Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 15.0S
NetFlow および NDE の設定
NetFlow および NDE の設定
発行日;2012/10/11 | 英語版ドキュメント(2012/10/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

NetFlow および NDE の設定

NetFlow および NDE の機能概要

NetFlow および NDE の概要

MSFC 上の NetFlow および NDE

PFC 上の NetFlow および NDE

フロー マスク

NDE のバージョン

MLS キャッシュ エントリ

NetFlow サンプリング

NetFlow アグリゲーション

インターフェイス単位の NetFlow および NDE

インターフェイス単位の NetFlow と NDE の使用上の注意事項および制限事項

インターフェイス単位の NetFlow および NDE の設定

インターフェイス単位の NetFlow および NDE の確認

IPv6 用 NetFlow バージョン 9

VRF インターフェイス上の NDE

NetFlow および NDE のデフォルト設定

NetFlow および NDE 設定時の注意事項および制約事項

NetFlow と NDE の設定

PFC 上のフローに対する NetFlow および NDE の設定

PFC 上のフローに対する NetFlow の設定

NDE のイネーブル化

MSFC 上のフローに対する NetFlow および NDE の設定

MSFC 上のフローに対する NetFlow のイネーブル化

MSFC 上のフローに対する NetFlow アグリゲーションの設定

MSFC NDE 送信元レイヤ 3 インターフェイスの設定

NDE の宛先の設定

入力ブリッジド IP トラフィックに対する NetFlow および NDE のイネーブル化

VLAN 上の入力ブリッジド IP トラフィックに対する NetFlow のイネーブル化

VLAN 上の入力ブリッジド IP トラフィックに対する NDE のイネーブル化

NDE アドレスおよびポートの設定の表示

NDE フロー フィルタの設定

NDE フロー フィルタの概要

ポート フロー フィルタの設定

ホストおよびポート フロー フィルタの設定

ホスト フロー フィルタの設定

プロトコル フロー フィルタの設定

プロトコル フロー フィルタを設定するための使用上のガイドライン

NDE の設定の表示

NetFlow および NDE の設定

この章では、Cisco 7600 シリーズ ルータで NetFlow 統計情報収集および NetFlow Data Export(NDE; NetFlow データ エクスポート)を設定する手順について説明します。


) • この章で使用しているコマンドの構文および使用方法の詳細については、次の URL にある『Cisco IOS NetFlow Command Reference』を参照してください。

http://www.cisco.com/en/US/docs/ios/netflow/command/reference/nf_book.html

NetFlow バージョン 9 がサポートされます。次の資料を参照してください。

『Cisco IOS NetFlow Configuration Guide』

NetFlow v9 エクスポート形式による NetFlow マルチキャストがサポートされます。次の資料を参照してください。

『Cisco IOS NetFlow Configuration Guide』

マルチキャスト高速スイッチングまたは Multicast Distributed Fast Switching(MDFS; マルチキャスト ディストリビューティッド ファスト スイッチング)は設定する必要はありません。マルチキャスト CEF スイッチングがサポートされます。


 

この章の内容は、次のとおりです。

「NetFlow および NDE の機能概要」

「インターフェイス単位の NetFlow および NDE」

「IPv6 用 NetFlow バージョン 9」

「VRF インターフェイス上の NDE」

「NetFlow および NDE のデフォルト設定」

「NetFlow および NDE 設定時の注意事項および制約事項」

「NetFlow と NDE の設定」

NetFlow および NDE の機能概要

ここでは、NetFlow および NDE の機能について説明します。

「NetFlow および NDE の概要」

「MSFC 上の NetFlow および NDE」

「PFC 上の NetFlow および NDE」

NetFlow および NDE の概要

NetFlow は、ルータを通過するトラフィックに関する統計情報を収集します。NetFlow Data Export(NDE; NetFlow データ エクスポート)を使用すると、この統計情報を外部データ コレクタにエクスポートして分析できます。

NetFlow および NDE は、使用しているソフトウェア リリースによって、グローバルにイネーブル化されるか、個々の LAN インターフェイス上でイネーブル化されます。

Cisco IOS Release 12.2SRA 以前のリリースでは、NetFlow はグローバルにイネーブル化されていました。つまり、ルータのすべてのインターフェイスに対して統計情報が収集されていました。

Cisco IOS Release 12.2SRB では、レイヤ 3 インターフェイス上の IPv4 トラフィックに対して、個々のインターフェイス上で NetFlow をイネーブル化できます。IPv6 トラフィックに対する NetFlow は、引き続きグローバル モードで動作します。この機能の詳細については、「インターフェイス単位の NetFlow および NDE」を参照してください。


) Release 12.2SRB 以降、IPv4 トラフィックのグローバル モード NetFlow はデフォルトではありません。これまでと同様のグローバル モード機能を実現するには、IPv4 トラフィック フローの統計情報をキャプチャする各レイヤ 3 インターフェイス上で、手動で NetFlow をイネーブルにする必要があります。


ルーテッド トラフィックとブリッジド トラフィックの両方に対して統計情報を収集できます。ただし、PFC3A では、ルーテッド トラフィックだけの統計情報が収集されます。

2 つの外部データ コレクタ アドレスを設定できます。このように PFC3 による冗長データ ストリームを用意することで、完全な NetFlow データを受信する確率が高くなります。

収集される統計情報の量を減らすには、次の機能を使用します。

NetFlow サンプリング:収集される統計情報の数を減らします。

NetFlow アグリゲーション:収集された統計情報を結合します。

MSFC 上の NetFlow および NDE

MSFC の NetFlow キャッシュは、ソフトウェアでルーティングされるフローの統計情報をキャプチャします。MSFC では、ソフトウェアでルーティングされるトラフィックに対し、NetFlow アグリゲーションをサポートします。詳細については、『Cisco IOS NetFlow Configuration Guide』を参照してください。

MSFC では、ToS ベースのルータ アグリゲーションをサポートします。詳細については、『Cisco IOS NetFlow Configuration Guide』を参照してください。

PFC 上の NetFlow および NDE

PFC の NetFlow キャッシュは、ハードウェアでルーティングされるフローの統計情報をキャプチャします。PFC では、ハードウェアでルーティングされるトラフィックに対し、サンプリングされた NetFlow および NetFlow アグリゲーションをサポートします。PFC では、NetFlow ToS ベースのルータ アグリゲーションをサポートしません。

ここでは、PFC の NetFlow および NDE を詳細に説明します。

「フロー マスク」

「NDE のバージョン」

「MLS キャッシュ エントリ」

「NetFlow サンプリング」

「NetFlow アグリゲーション」

フロー マスク

ここでは、NetFlow エントリを作成するために使用されるフロー マスクについて説明します。Release 12.2SRA 用と Release 12.2SRB 用の 2 種類のフロー マスクが用意されています。NetFlow では、選択したフロー マスクが、ルータ上で収集されるすべての統計情報に適用されます。

Release 12.2SRA

Cisco IOS Release 12.2SRA では、NetFlow エントリを作成するために次のフロー マスクが使用されます。

source-only:より固有性の低いフロー マスク。PFC は送信元 IP アドレスごとにエントリを 1 つ維持します。指定された送信元 IP アドレスからのすべてのフローは、このエントリを使用します。

destination:より固有性の低いフロー マスク。PFC は宛先 IP アドレスごとにエントリを 1 つ維持します。指定された宛先 IP アドレスへ向かうすべてのフローは、このエントリを使用します。

destination-source:より固有性の高いフロー マスク。PFC は送信元および宛先 IP アドレスのペアごとにエントリを 1 つ維持します。同じ送信元と宛先 IP アドレス間のすべてのフローは、このエントリを使用します。

destination-source-interface:より固有性の高いフロー マスク。送信元 VLAN SNMP ifIndex を destination-source フロー マスク中の情報に追加します。

full:より固有性の高いフロー マスク。PFC は IP フローごとにキャッシュ エントリを個別に作成し、維持します。full エントリには送信元 IP アドレス、宛先 IP アドレス、プロトコル、およびプロトコル インターフェイスが格納されます。

full-interface:最も固有性の高いフロー マスクです。送信元 VLAN SNMP ifIndex を full フロー マスク中の情報に追加します。

Release 12.2SRB

Cisco IOS Release 12.2SRB では、次のフロー マスクが使用されます。

destination-source-interface:より固有性の高いフロー マスク。送信元 VLAN SNMP ifIndex を destination-source フロー マスク中の情報に追加します。

full-interface:最も固有性の高いフロー マスクです。送信元 VLAN SNMP ifIndex を full フロー マスク中の情報に追加します。

IPv4 トラフィックのインターフェイス単位モードに対応するため、その他のフロー マスクは次のように処理されます。

source-only、destination、destination-source の各フロー マスクは、destination-source-interface として処理されます。

full フロー マスクは、full-interface として処理されます。

NDE のバージョン

PFC 上の NDE は、PFC でキャプチャされた統計情報用に NDE バージョン 5、7、および 9 をサポートします。NetFlow バージョン 9 の詳細については、次の URL にあるマニュアルを参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123_1/nfv9expf.htm

