排除SNA上的SNMP輪詢和錯誤介面詳細資訊故障

簡介

本文檔介紹如何排除Secure Network Analytics中缺少導出器介面資訊的故障

必要條件

• 思科建議您瞭解基本的簡單網路管理協定(SNMP)輪詢知識
• 思科建議您掌握基本的安全網路分析(SNA/StealthWatch)知識

需求

• 7.4.1版或更高版本的SNA Manager
• 7.4.1版或更高版本的SNA流量收集器
• 導出器正在將NetFlow主動傳送到SNA

採用元件

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您已瞭解任何指令可能造成的影響

• 7.4.1版或更高版本的SNA Manager
• 7.4.1版或更高版本的SNA流量收集器
• SNMPwalk軟體
• Wireshark軟體

組態

• 裝置配置：需要配置導出器以允許SNMP訪問。這涉及在每個裝置上配置SNMP設定，包括設定SNMP社群字串、訪問控制清單(ACL)和定義要使用的SNMP版本
• SNA上的SNMP輪詢配置：成功配置導出器後，SMC上預設使用預設定引數啟用SNMP輪詢。提供導出器所需的詳細資訊（例如SNMP社群字串和SNMP版本）對於確保輪詢機制以最佳方式運行至關重要

背景資訊

SNA具有提供綜合介面狀態報告的功能，以及顯示主動將NetFlow資料傳輸到流量收集器的導出器的介面名稱的功能。  從Manager Web UI導航到Investigate -> Interfaces選單可檢視此介面詳細資訊。

疑難排解

介面名稱不正確

如果生成的報告顯示的「ifindex-#」與導出器介面不相對應，則表明存在與SMC或導出器自身上的SNMP輪詢相關的潛在配置問題。   在本示例中，我突出顯示了一個明顯的問題，即特定導出器的SNMP輪詢。

缺少導出器或介面

在NetFlow資料處理中，模板驗證非常重要。具體來說，它確保從導出器接收的NetFlow模板包含成功解碼和處理流量收集器所需的所有必填欄位。如果未能遇到有效模板，將導致相關流集被排除在解碼之外，從而導致它們從介面清單中消失。

如果在介面清單中看不到所需的導出器/介面，則應驗證傳入的netflow資料dn模板。  為了驗證NetFlow模板，可以在流量收集器端建立資料包捕獲，透過更改「x.x.x.x」來指定從導出器獲取NetFlow的IP：

• 使用root憑證透過SSH或控制檯登入到流量收集器。
• 從有問題的導出器IP和NetFlow埠運行資料包捕獲：

  tcpdump -s0 -v -nnn -i eth0 host x.x.x.x and port 2055 -w /lancope/var/admin/tmp/<name>.pcap

• 使用您首選的方法（例如：SCP、SFTP），將資料包捕獲從裝置複製到安裝了Wireshark應用程式的工作站。
• 使用Wireshark打開資料包捕獲，驗證導出器正在傳送到流量收集器的模板和資料

驗證NetFlow模板是否使用9個必填欄位，這些模板欄位的確切名稱可能會因導出器型別而異，因此，請確保查閱文檔以瞭解您配置的特定導出器型別：

• 來源IP位址
• 目的IP地址
• 來源連線埠
• 目的地連線埠
• 第4層協定
• 位元組計數
• 封包計數
• 流程開始時間
• 流結束時間

要正確顯示介面，請同時增加：

• • 介面輸出
  • 介面輸入

以下是來自給定導出器裝置的模板資料包捕獲示例

• 紅色箭頭：必要的NetFlow欄位
• 綠色箭頭：SNMP欄位

注意：示例命令中列出的埠可能因導出器配置而異，預設值為2055

注意：保持資料包捕獲在5到10分鐘內運行，具體取決於導出器，模板每N分鐘可以傳送一次，並且您需要捕獲該模板以使NetFlow正確解碼，如果模板未顯示，請更長時間重複資料包捕獲

