如何验证和排除网流故障
Objective
此文档将向您展示如何验证和排除帕洛阿尔托网络上的网流 Firewall
Environment
- Firewall
- 不受信任的接口:100.2.3.4
- 信任接口: 192.168.133.1
- DMZ 接口: 172.16.1.1
- 净流服务器(已安装网流分析/收集器软件):
- 172.16.1.10
- 客户 PC :
- 192.168.133.10
Procedure
目录
1. 净流量概述
2. 如何配置净流
3. 通过 Firewall 验证网流配置网络 UI
4. 通过 Firewall 验证网流配置 CLI
5. 检查网流服务器的可访问性
6. 验证计数器的净流量统计正在增加
7. 验证与网流相关的全球柜台的计数器正在增加
8. 验证 firewall 不超过最大记录速率计数/秒
9。 检查 firewall 系统资源,如 CPU 内存、缓冲区等。
20M 验证网流数据包在 11 firewall 上留下使用的数据包捕获 Firewall
。 使用网流服务器网流概览上的分组捕获验证网流数据包到达网流服务器
,如果您已在您的网流上配置了网流 firewall ,则每当流量通过网 firewall 流配置配置的任何数据界面时, firewall 将创建一个 Netflow 记录并将该信息发送到您的 Netflow 服务器
有四种主要类型的网流事件/记录从 firewall 网流服务器发送:
创建流 -每当新的流量进入 Netflow 服务器 firewall 时发送到(即 当流量流/会话在 firewall "
流量更新" 中创建时 - X 随着越来越多的数据包进入并逐出已删除的流量流,每隔几分钟定期发送 firewall 到 Netflow 服务器
-在现有流量关闭时发送到 Netflow 服务器 ( FINRST,),超时/过期,或在流量上被删除/清除firewall
拒绝- 发送到 Netflow 服务器,每当流量被 firewall policy
Netflow 数据包拒绝时,则由 Firewall Netflow 服务器导出。 它们包含有关流量进入/进入您的信息 firewall ,例如:
IP
源端口
IP
目的地端口端口
流量方向(入口与出口)
交通操作:创建会话、更新会话、删除会话、会话拒绝
交通协议 TCP UDP (, ICMP 等)
如何
配置网流
1. 转到 设备 > 服务器配置文件 > 网流 >单击 创建 >>给它一个名称,IP 地址和端口>>单击Ok
2。 转到 网络 >> 界面 >>选择要启用网流的 界面 >>单击 网流配置文件下拉 以选择上一步中创建 的网流服务器配置文件 >>单击Ok
3。 转到 设备 >> 设置 >> 服务 选项卡>>单击 "服务路线配置 >>单击源界面 >>选择 Netflow 服务器所处的界面(即 网流数据包将发送到您的 Netflow 服务器的界面>>选择源 IP 地址>>单击Ok
Note: 您不能使用管理 MGT () 界面从 PA-7000 系列、系列和系列防火墙发送 NetFlow 记录 PA-5200 PA-3200 ,您必须使用上面的第 3 步(对于所有其他 firewall 型号,上面的第 3 步是可选的)4 配置服务路线
。 提交
演练w/屏幕截图:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJzCA
通过 Firewall Web 1验证网流配置 UI
。 转到"设备>服务器配置文件>网流>单击"编辑>>验证其具有名称、正确IP地址和正确的端口(通常为 2055)2。
转到 网络 >> 界面 >>选择流量流过的 界面 >>验证其在下拉3中选择了正确的网流配置文件
。 转到 设备 >> 设置 >> 服务 选项卡>>单击 服务路线配置 >>单击网流>>单击源界面 >>验证选择正确的 源界面(即应发送网流数据包到达您的网流服务器的界面
)4。 转到设备>>设置>>服务选项卡>>单击服务路线配置>>单击网流>>单击源界面>>验证选择正确的源 IP 地址(即 IP 应发送网流数据包到您的 Netflow 服务器的界面地址
注意:如果使用 PA-7000 系列、 PA-5200 系列或 PA-3200 系列 firewall ,则必须配置出数据接口(不是管理 MGT () 界面 - MGT 界面不能用于这些型号上的网流)5。
验证您是否将配置提交到您的 Firewall (如果 Panorama 正在使用,则推动)
通过 Firewall 验证网流配置 CLI
> set cli config-output-format set > configure # show | match netflow set deviceconfig system route service netflow source address 172.16.1.1 set deviceconfig system route service netflow source interface ethernet1/3 set network interface ethernet ethernet1/3 layer3 netflow-profile pantaclab_netflow_server_profile set network interface ethernet ethernet1/6 layer3 netflow-profile pantaclab_netflow_server_profile set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server host 172.16.1.10 set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server port 2055 set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate minutes 30 set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate packets 20 set vsys vsys1 server-profile pantaclab_netflow_server_profile active-timeout 5
检查网流服务器的可访问性
。 如果使用管理接口作为 Netflow 的源接口
> ping host <netflow_server_ip_address>
B。如果使用数据接口(以太网 X 1/)作为网流的源接口
> ping source <firewall_source_interface_ip_address> host <netflow_server_ip_address>
此外,确保 UDP 端口 2055 在 Firewall 网流服务器
验证计数器之间打开,以了解网流统计正在增加
> debug log-receiver netflow statistics > debug dataplane netflow statistics (for PA-7000/PA-5200/PA-3200 series) Netflow Statistics -------------------------------------------------------------------------------- Template Config Last Refreshes Pkts Sent (errors) -------------------------------------------------------------------------------- Server Profile : pantaclab_netflow_server_profile 30 min/20 pkts 28 min/8 pkts 3223 (0) Total Netflow packets exported : 3223 (errors 0)
要清除上面的计数器,请运行以下命令:
> debug log-receiver netflow clear
