スイッチ : Cisco Catalyst 6500 シリーズ スイッチ

Catalyst 6500/6000 スイッチでの NetFlow 設定とトラブルシューティング

2006 年 9 月 15 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2012 年 1 月 20 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
設定
      ネットワーク ダイアグラム
Native IOS での設定
      NetFlow の有効化
      NDE の設定
      オプション設定
Hybrid OS での設定
      NetFlow の有効化
      NDE の設定
      オプション設定
確認
トラブルシューティング
      MLS エージングの無効化
      NetFlow が表示する片方向でのトラフィック
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Native IOS あるいは Hybrid OS が稼働する Catalyst 6500/6000 スイッチでの NetFlow 設定例について説明します。 ネットワークのコア デバイスとして機能する場合は、Catalyst 6500/6000 を通過するトラフィックをモニタリングする必要がある場合があります。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • スーパーバイザ エンジン 32、MSFC2A、および PFC3 を搭載する Catalyst 6500

  • Cisco IOS(R) ソフトウェア リリース 12.2(18)SXF4 が稼働する Catalyst 6500

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメント内で使用されているデバイスは、すべてクリアな(デフォルト)設定で作業が開始されています。対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

NetFlow は Cisco IOS のアプリケーションの 1 つであり、ルータを通過するパケットに関する統計情報を提供します。 NetFlow は、スイッチを通過するトラフィックから統計情報をグローバルに収集し、その統計情報を NetFlow テーブルに保存します。 コマンドラインを使用して NetFlow テーブルにアクセスできます。 NetFlow の統計情報は、NetFlow コレクタと呼ばれるレポーティング サーバへのエクスポートも可能です。 NetFlow の統計情報を NetFlow コレクタにエクスポートするには、スイッチで NetFlow Data Export(NDE; NetFlow データ エクスポート)を設定する必要があります。

Netflow を設定する前に、知っておく必要のあるポイントがいくつかあります。

  • Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)上の NetFlow キャッシュは、ソフトウェアでルーティングされるフローの統計情報をキャプチャします。

  • Policy Feature Card(PFC; ポリシー フィーチャ カード)上の NetFlow キャッシュは、ハードウェアでルーティングされるフローの統計情報をキャプチャします。

  • NetFlow キャッシュ テーブル内のキャッシュ エントリのフォーマットは、フロー マスクで定義されます。 PFC でサポートされるフロー マスクはいくつかありますが、NetFlow は統計情報全体に対してフロー マスクを 1 つだけ使用します。 フロー マスク タイプは要件に応じて設定できます。 PFC で利用可能なフロー マスクを次に示します。

    • source-only — それほど限定的ではないフロー マスク。 PFC は、各発信元 IP アドレスに対してエントリを 1 つ維持します。 特定の発信元 IP アドレスからのすべてのフローがこのエントリを使用します。

    • destination — それほど限定的ではないフロー マスク。 PFC は、各宛先 IP アドレスに対してエントリを 1 つ維持します。 特定の宛先 IP アドレスへのすべてのフローがこのエントリを使用します。

    • destination-source — より限定的なフロー マスク。 PFC は、発信元と宛先の IP アドレスの各ペアに対してエントリを 1 つ維持します。 このエントリは、同じ発信元 IP アドレスと宛先 IP アドレス間のすべてのフローで使用されます。

    • destination-source-interface — より限定的なフロー マスク。 destination-source フロー マスク内の情報に、ソース VLAN の Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)ifIndex が追加されます。

    • full — より限定的なフロー マスク。 PFC は、各 IP フローごとに個別のキャッシュ エントリを作成し、維持します。 フル エントリには、発信元 IP アドレス、宛先 IP アドレス、プロトコル、およびプロトコル インターフェイスが含まれます。

    • full-interface — 最も限定的なフロー マスク。 full フロー マスク内の情報に、ソース VLAN の SNMP ifIndex を追加します。

  • PFC 上の NDE は、PFC でキャプチャされた統計情報用に NDE バージョン 5 および 7 をサポートしています。

注:Cisco IOS ソフトウェア リリース 12.2(18)SXE 以降では PFC3B または PFC3BXL モードで、ルーティングされるトラフィックとブリッジングされるトラフィックの両方の統計情報を収集するために NDE を設定できます。 PFC3A モード、あるいは、Cisco IOS ソフトウェア リリース 12.2(18)SXE よりも前のリリースでは、NDE はルーティングされるトラフィックに関してのみ統計情報を収集します。

設定

このセクションの設定例では、NetFlow キャッシュを NetFlow コレクタにエクスポートするための、スイッチでの NetFlow の設定方法および NDE の設定方法を示しています。 さらに、NetFlow をお客様のネットワークに合わせて調整するために使用できる、オプションのパラメータも説明しています。 この例では、Catalyst 6500 スイッチはネットワーク内に、2 つの VLAN、10 と 20 があります。 インターフェイス fa3/1 は、このネットワークの外に接続されています。

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

netflow-catalyst6500-network.gif

ネットワーク構成

Native IOS での設定

このドキュメントでは、次の設定を使用します。

NetFlow の有効化

ネットワークで NetFlow を設定する最初のステップは、MSFC と PFC の両方で NetFlow を有効にすることです。 次の例は、NetFlow を有効にする方法について手順を追って説明しています。

  • PFC で Netflow を有効にする。

  • PFC でフロー マスクを設定する。

  • MSFC で Netflow を有効にする。

  • PFC 上でレイヤ 2 でスイッチングされるトラフィック用に NetFlow を有効にする。

スイッチ
  Switch(config)#interface Vlan10
   Switch(config-if)#ip address 10.10.10.1 255.255.255.0
   Switch(config-if)#exit
  
  Switch(config)#interface Vlan20
   Switch(config-if)#ip address 10.10.20.1 255.255.255.0
   Switch(config-if)#exit
  
  Switch(config)#interface loopback 0
   Switch(config-if)#ip address 10.10.1.1 255.255.255.255
   Switch(config-if)#exit
  
  Switch(config)#interface fastEthernet 3/1
   Switch(config-if)#no switchport
   Switch(config-if)#ip address 10.10.200.1 255.255.255.0
   Switch(config-if)#exit
  
  !--- この設定は、VLAN が IP アドレスで設定されていることを
  !--- 示しています。
  
  
  
  !
  Switch(config)#mls netflow
  
  
  !--- PFC で Netflow を有効にします。
  
  !
  Switch(config)#mls flow ip full
   
  
  !--- PFC でフロー マスクを設定します。 
  !--- この例では、フロー マスクはフルで設定されています。
  
  !
  Switch(config)#interface Vlan10
  Switch(config-if)#ip route-cache flow
  Switch(config-if)#exit
  
  Switch(config)#interface Vlan20
  Switch(config-if)#ip route-cache flow
  Switch(config-if)#exit
  
  Switch(config)#interface fastEthernet 3/1
  Switch(config-if)#ip route-cache flow
  Switch(config-if)#exit
  
  
  !--- MSFC で Netflow を有効にします。
  
  
  Switch(config)#ip flow ingress layer2-switched vlan 10,20
  
  !--- PFC 上でレイヤ 2 でスイッチングされるトラフィック用に NetFlow を有効にします。 
  !--- PFC 上でレイヤ 2 でスイッチングされるトラフィック用に NDE も有効化します。
  
  

NDE の設定

NetFlow では、NetFlow キャッシュ テーブルでアクティブな NetFlow を維持します。 スイッチでのアクティブな NetFlow キャッシュを表示するには、show mls netflow ip コマンドを発行できます。 NetFlow キャッシュが期限切れになると、コマンドラインを使用した NetFlow トラフィックの表示ができなくなります。 期限切れになった NetFlow キャッシュは、NetFlow データ コレクタにエクスポートできます。 NetFlow トラフィックの履歴保存に NetFlow データ コレクタを使用する場合は、Catalyst 6500 スイッチで NDE を設定する必要があります。 利用可能な NetFlow コレクタは多数あります。 これには Cisco NetFlow Collector と Cisco CS-Mars が含まれます。 『Cisco IOS NetFlow の概要 - 技術的概要』の表 2 で NetFlow コレクタの一覧が参照できます。 このセクションでは、Catalyst 6500 スイッチでの NDE 設定について説明しています。

  • PFC で NDE を設定する。

  • MSFC で NDE を設定する。

  • PFC 上でレイヤ 2 でスイッチングされるトラフィック用に NDE を有効にする。

スイッチ
  Switch(config)#mls nde sender version 5
  
  !--- PFC で NDE を設定します。 この例では NDE バージョン 5 を設定します。
  !--- 使用する NetFlow コレクタに基づいたバージョンを設定する必要があります。
  
  
  !--- mls nde sender コマンドではデフォルトのバージョン 7 の NDE を
  !--- 設定しています。使用する NetFlow コレクタがバージョン 7 の NDE フォーマットを
  !--- サポートしている場合、mls nde sender コマンドを
  !--- 発行する必要があります。
  
  
  
  
  
  !
  
  Switch(config)#ip flow-export source loopback 0
  
  Switch(config)#ip flow-export destination 10.10.100.2 9996
  
  !--- NetFlow コレクタの IP アドレスとアプリケーション ポート番号 9996 で
  !--- MSFC に NDE を設定します。このポート番号は使用する
  !--- NetFlow コレクタにより変動します。
  
  
  
  
  
  Switch(config)#ip flow export layer2-switched vlan 10,20
  
  !---「NetFlow の有効化」セクションで ip flow export が自動的に有効化されるのに合わせて
  !--- ip flow ingress を有効化します。
  !--- 前もって ip flow export を無効化している場合は、このように有効化できます。
  
  
  
  
  
  !--- show run では ip flow export コマンドは表示されません。
  
  

オプション設定

NetFlow にはいくつかのオプション設定があります。 これは、お客様のネットワーク設計、ネットワークを通過するトラフィック量、および、NetFlow データの要件によって決まります。 オプション設定について簡単に説明します。

  • Multilayer Switching (MLS) aging — NetFlow トラフィックがアクティブの場合、NetFlow キャッシュが期限切れになることはありません。 NetFlow キャッシュが期限切れにならなければ、NetFlow データ コレクタにエクスポートされることはありません。 継続的なアクティブ フローについての定期的なレポートを確実にするために、継続的にアクティブであるフローのエントリが、mls aging long コマンドで設定された間隔(デフォルトは 32 分)の終わりで期限切れになります。 この出力は、デフォルトの MLS キャッシュのエージング間隔を示しています。

      asnml-c6509-01#show mls netflow aging
                   enable timeout  packet threshold
                   ------ -------  ----------------
      normal aging true       300        N/A
      fast aging   false      32         100
      long aging   true       1920       N/A
      
  • NetFlow sampling — デフォルトでは、NetFlow はフロー内の全パケットをキャプチャします。 NetFlow サンプリングを使用する場合は、パケットのサブセットをキャプチャできます。 これにより、NetFlow による CPU 使用率は低下します。 NetFlow サンプリングは、時間ベースあるいはパケット ベースのいずれでも有効にできます。

  • NetFlow aggregation — 集約キャッシュは、スイッチの追加の NetFlow キャッシュ テーブルで、NetFlow トラフィックの集約フロー統計情報があります。 Catalyst 6500 には、発信元プレフィクス、宛先プレフィクス、およびプロトコル ポートなどの、NetFlow 集約のための異なった方式があります。 スイッチには複数の方式の設定が可能で、統計情報を NetFlow コレクタにエクスポートするために NDE を使用できます。 NetFlow の集約キャッシュにより、スイッチと NetFlow コレクタ間に必要な帯域幅が削減されます。

