如何验证和排除网流故障

• Firewall
• 不受信任的接口：100.2.3.4
• 信任接口： 192.168.133.1
• DMZ 接口： 172.16.1.1

• 净流服务器（已安装网流分析/收集器软件）：
• 172.16.1.10

• 客户 PC ：
• 192.168.133.10

演练w/屏幕截图：https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJzCA

通过 Firewall Web 1验证网流配置 UI
。 转到"设备>服务器配置文件>网流>单击"编辑>>验证其具有名称、正确IP地址和正确的端口（通常为 2055）2。
转到 网络 >> 界面 >>选择流量流过的 界面   >>验证其在下拉3中选择了正确的网流配置文件
。 转到 设备 >> 设置 >> 服务 选项卡>>单击 服务路线配置 >>单击网流>>单击源界面 >>验证选择正确的 源界面（即应发送网流数据包到达您的网流服务器的界面
）4。 转到设备>>设置>>服务选项卡>>单击服务路线配置>>单击网流>>单击源界面>>验证选择正确的源 IP 地址（即 IP 应发送网流数据包到您的 Netflow 服务器的界面地址
注意：如果使用 PA-7000 系列、 PA-5200 系列或 PA-3200 系列 firewall ，则必须配置出数据接口（不是管理 MGT （） 界面 - MGT 界面不能用于这些型号上的网流）5。
验证您是否将配置提交到您的 Firewall （如果 Panorama 正在使用，则推动）

通过 Firewall 验证网流配置 CLI

> set cli config-output-format set
> configure
# show | match netflow
set deviceconfig system route service netflow source address 172.16.1.1
set deviceconfig system route service netflow source interface ethernet1/3
set network interface ethernet ethernet1/3 layer3 netflow-profile pantaclab_netflow_server_profile
set network interface ethernet ethernet1/6 layer3 netflow-profile pantaclab_netflow_server_profile
set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server host 172.16.1.10
set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server port 2055
set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate minutes 30
set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate packets 20
set vsys vsys1 server-profile pantaclab_netflow_server_profile active-timeout 5

检查网流服务器的可访问性
。 如果使用管理接口作为 Netflow 的源接口

> ping host <netflow_server_ip_address>

B。如果使用数据接口（以太网 X 1/）作为网流的源接口

> ping source <firewall_source_interface_ip_address> host <netflow_server_ip_address>

此外，确保 UDP 端口 2055 在 Firewall 网流服务器

验证计数器之间打开，以了解网流统计正在增加
 

> debug log-receiver netflow statistics
> debug dataplane netflow statistics (for PA-7000/PA-5200/PA-3200 series)

 Netflow Statistics
--------------------------------------------------------------------------------
          Template Config           Last Refreshes            Pkts Sent (errors)
--------------------------------------------------------------------------------
Server Profile : pantaclab_netflow_server_profile
          30 min/20 pkts          28 min/8 pkts                    3223 (0)
Total Netflow packets exported : 3223 (errors 0)

要清除上面的计数器，请运行以下命令：

> debug log-receiver netflow clear

验证与净流相关的全局计数器的计数器正在增加

> show counter global | match netflow
name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------------------------------------------------------------------------------------
log_netflow_cnt                            2        0 info      log       system    Number of netflow records

(For PA-7000, PA-5200, and PA-3200 series firewalls only):
flow_netflow_event_created                58        1 info      flow      netflow   NetFlow flowsets added for flow_created event
flow_netflow_event_deleted                43        0 info      flow      netflow   NetFlow flowsets added for flow_deleted event
flow_netflow_event_update                  1        0 info      flow      netflow   NetFlow flowsets added for flow_update event
flow_netflow_event_denied                213        1 info      flow      netflow   NetFlow flowsets added for flow_denied event
flow_netflow_wqe_success                   1        0 info      flow      netflow   WQE created for NetFlow
flow_netflow_data_send_success             1        0 info      flow      netflow   NetFlow data packet sent
flow_netflow_data_flush_success            1        0 info      flow      netflow   NetFlow data packet flushed

Note: If a traffic flow is 'hardware offloaded' you may see the following counter increment when the offload processor informs the DP that the DP needs to create + send out a Netflow event/record):
> show counter global | match fpga_flow
flow_fpga_flow_update                      3        0 info      flow      offload   fpga flow update transaction
flow_fpga_flow_delete                       3        0 info      flow      offload   fpga flow delete transactions
flow_fpga_rcv_stats

要清除上面的计数器，请运行以下命令：

> clear counter global

验证 firewall 不超过最大记录速率计数/秒
检查您可以处理的最大记录速率 firewall ：

> show system setting logging
Max. logging rate: 50000 cnt/sec

检查下面的计数器，看看是否有任何计数器超过其以上最大日志记录速率（每秒） ：

> debug log-receiver statistics
Log incoming rate: 3/sec
Log written rate: 3/sec

检查 firewall 系统资源，如 CPU 内存、缓冲区等。
转到监视器>>系统日志>>查找/确保您没有看到任何有关高 CPU 、高内存、高缓冲利用率等的日志，使用过滤器

验证网流数据包正在离开 firewall 使用的数据包捕获
警告：以下步骤（数据包捕获）可能会/将影响性能/稳定 firewall 性和流量，如果执行不当/小心 - 请谨慎行事

。 如果使用管理接口作为 Netflow 的源接口

> tcpdump snaplen 0 filter “port 2055”
<ctrl+C after 5-10 seconds>

> view-pcap mgmt-pcap mgmt.pcap
17:15:06.895193 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1369
17:15:10.224250 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1356
17:15:13.021765 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1392

如果您想导出这些pcap关闭 firewall 到您 SCP 或 TFTP 服务器查看在有线鲨鱼：

> scp export mgmt-pcap from mgmt.pcap to <username@host:path>
> tftp export mgmt-pcap from mgmt.pcap to <host>

b.如果使用数据界面（以太网 X 1/）作为网流的源接口
开始数据包捕获
转到监视>>数据包捕获>>单击"管理过滤器>>单击"添加>>"键入 IP "目的地"列中的网流服务器地址>>单

击"
在阶段下确定">>单击"添加" >>添加"传输"阶段>>单击"确定
切换过滤器"以打开
切换数据包捕获到"停止"
数据包捕获切换数据包捕获到关闭
切换筛选器以关闭
"单击刷新"（右上）
单击"下载"传输"数据包捕获以打开PC

Wireshark中的"数据包捕获" - 通过"udp.port=2055"过滤并验证下面
的"验证网流"数据包是否与 firewall 正确的源 IP 地址（设备>>设置中配置的界面>>服务选项卡>>服务路线配置）
验证网流数据包是否正在离开 firewall 通过查看Src MAC 地址（设备>>设置>>服务选项卡中配置的界面>>服务路线配置）
来验证网流数据包是否与 firewall 正确的目的地 IP 地址（配置在设备>>网流服务器配置文件中>>单击"编辑"）
验证网流数据包是否 firewall 与正确的目的地端口（配置在设备>>网流服务器配置文件>>单击"编辑"）

示例：


提示：如果您在 Wireshark 数据包中看到"未找到模板"，则会捕获 Netflow 数据包 /无法查看Flowets-不用担心-只需再次进行数据包捕获，但时间较长-这会发生，因为Wireshark必须捕获网流模板以及网流流板，以便能够向您显示网流流。

使用数据包捕获验证网流数据包到达网流服务器
使用您选择的分组捕获软件/实用程序（Wireshark、tcpdump 等）在网流服务器上捕获数据包 - （由"udp.port=2055"过滤）

确保离开 firewall （在前一步中）的包显示在此网流服务器数据包捕获中