次に、サポートされている NDE フィールドを説明します。

表 52-1 :バージョン 5 ヘッダー形式

表 52-2 :バージョン 7 ヘッダー形式

表 52-3 :バージョン 5 フロー レコード形式

表 52-4 :バージョン 7 フロー レコード形式

 

表 52-1 NDE バージョン 5 ヘッダー形式

バイト
コンテンツ
説明

0 ~ 1

version

NetFlow がエクスポートする形式のバージョン番号

2 ~ 3

count

このパケットにエクスポートされたフロー数(1 ~ 30)

4 ~ 7

SysUptime

ルータが起動してから現在までの時間(ミリ秒)

8 ~ 11

unix_secs

0000 UTC 1970 から現在までの秒数

12 ~ 15

unix_nsecs

0000 UTC 1970 からの残り時間(ナノ秒)

16 ~ 19

flow_sequence

観測したフロー全体のシーケンス カウンタ

20 ~ 21

engine_type

フロー スイッチング エンジンのタイプ

21 ~ 23

engine_id

フロー スイッチング エンジンのスロット番号

 

表 52-2 NDE バージョン 7 ヘッダー形式

バイト
コンテンツ
説明

0 ~ 1

version

NetFlow がエクスポートする形式のバージョン番号

2 ~ 3

count

このパケットにエクスポートされたフロー数(1 ~ 30)

4 ~ 7

SysUptime

ルータが起動してから現在までの時間(ミリ秒)

8 ~ 11

unix_secs

0000 UTC 1970 から現在までの秒数

12 ~ 15

unix_nsecs

0000 UTC 1970 からの残り時間(ナノ秒)

16 ~ 19

flow_sequence

観測したフロー全体のシーケンス カウンタ

20 ~ 23

reserved

未使用(ゼロ)バイト


) 現行のフロー マスクによっては、フロー レコードの一部のフィールドに値が入らない場合があります。サポートされないフィールドには、ゼロ(0)が充填されます。


 

表 52-3 NDE バージョン 5 フロー レコード形式

バイト
コンテンツ
説明
フロー マスク
• X = 読み込まれる
• A = 追加のフィールド
Source
Destination
Destination
Source
Destination
Source
Interface
Full
Full
Interface

0 ~ 3

srcaddr

送信元 IP アドレス

X
0
X
X
X
X

4 ~ 7

dstaddr

宛先 IP アドレス

0
X
X
X
X
X

8 ~ 11

nexthop

ネクスト ホップ ルータの IP アドレス1

0
A2
A
A
A
A

12 ~ 13

input

入力インターフェイス SNMP ifIndex

0
0
0
X
0
X

14 ~ 15

output

出力インターフェイス SNMP ifIndex3

0
A2
A
A
A
A

16 ~ 19

dPkts

フロー中のパケット数

X
X
X
X
X
X

20 ~ 23

dOctets

フロー中のオクテット数(バイト)

X
X
X
X
X
X

24 ~ 27

first

フロー開始時の SysUptime(ミリ秒)

X
X
X
X
X
X

28 ~ 31

last

フローの最後のパケット受信時刻の SysUptime(ミリ秒)

X
X
X
X
X
X

32 ~ 33

srcport

レイヤ 4 送信元ポート番号またはそれと同等のもの

0
0
0
0
X4
X4

34 ~ 35

dstport

レイヤ 4 宛先ポート番号またはそれと同等のもの

0
0
0
0
X
X

36

pad1

未使用(ゼロ)バイト

0
0
0
0
0
0

37

tcp_flags

TCP フラグの累積 OR5

0
0
0
0
0
0

38

prot

レイヤ 4 プロトコル(例、6=TCP、17=UDP)

0
0
0
0
X
X

39

--

--

--
--
--
--
--
--

40 ~ 41

src_as

送信元の自律システム番号、起点またはピア

X
0
X
X
X
X

42 ~ 43

dst_as

宛先の自律システム番号、起点またはピア

0
X
X
X
X
X

44 ~ 45

src_mask

送信元アドレス プレフィックス マスク ビット

X
0
X
X
X
X

46 ~ 47

dst_mask

宛先アドレス プレフィックス マスク ビット

0
X
X
X
X
X

48

pad2

パッド 2

0
0
0
0
0
0

1.PBR、WCCP、または SLB を設定している場合は常に 0 です。

2.宛先フロー マスクでは、「ネクスト ホップルータの IP アドレス」フィールドおよび「出力インターフェイス SNMP ifIndex」フィールドは、すべてのフローに対して正確な情報を含んでいない場合があります。

3.ポリシーベース ルーティングを設定している場合は常に 0 です。

4.PFC3CXL、PFC3C、PFC3BXL、または PFC3B モードでは、ICMP トラフィックの場合、ICMP コードおよびタイプ値が格納されます。

5.ハードウェア スイッチド フローでは常に 0 です。

 

表 52-4 NDE バージョン 7 フロー レコード形式

バイト
コンテンツ
説明
フロー マスク
• X = 読み込まれる
• A = 追加のフィールド
Source
Destination
Destination
Source
Destination
Source
Interface
Full
Full
Interface

0 ~ 3

srcaddr

送信元 IP アドレス

X
0
X
X
X
X

4 ~ 7

dstaddr

宛先 IP アドレス

0
X
X
X
X
X

8 ~ 11

nexthop

ネクスト ホップ ルータの IP アドレス6

0
A7
A
A
A
A

12 ~ 13

input

入力インターフェイス SNMP ifIndex

0
0
0
X
0
X

14 ~ 15

output

出力インターフェイス SNMP ifIndex8

0
A2
A
A
A
A

16 ~ 19

dPkts

フロー中のパケット数

X
X
X
X
X
X

20 ~ 23

dOctets

フロー中のオクテット数(バイト)

X
X
X
X
X
X

24 ~ 27

First

フロー開始時の SysUptime(ミリ秒)

X
X
X
X
X
X

28 ~ 31

Last

フローの最後のパケット受信時刻の SysUptime(ミリ秒)

X
X
X
X
X
X

32 ~ 33

srcport

レイヤ 4 送信元ポート番号またはそれと同等のもの

0
0
0
0
X9
X4

34 ~ 35

dstport

レイヤ 4 宛先ポート番号またはそれと同等のもの

0
0
0
0
X
X

36

flags

使用中のフロー マスク

X
X
X
X
X
X

37

tcp_flags

TCP フラグの累積 OR10

0
0
0
0
0
0

38

prot

レイヤ 4 プロトコル(例、6=TCP、17=UDP)

0
0
0
0
X
X

39

--

--

--
--
--
--
--
--

40 ~ 41

src_as

送信元の自律システム番号、起点またはピア

X
0
X
X
X
X

42 ~ 43

dst_as

宛先の自律システム番号、起点またはピア

0
X
X
X
X
X

44

src_mask

送信元アドレス プレフィックス マスク ビット

X
0
X
X
X
X

45

dst_mask

宛先アドレス プレフィックス マスク ビット

0
X
X
X
X
X

46 ~ 47

pad2

パッド 2

0
0
0
0
0
0

48 ~ 51

MLS RP

MLS ルータの IP アドレス

0
X
X
X
X
X

6.PBR、WCCP、または SLB を設定している場合は常に 0 です。

7.宛先フロー マスクでは、「ネクスト ホップルータの IP アドレス」フィールドおよび「出力インターフェイス SNMP ifIndex」フィールドは、すべてのフローに対して正確な情報を含んでいない場合があります。

8.ポリシーベース ルーティングを設定している場合は常に 0 です。

9.PFC3CXL、PFC3C、PFC3BXL、または PFC3B モードでは、ICMP トラフィックの場合、ICMP コードおよびタイプ値が格納されます。

10.ハードウェア スイッチド フローでは常に 0 です。

MLS キャッシュ エントリ

NetFlow は、PFC の NetFlow キャッシュからトラフィック統計情報をキャプチャします。

NetFlow は、NetFlow キャッシュ内のアクティブ フローごとにトラフィック統計情報を維持し、各フロー内のパケットがスイッチングされると統計情報を更新します。NDE はすべての期限切れフローに関するサマリー トラフィック統計情報を定期的にエクスポートします。これを外部データ コレクタで受信して処理することができます。

エクスポートされる NetFlow データには、最後のエクスポート以降に期限切れになった NetFlow キャッシュ中のフロー エントリの統計情報が含まれます。NetFlow キャッシュ中のフロー エントリが期限切れになり、次のいずれかの状況が発生した時点で NetFlow キャッシュから消去されます。

エントリの期限切れ。

ユーザによるエントリの消去。

インターフェイスの停止。

ルート フラップの発生。

継続的なアクティブ フローを定期的にレポートするには、 mls aging long コマンドで設定されたインターバルの終了時に、継続的なアクティブ フローのエントリを期限切れにします(デフォルトは 1920 秒(32 分))。

NDE パケットは、期限切れして間もないフロー数が所定の最大数に到達したとき、または所定時間の経過後に外部データ コレクタに到達します。

30 秒(バージョン 5 エクスポートの場合)

10 秒(バージョン 9 エクスポートの場合)

デフォルトでは、フィルタリングされない限り、すべての期限切れフローはエクスポートされます。フィルタが設定されていれば、NDE は、フィルタ基準に合致する期限切れで消去されたフローだけをエクスポートします。NDE フロー フィルタは NVRAM に保存され、NDE をディセーブルにしても削除されません。NDE フィルタの設定手順については、「NDE フロー フィルタの設定」を参照してください。

NetFlow サンプリング

NetFlow サンプリングは、ネットワークを通過しているトラフィック フローのサブセットに対する統計情報をレポートする場合に使用します。詳細な分析を行う場合は、NetFlow 統計情報を外部コレクタにエクスポートできます。

NetFlow サンプリングには、NetFlow トラフィック サンプリングと NetFlow フロー サンプリングの 2 種類があります。ソフトウェア パス内でスイッチングされるトラフィックに対する MSFC ベースの NetFlow トラフィック サンプリングと Cisco 7600 シリーズ スイッチのハードウェア パス内でスイッチングされるトラフィックに対する PFC ベースまたは DFC ベースの NetFlow フロー サンプリングは相互に独立した機能であるため、それぞれの設定手順で使用するコマンドは異なります。

ここでは、Cisco 7600 シリーズ ルータでサポートされている、この 2 種類の NetFlow サンプリングについて詳しく説明します。

「NetFlow トラフィック サンプリング」

「NetFlow フロー サンプリング」

NetFlow トラフィック サンプリング

NetFlow トラフィック サンプリングでは、ルータによって処理されるトラフィック中の連続する n 個のパケット(n はユーザが設定可能なパラメータ)からランダムに選択された 1 つのパケットだけを分析することにより、Cisco ルータよって転送されるトラフィックのサブセットに対する NetFlow データが提供されます。NetFlow トラフィック サンプリングは、ソフトウェア ベースの NetFlow アカウンティングを実行する Cisco 7200 シリーズ ルータや Cisco 7600 シリーズ MSFC などのプラットフォーム上で NetFlow の実行による CPU のオーバーヘッドを低減するために使用されますが、これは NetFlow で分析(サンプリング)されるパケットの数を減らすことによって行われます。ソフトウェア ベースの NetFlow アカウンティングを実行するプラットフォーム上で NetFLow によるパケットのサンプリング数を抑制すると、外部コレクタにエクスポートする必要のあるパケットの数も削減されます。分析するパケットの数を減らすことによって外部コレクタにエクスポートする必要があるパケットの数を減らす方法は、すべてのパケットを分析することで発生するエクスポート トラフィックによってコレクタの容量が圧迫されたり、アウトバウンド インターフェイスがオーバーサブスクリプション状態になったりする場合に有効です。

ソフトウェアベースの NetFlow アカウンティングでの NetFlow トラフィック サンプリングおよびエクスポートは、次のように動作します。

ルータによって認識されているトラフィックのサブセットからの統計情報がフローに読み込まれます。

フローが期限切れになります。

統計情報がエクスポートされます。

Cisco 7600 シリーズ ルータでは、NetFlow トラフィック サンプリングは、ソフトウェアでスイッチングされたパケットに対して MSFC 上でのみサポートされます。NetFlow トラフィック サンプリングの設定の詳細については、『 Cisco IOS NetFlow Configuration Guide 』を参照してください。

NetFlow フロー サンプリング

NetFlow フロー サンプリングでは、NetFlow で分析するパケットの数に制限はありません。NetFlow フロー サンプリングは、エクスポートのためにルータで処理されるフローのサブセットを選択するために使用します。NetFlow フロー サンプリングは、オーバーサブスクライブ状態の CPU の数を減らしたり、オーバーサブスクライブ状態のハードウェア NetFlow テーブルの使用率を低減したりするための解決策ではありません。NetFlow フロー サンプリングは、エクスポートされるデータの量を減らすことによって CPU の使用率を低減します。NetFlow フロー サンプリングを使用してフローのサブセットだけに対する統計情報をレポートすることによって外部コレクタにエクスポートする必要があるパケットの数を減らす方法は、すべてのフローに対する統計情報をレポートすることで発生するエクスポート トラフィックによってコレクタの容量が圧迫されたり、アウトバウンド インターフェイスがオーバーサブスクリプション状態になったりする場合に有効です。

NetFlow フロー サンプリングは、ルータに取り付けられた PFC および DFC 上でハードウェアベースの NetFlow アカウンティングを実行する場合に Cisco 7600 シリーズ ルータ上で使用できます。

ハードウェアベースの NetFlow アカウンティングでの NetFlow フロー サンプリングおよびエクスポートは、次のように動作します。

パケットがスイッチに着信し、認識されたトラフィックを反映するフローが作成または更新されます。

フローが期限切れになります。

エクスポートするフローのサブセットを選択するために、フローがサンプリングされます。

NetFlow フロー サンプラによって選択されたフローのサブセットに対する統計情報がエクスポートされます。


) NetFlow フロー サンプリングをイネーブルにすると、fast、normal、long などのエージング方式はディセーブルになります。


NetFlow フロー サンプリングを設定して、時間ベースのサンプリングやパケットベースのサンプリングを使用できます。full-interface または destination-source-interface フロー マスクでは、各レイヤ 3 インターフェイスで NetFlow フロー サンプリングをイネーブルまたはディセーブルにできます。

パケットベースの NetFlow フロー サンプリング

パケットベースの NetFlow フロー サンプリングでは、パケット単位のサンプリング レートとミリ秒単位のインターバルに基づいて、ルータで処理されたフローの総数から一定数のフローのサブセット(サンプル)が選択されます。サンプリング レートの値は、64、128、256、512、1024、2048、4096、および 8192 です。インターバルの値は 8000 ~ 16000 ミリ秒の範囲内でユーザが設定できます。インターバルのデフォルトは 16000 ミリ秒です。設定したインターバルの値は、キャッシュからの期限切れのフローに対するエージング方式(fast、normal、long など)を上書きします。パケットベースの NetFlow フロー サンプリングを設定するためのコマンド構文は、 mls sampling packet-based rate [ interval ] です。

パケットベースの NetFlow フロー サンプリングでは、次のいずれかの方法により、サンプリングおよびエクスポートのフローが選択されます。

期限切れフローのパケット数がサンプリング レートを超える場合 :インターバル X(X は 8000 ~ 16000 の範囲の値)において、フローのパケット数がサンプリング レートに設定した値を超える場合は、フローがサンプリング(選択)され、エクスポートされます。

期限切れフローのパケット数がサンプリング レートに満たない場合 :インターバル X(X は 8000 ~ 16000 の範囲の値)において、フローのパケット数がサンプリング レートに設定した値に満たない場合は、フローのパケット数に基づいて、フローのパケット カウントが 8 つのバケットのいずれかに加算されます。この 8 つのバケットのサイズは、サンプリング レートの 1/8 単位の増分です。フローに含まれるパケットの量がサンプリング レートの 0 ~ 1/8 である場合、パケット カウントは最初のバケットに割り当てられます。フローに含まれるパケットの量がサンプリング レートの 1/8 ~ 2/8 である場合、パケット カウントは 2 つめのバケットに割り当てられます。同様に、パケットの量に応じてパケット カウントが割り当てられます。フローのパケット カウントをバケットに追加した結果、バケットのカウンタがサンプリング レートを超えた場合は、バケットにカウンタが追加された最後のフローがサンプリングされ、エクスポートされます。バケット カウンタが 0 に変更され、積算処理が再び開始されます。この方法により、パケット カウントがサンプリング レートを超えることのないフローをサンプリングおよびエクスポート用に選択できます。

時間ベースの NetFlow フロー サンプリング

時間ベースの NetFlow フロー サンプリングでは、エクスポート インターバル(ミリ秒単位)の最初のサンプリング時間(ミリ秒単位)内に作成されたフローがサンプリングされます。 mls sampling time-based rate コマンドで設定できる各サンプリング レートは、時間ベースの NetFlow フロー サンプリングで使用されるサンプル時間とエクスポート インターバルの固定値を持ちます。次に例を示します。

サンプリング レートとして 64 を設定した場合は、4096 ミリ秒のエクスポート インターバルごとの最初の 64 ミリ秒(サンプリング時間)以内に作成されたフローが選択されます。

サンプリング レートとして 2048 を設定した場合は、8192 ミリ秒のエクスポート インターバルごとの最初の 4 ミリ秒(サンプリング時間)以内に作成されたフローが選択されます。

表 52-5 に、時間ベースの NetFlow フロー サンプリングのサンプリング レートとエクスポート インターバルを示します。

 

表 52-5 時間ベースのサンプリング レート、サンプリング時間、およびエクスポート インターバル

サンプリング レート
(設定可能)
サンプリング時間(ミリ秒)
(設定不可)
エクスポート インターバル(ミリ秒)
(設定不可)

1/64

64

4096

1/128

32

4096

1/256

16

4096

1/512

8

4096

1/1024

4

4096

1/2048

4

8192

1/4096

4

16384

1/8192

4

32768

NetFlow アグリゲーション

PFC および DFC 上での NetFlow アグリゲーション サポートの詳細については、次の URL にあるマニュアルの「NetFlow Aggregation」の項を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fswtch_c/swprt2/xcfnfov.htm


) • Release 12.2SRB では、ハードウェア フロー キャッシュにデータが読み込まれるように、個々のインターフェイス上で NetFlow をイネーブルにする必要があります。これにより、NetFlow がイネーブルになっているインターフェイスからのみ、キャッシュにフローが読み込まれます。

Release 12.2SRA では、アグリゲーション スキームを設定することによってハードウェア フロー キャッシュにデータを読み込むことができます。このキャッシュには、すべてのレイヤ 3 インターフェイスに対する情報がグローバルに読み込まれます。

MSFC の NetFlow アグリゲーションを設定すると、PFC および DFC の NetFlow アグリゲーションも設定されます (設定方法のリンクについては、「MSFC 上のフローに対する NetFlow アグリゲーションの設定」を参照してください)。

NetFlow アグリゲーションは、NDE バージョン 8 を使用します。


 

インターフェイス単位の NetFlow および NDE

Cisco IOS Release 12.2SRB 以降のリリースでは、インターフェイス単位の NetFlow および NDE 機能により、個々のインターフェイス上で NetFlow をイネーブル化して、それらのインターフェイス上で IPv4 トラフィック フローの統計情報の収集とエクスポートを実行できます。以前は、NetFlow をイネーブルにすると、ルータのすべてのインターフェイスに対して統計情報が収集されていました(グローバル モード)。

以前のリリース(グローバル モード)から Release 12.2SRB(インターフェイス単位モード)にアップグレードする場合、NetFlow をアクティブにするには、個々のインターフェイス上で ip flow ingress コマンドを実行する必要があります。アップグレード プロセスでは、既存のグローバル モード フローマスクが対応するインターフェイス単位の種類に自動的に変換されます(source、destination、および destination-source は destination-source-interface になり、full は full-interface になります)。

Release 12.2SRB から以前のリリースにダウングレードすると、(すべてのルータ インターフェイスに対して統計情報を収集する)グローバル モード動作が再開されますが、12.2SRB フローマスクは有効になったままです。

インターフェイス単位 NetFlow 機能により、NetFlow テーブルの使用率とパフォーマンスが次のように向上します。

重要なフローに対して、NetFlow テーブルのより多くの領域を提供できる。インターフェイス単位 NetFlow を使用すると、NetFlow がイネーブルになっているインターフェイスに対してだけ、テーブル エントリが作成されます。これにより、テーブル内の不要なエントリの数が減少し、重要なフローに対して、より多くの領域を提供できるようになります。以前は、ルータのすべてのインターフェイスに対してテーブルが作成されていました。

NetFlow がイネーブルになっているインターフェイスに対してのみ、テーブル エントリを作成すると、次の理由によってパフォーマンスが向上します。

フローベースのすべての機能(NetFlow、QoS、マルチキャストなど)で NetFlow テーブルが共有される。

NetFlow テーブルがいっぱいになると、NetFlow ショートカットがインストールされず、フロー統計情報(およびアカウンティング情報)が失われる可能性がある。

NDE レコードを Netflow Data Collector(NFC)に高速にエクスポートすることによって NFC に負荷がかかり、重要なアカウンティング データが失われないようにする。統計情報の収集とエクスポートは、特定のインターフェイスに対してだけ行われるため、NFC に送信される NDE レコードの数を管理しやすくなります。

NDE とその他の機能の間で発生する意図しない競合が減少する。

ここでは、インターフェイス単位の NetFlow と NDE、および Release 12.2SRB で導入された NetFlow と NDE に関連するその他の機能について説明します。

「インターフェイス単位の NetFlow と NDE の使用上の注意事項および制限事項」

「インターフェイス単位の NetFlow および NDE の設定」

「インターフェイス単位の NetFlow および NDE の確認」

「IPv6 用 NetFlow バージョン 9」

「VRF インターフェイス上の NDE」

インターフェイス単位の NetFlow と NDE の使用上の注意事項および制限事項

Cisco 7600 ルータでインターフェイス単位の NetFlow および NDE を設定する際には、次の使用上の注意事項および制限事項に従ってください。

Cisco IOS Release 12.2SRB 以降のリリースでサポートされる。

RSP720、Sup720、および Sup32 でサポートされる。

レイヤ 3 インターフェイス上の IPv4 ユニキャストおよびマルチキャスト トラフィックに対してサポートされる。
IPv6 フローに対しては、NetFlow および NDE は、インターフェイス単位モードではなく、グローバル モードで動作する。

(ブリッジされた)レイヤ 2 フローに対して NetFlow および NDE をイネーブルにすると、インターフェイス上の(ルーティングされた)レイヤ 3 フローに対しても自動的に機能がイネーブルになる。インターフェイスに対して NetFlow および NDE をディセーブルにする場合は、レイヤ 2 フローおよびレイヤ 3 フローの機能もディセーブルにする必要がある。L2 フローをディセーブルにするには、 no ip flow ingress layer2-switched を使用する。L3 フローをディセーブルにするには、 no ip flow ingress を使用する。

インターフェイスでインターフェイス単位の NetFlow および QoS マイクロポリシングを設定できる。ただし、インターフェイス上で異なるフロー マスクのタイプを設定しないようにすること。1 つのフロー マスクのタイプだけを、インターフェイス単位の NetFlow およびマイクロフロー ポリシーに設定する必要がある。

Release 12.2SRB 以降のルータでは NDE フロー マスクと QoS フロー マスクがサポートされるが、同じインターフェイス上で両方のフロー マスクを設定することはできない。

NDE とマルチキャスト非 RPF の両方をイネーブルにすると、NDE で統計情報が失われる可能性がある。この潜在的な損失の可能性は、マルチキャスト フローに対して NetFlow と NDE がグローバルにイネーブル化されるために発生する。これは、NetFlow テーブルがオーバーフローする可能性があることを意味する。

インターフェイスで platform ip features sequential コマンドを使用する場合、インターフェイスフル フローマスク機能を設定する必要があります。この機能によって、NDE が正しい統計情報をエクスポートできるようになり、ダブル アカウンティングを回避します。

次の制限事項は、インターフェイス単位モードのフロー マスクに適用される。

個々のインターフェイスに異なる種類のフロー マスクを設定できない。インターフェイス単位の NetFlow または NDE に設定されたすべてのインターフェイスに対して、1 種類のフロー マスクだけがサポートされる。

NDE の場合は、ルーティングされた(L3)NetFlow エントリとブリッジされた(L2)NetFlow エントリの両方に同じフロー マスクが使用される。

送信元フロー マスクと宛先フロー マスクはすべて destination-source-interface として処理され、フル マスクはどちらも full-interface として処理される。フロー マスクの種類については、「フロー マスク」を参照。

「NetFlow および NDE 設定時の注意事項および制約事項」に記載されているすべての注意事項および制限事項が適用される。

インターフェイス単位の NetFlow および NDE の設定

次に、Cisco 7600 ルータでインターフェイス単位の NetFlow および NDE を設定するために従う必要があるステップをまとめます。ステップごとの詳細な手順については、この章の後の項を参照してください。

1. NetFlow 統計情報をエクスポートする場合は、次のコマンドを実行することにより、ルータで NDE をグローバルにイネーブル化します。

configure terminal
ip flow-export destination
ip flow-export version
mls nde sender version
 

2. 次のコマンドを実行して、個々のインターフェイス上で NetFlow をイネーブル化します。

configure terminal
interface
ip flow ingress
 

3. (任意)NetFlow サンプリングを設定するには、次の手順に従います。

a. サンプリングされた NetFlow をルータ上でグローバルにイネーブルにします( 「NetFlow フロー サンプリングの設定」を参照)。

b. 個々のインターフェイスで、サンプリングされた NetFlow をイネーブルにする( mls netflow sampling )。

c. インターフェイスにコンフィギュレーションを適用します( ip flow ingress )。

4. NDE の設定が他の機能(QoS やマルチキャストなど)と競合していないことを確認します。設定を確認するには、 show ip interface コマンドを使用します(「インターフェイス単位の NetFlow および NDE の確認」を参照)。

インターフェイス単位の NetFlow および NDE の確認

インスタンス単位の NetFlow および NDE が適切に設定されていることを確認するには、 show ip interface コマンドを次のように使用します。次のコマンド出力では、NetFlow および NDE の設定情報を示すフィールドは太字で示されています。

Router# show ip interface gig2/9
GigabitEthernet2/9 is up, line protocol is up
Internet address is 10.0.0.1/8
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.5 224.0.0.2 224.0.0.6
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF switching turbo vector
IP Null turbo vector
Associated unicast routing topologies:
Topology "base", operation state is UP
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Probe proxy name replies are disabled
Policy routing is disabled
Network address translation is disabled
BGP Policy Mapping is disabled
Input features: Ingress-NetFlow
Output features: Post-Ingress-NetFlow, HW Shortcut Installation
Post encapsulation features: HW Shortcut Installation
Sampled Netflow is disabled
IP Routed Flow creation is enabled in netflow table
IP Bridged Flow creation is disabled in netflow table
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
IP multicast multilayer switching is disabled

IPv6 用 NetFlow バージョン 9

Cisco IOS Release 12.2SRB では、IPv6 用に NetFlow バージョン 9 のサポートが導入されています。この機能をCisco 7600 ルータで設定する方法の詳細については、次の URL にある Release 12.2SRB の新しい機能に関するマニュアル(機能ガイド)でフィーチャ モジュールの説明を参照してください。

http://www.cisco.com/en/US/products/ps6922/products_feature_guides_list.html

VRF インターフェイス上の NDE

Cisco IOS Release 12.2SRB には、VRF インターフェイス上の NDE のサポートが導入されています。この新機能により、Cisco 7600 ルータは MPLS バーチャル プライベート ネットワーク(VPN)上で IPv4 パケットの NetFlow 統計情報をキャプチャしてエクスポートできます。この場合、ルータは、MPLS ネットワークのエッジでプロバイダー エッジ(PE)ルータとして動作します。

VRF インターフェイス上の NDE の詳細については、次の URL にある Release 12.2SRB の新しい機能に関するマニュアル(機能ガイド)でフィーチャ モジュールの説明を参照してください。

http://www.cisco.com/en/US/products/ps6922/products_feature_guides_list.html

NetFlow および NDE のデフォルト設定

表 52-6 に、NetFlow および NDE のデフォルト設定を示します。

 

表 52-6 NetFlow および NDE のデフォルト設定

機能
デフォルト値

NetFlow

ディセーブル

12.2SRB:IPv4 ユニキャストの場合はインターフェイス単位モード(その他はすべてグローバル モード)
12.2SRA:グローバル モード

NDE

ディセーブル

VRF インターフェイス上の NDE

12.2SRB:ディセーブル

12.2SRA:使用不可

入力ブリッジド IP トラフィックの NetFlow および NDE

ディセーブル

NDE 送信元アドレス

なし。

NDE データ コレクタのアドレスおよび UDP ポート

なし。

NDE フィルタ

なし。

NetFlow マスク

なし。

NetFlow サンプリング

ディセーブル

NetFlow アグリゲーション

ディセーブル

追加の NDE フィールドの読み込み

イネーブル。

NetFlow および NDE 設定時の注意事項および制約事項

NetFlow および NDE を設定する際には、次の注意事項および制約事項に従ってください。

NetFlow および NDE は、NetFlow バージョン 9 でのみ IP マルチキャスト トラフィックをサポートします。それ以外の NetFlow バージョンでは、 show mls ip multicast コマンドを使用することで、IP マルチキャスト トラフィック用の NetFlow 統計情報を表示できます。

Cisco 7600 ルータは、ユニキャスト IP パケットの出力方向の NetFlow をサポートしていません。

すべての PFC(PFC3A を除く)では、ブリッジド IP トラフィックに対する NetFlow および NDE はサポートされません。

NDE は、Internetwork Packet Exchange(IPX)トラフィックをサポートしません。

Policy Feature Card 3(PFC3; ポリシー フィーチャ カード 3)は、ハードウェアでのレイヤ 3 スイッチングに NetFlow テーブルを使用しません。

NetFlow テーブルの使用率が、次の表に示す推奨レベルの使用率を超過すると、統計情報を保管するための十分な領域が不足する確率が高くなります。

 

PFC
推奨される NetFlow テーブルの使用率
NetFlow テーブルの合計容量

PFC3CXL
PFC3BXL

235,520(230 K)エントリ

262,144 エントリ

PFC3C
PFC3B

117,760(115 K)エントリ

131,072 エントリ

PFC3A

65,536(64 K)エントリ

131,072 エントリ

統計情報は、NetFlow テーブルが満杯になるとスイッチングされるフローには使用できません。

Cisco 7600 シリーズ ルータ は、NetFlow テーブルを使用してフローベースの機能に関する情報を保持します。通常、Feature Manager は、フローが着信するラインカード
上でのみ、フローベースの機能用に Netflow テーブル エントリを作成します。しかし、TCP インターセプトはグローバルな機能であるため、ルータは、入力 PFC および DFC だけでなく、取り付けられているすべての PFC および DFC で各 TCP インターセプト フローのエントリを作成します。これは、TCP インターセプト フローが着信する PFC または DFC ではゼロでないパケット カウントが表示され、その他の PFC および DFC ではパケットカウントがゼロになることを意味します (CSCek47971)。

次の IPv4 NetFlow オプションおよび NDE オプションは、IPv6 フローには使用できません(CSCek55571)。

アグリゲーションのサポート( ip flow-aggregation cache コマンド)

レイヤ 2 でスイッチングされた IPv6 フローのエクスポート

Netflow および NDE サンプリング

NDE フィルタのサポート

マルチキャスト NDE の設定時の注意事項

Cisco 7600でマルチキャスト NDE を設定する際には、次の注意事項に従ってください。

Release 12.2SRB 以降のリリースでは、マルチキャスト NDE と QoS マイクロフロー ポリシングの両方を同じインターフェイス上で設定できません。ただし、異なるインターフェイス上では、これらの機能を設定できます。

マルチキャスト NDE を設定するには、 ip flow ingress コマンドと ip multicast netflow ingress コマンドの両方を実行します。 ip multicast netflow ingress コマンドは、デフォルトでイネーブルに設定されています。

Release 12.2SRB 以降のリリース

Release 12.2SRB 以降のルータは、IPv4 トラフィックに対して、インターフェイス単位モードの NetFlow および NDE だけをサポートしています。IPv6 フローに対しては、NetFlow および NDE は引き続きグローバル モードで動作します。

インターフェイス単位の NetFlow と NDE、およびその注意事項と制限事項の詳細については、「インターフェイス単位の NetFlow および NDE」を参照してください。

NetFlow と NDE の設定

ここでは、NetFlow および NDE の設定手順について説明します。

「PFC 上のフローに対する NetFlow および NDE の設定」

「MSFC 上のフローに対する NetFlow および NDE の設定」

「入力ブリッジド IP トラフィックに対する NetFlow および NDE のイネーブル化」

「NDE アドレスおよびポートの設定の表示」

「NDE フロー フィルタの設定」

「NDE の設定の表示」


) • PFC 上の NDE および MSFC 上の NDE をサポートするには、MSFC レイヤ 3 インターフェイスで NetFlow をイネーブルにする必要があります。

PFC で NDE をサポートするには、MSFC 上の NDE をイネーブルにする必要があります。

インターフェイスで Network Address Translation(NAT; ネットワーク アドレス変換)および NDE を設定する場合、PFC はフラグメント化されたパケット内のトラフィックをすべて MSFC に送信して、ソフトウェアで処理させます (CSCdz51590)。


 


) 同じインターフェイス上で NDE と NAT を設定することはサポートされません。NDE では、統計情報をエクスポートするためにフローが定期的に期限切れになる必要があります。NAT は、期限切れにならないハードウェア ショートカットをインストールします。したがって、NAT されたフローの NDE は正しく動作しません。


PFC 上のフローに対する NetFlow および NDE の設定

ここでは、PFC 上のフローに対して NetFlow および NDE を設定する手順について説明します。

「PFC 上のフローに対する NetFlow の設定」

「NDE のイネーブル化」

PFC での NetFlow のイネーブル化(Release 12.2SRA)

Release 12.2SRA で PFC 上のフローに対して NetFlow 統計情報収集をイネーブルにするには、次の作業を行います。
Release 12.2SRB 以降のリリースでの NetFlow のイネーブル化の詳細については、次の項を参照してください。

 

コマンド
目的

Router(config)# mls netflow

 

PFC の NetFlow をイネーブルにします。

Router(config)# no mls netflow

PFC の NetFlow をディセーブルにします。

次に、NetFlow 統計情報収集をイネーブルにする例を示します。

Router(config)# mls netflow

インターフェイス単位の NetFlow のイネーブル化(Release 12.2SRB 以降)

Release 12.2SRA 以降のリリースで PFC 上のフローに対して NetFlow 統計情報収集をイネーブルにするには、次の作業を行います。NetFlow および NDE のインターフェイス単位モードでのルータの動作の詳細については、「インターフェイス単位の NetFlow および NDE」を参照してください。コマンド構文の詳細については、この章の最初に記載されているコマンド リファレンスを参照してください。

 

コマンド
目的

Router(config)# mls flow ip

NetFlow エントリに使用するフロー マスクを設定します。

Router(config)# interface interface

NetFlow をイネーブルにするインターフェイスを選択します。

Router(config-if)# [ no ] ip flow ingress

レイヤ 3 インターフェイス上で NetFlow をイネーブルにします。機能をイネーブルにする各インターフェイス上でコマンドを実行します。

インターフェイス上で NetFlow および NDE をディセーブルにするには、コマンドの no 形式を使用します。

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

Router(config)# mls nde sender

 

Router(config)# ip flow-export destination { hostname | ip-address } udp-port

(任意)NDE をイネーブルにします。NetFlow 統計情報をエクスポートする場合は、これらのコマンドを実行します。

NetFlow 統計情報の送信先の外部ホスト(名前または IP アドレス)およびポートを指定します。

Router(config)# mls nde sender

(任意)NDE をイネーブルにします。NetFlow 統計情報をエクスポートする場合は、このコマンドを使用します。

Router(config)# ip flow-export destination { hostname | ip-address } udp-port

(任意)NetFlow 統計情報のエクスポート先の外部ホストのホスト名または IP アドレスと、統計情報の送信先のポートを指定します。

Router(config)# show ip interface interface

指定したインターフェイスの設定を表示します。設定を調べ、NDE の設定が他の機能(QoS やマルチキャストなど)と競合していないことを確認します(「インターフェイス単位の NetFlow および NDE の確認」を参照)。

NetFlow フロー サンプリングの設定

ここでは、PFC でサンプリングされた NetFlow を設定する手順について説明します。

「NetFlow フロー サンプリングのグローバルな設定(Release 12.2SRB および Release 12.2SRA)」

「インターフェイス単位モードの NetFlow フロー サンプリングの設定(Release 12.2SRB)」

「レイヤ 3 インターフェイス上での NetFlow フロー サンプリングの設定(Release 12.2SRA)」


) MSFC 上の NDE は、NetFlow フロー サンプリングをサポートしません。


NetFlow フロー サンプリングのグローバルな設定(Release 12.2SRB および Release 12.2SRA)

Release 12.2SRB および Release 12.2SRA で、サンプリングされた NetFlow フローをグローバルに設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# mls sampling { time-based rate | packet-based rate [ interval ]}

サンプリングされた NetFlow をイネーブルにし、レートを設定します。パケットベースのサンプリングについては、任意でエクスポート インターバルを設定します。

Router(config)# no mls sampling

サンプリングされた NetFlow の設定を消去します。

ステップ 2

Router(config)# end

コンフィギュレーション モードを終了します。

グローバルにサンプリングされた NetFlow を設定する場合、次の点に注意してください。

rate に対する有効な値は、64、128、256、512、1024、2048、4096、および 8192 です。

パケットベースのエクスポート interval の有効値は 8,000 ~ 16,000 です。

Release 12.2SRA の任意のデータをエクスポートするには、レイヤ 3 インターフェイス上でサンプリングされた NetFlow を設定する必要もあります。

詳細については、「NetFlow サンプリング」を参照してください。

インターフェイス単位モードの NetFlow フロー サンプリングの設定(Release 12.2SRB)

Release 12.2SRB 以降のリリースでは、次の例のように、サンプリングされた NetFlow をグローバルにイネーブルにするか、個々のインターフェイス上でイネーブルにする必要があります。

この例では、 mls sampling は、サンプリングされた NetFlow をグローバルにイネーブルにします。また、 mls netflow sampling は、サンプリングされた NetFlow をインターフェイス(この例では、ファスト イーサネット ポート 5/12)上でイネーブルにします。

Router# configure terminal
Router(config)# mls sampling packet-based 64
Router(config)# interface fastethernet 5/12
Router(config-if)# mls netflow sampling
Router(config)# end
Router#

レイヤ 3 インターフェイス上での NetFlow フロー サンプリングの設定(Release 12.2SRA)

Release 12.2SRA では、full-interface フロー マスクまたは destination-source-interface フロー マスクを使用して、個々のレイヤ 3 インターフェイスでサンプリングされた NetFlow をイネーブルまたはディセーブルにできます。その他すべてのフロー マスクでは、サンプリングされた NetFlow はグローバルにイネーブルまたはディセーブルになります。

Release 12.2SRA で、レイヤ 3 インターフェイス上でサンプリングされた NetFlow を設定するには、サンプリングされた NetFlow がグローバルにイネーブルになっていることを確認してから、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface { vlan vlan_ID | type slot/port }

設定するレイヤ 3 インターフェイスを指定します。

(注) レイヤ 3 インターフェイスは IP アドレスで設定する必要があります。

ステップ 2

Router(config-if)# mls netflow sampling

レイヤ 3 インターフェイス上でサンプリングされた NetFlow をイネーブルにします。

Router(config-if)# no mls netflow sampling

レイヤ 3 インターフェイス上でサンプリングされた NetFlow をディセーブルにします。

ステップ 3

Router(config)# end

コンフィギュレーション モードを終了します。

次に、ファスト イーサネット ポート 5/12 でサンプリングされた NetFlow をイネーブルにする例を示します。

Router# configure terminal
Router(config)# interface fastethernet 5/12
Router(config-if)# mls netflow sampling
Router(config)# end
Router#

PFC 上のフローに対する NetFlow アグリゲーションの設定

MSFC に対して NetFlow アグリゲーションを設定すると、PFC および DFC 上のフローに対して NetFlow アグリゲーションが自動的に設定されます(「MSFC 上のフローに対する NetFlow アグリゲーションの設定」を参照)。

PFC または DFC の NetFlow アグリゲーション キャッシュ情報を表示するには、次の作業を行います。

 

コマンド
目的

Router # show ip cache flow aggregation { as | destination-prefix | prefix | protocol-port | source-prefix ) module slot_num

NetFlow アグリゲーション キャッシュ情報を表示します。

Router # show mls netflow aggregation flowmask

NetFlow アグリゲーション フロー マスク情報を表示します。このコマンドは、Release 12.2SRA でのみ使用できます。Release 12.2SRB では使用できません。


) PFC および DFC では、NetFlow ToS ベースのルータ アグリゲーションをサポートしません。


次に、NetFlow アグリゲーション キャッシュ情報を表示する例を示します。

Router# show ip cache flow aggregation destination-prefix module 1
IPFLOW_DST_PREFIX_AGGREGATION records and statistics for module :1
IP Flow Switching Cache, 278544 bytes
2 active, 4094 inactive, 6 added
236 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
Dst If Dst Prefix Msk AS Flows Pkts B/Pk Active
Gi7/9 9.1.0.0 /16 0 3003 12M 64 1699.8
Gi7/10 11.1.0.0 /16 0 3000 9873K 64 1699.8
Router#
 

次に、NetFlow アグリゲーション フロー マスク情報を表示する例を示します(Release 12.2SRA のみ)。

Router# show mls netflow aggregation flowmask
Current flowmask set for netflow aggregation : Vlan Full Flow
Netflow aggregations configured/enabled :
AS Aggregation
PROTOCOL-PORT Aggregation
SOURCE-PREFIX Aggregation
DESTINATION-PREFIX Aggregation
Router#

最小 IP MLS フロー マスクの設定(Release 12.2SRA のみ)

PFC の NetFlow キャッシュに対するフロー マスクの最小特性を設定できます(「フロー マスク」を参照)。使用する実際のフロー マスクには、 mls flow ip コマンドで設定された最小の特性が備わっています。


) この作業は、interface-destination-source フロー マスクと interface-full flow フロー マスクだけがサポートされる Release 12.2SRB には適用できません。


最小 IP フロー マスクを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# mls flow ip { source | destination | destination-source | interface-destination-source | full | interface-full }

プロトコルに最小 IP フロー マスクを設定します。

Router(config)# no mls flow ip

デフォルトの IP フロー マスクに戻します(ヌル)。

次に、最小 IP フロー マスクを設定する例を示します。

Router(config)# mls flow ip destination
 

IP フロー マスクの設定を表示するには、次の作業を行います。

 

コマンド
目的

Router# show mls netflow flowmask

フロー マスクの設定を表示します。

次に、MLS フロー マスクの設定を表示する例を示します。

Router# show mls netflow flowmask
current ip flowmask for unicast: destination address
Router#

MLS エージング タイムの設定

MLS エージング タイム(デフォルトは 300 秒)は、すべての NetFlow キャッシュ エントリに適用されます。normal エージング タイムは、32 ~ 4092 秒の範囲で設定できます。フローは、設定されたインターバルより 4 秒早く、または 4 秒遅く経過する場合があります。フローは、平均して設定値の 2 秒以内に経過します。

ルーティングの変更またはリンク ステートの変化など、エージング以外のイベントによって MLS エントリが削除される場合があります。


) MLS エントリの数が推奨使用率(「NetFlow および NDE 設定時の注意事項および制約事項」を参照)を超えると、一部のフローで隣接統計情報しか使用できなくなる場合があります。


NetFlow キャッシュ サイズが推奨使用率を超えないように維持するには、mls aging コマンドを使用する際、次のパラメータをイネーブルにします。

normal:期限切れとなり、fast エージングまたは long エージングの対象外のエントリが削除されるまでの待機時間を設定します。

fast aging:わずかな数のパケットしかスイッチングせず、そのあと再び使用されることのないフローに対して作成されるエントリを、効率的に期限切れにするためのプロセスを設定します。fast aging パラメータは、time キーワード値を使用して、各フローについて最低でも threshold キーワード値で指定される数のパケットがスイッチングされているかどうかを調べます。time で指定される時間内に threshold で指定される数のパケットをスイッチングしていないフローについては、このエントリが期限切れになります。

long:常時使用されているエントリを削除するためのエージング タイムを設定します。long エージングは、不正確な統計情報の原因となるカウンタ ラップアラウンドを防止するために使用します。

