). MGT MGT
Vergewissern Sie sich, dass Sie die Konfiguration an Ihre Firewall (und Pushed, falls Panorama in Verwendung)

Überprüfen der Netflow-Konfiguration Firewall über CLI

> set cli config-output-format set
> configure
# show | match netflow
set deviceconfig system route service netflow source address 172.16.1.1
set deviceconfig system route service netflow source interface ethernet1/3
set network interface ethernet ethernet1/3 layer3 netflow-profile pantaclab_netflow_server_profile
set network interface ethernet ethernet1/6 layer3 netflow-profile pantaclab_netflow_server_profile
set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server host 172.16.1.10
set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server port 2055
set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate minutes 30
set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate packets 20
set vsys vsys1 server-profile pantaclab_netflow_server_profile active-timeout 5

Überprüfen Sie die

Erreichbarkeit Ihres Netflow Servers
a. Wenn Sie die Verwaltungsschnittstelle als Quellschnittstelle für Netflow verwenden

> ping host <netflow_server_ip_address>

B. Wenn Sie eine Datenschnittstelle (ethernet1/ X ) als Quellschnittstelle für Netflow

> ping source <firewall_source_interface_ip_address> host <netflow_server_ip_address>

Stellen Sie außerdem sicher, dass UDP Port 2055 zwischen Firewall dem und dem Netflow Server


geöffnet ist. 

> debug log-receiver netflow statistics
> debug dataplane netflow statistics (for PA-7000/PA-5200/PA-3200 series)

 Netflow Statistics
--------------------------------------------------------------------------------
          Template Config           Last Refreshes            Pkts Sent (errors)
--------------------------------------------------------------------------------
Server Profile : pantaclab_netflow_server_profile
          30 min/20 pkts          28 min/8 pkts                    3223 (0)
Total Netflow packets exported : 3223 (errors 0)

Um die oben genannten Leistungsindikatoren zu löschen, führen Sie diesen Befehl aus:

> debug log-receiver netflow clear

Überprüfen von Leistungsindikatoren für Netflow-bezogene globale Leistungsindikatoren, die inkrementiert werden

> show counter global | match netflow
name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------------------------------------------------------------------------------------
log_netflow_cnt                            2        0 info      log       system    Number of netflow records

(For PA-7000, PA-5200, and PA-3200 series firewalls only):
flow_netflow_event_created                58        1 info      flow      netflow   NetFlow flowsets added for flow_created event
flow_netflow_event_deleted                43        0 info      flow      netflow   NetFlow flowsets added for flow_deleted event
flow_netflow_event_update                  1        0 info      flow      netflow   NetFlow flowsets added for flow_update event
flow_netflow_event_denied                213        1 info      flow      netflow   NetFlow flowsets added for flow_denied event
flow_netflow_wqe_success                   1        0 info      flow      netflow   WQE created for NetFlow
flow_netflow_data_send_success             1        0 info      flow      netflow   NetFlow data packet sent
flow_netflow_data_flush_success            1        0 info      flow      netflow   NetFlow data packet flushed

Note: If a traffic flow is 'hardware offloaded' you may see the following counter increment when the offload processor informs the DP that the DP needs to create + send out a Netflow event/record):
> show counter global | match fpga_flow
flow_fpga_flow_update                      3        0 info      flow      offload   fpga flow update transaction
flow_fpga_flow_delete                       3        0 info      flow      offload   fpga flow delete transactions
flow_fpga_rcv_stats

Um die oben genannten Leistungsindikatoren zu löschen, führen Sie diesen Befehl aus:

> clear counter global

Überprüfen Sie, ob die Maximale Protokollierungsrate
nicht überschritten firewall wird:
firewall

> show system setting logging
Max. logging rate: 50000 cnt/sec

Überprüfen Sie die Zähler unten, um festzustellen, ob Die Leistungsindikatoren ihre maximale Protokollierungsrate (pro Sekunde) übersteigen:

