المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء معلومات واجهة المصدر المفقودة وإصلاحها في تحليلات الشبكة الآمنة
المتطلبات الأساسية
- cisco يوصي أن يتلقى أنت أساسي بسيط شبكة إدارة بروتوكول (SNMP) إستطلاع معرفة
- توصي Cisco بوجود معرفة أساسية لتحليل الشبكة الآمنة (SNA/StealthWatch)
المتطلبات
- مدير SNA في الإصدار 7.4.1 أو أحدث
- مجمع تدفق SNA في الإصدار 7.4.1 أو الأحدث
- المصدر يرسل NetFlow إلى SNA بشكل نشط
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر
- مدير SNA في الإصدار 7.4.1 أو أحدث
- مجمع تدفق SNA في الإصدار 7.4.1 أو الأحدث
- برنامج SNMPwalk
- برمجيات ويرشارك
التكوينات
- تكوين الجهاز: يجب تكوين المصدرين للسماح بوصول SNMP. وهذا يتضمن تكوين إعدادات SNMP على كل جهاز، بما في ذلك إعداد سلاسل مجتمع SNMP، وقوائم التحكم في الوصول (ACLs)، وتحديد إصدار SNMP الذي سيتم إستخدامه
- تكوين إستطلاع SNMP على SNA: عند التكوين الناجح للمصدرين، يتم تمكين إستطلاع SNMP بشكل افتراضي على SMC باستخدام معلمات تم تعيينها مسبقا. من المهم للغاية توفير التفاصيل المطلوبة المتعلقة بالمصدرين، مثل سلاسل مجتمع SNMP ونصوص بروتوكول إدارة الشبكات البسيط (SNMP)، لضمان عمل آلية الاقتراع على النحو الأمثل
معلومات أساسية
يتمتع SNA بالقدرة على توفير تقارير شاملة عن حالة الواجهة، بجانب القدرة على عرض أسماء الواجهة للمصدرين الذين يقومون بإرسال بيانات NetFlow بشكل نشط إلى مجمع تدفق. يمكن عرض تفاصيل الواجهة هذه من خلال التنقل إلى قائمة "التحقيق -> الواجهات" من واجهة مستخدم ويب "الإدارة".
استكشاف الأخطاء وإصلاحها
أسماء واجهة غير صحيحة
في حالة عرض التقرير الذي تم إنشاؤه "ifindex-#" والذي لا يتوافق مع واجهات المصدرين، فإنه يقترح مشكلة تكوين محتملة مع اقتراع SNMP إما على SMC أو على المصدر نفسه. في هذا المثال، سلطت الضوء على مشكلة واضحة تتعلق باستطلاع بروتوكول إدارة الشبكات البسيط (SNMP) لمصدر معين.
الواجهات أو المصدرين المفقودون
يحمل التحقق من القالب أهمية كبيرة في سياق معالجة بيانات NetFlow. وعلى وجه التحديد، يضمن أن قالب NetFlow الذي تم إستقباله من المصدر يحتوي على جميع الحقول المطلوبة لفك الترميز والمعالجة بشكل ناجح بواسطة مجمع التدفق. يؤدي الفشل في مواجهة قالب صالح إلى إستبعاد مجموعة التدفقات المقترنة من فك التشفير، مما يؤدي إلى غيابها من قائمة الواجهات.
