Cisco IOS NetFlow コンフィギュレーション ガイド
NetFlow レイヤ 2 およびセキュリティ モニタ リング エクスポート
NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート
発行日;2012/02/04 | 英語版ドキュメント(2011/06/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート

機能情報の検索

この章の構成

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの前提条件

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの制約事項

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの情報

NetFlow レイヤ 2 およびセキュリティ モニタリング

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 3 情報のキャプチャ

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 2 情報のキャプチャ

NBAR データ エクスポート

NBAR NetFlow 統合の利点

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定方法

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定

前提条件

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認

制約事項

NetFlow エクスポートの NBAR サポートの設定

前提条件

制約事項

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定例

シミュレートされた FTP 攻撃を分析する NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定および使用方法:例

シミュレートされた ICMP ping 攻撃を分析する NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定および使用方法:例

NetFlow エクスポートの NBAR サポートの設定:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

の機能情報

用語集

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能では、NetFlow で値をキャプチャ可能なフィールドの数が増えることにより、Denial of Service(DoS)攻撃などのネットワークの脅威を検出し、分析する能力が強化されます。

NetFlow は、ルータを通過するパケットの統計情報が得られる Cisco IOS テクノロジーです。NetFlow は、IP ネットワークから IP 運用データを取得するための規格です。NetFlow は、ネットワークとセキュリティのモニタリング、ネットワーク プランニング、トラフィック分析、および IP アカウンティングを提供します。

機能情報の検索

ご使用のソフトウェア リリースによっては、この章に記載されている機能の中に、一部サポートされていないものがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの機能情報」を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの前提条件

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを設定する前に、NetFlow アカウンティングを理解し、NetFlow を使用して IP トラフィックのアカウンティングおよび統計情報をキャプチャするためのルータの設定方法を理解する必要があります。詳細については、「 Cisco IOS NetFlow Overview 」および「 Configuring NetFlow and NetFlow Data Export 」を参照してください。

NetFlow および Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)、distributed CEF(dCEF; 分散 CEF)、またはファースト スイッチングをご使用のシステム上で設定する必要があります。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの制約事項

NetFlow レイヤ 2 およびセキュリティ モニタリング機能でキャプチャされたデータをエクスポートするには、NetFlow バージョン 9 データ エクスポート フォーマットを使用するように NetFlow を設定する必要があります。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの情報

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを設定するには、次の概念を理解する必要があります。

「NetFlow レイヤ 2 およびセキュリティ モニタリング」

「NBAR データ エクスポート」

NetFlow レイヤ 2 およびセキュリティ モニタリング

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でサポートされるレイヤ 2 およびレイヤ 3 フィールドにより、ネットワーク内のトラフィックについて NetFlow で取得できる情報量が拡大します。トラフィック エンジニアリングや使用量ベースの課金などのアプリケーションにこの新しい情報を使用できます。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能で値がキャプチャされるレイヤ 3 IP ヘッダー フィールドは、次のとおりです。

Time-to-Live(TTL; 存続可能時間)フィールド

パケット長フィールド

ID フィールド

ICMP のタイプとコードのフィールド

フラグメント オフセット

これらのレイヤ 3 フィールドの詳細については、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 3 情報のキャプチャを参照してください。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能で値がキャプチャされるレイヤ 2 フィールドは、次のとおりです。

NetFlow ルータで受信されるフレームの送信元 MAC アドレス フィールド

NetFlow ルータから送信されるフレームの宛先 MAC アドレス フィールド

NetFlow ルータで受信されるフレームの VLAN ID フィールド

NetFlow ルータから送信されるフレームの VLAN ID フィールド

これらのレイヤ 2 フィールドの詳細については、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 2 情報のキャプチャを参照してください。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャされるレイヤ 3 フィールドは、DoS 攻撃を識別する NetFlow の機能を強化します。NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャされるレイヤ 2 フィールドは、DoS 攻撃に使用されているネットワーク内のパスを特定するのに役立ちます。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャされるレイヤ 2 およびレイヤ 3 フィールドは、キー フィールドではありません。これらからは、既存のフロー内のトラフィックに関する追加情報が得られます。送信元 IP アドレスなどの NetFlow キー フィールドの値がパケット間で変化すると、新しいフローが作成されます。たとえば、NetFlow でキャプチャされた最初のパケットの送信元 IP アドレスが 10.34.0.2 で、次にキャプチャされたパケットの送信元 IP アドレスが 172.16.213.65 の場合、NetFlow によって 2 つの異なるフローが作成されます。

多くの DoS 攻撃では、攻撃者は、ターゲットのシステムを過負荷状態にするために、同じタイプの IP データグラムを繰り返し送信します。そうした場合の多くでは、着信トラフィックに類似した特徴が表れ、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャ可能な 1 つ以上のフィールドが各データグラムで同じ値になったりします。

多くの DoS 攻撃では、トラフィックを送信しているデバイスの送信元 IP アドレスが偽造されているため、発信者を特定することは容易ではありません。しかし、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を使用して MAC アドレスと VLAN-ID のフィールドをキャプチャすることにより、そのトラフィックが着信するルータまでネットワーク内を簡単にトレース バックできます。トラフィックが着信するルータで NetFlow がサポートされている場合は、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能をそのルータに設定して、トラフィックが着信するインターフェイスを特定できます。図 1 に、進行中の攻撃の例を示します。

図 1 インターネット経由の DoS 攻撃

 


) NetFlow でキャプチャされたデータは、ルータから show ip cache verbose flow コマンドを使用して直接分析するか、CNS NetFlow Collector Engine によって分析できます。


NetFlow フロー内のレイヤ 3 フィールドの分析から DoS 攻撃が行われているという結論に達した場合は、フロー内のレイヤ 2 フィールドを分析して、DoS 攻撃に使用されているネットワーク内のパスを検出できます。

図 1 に示したシナリオでは、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャされたデータを分析すると、アップストリームの MAC アドレスが、ルータ C をスイッチ A に接続するインターフェイスのものであることから、DoS 攻撃がルータ C に着信していることがわかります。さらに、NetFlow ルータが電子メール サーバに転送している DoS トラフィックの宛先 MAC アドレスが電子メール サーバの MAC アドレスであることから、ターゲット ホスト(電子メール サーバ)と NetFlow ルータの間にルータが存在しないこともわかります。

ホスト C がトラフィックをルータ C に送信するために使用している MAC アドレスは、ルータ C 上で NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を設定することにより判明します。送信元 MAC アドレスは、ホスト C からのものとなります。宛先 MAC アドレスは、NetFlow ルータ上のインターフェイスのものとなります。

ホスト C が使用している MAC アドレスと、ルータ C 上でホスト C の DoS 攻撃が着信しているインターフェイスが判明すれば、ホスト C のトラフィックをブロックするようにルータ C を再設定することにより、攻撃を軽減できます。ホスト C が専用インターフェイス上にある場合は、そのインターフェイスをディセーブルにします。ホスト C が使用しているインターフェイスで他のユーザからのトラフィックも伝送している場合は、ファイアウォールを設定して、他のユーザからのトラフィックがルータ C を経由して流れるようにしたまま、ホスト C のトラフィックをブロックする必要があります。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定例に、進行中の攻撃とその攻撃に使用されているネットワーク内のパスを特定するために NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を使用する例が 2 つ示されています。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 3 情報のキャプチャ

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能は、フロー内のレイヤ 3 IP トラフィックから 5 種類のフィールドをキャプチャすることに対応しています。

存続可能時間フィールド

パケット長フィールド

ID フィールド

ICMP のタイプとコード

フラグメント オフセット

図 2 に、IP パケット ヘッダー内のフィールドを示します。

図 2 IP パケット ヘッダー フィールド

 

表 1 に、図 2 に示されているヘッダー フィールドについて説明します。

 

表 1 IP パケット ヘッダー フィールド

フィールド
説明

バージョン

IP プロトコルのバージョン。このフィールドが 4 に設定されている場合は、IPv4 データグラムになります。このフィールドが 6 に設定されている場合は、IPv6 データグラムになります。