> show counter global | match netflow name value rate severity category aspect description -------------------------------------------------------------------------------------------------------------------------------------------------------------- log_netflow_cnt 2 0 info log system Number of netflow records (For PA-7000, PA-5200, and PA-3200 series firewalls only): flow_netflow_event_created 58 1 info flow netflow NetFlow flowsets added for flow_created event flow_netflow_event_deleted 43 0 info flow netflow NetFlow flowsets added for flow_deleted event flow_netflow_event_update 1 0 info flow netflow NetFlow flowsets added for flow_update event flow_netflow_event_denied 213 1 info flow netflow NetFlow flowsets added for flow_denied event flow_netflow_wqe_success 1 0 info flow netflow WQE created for NetFlow flow_netflow_data_send_success 1 0 info flow netflow NetFlow data packet sent flow_netflow_data_flush_success 1 0 info flow netflow NetFlow data packet flushed Note: If a traffic flow is 'hardware offloaded' you may see the following counter increment when the offload processor informs the DP that the DP needs to create + send out a Netflow event/record): > show counter global | match fpga_flow flow_fpga_flow_update 3 0 info flow offload fpga flow update transaction flow_fpga_flow_delete 3 0 info flow offload fpga flow delete transactions flow_fpga_rcv_stats
要清除上面的计数器,请运行以下命令:
> clear counter global
验证 firewall 不超过最大记录速率计数/秒
检查您可以处理的最大记录速率 firewall :
> show system setting logging Max. logging rate: 50000 cnt/sec
检查下面的计数器,看看是否有任何计数器超过其以上最大日志记录速率(每秒) :
> debug log-receiver statistics Log incoming rate: 3/sec Log written rate: 3/sec
检查 firewall 系统资源,如 CPU 内存、缓冲区等。
转到监视器>>系统日志>>查找/确保您没有看到任何有关高 CPU 、高内存、高缓冲利用率等的日志,使用过滤器
验证网流数据包正在离开 firewall 使用的数据包捕获
警告:以下步骤(数据包捕获)可能会/将影响性能/稳定 firewall 性和流量,如果执行不当/小心 - 请谨慎行事
。 如果使用管理接口作为 Netflow 的源接口
> tcpdump snaplen 0 filter “port 2055” <ctrl+C after 5-10 seconds> > view-pcap mgmt-pcap mgmt.pcap 17:15:06.895193 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1369 17:15:10.224250 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1356 17:15:13.021765 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1392
如果您想导出这些pcap关闭 firewall 到您 SCP 或 TFTP 服务器查看在有线鲨鱼:
> scp export mgmt-pcap from mgmt.pcap to <username@host:path> > tftp export mgmt-pcap from mgmt.pcap to <host>
b.如果使用数据界面(以太网 X 1/)作为网流的源接口
开始数据包捕获
转到监视>>数据包捕获>>单击"管理过滤器>>单击"添加>>"键入 IP "目的地"列中的网流服务器地址>>单
击"
在阶段下确定">>单击"添加" >>添加"传输"阶段>>单击"确定
切换过滤器"以打开
切换数据包捕获到"停止"
数据包捕获切换数据包捕获到关闭
切换筛选器以关闭
"单击刷新"(右上)
单击"下载"传输"数据包捕获以打开PC
Wireshark中的"数据包捕获" - 通过"udp.port=2055"过滤并验证下面
的"验证网流"数据包是否与 firewall 正确的源 IP 地址(设备>>设置中配置的界面>>服务选项卡>>服务路线配置)
验证网流数据包是否正在离开 firewall 通过查看Src MAC 地址(设备>>设置>>服务选项卡中配置的界面>>服务路线配置)
来验证网流数据包是否与 firewall 正确的目的地 IP 地址(配置在设备>>网流服务器配置文件中>>单击"编辑")
验证网流数据包是否 firewall 与正确的目的地端口(配置在设备>>网流服务器配置文件>>单击"编辑")
示例:
提示:如果您在 Wireshark 数据包中看到"未找到模板",则会捕获 Netflow 数据包 /无法查看Flowets-不用担心-只需再次进行数据包捕获,但时间较长-这会发生,因为Wireshark必须捕获网流模板以及网流流板,以便能够向您显示网流流。
使用数据包捕获验证网流数据包到达网流服务器
使用您选择的分组捕获软件/实用程序(Wireshark、tcpdump 等)在网流服务器上捕获数据包 - (由"udp.port=2055"过滤)
确保离开 firewall (在前一步中)的包显示在此网流服务器数据包捕获中
Additional Information
创建流、流更新、已删除流和流拒绝事件示例 PAN Firewall :创建流
流更新
流删除
流拒绝
提示:如果您在线形数据包中看到"未找到模板",则再次进行数据包捕获,但时间较长 - 这是因为 Wireshark 必须捕获网流模板和网流流板,以便能够显示网流流
什么是网流模板?
Netflow 模板- 这是 firewall 每个配置偶尔从 Netflow 服务器发送的包(Netflow 服务器需要此模板数据包来解释/理解上述流创建/更新/已删除/拒绝数据包中的格式/字段)
防火墙的网流服务器界面编号约定 PAN :https://docs.paloaltonetworks.com//9-1/
- pan-os pan-os 管理员/监控 firewall /-界面标识符 经理和网流收集者.html
如何配置帕洛阿尔托网络上的网流 Firewall :https://docs.paloaltonetworks.com//9-1/
pan-os pan-os -admin/monitoring/netflow-monitoring/configure-netflow-exports.html
帕洛阿尔托网络 Firewall 网流模板:https://docs.paloaltonetworks.com//9-1/-admin/monitoring/netflow-monitoring/netflow-templates.html
pan-os pan-os
使用带亚面的网流配置文件:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzyCAC