Cómo verificar y solucionar problemas de Netflow

• Firewall
• Interfaz de desconfianza: 100.2.3.4
• Interfaz de confianza: 192.168.133.1
• DMZ interfaz: 172.16.1.1

• Netflow Server (con el software Netflow Analysis/Collector instalado):
• 172.16.1.10

• Cliente PC :
• 192.168.133.10

Tutorial w/ Capturas de pantalla: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJzCA

Verificar configuración de Netflow a través de Firewall la Web UI
1. Vaya a Perfiles de servidor > dispositivo > Netflow > haga clic para editar >> verificar que tiene un nombre, IP direccióncorrecta y puerto correcto (normalmente 2055)
2. Vaya a las interfaces de >> de red >> seleccione la interfaz sobre la cual fluye el   tráfico >> verifique que tiene el perfil de netflow correcto seleccionado en el descenso
3. Vaya a la lengueta de los servicios del >> de la configuración del dispositivo >> >> haga clic la configuración de la ruta de servicio >> haga clic en Netflow >> haga clic la interfaz de origen >> verifique que se seleccione la interfaz de origen correcta (es decir, la interfaz que los paquetes de Netflow deben enviarse para llegar a su servidor netflow)
4. Vaya a la pestaña Servicios >> de configuración de device >> >> haga clic en Configuración de ruta de servicio >> haga clic en Netflow >> haga clic en Interfaz de origen >> compruebe que está seleccionada la dirección IP de origen correcta (es decir. la dirección de interfaz de la interfaz que los paquetes del IP Netflow se deben enviar para ir a su servidor netflow)
Nota: Si utiliza una PA-7000 PA-5200 serie, serie o PA-3200 firewall serie, usted debe configurar una ruta de servicio hacia fuera una interfaz de datos (no la interfaz de administración ( ) - interfaz no se puede utilizar para MGT el MGT Netflow en estos modelos)
5. Verifique que usted conmeció la configuración a su Firewall (y empujado si Panorama está en uso)

Verifique la configuración de Netflow vía Firewall CLI

> set cli config-output-format set
> configure
# show | match netflow
set deviceconfig system route service netflow source address 172.16.1.1
set deviceconfig system route service netflow source interface ethernet1/3
set network interface ethernet ethernet1/3 layer3 netflow-profile pantaclab_netflow_server_profile
set network interface ethernet ethernet1/6 layer3 netflow-profile pantaclab_netflow_server_profile
set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server host 172.16.1.10
set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server port 2055
set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate minutes 30
set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate packets 20
set vsys vsys1 server-profile pantaclab_netflow_server_profile active-timeout 5

Compruebe la accesibilidad a su servidor Netflow
a. Si utiliza la interfaz de administración como interfaz de origen para Netflow

> ping host <netflow_server_ip_address>

B. Si utiliza una interfaz de datos (ethernet1/ X ) como interfaz de origen para Netflow

> ping source <firewall_source_interface_ip_address> host <netflow_server_ip_address>

Además, asegúrese de que UDP el puerto 2055 esté abierto entre los Firewall contadores y netflow server

verify para las estadísticas de Netflow están incrementando
 

> debug log-receiver netflow statistics
> debug dataplane netflow statistics (for PA-7000/PA-5200/PA-3200 series)

 Netflow Statistics
--------------------------------------------------------------------------------
          Template Config           Last Refreshes            Pkts Sent (errors)
--------------------------------------------------------------------------------
Server Profile : pantaclab_netflow_server_profile
          30 min/20 pkts          28 min/8 pkts                    3223 (0)
Total Netflow packets exported : 3223 (errors 0)

Para borrar los contadores anteriores, ejecute este comando:

> debug log-receiver netflow clear

Verifique que los contadores para los contadores globales relacionados con Netflow estén aumentando

> show counter global | match netflow
name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------------------------------------------------------------------------------------
log_netflow_cnt                            2        0 info      log       system    Number of netflow records

(For PA-7000, PA-5200, and PA-3200 series firewalls only):
flow_netflow_event_created                58        1 info      flow      netflow   NetFlow flowsets added for flow_created event
flow_netflow_event_deleted                43        0 info      flow      netflow   NetFlow flowsets added for flow_deleted event
flow_netflow_event_update                  1        0 info      flow      netflow   NetFlow flowsets added for flow_update event
flow_netflow_event_denied                213        1 info      flow      netflow   NetFlow flowsets added for flow_denied event
flow_netflow_wqe_success                   1        0 info      flow      netflow   WQE created for NetFlow
flow_netflow_data_send_success             1        0 info      flow      netflow   NetFlow data packet sent
flow_netflow_data_flush_success            1        0 info      flow      netflow   NetFlow data packet flushed

Note: If a traffic flow is 'hardware offloaded' you may see the following counter increment when the offload processor informs the DP that the DP needs to create + send out a Netflow event/record):
> show counter global | match fpga_flow
flow_fpga_flow_update                      3        0 info      flow      offload   fpga flow update transaction
flow_fpga_flow_delete                       3        0 info      flow      offload   fpga flow delete transactions
flow_fpga_rcv_stats

Para borrar los contadores anteriores, ejecute este comando:

> clear counter global

Verificar firewall no está excediendo el recuento máximo de la tasa de registro/seg
Compruebe la velocidad máxima de registro que firewall puede manejar:

> show system setting logging
Max. logging rate: 50000 cnt/sec

Marque los contadores abajo para ver si los contadores están excediendo su velocidad máxima de registro (por segundo) arriba:

> debug log-receiver statistics
Log incoming rate: 3/sec
Log written rate: 3/sec

Compruebe firewall los recursos del sistema CPU como, memoria, búferes, etc.
Vaya al Monitor >> registros del sistema >> busque/aseegurese que usted no ve ningún registro sobre CPU alta, memoria alta, alta utilización del buffer, etc. usando los filtros

Verifique que los paquetes de Netflow están dejando el uso de una advertencia de captura de firewall paquetes:
Los pasos abajo (captura de paquetes) pueden/impactarán el rendimiento/estabilidad del firewall tráfico si no se realizan correctamente/cuidadosamente - proceda con precaución

a. Si utiliza la interfaz de administración como interfaz de origen para Netflow

> tcpdump snaplen 0 filter “port 2055”
<ctrl+C after 5-10 seconds>

> view-pcap mgmt-pcap mgmt.pcap
17:15:06.895193 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1369
17:15:10.224250 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1356
17:15:13.021765 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1392

Si desea exportar estos pcaps fuera de su firewall servidor o servidor para su visualización en SCP TFTP Wireshark:

> scp export mgmt-pcap from mgmt.pcap to <username@host:path>
> tftp export mgmt-pcap from mgmt.pcap to <host>

b. Si utiliza una interfaz de datos (ethernet1/ X ) como interfaz de origen para la
captura de paquetes de inicio de Netflow
Vaya a supervisar >> captura de paquetes >> haga clic en Administrar filtros >> haga clic en Agregar >> escriba la dirección del servidor de Netflow en la IP columna Destino >> haga clic en Aceptar
en fase >> haga clic en Agregar >> >> <7> agregar 'transmitir' etapa >> haga clic ok
toggle filtros para activar la
captura de paquetes para detener la

captura de paquetes
alternar la captura de paquetes para desactivar
los filtros de alternancia para desactivar
la actualización del clic actualizar (arriba a la derecha) Haga clic
en Descargar para descargar su captura de paquetes 'transmitir' a su Abrir la captura de paquetes PC

en Wireshark - filtro por 'udp.port==2055' y verifique lo siguiente
Verifique los paquetes del Netflow están dejando el firewall con la IP dirección de origen correcta (interfaz configurada en la ficha configuración del dispositivo >> >> servicios >> configuración de la ruta del servicio)
Verifique que los paquetes del Netflow estén dejando el firewall fuera de la interfaz correcta mirando la MAC dirección Src (interfaz configurada en la pestaña de la configuración del dispositivo >> >> servicios >> configuración de la ruta del servicio)
verifique los paquetes del Netflow están dejando el firewall con la IP dirección de destino correcta (configurada en el perfil del servidor del >> del dispositivo >> clic Editar)
Verifique que los paquetes de Netflow estén dejando el firewall puerto de destino correcto (configurado en el dispositivo >> perfil del servidor del Netflow >> haga clic en Editar)

Ejemplo:


Consejo: Si usted ve 'Ninguna plantilla encontrada' en sus capturas de paquetes wireshark de paquetes netflow / no puede ver los Flowsets - no se preocupe - simplemente haga la captura de paquetes otra vez, pero por más tiempo - esto sucede porque Wireshark debe capturar una plantilla de Netflow junto con los conjuntos de flujos de Netflow para poder visualizar los Conjuntos de flujos de Netflow a usted.

Verifique que los paquetes de Netflow lleguen al servidor netflow usando una captura de paquetes
Tome una captura de paquetes en su servidor Netflow usando el software/utilidad de captura de paquetes de su elección (Wireshark, tcpdump, etc.) - ( filtro por 'udp.port==2055' )

Aseegurese los paquetes que dejaron el firewall (en el paso anterior) están apareciendo en esta captura de paquetes del servidor Netflow