削除される一般的なキャッシュ エントリは、ドメイン ネーム サーバ(DNS)または TFTP サーバとやりとりするフローに対するエントリです。このエントリは作成後に再び使用されることはありません。PFC は、これらのエントリを検出し期限切れにする場合、他のデータ用に NetFlow キャッシュのスペースを節約します。

MLS fast エージング タイムをイネーブルにすることが必要な場合は、最初は 128 秒に設定してください。NetFlow キャッシュ サイズが増え続け、推奨使用率を超えた場合は、キャッシュ サイズが推奨使用率未満になるまで設定値を下げます。キャッシュが増え続け、推奨使用率を超えた場合は、normal MLS エージング タイムを短くします。

MLS エージング タイムを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# mls aging {fast [threshold { 1-128 } | time { 1-128 }] | long 64-1920 | normal 32-4092 }

NetFlow キャッシュ エントリの MLS エージング タイムを設定します。

Router(config)# no mls aging fast

fast aging をディセーブルにします。

Router(config)# no mls aging {long | normal}

デフォルトの MLS エージング タイムに戻します。

次に、MLS エージング タイムを設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# mls aging fast threshold 64 time 30
 

MLS エージング タイムの設定を表示するには、次の作業を行います。

 

コマンド
目的

Router# show mls netflow aging

MLS エージング タイムの設定を表示します。

次に、MLS エージング タイムの設定を表示する例を示します。

Router# show mls netflow aging
enable timeout packet threshold
------ ------- ----------------
normal aging true 300 N/A
fast aging true 32 100
long aging true 900 N/A

NDE のイネーブル化

Release 12.2SRA および Release 12.2 SRB では、次の操作を実行して NDE をグローバルにイネーブル化できます。

 

コマンド
目的

Router(config)# mls nde sender [ version { 5 | 7 }]

PFC 上のフローに対して NDE をイネーブルにし、(任意で)NDE バージョンを設定します。データのエクスポート先の NetFlow コレクタと一致する NDE バージョンを指定します。

Router(config)# ip flow-export destination { hostname | ip-address } udp-port

識別します。

Router(config)# no mls nde sender

PFC 上のフローに対して NDE をディセーブルにします。

Router(config)# no mls nde sender version

デフォルト値に戻します(バージョン 7)。


) • PFC の NDE では、MSFC 用に設定された送信元インターフェイスを使用します(「MSFC NDE 送信元レイヤ 3 インターフェイスの設定」を参照)。

NetFlow バージョン 9 がサポートされます。次の資料を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123_1/nfv9expf.htm


 

次に、PFC 上のフローに対して NDE をグローバルにイネーブルにする例を示します。

Router(config)# mls nde sender
 

次に、PFC に対して NDE をグローバルにイネーブルにし、NDE バージョン 5 を設定する例を示します。

Router(config)# mls nde sender version 5

MSFC 上のフローに対する NetFlow および NDE の設定

ここでは、次の URL に記載されている NetFlow 手順について補足します。

http://www.cisco.com/en/US/docs/ios/12_2/switch/configuration/guide/xcfnfc.html

ここでは、MSFC 上で NDE を設定する手順について説明します。

「MSFC 上のフローに対する NetFlow のイネーブル化」

「MSFC 上のフローに対する NetFlow アグリゲーションの設定」

「MSFC NDE 送信元レイヤ 3 インターフェイスの設定」

「NDE の宛先の設定」

MSFC 上のフローに対する NetFlow のイネーブル化

Release 12.2SRB 以降のリリースでは、インターフェイス上で NetFlow をイネーブルにすると( ip flow ingress )、そのインターフェイス上で NDE が自動的にイネーブルになります。ただし、NDE が動作するためには、NDE をグローバルにイネーブルにして、統計情報のエクスポート先を指定する必要があります( mls nde sender および ip flow-export destination )。

Release 12.2SRA では、NDE をイネーブルにする各レイヤ 3 インターフェイスに対して次の作業を行うことにより、MSFC 上の NetFlow をイネーブルにします。

 

コマンド
目的

ステップ 1

Router(config)# interface { vlan vlan_ID } | { type slot/port } | { port-channel port_channel_number }

設定するレイヤ 3 インターフェイスを選択します。

ステップ 2

Router(config-if)# ip flow ingress

NetFlow をイネーブルにします。

Router(config-if)# ip route-cache flow

MSFC 上のフローに対する NetFlow アグリゲーションの設定

MSFC 上のフローに対して NetFlow アグリゲーションを設定するには、次の URL の項「Configuring an Aggregation Cache」の手順を実行します。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fswtch_c/swprt2/xcfnfc.htm#wp1001058


) • MSFC の NetFlow アグリゲーションを設定すると、PFC および DFC の NetFlow アグリゲーションが自動的に設定されます

Release 12.2SRB では、ハードウェア フロー キャッシュにデータが読み込まれるように、個々のインターフェイス上で NetFlow をイネーブルにする必要があります。これにより、NetFlow がイネーブルになっているインターフェイスからのみ、キャッシュにフローが読み込まれます。

Release 12.2SRA では、アグリゲーション スキームを設定することによってハードウェア フロー キャッシュにデータを読み込むことができます。このキャッシュには、すべての L3 インターフェイスに対する情報がグローバルに読み込まれます。


 

MSFC に対して NetFlow ToS ベースのルータ アグリゲーションを設定するには、次の URL の手順を実行します。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s15/dtnfltos.htm


) PFC および DFC では、NetFlow ToS ベースのルータ アグリゲーションをサポートしません。


MSFC NDE 送信元レイヤ 3 インターフェイスの設定

MSFC からの統計情報を含む NDE パケットの送信元として使用されるレイヤ 3 インターフェイスを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# ip flow-export source {{ vlan vlan_ID } | { type slot/port } | { port-channel number } | { loopback number }}

MSFC からの統計情報を含む NDE パケットの送信元として使用されるインターフェイスを設定します。

Router(config)# no ip flow-export source

NDE 送信元インターフェイスの設定を消去します。

MSFC NDE 送信元レイヤ 3 インターフェイスを設定する場合、次の点に注意してください。

IP アドレスが設定されているインターフェイスを選択する必要があります。

ループバック インターフェイスを使用できます。

次に、ループバック インターフェイスを NDE フロー送信元として設定する例を示します。

Router(config)# ip flow-export source loopback 0
Router(config)#

NDE の宛先の設定

NDE 統計情報を受信するように宛先 IP アドレスおよび UDP ポートを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# ip flow-export destination ip_address udp_port_number

NDE の宛先 IP アドレスおよび UDP ポートを設定します。

Router(config)# no ip flow-export destination ip_address udp_port_number

NDE の宛先の設定を消去します。


Netflow の複数のエクスポート先:冗長 NDE データ ストリームを設定し、完全な Netflow データが受信される確率を高めるには、ip flow-export destination コマンドを 2 回入力し、それぞれのコマンドで別の宛先 IP アドレスを設定します。Netflow の複数のエクスポート先機能は、次のハードウェアでサポートされます。

PFC3


 

次に、NDE フローの宛先 IP アドレスおよび UDP ポートを設定する例を示します。

Router(config)# ip flow-export destination 172.20.52.37 200

) 宛先アドレスおよび UDP ポート番号は NVRAM に保存され、NDE をディセーブルにして再びイネーブルにした場合、またはルータの電源をオフ/オンした場合にも、削除されずに残ります。データ収集に NetFlow FlowCollector アプリケーションを使用する場合は、設定した UDP ポート番号が、FlowCollector の /opt/csconfc/config/nfconfig.file ファイルに示されているポート番号と同じであることを確認してください。


入力ブリッジド IP トラフィックに対する NetFlow および NDE のイネーブル化

すべての PFC(PFC3A を除く)では、入力ブリッジド IP トラフィックに対する NetFlow および NDE はサポートされません。ここでは、入力ブリッジド IP トラフィックに対して NetFlow および NDE をイネーブルにする手順について説明します。

「VLAN 上の入力ブリッジド IP トラフィックに対する NetFlow のイネーブル化」

「VLAN 上の入力ブリッジド IP トラフィックに対する NDE のイネーブル化」


) • 入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにすると、サンプリングされた NefFlow 機能によってこの統計情報を使用できます(「NetFlow サンプリング」を参照)。

ブリッジド IP トラフィックに対して NetFlow および NDE をイネーブルにする各 VLAN に対して、対応する VLAN インターフェイスを作成し、IP アドレスを割り当て、 no shutdown コマンドを実行してそのインターフェイスを起動する必要があります。

NDE がグローバルにイネーブルになっている限り、VLAN 上でブリッジド IP トラフィックに対して NetFlow をイネーブルにすると、ブリッジド トラフィックのエクスポートがデフォルトでイネーブルに設定されます。


 

VLAN 上の入力ブリッジド IP トラフィックに対する NetFlow のイネーブル化

VLAN 上の入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにするには、次の作業を行います。

 

