Identificar e solucionar problemas de interrogação SNMP e detalhes de interface incorretos em SNA

Introdução

Este documento descreve como solucionar problemas de informações da interface do exportador ausente no Secure Network Analytics

Pré-requisitos

• A Cisco recomenda que você tenha o conhecimento de pesquisa básico do protocolo de gerenciamento de rede simples (SNMP).
• A Cisco recomenda que você tenha o conhecimento básico do Secure Network Analytics (SNA/StealthWatch)

Requisitos

• SNA Manager na versão 7.4.1 ou mais recente
• SNA Flow Collector na versão 7.4.1 ou mais recente
• Exportador enviando ativamente o NetFlow para SNA

Componentes Utilizados

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando

• SNA Manager na versão 7.4.1 ou mais recente
• SNA Flow Collector na versão 7.4.1 ou mais recente
• software SNMPwalk
• software Wireshark

Configurações

• Configuração do dispositivo: os exportadores precisam ser configurados para permitir o acesso SNMP. Isso envolve definir as configurações de SNMP em cada dispositivo, incluindo a configuração de séries de comunidade SNMP, listas de controle de acesso (ACLs) e a definição da versão de SNMP a ser usada
• Configuração de pesquisa SNMP em SNA: após a configuração bem-sucedida dos exportadores, a pesquisa SNMP é habilitada por padrão no SMC usando parâmetros predefinidos. É crucial fornecer os detalhes necessários relativos aos exportadores, como séries de comunidade SNMP e versões SNMP, para garantir que o mecanismo de pesquisa funcione da melhor forma possível

Informações de Apoio

O SNA tem a capacidade de fornecer relatórios abrangentes de status de interface, juntamente com a capacidade de exibir nomes de interface para exportadores que estão transmitindo ativamente dados do NetFlow para um Flow Collector.  Esse detalhe de interface pode ser visto navegando-se para o menu Investigar -> Interfaces a partir da interface de usuário do Manager Web.

Troubleshooting

Nomes de interface incorretos

Caso o relatório gerado exiba um "ifindex-#" que não corresponda às interfaces do seu exportador, ele sugere um possível problema de configuração com a pesquisa de SNMP no SMC ou no próprio exportador.   Neste exemplo, eu destaquei um problema aparente com a interrogação SNMP de um determinado exportador.

Exportadores ou interfaces ausentes

A verificação de modelo tem importância significativa no contexto do processamento de dados do NetFlow. Especificamente, ele garante que o modelo do NetFlow recebido do exportador contenha todos os campos necessários para a decodificação e o processamento bem-sucedidos pelo Flow Collector. A falha em encontrar um modelo válido leva à exclusão do conjunto associado de fluxos da decodificação, resultando, portanto, em sua ausência da lista de interfaces.

Se você não vir o exportador/as interfaces esperados na lista de interfaces, verifique o modelo dn de dados do netflow de entrada.  Para verificar o modelo do NetFlow, uma captura de pacote pode ser criada no lado do Flow Collector, especificando o IP do exportador do qual estamos obtendo o NetFlow alterando "x.x.x.x":

• Faça login no Flow Collector via SSH ou console com credenciais de raiz.
• Execute uma captura de pacote a partir do IP do exportador e da porta de netflow em questão:

  tcpdump -s0 -v -nnn -i eth0 host x.x.x.x and port 2055 -w /lancope/var/admin/tmp/<name>.pcap

• Copie a captura de pacotes do dispositivo para uma estação de trabalho com o aplicativo Wireshark instalado, use seu método preferido (por exemplo: SCP, SFTP).
• Abra a captura de pacotes com o Wireshark e verifique o modelo e os dados que o exportador está enviando ao coletor de fluxo

Verifique se o modelo do NetFlow está usando os 9 campos obrigatórios, o nome exato desses campos de modelo pode variar dependendo do tipo de exportador. Portanto, consulte a documentação do tipo de exportador específico que você está configurando:

• Endereço IP origem
• Endereço IP de destino
• Porta de origem
• Porta de Destino
• Protocolo de Camada 4
• Contagem de bytes
• Contagem de pacotes
• Hora de início do fluxo
• Hora de término do fluxo

Para exibir as interfaces corretamente, adicione também:

• • saída de interface
  • entrada de interface

Aqui está um exemplo de captura de pacote de modelo de um determinado dispositivo exportador

• Setas vermelhas: campos obrigatórios do NetFlow
• Setas verdes: campos SNMP

Observação: a porta listada no comando de exemplo pode variar dependendo da configuração do seu exportador, o padrão é 2055

Observação: mantenha a captura de pacotes em execução de 5 a 10 minutos, dependendo do exportador, o modelo pode ser enviado a cada N minutos e você precisa capturar esse modelo para que o NetFlow seja decodificado corretamente; se o modelo não for exibido, repita a captura de pacotes por um período de tempo maior

Problemas de conectividade

Verificar a conectividade: Certifique-se de que haja conectividade entre o dispositivo do SNA Manager e os exportadores. Verifique se os exportadores podem ser alcançados no console de gerenciamento do Stealthwatch, fazendo ping em seus endereços IP. Se houver algum problema de conectividade de rede, solucione-o adequadamente.