(注) IPv6 ヘッダーは、IPv4 ヘッダーと構造が異なります。

Internet Header Length(IHL)

Internet Header Length は、インターネット ヘッダーの長さを 32 ビット ワード形式で表したものです。つまり、データの開始位置を示します。

(注) 正しいヘッダーでの最小値は 5 です。

ToS

Type of Service(ToS; タイプ オブ サービス)は、必要な Quality of Service の抽象的なパラメータの指標を与えます。これらのパラメータは、ネットワーキング デバイスが特定のネットワークを介してデータグラムを伝送するときに、実際のサービス パラメータの選択をガイドするために使用されます。

合計長

合計長は、インターネット ヘッダーとデータを含めたデータグラムの長さです(オクテット単位)。

識別番号(ID)

ID フィールドの値は、送信者によって入力されます。同じ IP データグラムに属するすべてのフラグメントには、ID フィールドに同じ値が設定されます。同じ送信者からの後続の IP データグラムには、ID フィールドに別の値が設定されます。

ホストでは、フラグメント化された IP データグラムを複数の送信者から同時に受信することがよくあります。また、同じ送信者から複数の IP データグラムを同時に受信することもよくあります。

ID フィールドの値は、IP データグラムの再構成プロセス中に、同じ IP データグラムに属するフラグメントを同じパケット バッファに確実に割り当てるために、宛先ホストで使用されます。また、同じ送信者からの異なる IP データグラムに属する IP データグラム フラグメントが、IP データグラムの再構成プロセス中に受信ホストで混ざり合わないようにするためにも、ID フィールドの一意の値が使用されます。

フラグ

IP データグラム フラグメンテーション パラメータの設定および追跡に使用される 3 ビットのシーケンス

001 = IP データグラムをフラグメント化できます。現在の IP データグラムには送信中のフラグメントがまだあります。

000 = IP データグラムをフラグメント化できます。これは、現在の IP データグラムの最後のフラグメントです。

010 = IP データグラムをフラグメント化できません。これは、完全な IP データグラムです。

フラグメント オフセット

このフィールドは、このフラグメントがデータグラム内で属する場所を示します。

存続可能時間(TTL)

このフィールドは、データグラムがインターネット システム内に存続できる最大時間を示します。このフィールドの値が 0 になると、データグラムが破棄されます。このフィールドは、インターネット ヘッダーの処理中に変更されます。時間は秒の単位で測定されますが、データグラムを処理するすべてのモジュールは、その処理に 1 秒かからないとしても、TTL を最低でも 1 減らさなくてはならないので、TTL は、データグラムが存在できる時間の上限としてだけ考える必要があります。このフィールドは、配信できないデータグラムが破棄されるようにすること、およびデータグラムのライフタイムの上限を示すことを目的としています。

プロトコル

IP データグラムのデータ部分に含まれるトランスポート パケットのタイプを示します。一般的な値は次のとおりです。

1 = ICMP

6 = TCP

17 = UDP

ヘッダー チェックサム

ヘッダーだけに基づいたチェックサム。いくつかのヘッダー フィールド(存続可能時間フィールドなど)は、IP データグラムが転送されるたびに変化するので、この値は、インターネット ヘッダーが処理されるたびに再計算され、検証されます。

送信元 IP アドレス

送信ステーションの IP アドレス

宛先 IP アドレス

宛先ステーションの IP アドレス

オプションとパディング

オプションとパディングは、データグラム内に存在する場合と存在しない場合があります。存在する場合は、それらがすべての IP モジュール(ホストおよびゲートウェイ)で実装されている必要があります。任意の特定のデータグラムでそれらを伝送できますが、それらの実装は任意に選択できません。

図 3 に、ICMP データグラム内のフィールドを示します。

図 3 ICMP データグラム

 

表 2 に、図 3 に示されているパケットのフォーマットについて説明します。ICMP データグラムは、IP ヘッダーの後、IP データグラムのデータ領域内で伝送されます。

 

表 2 ICMP パケットのフォーマット

タイプ
名前
コード

0

エコー応答

0:なし

1

未割り当て

--

2

未割り当て

--

3

宛先到達不能

0:ネット到達不能

1:ホスト到達不能

2:プロトコル到達不能

3:ポート到達不能

4:フラグメンテーションが必要、DF ビット設定

5:送信元ルート障害

6:宛先ネットワーク未知

7:宛先ホスト未知

8:送信元ホスト分離

9:宛先ネットワークとの通信が管理上禁止

10:宛先ホストとの通信が管理上禁止

11:ToS 宛先ネットワーク到達不能

12:ToS 宛先ホスト到達不能

4

ソース クエンチ(始点抑制要求)

0:なし

5

リダイレクト

0:なし

0:ネットワークのデータグラムのリダイレクト

1:ホストのデータグラムのリダイレクト

2:ToS とネットワークのデータグラムのリダイレクト

3:ToS とホストのデータグラムのリダイレクト

6

代替ホスト アドレス

0:ホストのアドレスの代替

7

未割り当て

--

8

エコー

0:なし

9

ルータ アドバタイズメント

0:なし

10

ルータ選択

0:なし

11

時間超過

0:送信中の存続可能時間超過

12

パラメータ問題

0:エラーを示すポインタ

1:必要なオプションの欠落

2:無効な長さ

13

タイムスタンプ

0:なし

14

タイムスタンプ応答

0:なし

15

情報要求

0:なし

16

情報応答

0:なし

17

アドレス マスク要求

0:なし

18

アドレス マスク応答

0:なし

19

予約済み(セキュリティ用)

--

20 ~ 29

予約済み(ロバストネス試験用)

--

30

トレース ルート

--

31

データグラム変換エラー

--

32

モバイル ホスト リダイレクト

--

33

IPv6 位置確認要求

--

34

IPv6 位置確認応答

--

35

モバイル登録要求

--

36

モバイル登録応答

--

37 ~ 255

予備

--

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを使用したレイヤ 2 情報のキャプチャ

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能では、フローから MAC アドレス フィールドと VLAN ID フィールドの値をキャプチャできます。サポートされる VLAN タイプは、802.1q とシスコの Inter-Switch Link(ISL; スイッチ間リンク)プロトコルの 2 つです。ここでは、次の概念について説明します。

レイヤ 2 MAC アドレス フィールドの概要

レイヤ 2 VLAN ID フィールドの概要

レイヤ 2 MAC アドレス フィールドの概要

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能で値がキャプチャされる新しいレイヤ 2 フィールドは、次のとおりです。

NetFlow ルータで受信されるフレームの送信元 MAC アドレス フィールド

NetFlow ルータから送信されるフレームの宛先 MAC アドレス フィールド

NetFlow ルータで受信されるフレームの VLAN ID フィールド

NetFlow ルータから送信されるフレームの VLAN ID フィールド

図 4 に、イーサネット タイプ II フレームとイーサネット 802.3 フレームのフォーマットを示します。これらのフレームのフォーマット内の宛先アドレス フィールドおよび送信元アドレス フィールドは、NetFlow によって値がキャプチャされる MAC アドレスです。

図 4 イーサネット タイプ II フレームと 802.3 フレームのフォーマット

 

表 3 に、イーサネット フレームのフォーマットの各フィールドについて説明します。

 

表 3 イーサネット タイプ II フレームと 802.3 フレームのフィールド

フィールド
説明

プリアンブル

プリアンブル フィールド内のエントリは、1 と 0 が交互に続くパターンであり、フレームの着信を受信ステーションに通知します。また、これにより、受信ステーションはクロックを着信ビット ストリームと同期させることができます。

Start of Frame(SOF)

SOF フィールドは、1 と 0 が交互に続くパターンを保持し、最後に 2 つ連続して 1 のビットが続くことにより、その次のビットから宛先 MAC アドレスの先頭バイトのビットが始まることを示します。

宛先アドレス

48 ビットの宛先アドレスにより、LAN 上でフレームを受信するステーションが特定されます。宛先 MAC アドレスの最初の 2 ビットは、特別な機能のために予約されています。

DA フィールドの最初のビットは、アドレスが個別アドレス(0)とグループ アドレス(1)のいずれであるかを示します。

2 番めのビットは、DA がグローバルに管理(0)とローカルに管理(1)のいずれであるかを示します。

残りの 46 ビットは、単一のステーション、ステーションの定義済みグループ、またはネットワーク上のすべてのステーションを示す一意に割り当てられた値になります。

送信元アドレス

48 ビットの送信元アドレスにより、フレームを送信したステーションが特定されます。送信元アドレスは常に個別のアドレスであり、SA フィールドの最も左にあるビットは常に 0 になります。

タイプ

または

長さ

タイプ:イーサネット タイプ II フレームの場合、フレームのこの部分は、タイプ フィールドとして使用されます。タイプ フィールドは、フレーム内の次のレイヤ プロトコルを識別するために使用されます。

長さ:802.3 イーサネット フレームの場合、フレームのこの部分は、長さフィールドとして使用されます。長さフィールドは、イーサネット フレームの長さを指定するために使用されます。値の範囲は、46 ~ 1500 バイトです。

データ

または

802.2 ヘッダーとデータ

(イーサネット タイプ II)46 ~ 1500 バイトのデータ

または

(802.3/802.2)8 バイトのヘッダーと 38 ~ 1492 バイトのデータ

Frame Check Sequence(FCS; フレーム チェック シーケンス)

このフィールドには、32 ビットの Cyclic Redundancy Check(CRC; 巡回冗長検査)値が保存されます。この値は、送信ステーションで作成され、フレームが損傷していないかどうかを確認するために受信ステーションで再計算されます。FCS は、フレームの DA、SA、タイプ、およびデータ フィールドに対して生成されます。フレームのデータ部分は FCS に含まれていません。

レイヤ 2 VLAN ID フィールドの概要

NetFlow では、802.1q タグ付き VLAN およびシスコの ISL カプセル化 VLAN に対して VLAN ID フィールドの値をキャプチャできます。ここでは、これら 2 つのタイプの VLAN について説明します。

802.1q VLAN の概要

シスコの ISL VLAN の概要


) ISL および 802.1q は、一般に VLAN カプセル化プロトコルと呼ばれます。


802.1q VLAN の概要

802.1q を使用するデバイスは、フレームを送信する前に、元のフレームに 4 バイトのタグを挿入します。図 5 に、802.1q タグ付きイーサネット フレームのフォーマットを示します。

図 5 802.1q タグ付きイーサネット タイプ II または 802.3 フレーム

 

表 4 に、802.1q VLAN のフィールドについて説明します。

 

表 4 802.1q VLAN カプセル化フィールド

フィールド
説明

DA、SA、タイプまたは長さ、データ、および FCS

これらのフィールドは、表 3 に説明されています。

Tag Protocol ID(TPID; タグ プロトコル ID)

この 16 ビットのフィールドには、フレームが IEEE 802.1q タグ付きフレームであることを示すために 0x8100 の値が設定されます。

プライオリティ

この 3 ビットのフィールドは、ユーザ プライオリティとも呼ばれ、802.1p プライオリティを表します。トラフィックの優先順位付けに使用されるフレームのプライオリティ レベルを示し、8 つのレベル(0 ~ 7)を表現できます。

タグ制御情報

この 2 バイトのタグ制御情報フィールドには、2 つのサブフィールドが含まれます。

Canonical Format Indicator(CFI):この 1 ビットのフィールドの値が 1 の場合、MAC アドレスは非標準形式です。このフィールドの値が 0 の場合、MAC アドレスは標準形式です。

VLAN ID:この 12 ビットのフィールドにより、フレームが属する VLAN が一意に識別されます。値の範囲は 0 ~ 4095 です。

シスコの ISL VLAN の概要

ISL は、VLAN トランク上でフレームをカプセル化するためのシスコ独自のプロトコルです。ISL を使用するデバイスにより、ISL ヘッダーがフレームに追加されます。このプロセスは、VLAN カプセル化と呼ばれます。802.1Q は、VLAN トランク上でフレームをタギングするための IEEE 標準です。図 6 に、シスコの ISL カプセル化イーサネット フレームのフォーマットを示します。

図 6 シスコの ISL タグ付きイーサネット フレーム

 

表 5 に、802.1q VLAN のフィールドについて説明します。

 

表 5 ISL VLAN カプセル化

フィールド
説明

DA(宛先アドレス)

この 40 ビットのフィールドは、マルチキャスト アドレスであり、0x01-00-0C-00-00 または 0x03-00-0c-00-00 に設定されます。受信ホストでは、この 40 ビットの DA フィールドが読み取られ、その値が 2 つの ISL マルチキャスト アドレスのいずれかに一致すると、フレームはカプセル化されているものと判断されます。

TYPE

この 4 ビットのフィールドは、カプセル化されているフレームのタイプを示します。また、将来的には、別のカプセル化を示すために使用される可能性もあります。

TYPE コード:

0000 = イーサネット

0001 = トークン リング

0010 = FDDI

0011 = ATM

USER

この 4 ビットのフィールドは、フレームの TYPE フィールドの意味を拡張するために使用されます。デフォルトの USER フィールドの値は、0000 です。イーサネット フレームの場合、USER フィールドのビット 0 と 1 は、パケットがスイッチを通過するときのプライオリティを示します。トラフィックをより速く処理できるときは必ず、このビットが設定されているパケットが、その速いパスを利用します。ただし、そのようなパスは必須ではありません。

USER コード:

XX00 = ノーマル プライオリティ

XX01 = プライオリティ 1

XX10 = プライオリティ 2

XX11 = 最高プライオリティ

SA

この 48 ビットのフィールドは、ISL パケットの送信元アドレス フィールドです。フレームを送信しているスイッチ ポートの 802.3 MAC アドレスが設定されます。受信デバイスでは、フレームの SA フィールドを無視できます。

LEN

この 16 ビット値のフィールドには、元のパケットの実際のパケット サイズが保管されます。LEN フィールドは、DA、TYPE、USER、SA、LEN、および FCS フィールドを除いたパケットの長さをバイト単位で表します。除外されるフィールドの長さの合計は 18 バイトです。したがって、LEN フィールドは、合計長さから 18 バイトを引いた値を表します。

AAAA03(SNAP)

AAAA03 SNAP フィールドは、24 ビットの定数値 0xAAAA03 です。

HSA

この 24 ビットのフィールドは、SA フィールドの上位 3 バイト(製造業者の ID 部分)を表します。0x00-00-0C が必ず保管されます。

VLAN

この 15 ビットのフィールドは、パケットの仮想 LAN ID です。この値は、異なる VLAN 上のフレームをマーク付けするために使用されます。

BPDU

BPDU フィールドのビットは、ISL フレームによってカプセル化されているすべての BPDU パケットに対して設定されます。BPDU は、ネットワークのトポロジに関する情報を調べるために、スパニング ツリー アルゴリズムによって使用されます。このビットは、カプセル化されている CDP フレームと VTP フレームに対しても設定されます。

INDEX

この 16 ビットのフィールドは、パケットがスイッチから送信されるときの送信元のポート インデックスを示します。診断目的にだけ使用されます。また、他のデバイスによって任意の値に設定される可能性があります。受信されたパケット内では無視されます。

RES

この 16 ビットのフィールドは、トークン リングまたは FDDI のパケットが ISL フレームでカプセル化される場合に使用されます。

カプセル化 FRAME

このフィールドには、カプセル化されたレイヤ 2 フレームが保管されます。

FCS

FCS フィールドは 4 バイトで構成されます。32 ビットの CRC 値が保管されます。この値は、送信ステーションで作成され、フレームが損傷していないかどうかを確認するために受信ステーションで再計算されます。FCS では、DA、SA、長さ/タイプ、およびデータ フィールドが考慮されます。ISL ヘッダーがレイヤ 2 フレームに付加されるとき、新しい FCS が ISL パケット全体にわたって計算され、フレームの最後に追加されます。

(注) 新しい FCS の追加により、カプセル化されているフレーム内に保管されている元の FCS が変更されることはありません。

NBAR データ エクスポート

Network Based Application Recognition(NBAR)は、多種多様なプロトコルおよびアプリケーション(動的な TCP/UDP ポート割り当てを使用する Web ベースなどの分類困難なアプリケーションおよびプロトコルを含む)を認識し、分類する分類エンジンです。

NBAR によってプロトコルまたはアプリケーションが認識され、分類される場合、適切なアプリケーション マッピングをそのプロトコルで適用するように、ネットワークを設定できます。

Supervisor 32/Programmable Intelligent Services Accelerator(PISA)が搭載された Catalyst 6500 シリーズ スイッチ上の Cisco IOS Release 12.2(18)ZYA2 では、NBAR フローを NetFlow エクスポート レコードとともにエクスポートできます。

アプリケーション認識 NetFlow 機能では、NBAR が NetFlow と統合され、NBAR によって収集されたアプリケーション情報を NetFlow を使用してエクスポートできます。NetFlow バージョン 9 アトリビュート用に作成されたアプリケーション ID では、IP アドレスや TCP/UDP ポート情報などの標準アトリビュートとともにアプリケーション名がエクスポートされます。NetFlow コレクタでは、これらのフローが送信元 IP アドレスと ID に基づいて収集されます。送信元 ID は、特定のデバイスからエクスポートされたフローの固有識別番号を示します。

NetFlow コレクタにエクスポートされた NBAR データには、アプリケーション マッピング情報が含まれています。NetFlow データ エクスポート オプションを使用して、アプリケーション名にマッピングされたアプリケーション ID を格納しているテーブルが NetFlow コレクタにエクスポートされます。このマッピング テーブルは、 ip flow-export template options nbar コマンドを使用して送信されます。マッピング情報は、デフォルトでは、30 分ごとにリフレッシュされます。リフレッシュ間隔は、 ip flow-export template options timeout-rate コマンドを使用して設定できます。

Netflow エクスポートでは、複数のエージング メカニズムを使用して NetFlow キャッシュを管理しています。しかし、NBAR データのエクスポート間隔には、NetFlow エージング パラメータは使用されていません。

NBAR NetFlow 統合の利点

NBAR により、ネットワーク管理者は、多様なプロトコル、および各プロトコルによって生成されるトラフィックの量を追跡できます。また、トラフィックをクラスに整理することもできます。これらのクラスを使用して、ネットワーク トラフィックに異なるレベルのサービスを提供できます。それにより、ネットワーク トラフィックに対して適切なレベルのネットワーク リソースを提供し、効率の良いネットワーク管理が可能になります。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定方法

ここでは、次の各手順について説明します。

「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定」

「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認」(任意)

NetFlow エクスポートの NBAR サポートの設定

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定

前提条件

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を設定する前に、CEF、dCEF、または IP のファースト スイッチングをご使用のシステム上で設定する必要があります。

オプションの「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認」の作業では、 show ip cache verbose flow コマンドを使用して、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャするように設定したフィールドの値を表示します。NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能でキャプチャするように設定したフィールドの値を表示するには、それらのフィールドの基準を満たす IP トラフィックがルータによって転送される必要があります。たとえば、 ip flow-capture ipid コマンドを設定する場合は、フロー内の IP データグラムから IP ID 値をキャプチャするために、ルータで IP データグラムが転送されている必要があります。

ip flow-capture fragment-offset コマンドを使用して IP トラフィック内の IP ヘッダーからレイヤ 3 IP フラグメント オフセット フィールドの値をキャプチャする場合は、ルータで Cisco IOS 12.4(2)T 以降のリリースを実行している必要があります。

手順の概要

1. enable

2. configure terminal

3. ip flow-capture fragment-offset

4. ip flow-capture icmp

5. ip flow-capture ip-id

6. ip flow-capture mac-addresses

7. ip flow-capture packet-length

8. ip flow-capture ttl

9. ip flow-capture vlan-id

10. interface type [ number | slot / port ]

11. ip flow ingress
および/または
ip flow egress

12. exit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip flow-capture fragment-offset

 