إذا لم يظهر لديك المصدر/الواجهات المتوقعة في قائمة الواجهات، فيجب عليك التحقق من قالب dn بيانات netFlow الوارد. للتحقق من قالب NetFlow، يمكن إنشاء التقاط حزمة على جانب مجمع التدفق، ويحدد IP من المصدر الذي نحصل على NetFlow منه بتغيير "x.x.x.x":
تحقق من أن قالب NetFlow يستخدم الحقول 9 المطلوبة، ويمكن أن يختلف الاسم الدقيق لحقول القالب هذه وفقا لنوع المصدر، فتأكد من مراجعة الوثائق الخاصة بنوع المصدر المحدد الذي تقوم بتكوينه:
- عنوان IP المصدر
- غاية عنوان IP
- منفذ المصدر
- غاية ميناء
- بروتوكول الطبقة الرابعة
- عدد وحدات البايت
- عدد الحزم
- وقت بدء التدفق
- وقت انتهاء التدفق
لعرض الواجهات بشكل صحيح، الرجاء أيضا إضافة:
هنا مثال قالب التقاط ربط من معطى مصدر أداة
- الأسهم الحمراء: حقول NetFlow المطلوبة
- الأسهم الخضراء: حقول SNMP
ملاحظة: يمكن أن يختلف المنفذ المدرج في الأمر example حسب تكوين المصدر الخاص بك، الافتراضي هو 2055
ملاحظة: حافظ على تشغيل التقاط الحزمة من 5 إلى 10 دقائق، وفقا للمصدر يمكن إرسال القالب كل N دقيقة، وتحتاج إلى التقاط ذلك القالب حتى يتم فك ترميز NetFlow بشكل صحيح، إذا لم يظهر القالب، كرر التقاط الحزمة لفترة زمنية أطول
مشكلات الاتصال
تحقق من الاتصال: تأكد من وجود اتصال بين جهاز إدارة SNA والمصدرين. تحقق من أنه يمكن الوصول إلى المصدرين من وحدة تحكم إدارة Stealthwatch عن طريق دق عناوين IP الخاصة بهم. إذا كانت هناك أي مشاكل في اتصال الشبكة، فعليك أستكشاف أخطائها وإصلاحها وحلها وفقا لذلك.
التحقق من صحة قدرة مدير (SMC) على فحص المصدرين
قم بإنشاء التقاط حزمة على SMC باستخدام عنوان IP الخاص بمصدر.
التحقق من صحة إعدادات تدقيق SNMP
تأكد من أن فترات الاقتراع مناسبة وأن المقاييس المطلوبة يتم تضمينها في استعلامات SNMP
- على واجهة مستخدم الويب انتقل إلى: تكوين -> المصدرين -> ملفات تعريف SNMP للمصدرين:
- تحقق من أن منفذ SNMP الصحيح (بشكل خاص منفذ UDP 161) وطريقة استعلام SNMP الصحيحة المحددة، ويجب أن تتطابق هذه وفقا لذلك مع المصدر لديك (أعمدة IfxTable، و CatOS MIB، و PanOS MIB)
ملاحظة: إذا كانت لديك واجهات بسرعة 10 جيجابت في الثانية، فإننا نوصي باختيار خيار أعمدة ifxTable لطريقة استعلام SNMP.
ملاحظة: للحصول على الأداء الأمثل للنظام، قم بتعيين فحص SNMP على فترة 12 ساعة. لا يؤدي الاستقصاء بشكل متكرر إلى تحديث مقاييس الاستخدام بشكل أكبر، كما يمكن أن يؤدي إلى إبطاء تشغيل النظام.
- تحقق من توافق إصدارات SNMP التي تم تكوينها على كل من SNA والمصدرين. يدعم SNA بروتوكول SNMPv1 و SNMPv2c و SNMPv3. تحقق مما إذا تم تكوين المصدرين لاستخدام نفس إصدار SNMP كما تم تكوينه في SNA.
- في حالة إستخدام SNMPv3، تحقق من صحة تكوين SNMP (اسم المستخدم، كلمة مرور المصادقة، بروتوكول المصادقة، كلمة مرور الخصوصية، بروتوكول الخصوصية)
أستكشاف أخطاء اقتراع SNMP وإصلاحها بشكل مباشر
على واجهة مستخدم الويب، انتقل إلى تكوين -> المصدرين -> ملفات تعريف SNMP للمصدرين
- ضبط الاقتراع (بالدقائق) على 1 (دقيقة) بشكل مؤقت.
إختبار إستطلاع SNMP من جهاز آخر
إختبار اقتراع SNMP: قم ببدء إستقصاء SNMP يدويا من جهاز محلي إلى جهاز شبكة محدد وفحص ما إذا كان يستلم إستجابة. يمكن القيام بذلك باستخدام أدوات أو أدوات مساعدة اقتراع SNMP مثل SNMPwalk. تحقق من إستجابة جهاز الشبكة مع بيانات SNMP المطلوبة. إذا لم تكن هناك إستجابة، فإنها تشير إلى مشكلة في تكوين SNMP أو الاتصال.
- التحقق من إستجابة المصدر باستخدام بيانات SNMP
معلومات ذات صلة