验证 Site24x7 是否已收到来自您的设备的流量
对于 NetFlow 分析,您需要配置设备以将flow包导出到 Site24x7 的 本地轮询器,即 NetFlow 收集器。Site24x7 是一款流量分析器,可处理原始数据并以直观的格式呈现以便于解释。
在flow导出配置中,如果您收到消息“未收到流”,则表示本地部署轮询器 尚未收到任何flow。
您可以通过以下方式检查:
验证端口
要进行故障排除,您必须首先确保 NetFlow 端口未被防火墙阻止或被任何其他服务使用。本地部署轮询器将监听特定端口以接收flows,这就是为什么应该为每个flow导出配置正确的端口号的原因。端口号可能因本地部署轮询器而异,因此请务必提及相关的本地部署轮询器使用的正确端口号。
NetFlow 导出的默认端口是 9996。但是,当本地轮询器初始化时,如果发现该端口已被另一个服务占用,则本地部署轮询器 将使用备用端口,如 9997 或 9998。
您可以通过导航到管理> 资源清单> 添加监视器> Flow 导出(在NetFlow下)> 本地部署轮询器查看端口号。
与您的本地部署轮询器 对应的 NetFlow 端口在此处列出。复制此端口号,并用于flow导出配置。
在 Windows 防火墙中创建入站规则以允许 NetFlow 端口
如果防火墙端口未列入白名单或未允许,您的 Windows 防火墙可能会阻止流向本地部署轮询器。要解决此问题:
- 在安装了本地部署轮询器 的机器上为UDP协议和9996端口创建入站规则。
- 重新启动本地部署轮询器。
- 从您的 NetFlow 设备导出流并在 Site24x7 中重试添加。
使用 Wireshark 进行验证
您可以使用以下步骤验证 Site24x7本地部署轮询器是否接收到flow:
- 安装最新版本的Wireshark。
- 对于 Windows,您可以从 Wireshark 的官方网站下载。
- 对于 Linux,您可以使用以下命令进行安装:
安装wireshark
- 以管理员/root权限运行 Wireshark 。
- 选择所需的接口并开始捕获(双击,按 Enter,或右键单击开始捕获)。
- 通过输入udp.port == 9996过滤来自 UDP 端口 9996 的flow包。单击输入。
- 应用过滤器后,只会列出通过该端口导出的流数据包。
- 如果您的搜索结果为空,则表示安装了 Site24x7本地部署轮询器 的机器没有接收到导出的flows。
- 如果您查看过滤的数据包,您必须确保它们是流数据包。根据数据包检查协议的名称。如果是CFLOW或sFlow,则单击并展开数据包,并确保存在流数据。
- 如果协议显示为UDP,请按照以下步骤操作:对于 NetFlow v5、v9、IPFIX:单击分析>解码。在打开的对话框中,从相应的下拉菜单中选择以下选项:
- 字段:UDP port
- 数值:9996
- 当前:CFLOW
- 对于 sFlow:在当前下,从下拉菜单中选择sFlow 。
- 如果您的流是 sFlow 数据包,则会收到两种类型的数据包:
- 计数器示例:一种 sFlow 采样,其中轮询间隔定义网络设备发送接口计数器的频率。
- 流示例:这也是一种 sFlow 采样,但它具有定义的采样率。在这里,随机抽样 N 个数据包/操作中的 1 个。
流动示例对于分析流动很重要。这就是为什么您需要确保在展开和检查时收到这两个示例。
- 如果未接收到流或它们未满足步骤 5、6 或 7 中提到的任何条件,则这表明接收流存在问题。
重新检查您是否正确配置了您的设备。
如果您在上述列表中找不到您的设备,或者如果这些步骤在您的设备上不起作用,请联系您的设备供应商的支持门户以获取配置帮助。 - 如果上述步骤有效,并且您使用 Wireshark 进行了验证,但 Site24x7 仍然没有收到任何流,请尝试以下操作:
- 如果您使用的是 Windows 本地轮询器,请确保Windows 防火墙中允许 NetFlow 端口。
- 安装新的本地部署轮询器 并添加使用它的设备。
- 如果同样的问题仍然存在,请联系我们并提供以下详细信息。
- 如果上述步骤1-8对您不起作用,请联系support@site24x7.com 并提供以下详细信息:
- 您希望监控流量的设备的供应商和型号
- 流量类型
- 您尝试过的步骤以及失败的地方
- 网络和本地部署轮询器日志
- Wireshark抓包:将使用Wireshark抓包的数据导出保存,并附上方便我们排查