  • NDE flow filters — NDE フロー フィルタを設定して、対象の NetFlow キャッシュだけをエクスポートできます。 フィルタを設定すると、指定されたフィルタの条件に合致する期限切れフローと削除済みのフローだけがエクスポートされます。 発信元アドレス、宛先アドレス、発信元ポート、および宛先ポートに基づいて、NetFlow キャッシュ エントリにフィルタをかけることができます。

このセクションでは、オプション設定について説明します。 この設定は、お客様の要件によって変わります。

  • MLS エージングの設定

  • NetFlow サンプリングの設定

  • NetFlow 集約の設定

  • NDE フロー フィルタの設定

スイッチ
  Switch(config)#mls aging long 300
  
  !--- 5 分後にアクティブな NetFlow キャッシュ エントリを削除するように
  !--- スイッチを設定します。 デフォルト値は 32 分です。
  
  
  
  !
  
  Switch(config)#mls aging normal 120
  
  !--- 2 分後にアクティブではない NetFlow キャッシュ エントリを削除するように
  !--- スイッチを設定します。 デフォルト値は 5 分です。
  
  
  
  !
  
  Switch(config)#mls sampling time-based 64
  
  !--- 64 パケットにつき 1 パケットが NetFlow キャッシュ用にサンプリングされます。 デフォルトでは、
  !--- サンプリングは無効にされており、すべてのパケットが NetFlow キャッシュにキャプチャされます。
  
  
  
  !
  
  Switch(config)#ip flow-aggregation cache protocol-port
  Switch(config-flow-cache)#cache entries 1024
  Switch(config-flow-cache)#cache timeout active 30
  Switch(config-flow-cache)#cache timeout inactive 300
  Switch(config-flow-cache)#export destination 10.10.100.2 9996
  Switch(config-flow-cache)#enabled
  Switch(config-flow-cache)#exit
  
  
  !--- プロトコルとポートの集約方式を設定します。
  
  !
  
  Switch(config)#mls nde flow exclude protocol tcp dest-port 23
  
  
  !--- 宛先ポート tcp 23 でトラフィックをエクスポートしないように NDE を設定します。
  
  

Hybrid OS での設定

このセクションでは、Hybrid OS が稼働する Catalyst 6500 スイッチのための設定例を紹介します。 設定では、IOS のセクションと同じダイアグラムを使用しています。 このドキュメントでは、次の設定を使用します。

NetFlow の有効化

VLAN はすでにスーパーバイザ モジュールで作成済で、MSFC に VLAN インターフェイスの IP が割り当てられていると仮定します。 ここでは、NetFlow がスーパーバイザ モジュールと MSFC の両方で有効にされています。

スイッチ
  Catos(enable)set mls flow full
   
  
  !--- スーパーバイザ モジュールで NetFlow を有効にしてフロー マスクを設定します。 
  !--- この例では、フロー マスクはフルで設定されています。
  
  !
  MSFC(config)#interface Vlan10
  MSFC(config-if)#ip route-cache flow
  MSFC(config-if)#exit
  
  MSFC(config)#interface Vlan20
  MSFC(config-if)#ip route-cache flow
  MSFC(config-if)#exit
  
  MSFC(config)#interface fastEthernet 3/1
  MSFC(config-if)#ip route-cache flow
  MSFC(config-if)#exit
  
  
  !--- MSFC で Netflow を有効にします。
  
  

NDE の設定

このセクションでは、スーパーバイザ モジュールと MSFC の両方での NDE の設定を示しています。 この例では、ループバック 0 ではなく、VLAN 1 が使用されています。