コマンド
目的

Router(config)# ip flow ingress layer2-switched vlan vlan_ID [- vlan_ID ] [ , vlan_ID [- vlan_ID ]]

指定の VLAN 上での入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにします。

コマンドを使用して、PFC 上で NetFlow をイネーブルにする必要があります。

Router(config)# no ip flow ingress layer2-switched vlan vlan_ID [- vlan_ID ] [ , vlan_ID [- vlan_ID ]]

指定の VLAN 上での入力ブリッジド IP トラフィックに対して NetFlow をディセーブルにします。

次に、VLAN 200 上の入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにする例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip flow ingress layer2-switched vlan 200

VLAN 上の入力ブリッジド IP トラフィックに対する NDE のイネーブル化

VLAN 上の入力ブリッジド IP トラフィックに対して NDE をイネーブルにするには、次の作業を行います。

 

コマンド
目的

Router(config)# ip flow export layer2-switched vlan vlan_ID [- vlan_ID ] [ , vlan_ID [- vlan_ID ]]

指定の VLAN 上の入力ブリッジド IP トラフィックに対して NDE をイネーブルにします( ip flow ingress layer2-switched vlan コマンドを入力するとデフォルトでイネーブル化されます)。

コマンドを使用して、PFC 上で NDE をイネーブルにする必要があります。

Router(config)# no ip flow export layer2-switched vlan vlan_ID [- vlan_ID ] [ , vlan_ID [- vlan_ID ]]

指定の VLAN 上での入力ブリッジド IP トラフィックに対して NDE をディセーブルにします。

次に、VLAN 200 上の入力ブリッジド IP トラフィックに対して NDE をイネーブルにする例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip flow export layer2-switched vlan 200

NDE アドレスおよびポートの設定の表示

NDE アドレスおよびポートの設定を表示するには、次の作業を行います。

 

コマンド
目的

Router# show mls nde

NDE エクスポート フローの IP アドレスおよび UDP ポートの設定を表示します。

Router# show ip flow export

NDE エクスポート フローの IP アドレス、UDP ポート、および NDE 送信元インターフェイスの設定を表示します。

次に、NDE エクスポート フローの送信元 IP アドレス、および UDP ポートの設定を表示する例を示します。

Router# show mls nde
Netflow Data Export enabled
Exporting flows to 10.34.12.245 (9999)
Exporting flows from 10.6.58.7 (55425)
Version: 7
Include Filter not configured
Exclude Filter is:
source: ip address 11.1.1.0, mask 255.255.255.0
Total Netflow Data Export Packets are:
49 packets, 0 no packets, 247 records
Total Netflow Data Export Send Errors:
IPWRITE_NO_FIB = 0
IPWRITE_ADJ_FAILED = 0
IPWRITE_PROCESS = 0
IPWRITE_ENQUEUE_FAILED = 0
IPWRITE_IPC_FAILED = 0
IPWRITE_OUTPUT_FAILED = 0
IPWRITE_MTU_FAILED = 0
IPWRITE_ENCAPFIX_FAILED = 0
Netflow Aggregation Enabled
source-prefix aggregation export is disabled
destination-prefix aggregation exporting flows to 10.34.12.245 (9999)
10.34.12.246 (9909)
exported 84 packets, 94 records
prefix aggregation export is disabled
Router#
 

次に、NDE エクスポート フローの IP アドレス、UDP ポート、および NDE 送信元インターフェイスの設定を表示する例を示します。

Router# show ip flow export
Flow export is enabled
Exporting flows to 172.20.52.37 (200)
Exporting using source interface FastEthernet5/8
Version 1 flow records
0 flows exported in 0 udp datagrams
0 flows failed due to lack of export packet
0 export packets were sent up to process level
0 export packets were dropped due to no fib
0 export packets were dropped due to adjacency issues
Router#

NDE フロー フィルタの概要

デフォルトでは、フィルタを設定しない限り、すべての期限切れフローがエクスポートされます。フィルタを設定すると、期限切れになって消去されたフローのうち、指定されたフィルタ基準に合うフローだけがエクスポートされます。フィルタ値は NVRAM に保存され、NDE をディセーブルにしても削除されません。

NDE フロー フィルタの設定を表示するには、show mls nde コマンドを使用します(「NDE の設定の表示」を参照)。

ポート フロー フィルタの設定

宛先または送信元のポート フロー フィルタを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# mls nde flow { exclude | include } { dest-port number | src-port number }

NDE フローのポート フロー フィルタを設定します。

Router(config)# no mls nde flow { exclude | include }

ポート フロー フィルタの設定を消去します。

次に、宛先ポート 23 への期限切れフローだけがエクスポートされるように、ポート フロー フィルタを設定する例を示します(フロー マスクは full に設定されているものと想定します)。

Router(config)# mls nde flow include dest-port 23
Router(config)#

ホストおよびポート フロー フィルタの設定

ホストおよび TCP/UDP ポート フロー フィルタを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# mls nde flow { exclude | include } { destination ip_address mask | source ip_address mask { dest-port number | src-port number }}

NDE フローのホストおよびポート フロー フィルタを設定します。

Router(config)# no mls nde flow { exclude | include }

ポート フロー フィルタの設定を消去します。

次に、ホスト 171.69.194.140 から宛先ポート 23 への期限切れフローだけがエクスポートされるように、送信元ホストおよび宛先 TCP/UDP ポート フロー フィルタを設定する例を示します(フロー マスクは ip-flow に設定されているものと想定します)。

Router(config)# mls nde flow include source 171.69.194.140 255.255.255.255 dest-port 23

ホスト フロー フィルタの設定

宛先または送信元のホスト フロー フィルタを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# mls nde flow { exclude | include } { destination ip_address mask | source ip_address mask | protocol { tcp { dest-port number | src-port number } | udp { dest-port number | src-port number }}

NDE フローのホスト フロー フィルタを設定します。

Router(config)# no mls nde flow { exclude | include }

ポート フィルタの設定を消去します。

次に、ホスト 172.20.52.37 へのフローだけが含まれてエクスポートされるように、ホスト フロー フィルタを設定する例を示します。

Router(config)# mls nde flow include destination 172.20.52.37 255.255.255.255
Router(config)#

プロトコル フロー フィルタの設定

プロトコル フロー フィルタを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# mls nde flow { exclude | include } protocol { tcp { dest-port number | src-port number } | udp { dest-port number | src-port number }}

NDE フローのプロトコル フロー フィルタを設定します。

Router(config)# no mls nde flow { exclude | include }

ポート フィルタの設定を消去します。

次に、宛先ポート 35 からの期限切れフローだけがエクスポートされるように、TCP プロトコル フロー フィルタを設定する例を示します。

Router(config)# mls nde flow include protocol tcp dest-port 35
Router(config)#
 

NDE フロー フィルタのステータスを表示するには、show mls nde コマンドを使用します(「NDE の設定の表示」を参照)。

プロトコル フロー フィルタを設定するための使用上のガイドライン

NetFlow データ エクスポート フィルタを設定する場合は、次の制約事項と使用上のガイドラインに従ってください。

フロー エクスポートを追加または除外するためのフィルタは 1 つしかサポートされません。フロー エクスポート設定は、送信元 IP、宛先 IP、送信元ポート、宛先ポート、およびプロトコルに基づきます。

次の例で示すように、フィルタ パラメータを個別に設定すると、最後のフィルタが、設定されたすべてのフィルタ値で構成されます。

Router(config)#mls nde flow include src-port 100
Router#sh run | I mls nde flow
mls nde flow include protocol tcp src-port 100
Router(config)#mls nde flow include dest-port 200
Router#sh run | I mls nde flow
mls nde flow include protocol tcp src-port 100 dest-port 200
Router#

次の例に示すように、フィルタを新しい値で設定し直すと、古い値が上書きされます。

Router(config)#mls nde flow include dest-port 200
Router#sh run | I mls nde flow
mls nde flow include dest-port 200
Router(config)#mls nde flow include dest-port 500
Router#sh run | I mls nde flow
mls nde flow include dest-port 500

NDE の設定の表示

NDE の設定を表示するには、次の作業を行います。

 

コマンド
目的

Router# show mls nde

NDE の設定を表示します。

次に、NDE の設定を表示する例を示します。

Router# show mls nde
Netflow Data Export enabled
Exporting flows to 10.34.12.245 (9988) 10.34.12.245 (9999)
Exporting flows from 10.6.58.7 (57673)
Version: 7
Include Filter not configured
Exclude Filter not configured
Total Netflow Data Export Packets are:
508 packets, 0 no packets, 3985 records
Total Netflow Data Export Send Errors:
IPWRITE_NO_FIB = 0
IPWRITE_ADJ_FAILED = 0
IPWRITE_PROCESS = 0
IPWRITE_ENQUEUE_FAILED = 0
IPWRITE_IPC_FAILED = 0
IPWRITE_OUTPUT_FAILED = 0
IPWRITE_MTU_FAILED = 0
IPWRITE_ENCAPFIX_FAILED = 0
Netflow Aggregation Enabled
Router#