Probleemoplossing voor SNMP-peiling en onjuiste interfacegegevens op SNA

Inleiding

Dit document beschrijft hoe u problemen kunt oplossen met informatie over de interface van ontbrekende exporteurs in Secure Network Analytics

Voorwaarden

• Cisco raadt u aan over eenvoudige SNMP-opiniepeilingen (Simple Network Management Protocol) te beschikken
• Cisco raadt u aan te beschikken over fundamentele kennis van Secure Network Analytics (SNA/StealthWatch)

Vereisten

• SNA Manager in versie 7.4.1 of nieuwer
• SNA Flow Collector in versie 7.4.1 of nieuwer
• Exporteur actief NetFlow naar SNA verzenden

Gebruikte componenten

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

• SNA Manager in versie 7.4.1 of nieuwer
• SNA Flow Collector in versie 7.4.1 of nieuwer
• SNMPwalk-software
• Software voor Wireshark

Configuraties

• Apparaatconfiguratie: de exporteurs moeten worden geconfigureerd om SNMP-toegang te verlenen. Dit houdt in dat op elk apparaat SNMP-instellingen moeten worden geconfigureerd, waaronder het instellen van SNMP-community-strings, toegangscontrolelijsten (ACL’s) en het definiëren van de te gebruiken SNMP-versie
• SNMP Polling Configuration on SNA: Na een succesvolle configuratie van de exporteurs is SNMP-polling standaard ingeschakeld op de SCM met behulp van vooraf ingestelde parameters. Om ervoor te zorgen dat het opiniepeilingsmechanisme optimaal werkt, is het van cruciaal belang dat de noodzakelijke gegevens met betrekking tot de exporteurs, zoals de SNMP-community-strings en de SNMP-versies, worden verstrekt

Achtergrondinformatie

SNA beschikt over de mogelijkheid om uitgebreide rapportage van interfacestatus te bieden, samen met de mogelijkheid om interfacenamen weer te geven voor exporteurs die actief NetFlow-gegevens verzenden naar een Flow Collector.  Dit interfacedetail kan worden gezien door naar het menu Investigate -> Interfaces te navigeren vanuit de Manager Web UI.

Probleemoplossing

Onjuiste interfacenamen

In het geval dat het gegenereerde rapport een "ifindex-#" weergeeft die niet overeenkomt met uw exporteur interfaces, suggereert het een mogelijk configuratie probleem met SNMP polling of op de SMC of op de exporteur zelf.   In dit voorbeeld heb ik een schijnbaar probleem met de SNMP-polling van een bepaalde exporteur naar voren gebracht.

Ontbrekende exporteurs of interfaces

Sjabloonverificatie is van groot belang in de context van NetFlow-gegevensverwerking. Het zorgt er met name voor dat de NetFlow-sjabloon die van de exporteur wordt ontvangen alle vereiste velden bevat voor succesvolle decodering en verwerking door de Flow Collector. Het niet tegenkomen van een geldig sjabloon leidt tot het uitsluiten van de bijbehorende reeks stromen van decodering, waardoor ze ontbreken in de lijst van interfaces.

Als de verwachte exporteur/interfaces niet in de lijst met interfaces staan, moet u de inkomende netwerkgegevens en de sjabloon verifiëren.  Om het NetFlow-sjabloon te verifiëren kan een pakketopname worden gemaakt aan de kant van Flow Collector, door het IP te specificeren van de exporteur waar we NetFlow van krijgen door "x.x.x.x" te veranderen:

• Log in op de Flow Collector via SSH of console met root referenties.
• Voer een pakketopname uit vanuit de betreffende exporteur-IP- en netflow-poort:

  tcpdump -s0 -v -nnn -i eth0 host x.x.x.x and port 2055 -w /lancope/var/admin/tmp/<name>.pcap

• Kopieer de pakketopname van het apparaat naar een werkstation waarin de Wireshark-toepassing is geïnstalleerd, gebruik de voorkeursmethode (bijvoorbeeld: SCP, SFTP).
• Open de pakketopname met Wireshark en controleer de sjabloon en de gegevens die de exporteur naar de Flow Collector verzendt

Controleer of de NetFlow-sjabloon de 9 vereiste velden gebruikt, de exacte naam van deze sjabloonvelden kan variëren afhankelijk van het uitvoertype, dus zorg ervoor dat u de documentatie raadpleegt voor het specifieke uitvoertype dat u configureert:

• IP-bronadres
• IP-adres van bestemming
• Bronpoort
• Doelpoort
• Layer 4-protocol
• Aantal bytes
• PacketCount
• Stroombegintijd
• Flow End-tijd

Voeg ook toe om interfaces correct weer te geven:

• • interface-uitgang
  • interface-ingang

Hier is een voorbeeldsjabloon voor pakketopname van een bepaald exporteur-apparaat

• Rode pijlen: vereiste NetFlow-velden
• Groene pijlen: SNMP-velden

Opmerking: de poort in de voorbeeldopdracht kan variëren afhankelijk van de configuratie van uw exporteur. De standaardwaarde is 2055

Opmerking: houd de pakketopname van 5-10 minuten lopen, afhankelijk van de exporteur kan de sjabloon worden verzonden elke N minuten en u moet die sjabloon te vangen zodat de NetFlow correct gedecodeerd wordt, als sjabloon niet wordt weergegeven, herhaal de pakketopname voor een langere periode

Connectiviteitsproblemen

Controleer Connectiviteit: zorg ervoor dat er connectiviteit is tussen SNA Manager apparaat en de exporteurs. Controleer of de exporteurs bereikbaar zijn via de Stealthwatch-beheerconsole door hun IP-adressen te pingen. Als er problemen zijn met de netwerkconnectiviteit, kunt u problemen oplossen en ze dienovereenkomstig oplossen.