スイッチ
  Catos(enable)set mls nde enable
  Catos(enable)set mls nde version 7
  Catos(enable)set mls nde 10.10.100.2 9996
  
  !--- スーパーバイザで NDE を設定します。 この例では NDE バージョン 7 を設定します。
  
  !
  MSFC(config)#ip flow-export version 5
  MSFC(config)#ip flow-export source vlan 1
  MSFC(config)#ip flow-export destination 10.10.100.2 9996
  
  !--- NetFlow コレクタの IP アドレスとアプリケーション ポート番号 9996 で
  !--- MSFC に NDE を設定します。このポート番号は使用する
  !--- NetFlow コレクタにより変動します。
  
  

オプション設定

この例では、スーパーバイザ モジュールでの NetFlow エージング タイムの設定を示しています。

スイッチ
  Catos(enable)set mls agingtime long-duration 300
  
  !--- 5 分後にアクティブな NetFlow キャッシュ エントリを削除するように
  !--- スイッチを設定します。 デフォルト値は 32 分です。
  
  !
  Switch(config)#set mls agingtime 120
  
  !--- 2 分後にアクティブではない NetFlow キャッシュ エントリを削除するように
  !--- スイッチを設定します。 デフォルト値は 5 分です。
  
  

確認

このセクションでは、NetFlow キャッシュ テーブルと NDE の確認方法を示しています。 さらに、NetFlow コレクタの出力例も紹介しています。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show mls netflow ip コマンドにより、スーパーバイザ モジュールでの NetFlow キャッシュ エントリが表示されます。 次に、出力例を示します。

      Switch#show mls netflow ip
      Displaying Netflow entries in Supervisor Earl
      DstIP           SrcIP           Prot:SrcPort:DstPort  Src i/f          :AdjPtr
      -----------------------------------------------------------------------------
      Pkts         Bytes         Age   LastSeen  Attributes
      ---------------------------------------------------
      10.10.10.100   10.10.10.1     tcp :telnet :2960     --               :0x0
      
      26           1223          101   20:35:41   L2 - Dynamic
      10.10.20.2     10.10.20.1     tcp :11837  :179      --               :0x0
      
      6            315           174   20:35:29   L2 - Dynamic
      10.10.200.1     10.10.200.2     tcp :21124  :179      --               :0x0
      
      0            0             176   20:35:28   L3 - Dynamic
      10.10.20.1     10.10.20.2     tcp :179    :11837    --               :0x0
      
      0            0             174   20:35:29   L3 - Dynamic
      171.68.222.140  10.10.10.100   udp :3046   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      10.10.10.100   64.101.128.56   udp :dns    :2955     --               :0x0
      
      6            944           178   20:34:29   L3 - Dynamic
      10.10.200.2     10.10.200.1     tcp :179    :21124    --               :0x0
      
      5            269           133   20:35:28   L2 - Dynamic
      0.0.0.0         0.0.0.0         0   :0      :0        --               :0x0
      
      87           10488         133   20:35:29   L3 - Dynamic
      171.68.222.136  10.10.10.100   udp :3047   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      10.10.10.100   171.70.144.201  icmp:0      :0        --               :0x0
      
      1            60            71    20:34:30   L3 - Dynamic
      171.68.222.140  10.10.10.100   udp :3045   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      10.10.10.100   64.101.128.92   tcp :3128   :2993     --               :0x0
      
      20           13256         102   20:34:00   L3 - Dynamic
      10.10.10.100   171.68.222.140  udp :1029   :3045     --               :0x0
      
      1            368           2     20:35:39   L3 - Dynamic
      171.68.222.140  10.10.10.100   icmp:771    :0        --               :0x0
      
      1            176           2     20:35:39   L3 - Dynamic
      10.10.10.100   10.16.151.97    udp :1029   :3048     --               :0x0
      
      1            366           2     20:35:39   L3 - Dynamic
      10.16.151.97    10.10.10.100   udp :3045   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      171.68.222.136  10.10.10.100   udp :3049   :1029     --               :0x0
      