Capacidade do Gerenciador de Validação (SMC) de sondar exportadores

• Conecte-se ao gerenciador SNA via SSH e faça login com as credenciais raiz
• Analise o arquivo /lancope/var/smc/log/smc-configuration.log e procure os logs do tipo ExporterSnmpSession: 

  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 
  WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
  INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s 

• Neste exemplo de pesquisa, não foram detectados erros para o exportador 10.1.0.253. No entanto, o exportador 10.1.0.254 experimentou um tempo limite.  O intervalo de tempo limite padrão é de 5000 ms com uma contagem de repetição de 3. Assim, desde o momento em que um exportador é interrogado até o momento em que o tempo limite expira deve ser de 20 segundos em um ambiente onde você não alterou as configurações.

Gere uma captura de pacote no SMC usando o endereço IP de um exportador.

• Faça login no nó Gerenciador através do SSH ou console com as credenciais raiz
• Executar:

  tcpdump -s0 -v -nnn -i [Interface] host [Exporter_IP_address] -w /lancope/var/admin/tmp/[file_name].pcap

• Exporte a captura de pacotes do equipamento com seu método preferido (Exemplo: SCP, SFTP)
• Abra a captura de pacotes com o Wireshark para ver as tentativas de pesquisa bem-sucedidas
  • Solicitação feita no SMC:

  • Resposta SNMP do exportador com informações de interface: 

Validar configurações de pesquisa SNMP

Certifique-se de que os intervalos de polling sejam apropriados e que as métricas desejadas sejam incluídas nas consultas SNMP

• Na interface do usuário da Web, navegue para: Configure -> Exporters -> Exporter SNMP Profiles:
• Valide se a porta SNMP correta (geralmente a porta UDP 161) e o método de consulta SNMP correto foram selecionados, eles devem corresponder de acordo com seu exportador (ifxTable Columns, CatOS MIB, PanOS MIB)

Observação: se você tiver interfaces de 10 Gbps, recomendamos que escolha a opção de colunas ifxTable para o método de consulta SNMP.

Observação: para obter o desempenho ideal do sistema, defina a pesquisa de SNMP para um intervalo de 12 horas. A sondagem mais frequente não torna suas métricas de utilização mais atualizadas e pode fazer com que seu sistema seja executado mais lentamente.

• Valide se as versões do SNMP configuradas no SNA e nos exportadores são compatíveis. SNA suporta SNMPv1, SNMPv2c e SNMPv3. Verifique se os exportadores estão configurados para usar a mesma versão de SNMP configurada em SNA.
  
  • Em caso de uso do SNMPv3, verifique se a configuração do SNMP está correta (Nome de usuário, Senha de autenticação, Protocolo de autenticação, Senha de privacidade, Protocolo de privacidade)

Solução de problemas ao vivo de pesquisa SNMP

Na interface do usuário da Web, navegue para Configure -> Exporters -> Exporter SNMP Profiles (Configurar -> Exportadores -> Perfis SNMP do exportador)

• Defina Polling (minutos) como 1 (minuto) temporariamente.

• Faça login no SMC via SSH ou console com credenciais de raiz.
• Navegue até esta pasta:

  cd /lancope/var/smc/log

• Executar:

  tail -f smc-configuration.log

• Para SNMPv3, uma mensagem de erro comum seria:

  failed: java.lang.IllegalArgumentException: USM passphrases must be at least 8 bytes long (RFC3414 §11.2)

• Verifique se a senha de autenticação no Perfil SNMP está definida para 8 caracteres ou mais.
• Quando a solução de problemas ao vivo for concluída, retorne a configuração de Pesquisa (minutos) para o exportador ou seu modelo de configuração ao seu valor anterior.

Testando o SNMP Polling a partir de outro dispositivo

Testar pesquisa SNMP: inicie manualmente uma pesquisa SNMP de uma máquina local para um dispositivo de rede específico e verifique se ele recebe uma resposta. Isso pode ser feito usando ferramentas de pesquisa SNMP ou utilitários como SNMPwalk. Verifique se o dispositivo de rede responde com os dados SNMP solicitados. Se não houver resposta, isso indica um problema com a configuração ou a conectividade SNMP.

• Na sua máquina local com o software SNMPwalk, substitua "x.x.x.x" pelo IP exportador e execute no CLI:

  snmpwalk -v2c -c public x.x.x.x

  • -v2c: especifica a versão do SNMP a ser usada
  •  -c: define a sequência de caracteres da comunidade

• Verifique se o exportador responde com dados SNMP

Informações Relacionadas

• Para obter assistência adicional, entre em contato com o Technical Assistance Center (TAC). É necessário um contrato de suporte válido: Cisco Worldwide Support Contacts.
• Você também pode visitar a comunidade de análise de segurança da Cisco aqui.
• Suporte Técnico e Documentação - Cisco Systems