> debug log-receiver statistics
Log incoming rate: 3/sec
Log written rate: 3/sec

Überprüfen Sie firewall Systemressourcen wie CPU , Speicher, Puffer usw.
Gehen Sie zu Monitor >> Systemprotokolle >> suchen Sie nach/stellen Sie sicher, dass Sie keine Protokolle über CPU hohen, hohen Speicher, hohe Pufferauslastung usw. mit Filtern

überprüfen Netflow-Pakete verlassen die firewall verwendung einer Paketerfassung
Warnung: Die folgenden Schritte (Paketerfassung) kann /wird die Leistung / Stabilität des und des Datenverkehrs beeinflussen, firewall wenn nicht korrekt/ sorgfältig durchgeführt - gehen Sie mit Vorsicht

a. Wenn Sie die Verwaltungsschnittstelle als Quellschnittstelle für Netflow verwenden

> tcpdump snaplen 0 filter “port 2055”
<ctrl+C after 5-10 seconds>

> view-pcap mgmt-pcap mgmt.pcap
17:15:06.895193 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1369
17:15:10.224250 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1356
17:15:13.021765 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1392

Wenn Sie diese Pcaps von ihrem firewall oder Server zur Anzeige in SCP TFTP Wireshark exportieren möchten:

> scp export mgmt-pcap from mgmt.pcap to <username@host:path>
> tftp export mgmt-pcap from mgmt.pcap to <host>

b. Wenn Sie eine Datenschnittstelle (ethernet1/ X ) als Quellschnittstelle für die Netzwerk-Start-Paketerfassung verwenden,
klicken
Sie auf >> Paketerfassung überwachen >> klicken Sie auf Filter verwalten >> klicken Sie auf >> Geben Sie Ihre Netflow-Serveradresse in der Spalte Ziel ein >> klicken Sie auf IP Ok
unter Stufe >> klicken Sie auf Hinzufügen >> Hinzufügen ' ' Stage >> klicken Sie auf Ok
Toggle Filters to Toggle
Packet Capture to On

Stop Packet Capture
Toggle Packet Capture to Off
Toggle Filters to Off
Click Refresh (oben rechts) Klicken Sie auf
Download, um Ihre "Transmit"-Paketerfassung auf Ihre Paketerfassung öffnen in Wir PC

eshark - filter nach 'udp.port==2055' und überprüfen Sie die unten Überprüfen
Sie, ob die Netflow-Pakete die mit der richtigen firewall IP Quelladresse verlassen (Schnittstelle konfiguriert in Device >> Setup >> Services Registerkarte >> Service Route Configuration) Überprüfen Sie die
Netflow-Pakete Die richtige Schnittstelle lassen sie firewall aus, indem Sie die MAC Src-Adresse (Schnittstelle konfiguriert in Device >> Setup >> Services-Registerkarte >> Serviceroute-Konfiguration)
überprüfen, ob die Netflow-Pakete die firewall mit der richtigen IP Zieladresse verlassen (konfiguriert in Device >> Netflow Server Profile >> Klicken Sie auf Bearbeiten)
Überprüfen Sie, ob die Netflow-Pakete den firewall mit dem richtigen Zielport verlassen (konfiguriert in Device >> Netflow Server Profile >> klicken Sie auf Bearbeiten)

Beispiel:


Tipp: Wenn Sie 'Keine Vorlage gefunden' in Ihrem Wireshark-Paket von Netflow-Paketen / can' t sehen Sie sich die Flowsets an - keine Sorge - machen Sie einfach die Paketerfassung wieder, aber für eine längere Zeit - dies geschieht, weil Wireshark eine Netflow-Vorlage zusammen mit den Netflow-Flowsets erfassen muss, um Ihnen die Netflow-Flowsets anzeigen zu können.

Überprüfen Sie, ob Netflow-Pakete mithilfe einer Paketerfassung beim Netflow-Server ankommen,
nehmen Sie eine Paketerfassung auf Ihrem Netflow-Server mithilfe der Paketerfassungssoftware/-utility Ihrer Wahl (Wireshark, tcpdump usw.) - ( Filter nach 'udp.port==2055' )

Stellen Sie sicher, dass die Pakete, die die (im vorherigen Schritt) verlassen haben, firewall in dieser Netflow Server-Paketerfassung angezeigt werden.