      2            152           2     20:35:39   L3 - Dynamic
      171.68.222.136  10.10.10.100   udp :3045   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      64.101.128.56   10.10.10.100   udp :2955   :dns      --               :0x0
      
      6            389           178   20:34:29   L3 - Dynamic
      10.10.10.100   171.68.222.136  udp :1029   :3045     --               :0x0
      
      1            366           2     20:35:39   L3 - Dynamic
      171.68.222.136  10.10.10.100   udp :3050   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      10.16.151.97    10.10.10.100   udp :3048   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      10.10.10.100   64.101.128.92   tcp :3128   :2991     --               :0x0
      
      15           4889          106   20:34:00   L3 - Dynamic
      10.10.10.100   10.16.151.97    udp :1029   :3045     --               :0x0
      
      1            366           2     20:35:39   L3 - Dynamic
      171.68.222.140  10.10.10.100   udp :3051   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      10.16.151.97    10.10.10.100   icmp:771    :0        --               :0x0
      
      1            176           2     20:35:39   L3 - Dynamic
      10.10.10.100   64.101.128.92   tcp :3128   :2992     --               :0x0
      
      16           7019          106   20:34:00   L3 - Dynamic
      10.10.10.100   171.68.222.136  udp :1029   :3047     --               :0x0
      
      1            366           2     20:35:39   L3 - Dynamic
      10.16.151.97    10.10.10.100   udp :3052   :1029     --               :0x0
      
      1            46            2     20:35:39   L3 - Dynamic
      10.10.10.100   171.68.222.140  udp :1029   :3046     --               :0x0
      
      1            368           2     20:35:39   L3 - Dynamic
      10.10.10.1     10.10.10.100   tcp :2960   :telnet   --               :0x0
      
      0            0             101   20:35:41   L3 - Dynamic
      10.10.10.100   171.68.222.136  udp :1029   :3049     --               :0x0
      
      2            961           2     20:35:39   L3 - Dynamic
      171.68.222.136  10.10.10.100   udp :3053   :1029     --               :0x0
      
      2            152           2     20:35:40   L3 - Dynamic
      10.10.10.100   171.68.222.136  udp :1029   :3050     --               :0x0
      
      1            366           2     20:35:39   L3 - Dynamic
      10.10.10.100   171.68.222.136  udp :1029   :3053     --               :0x0
      
      2            961           1     20:35:40   L3 - Dynamic
      10.10.10.100   171.68.222.140  udp :1029   :3051     --               :0x0
      
      1            368           2     20:35:39   L3 - Dynamic
      10.10.10.100   10.16.151.97    udp :1029   :3052     --               :0x0
      
      1            366           2     20:35:39   L3 - Dynamic
      172.22.1.110    10.10.200.1     udp :52039  :9996     --               :0x0
      
      9            876           209   20:35:12   L2 - Dynamic
      10.175.52.255   10.10.10.100   udp :137    :137      --               :0x0
      
      3            234           72    20:34:31   L2 - Dynamic
      171.70.144.201  10.10.10.100   icmp:8      :0        --               :0x0
      
      1            60            72    20:34:29   L3 - Dynamic
      

    実稼働環境では、この出力は膨大な量になります。 show mls netflow ip コマンドには、対象のトラフィックだけを表示するオプションがあります。 次の出力には、オプションのリストが示されています。

      Switch#show mls netflow ip ?
        count         total number of mls entries
        destination   show entries with destination ip address
        detail        display additional per-flow detail
        dynamic       hardware created netflow statistics entries
        flow          flow
        module        Show for module
        nowrap        no text wrap
        qos           qos statistics
        source        show entries with source ip address
        sw-installed  s/w installed netflow entries
        |             Output modifiers
        <cr>
      