連線問題

檢查連線：確保SNA Manager裝置和導出器之間具有連線。透過ping導出器的IP地址，驗證是否可以從Stealthwatch管理控制檯訪問導出器。如果存在任何網路連線問題，請相應地排除故障並解決。

驗證管理員(SMC)輪詢導出器的能力

• 透過SSH連線到SNA管理器並使用根憑證登入
• 分析/lancope/var/smc/log/smc-configuration.log檔案並搜尋ExporterSnmpSession： 

  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 

• 在此輪詢示例中，未檢測到導出器10.1.0.253的錯誤。但是，導出器10.1.0.254遇到超時。  預設逾時間隔為5000毫秒，重試次數為3。因此，從輪詢導出器的時間到超時時間，在您未更改設定的環境中應該為20秒。

使用導出器的IP地址在SMC上生成資料包捕獲。

• 使用根憑證透過SSH或控制檯登入到Manager節點
• 執行：

  tcpdump -s0 -v -nnn -i [Interface] host [Exporter_IP_address] -w /lancope/var/admin/tmp/[file_name].pcap

• 使用首選方法從裝置導出資料包捕獲（例如：SCP、SFTP）
• 使用Wireshark打開資料包捕獲，檢視成功的輪詢嘗試
  • SMC的請求：

  • 來自導出器的SNMP響應（帶介面資訊）： 

驗證SNMP輪詢設定

確保輪詢間隔適當，並且所需的度量包含在SNMP查詢中

• 在Web UI上，導航至：配置->導出器->導出器SNMP配置檔案：
• 驗證是否選擇了正確的SNMP埠（通常是UDP埠161）和正確的SNMP查詢方法，這些必須與導出器（ifxTable列、CatOS MIB、PanOS MIB）相匹配

注意：如果您有10 Gbps介面，我們建議您為SNMP查詢方法選擇ifxTable columns選項。

注意：為了獲得最佳系統效能，請將SNMP輪詢設定為12小時間隔。更頻繁的輪詢不會使您的利用率指標更新並可能導致系統運行更慢。

• 驗證SNA和導出器上配置的SNMP版本是否相容。SNA支援SNMPv1、SNMPv2c和SNMPv3。檢查導出器是否配置為使用與SNA中配置的SNMP版本相同。
  
  • 如果使用SNMPv3，請驗證SNMP配置是否正確（使用者名稱、身份驗證密碼、身份驗證協定、隱私密碼、隱私協定）

SNMP輪詢的即時故障排除

在Web UI上，導航至配置->導出器->導出器SNMP配置檔案

• 暫時將Polling (minutes)設定為1 (minute)。

• 使用根憑證透過SSH或控制檯登入到SMC。
• 導航到此資料夾：

  cd /lancope/var/smc/log

• 執行：

  tail -f smc-configuration.log

• 對於SNMPv3，常見的錯誤消息是：

  failed: java.lang.IllegalArgumentException: USM passphrases must be at least 8 bytes long (RFC3414 §11.2)

• 驗證SNMP配置檔案中的身份驗證密碼是否設定為8個字元或更多。
• 完成即時故障排除後，將導出器或其配置模板的輪詢（分鐘）配置返回其先前的值。

測試來自其他裝置的SNMP輪詢

測試SNMP輪詢：手動啟動從本地電腦到特定網路裝置的SNMP輪詢，並檢查是否收到響應。這可以透過使用SNMP輪詢工具或SNMPwalk之類的實用程式來實現。驗證網路裝置是否以請求的SNMP資料做出響應。如果沒有響應，則表示SNMP配置或連線存在問題。

• 在使用SNMPwalk軟體的本地電腦上，為導出器IP替換「x.x.x.x」，並在CLI上運行：

  snmpwalk -v2c -c public x.x.x.x

  • -v2c：指定要使用的SNMP版本
  •  -c：設定社群字串

• 驗證導出器是否以SNMP資料做出響應

相關資訊

• 如需其他幫助，請聯絡技術支援中心(TAC)。需要有效的支援合約：思科全球支援聯絡人。
• 您還可以訪問Cisco Security Analytics Community。
• 技術支援與文件 - Cisco Systems