Valideren Manager (SMC) mogelijkheid om exporteurs te ondervragen

• Verbinding maken met SNA-beheerder via SSH en inloggen met root-referenties
• Analyseer het /lancope/var/smc/log/smc-configuration.log bestand en zoek naar de logboeken van het type ExporterSnmpSession: 

  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 

• In dit opinieonderzoek werden voor exporteur 10.1.0.253 geen fouten ontdekt. Exporteur 10.1.0.254 vertoonde echter een time-out.  De standaard timeout interval is 5000 ms met een retry count van 3. Van het moment dat een exporteur wordt ondervraagd tot het moment dat de time-out 20 seconden zou moeten zijn in een omgeving waar je de instellingen niet hebt veranderd.

Genereert een pakketopname op de SCM met behulp van het IP-adres van een exporteur.

• Log in op het Manager knooppunt via SSH of console met root referenties
• Voer uit:

  tcpdump -s0 -v -nnn -i [Interface] host [Exporter_IP_address] -w /lancope/var/admin/tmp/[file_name].pcap

• Exporteer de pakketopname van het apparaat met de voorkeursmethode (Voorbeeld: SCP, SFTP)
• Open de pakketopname met Wireshark om de succesvolle opiniepeilingen te bekijken
  • Verzoek van de SMC:

  • SNMP-antwoord van de exporteur met interfaceinformatie: 

SNMP-opiniepeilinstellingen valideren

Zorg ervoor dat de opiniepeilingsintervallen juist zijn en dat de gewenste metriek in de SNMP-vragen zijn opgenomen

• Op de web UI navigeer naar: Configureren -> Exporters -> Exporter SNMP-profielen:
• Controleer of de juiste SNMP-poort (meestal UDP-poort 161) en de juiste SNMP-querymethode zijn geselecteerd. Deze moeten overeenkomen met uw exporteur (ifxTable Columns, CatOS MIB, PanOS MIB)

Opmerking: als u 10 Gbps interfaces heeft, raden we u aan de optie ifxTable columns te kiezen voor de SNMP-querymethode.

Opmerking: voor optimale systeemprestaties stelt u de SNMP-enquête in op een interval van 12 uur. Veelvuldiger opiniepeilingen maken uw gebruiksmaatstaven niet actueler en kunnen ervoor zorgen dat uw systeem langzamer draait.

• Controleer of de SNMP-versies die op zowel SNA als de exporteurs zijn geconfigureerd compatibel zijn. SNA ondersteunt SNMPv1, SNMPv2c en SNMPv3. Controleer of de exporteurs zijn geconfigureerd om dezelfde SNMP-versie te gebruiken als in SNA is geconfigureerd.
  
  • Controleer bij gebruik van SNMPv3 of de SNMP-configuratie correct is (gebruikersnaam, verificatiewachtwoord, verificatieprotocol, privacywachtwoord, privacyprotocol)

Live probleemoplossing bij SNMP-peilingen

Ga op de web UI naar Configureren -> Exporters -> Exporter SNMP-profielen

• Stel Polling (minuten) tijdelijk in op 1 (minuut).

• Log in op de SCM via SSH of console met root referenties.
• Naar deze map navigeren:

  cd /lancope/var/smc/log

• Voer uit:

  tail -f smc-configuration.log

• Voor SNMPv3 zou een veelvoorkomende foutmelding zijn:

  failed: java.lang.IllegalArgumentException: USM passphrases must be at least 8 bytes long (RFC3414 §11.2)

• Controleer of het verificatiewachtwoord in het SNMP-profiel is ingesteld op 8 tekens of meer.
• Als het live oplossen van problemen is voltooid, retourneert u de Polling (minuten)-configuratie voor de exporteur of de configuratiesjabloon naar de vorige waarde.

SNMP-opiniepeiling testen vanaf een ander apparaat

Test SNMP Polling: Start handmatig een SNMP poll van een lokale machine naar een specifiek netwerkapparaat en controleer of het een antwoord ontvangt. Dit kan worden gedaan met behulp van SNMP-opiniepeilingtools of hulpprogramma’s zoals SNMPwalk. Controleer of het netwerkapparaat met de gevraagde SNMP-gegevens reageert. Als er geen reactie is, wijst het op een probleem met de configuratie of de connectiviteit van SNMP.

• Vervang op uw lokale machine met SNMPwalk-software "x.x.x.x" voor de exporteur IP en start op CLI:

  snmpwalk -v2c -c public x.x.x.x

  • -v2c: specificeert de te gebruiken SNMP-versie
  •  -c: stelt de community-string in

• Controleer of de exporteur met SNMP-gegevens reageert

Gerelateerde informatie

• Voor extra assistentie kunt u contact opnemen met het Technical Assistance Center (TAC). Er is een geldig ondersteuningscontract vereist: Cisco’s wereldwijde contactgegevens voor ondersteuning.
• U kunt hier ook de Cisco Security Analytics Community bezoeken.
• Technische ondersteuning en documentatie – Cisco Systems