  • show mls nde コマンドでは、NetFlow のエクスポート情報を表示します。 この情報には、エクスポート先の NetFlow コレクタ、および、エクスポートするパケット数が示されます。 次に、出力例を示します。

      Switch#show mls nde
       Netflow Data Export enabled 
       Exporting flows to  10.10.100.2 (9996)
       Exporting flows from 10.10.1.1 (52039)
       Version: 5
       Layer2 flow creation is enabled on vlan 10,20
       Layer2 flow export is enabled on vlan 10,20
       Include Filter not configured 
       Exclude Filter not configured 
       Total Netflow Data Export Packets are:
          337 packets, 0 no packets, 3304 records
       Total Netflow Data Export Send Errors:
              IPWRITE_NO_FIB = 0
              IPWRITE_ADJ_FAILED = 0
              IPWRITE_PROCESS = 0
              IPWRITE_ENQUEUE_FAILED = 0
              IPWRITE_IPC_FAILED = 0
              IPWRITE_OUTPUT_FAILED = 0
              IPWRITE_MTU_FAILED = 0
              IPWRITE_ENCAPFIX_FAILED = 0
       Netflow Aggregation Disabled
      

    NDE の統計情報をクリアするには、clear mls nde flow counters コマンドを発行します。

  • 次のダイアグラムは、NetFlow コレクタからの出力例を示しています。

    netflow-catalyst6500-graph.gif

    NetFlow コレクタからの出力例
    ※ 画像をクリックすると、大きく表示されます。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

設定が動作することを確認するためには、知っておく必要のあるポイントがいくつかあります。

  • PFC 上の NDE、および MSFC 上の NDE をサポートするには、MSFC のレイヤ 3 インターフェイスで NetFlow を有効にしておく必要があります。 「NetFlow の有効化」セクションに従って、スイッチを設定する必要があります。 レイヤ 2 ブリッジされたトラフィックを有効にする必要がない場合は、no ip flow ingress layer2-switched コマンドを使用して、ip flow ingress layer2-switched コマンドを取り消します。

  • full および interface-full フロー マスクを設定してある場合は、Network Address Translation(NAT; ネットワーク アドレス変換)が有効になっているインターフェイスで NetFlow を有効にはできません。 つまり、ip nat inside コマンドまたは ip nat outside コマンドでインターフェイスを設定していて、さらに full および interface-full フロー マスクが設定してある場合は、そのインターフェイスでは NetFlow を有効にできません。 次のエラー メッセージが表示されます。

      %FM_EARL7-4-FEAT_FLOWMASK_REQ_CONFLICT: Feature NDE requested flowmask Int
      f Full Flow Least conflicts with other features on interface Vlan52, flowmask re
      quest Unsuccessful for the feature
      
  • Policy Feature Card 3(PFC3)と Policy Feature Card 2(PFC2)では、ハードウェアでのレイヤ 3 スイッチングに NetFlow テーブルを使用しません。

  • NetFlow 集約では NDE バージョン 8 が使用されます。使用している NetFlow コレクタで、バージョン 8 のフォーマットがサポートされていることを確認する必要があります。

MLS エージングの無効化

Native IOS で稼働する Cisco Catalyst 6500 スイッチでは、Server Load Balancing(SLB)が有効になっていると、MLS 長期エージングは NetFlow キャッシュ エントリのエージングに失敗します。 この問題は、Cisco Bug ID CSCea83612登録ユーザ専用)に記述されています。 この不具合の影響を受けない、最新の Cisco IOS にアップグレードしてください。

NetFlow が表示する片方向でのトラフィック

NetFlow を有効にしてあると、show mls netflow ip コマンドでは片方向のトラフィックだけが表示されます。 デフォルトでは、NetFlow は入トラフィックだけをキャッシュします。 着信および発信トラフィックの両方をキャッシュするには、着信および発信インターフェイスの両方で ip route-cache flow コマンドを発行します。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報