Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

网络流

总结

配置 UDP 输入

:可以更改 Apstra Flow 收集器的端口吗?

:收集器使用 UDP 接收包含流记录的数据包。 表 1 列出了三个可配置参数:

表 1:UDP 输入参数
UDP 参数 说明
EF_FLOW_SERVER_UDP_PORT

Apstra Flow 收集器侦听 NetFlow/IPFIX/sFlow 数据包的 UDP 端口。

EF_FLOW_SERVER_UDP_IP

UDP 套接字在 Apstra 流收集器上绑定到的 IP 地址。

EF_FLOW_SERVER_UDP_READ_BUFFER_MAX_SIZE 系统的 UDP 接收缓冲区。如果此值超过 Linux 上允许的最大缓冲区大小 ( ), net.core.rmem_max则使用允许的最大大小。

未收到流记录

问题

流导出器配置为输出 IPFIX、sFlow 或 NetFlow,但一个或多个流导出器的数据不会显示在 Apstra Flow 仪表板中。

这可能有几个原因:

  • 携带预期流记录的数据包未到达运行流收集器的系统。
  • 携带预期流记录的数据包未到达收集器未侦听的 UDP 端口。
  • Linux 防火墙阻止数据包到达收集器。

溶液

验证数据包是否已到达

用于 tcpdump 验证携带预期流记录的数据包是否到达收集器正在侦听的接口。例如,如果收集器正在侦听 UDP 端口 2055EF_FLOW_SERVER_UDP_PORT),则以下命令 tcpdump 将显示到此端口的传入数据包:

要查看来自特定导出程序的数据包,您还可以指定导出程序的 IP 地址。例如,如果数据包需要来自 192.0.2.11,请使用以下命令:

注意:

您可能需要指定观察传入数据包的接口tcpdump。您可以通过在命令中tcpdump指定-i选项来执行此操作。例如:

如果您没有收到任何数据包,这可能意味着:

  • 设备未发送数据包。
  • 数据包被发送到错误的位置。
  • 数据包在传输过程中被阻止,例如被防火墙阻止

在继续之前,您需要排除故障并修复此问题。

验证收集器是否正在接收数据包

通过在 () 设置为 debug的情况下EF_LOGGER_LEVEL运行收集器debug来验证收集器是否正在从操作系统接收数据包。应显示一条消息,指示何时接收数据包以及数据包从哪个 IP 地址发送。

如果已验证数据包已到达系统,但在收集器的日志中未看到任何消息,则数据包可能已被 Linux 防火墙阻止。您可以暂时禁用 Linux 防火墙来确认这一点。如果在执行此操作后日志指示已收到数据包,则需要重新配置 Linux 防火墙以允许流量到达收集器。

不支持的 sFlow 结构

日志指示 Apstra Flow 收集器无法处理 sFlow 记录,因为它包含不支持的企业特定信息。例如:

问题:收集器收到无法识别的 sFlow 结构。这通常是由于供应商发送了自己的企业特定结构。

解决方案:要添加对特定 sFlow 结构的支持,请联系瞻博网络支持部门。您将需要提供包含结构的记录的 PCAP 以及供应商提供的有关结构内容的文档。

未收到 Netflow v9/IPFIX 模板

问题:Apstra 流收集器的日志显示错误: Could not decode flowsets: template not yet received。此错误适用于 NetFlow v9 和 IPFIX 模板。

Apstra 流收集器会指示类似于以下内容的消息:

解决方案

在大多数情况下,等待可以让问题自行解决。启动收集器时,通常会看到这些消息,但是在收到所需的模板后,这些消息应停止。设备通常每隔几分钟发送一次模板,但有些可能需要 15-30 分钟。此间隔通常是可配置的,但可能因供应商和型号而异。

如果等待不能解决问题,请联系您的瞻博网络销售代表。若要调查你的问题,我们需要来自相关设备的传入记录的 PCAP。PCAP 需要足够长才能包含模板。

在以下示例中, tcpdump 配置为捕获要从端口 2055192.0.2.11 传入数据包并将其写入名为 netflow.pcap的文件。

双向流支持

问题:Apstra Flow 如何处理支持双向流记录 (RFC 5103) 的流导出器,其中两个流量方向在单个记录中表示?

:收集器生成两个单向记录,每个方向一个。这允许以与单向流相同的方式处理和分析双向流记录。