Router(config)# ip flow-capture fragment-offset

(任意)フロー内の最初のフラグメント化された IP データグラムからの IP フラグメント オフセット フィールドの値のキャプチャをイネーブルにします。

ステップ 4

ip flow-capture icmp

 

Router(config)# ip flow-capture icmp

(任意)フロー内の ICMP データグラムから ICMP のタイプとコードのフィールドの値をキャプチャできるようにします。

ステップ 5

ip flow-capture ip-id

 

Router(config)# ip flow-capture ip-id

(任意)フロー内の最初の IP データグラムから IP-ID フィールドの値をキャプチャできるようにします。

ステップ 6

ip flow-capture mac-addresses

 

Router(config)# ip flow-capture mac-addresses

(任意)フロー内のトラフィックから送信元および宛先の MAC アドレスの値をキャプチャできるようにします。

ステップ 7

ip flow-capture packet-length

 

Router(config)# ip flow-capture packet-length

(任意)フロー内の IP データグラムからパケット長フィールドの最小値と最大値をキャプチャできるようにします。

ステップ 8

ip flow-capture ttl

 

Router(config)# ip flow-capture ttl

(任意)フロー内の IP データグラムから存続可能時間(TTL)フィールドの最小値と最大値をキャプチャできるようにします。

ステップ 9

ip flow-capture vlan-id

 

Router(config)# ip flow-capture vlan-id

(任意)トランク ポート上で送受信されるフロー内の VLAN カプセル化フレームから 802.1q または ISL VLAN-ID フィールドをキャプチャできるようにします。

ステップ 10

interface type [ number | slot / port ]

 

Router(config)# interface ethernet 0/0

コマンドで指定したインターフェイス タイプのインターフェイス コンフィギュレーション モードを開始します。

ステップ 11

ip flow ingress

 

および/または

ip flow egress

 

Router(config-if)# ip flow ingress

および/または

 

Router(config-if)# ip flow egress

インターフェイス上で入力 NetFlow データ収集をイネーブルにします。

および/または

インターフェイス上で出力 NetFlow データ収集をイネーブルにします。

ステップ 12

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートを確認するには、次の作業を実行します。

制約事項

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認では、 show ip cache verbose flow コマンドを使用します。 show ip cache verbose flow コマンドの使用には、次の制約事項が適用されます。

分散シスコ エクスプレス フォワーディングが稼動しているプラットフォーム上での NetFlow キャッシュ情報の詳細表示

dCEF が稼動しているプラットフォームの場合、NetFlow キャッシュ情報は、各ラインカードまたは Versatile Interface Processor 上に保持されます。 show ip cache verbose flow コマンドを使用して、分散プラットフォーム上でこの情報を表示するには、コマンドをラインカード プロンプトに入力する必要があります。

Cisco 7500 シリーズ プラットフォーム

分散 dCEF が稼動している Cisco 7500 シリーズ ルータ上で NetFlow キャッシュ情報の詳細を表示するには、次の一連のコマンドを入力します。

Router# if-con slot-number
LC-slot-number# show ip cache verbose flow
 

Cisco IOS Release 12.3(4)T、12.3(6)、および 12.2(20)S 以降では、次のコマンドを入力して、NetFlow キャッシュ情報の詳細を表示します。

Router# execute-on slot-number show ip cache verbose flow

Cisco 12000 シリーズ プラットフォーム

Cisco 12000 シリーズ インターネット ルータ上で NetFlow キャッシュ情報の詳細を表示するには、次の一連のコマンドを入力します。

Router# attach slot-number
LC-slot-number# show ip cache verbose flow
 

Cisco IOS Release 12.3(4)T、12.3(6)、および 12.2(20)S 以降では、次のコマンドを入力して、NetFlow キャッシュ情報の詳細を表示します。

Router# execute-on slot-number show ip cache verbose flow .

手順の概要

1. show ip cache verbose flow

手順の詳細


ステップ 1 show ip cache verbose flow

次の出力は、フロー内のレイヤ 2 およびレイヤ 3 フィールドから値をキャプチャすることによる NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能の働きを示しています。

Router# show ip cache verbose flow
 
IP packet size distribution (25229 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
 
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .206 .793 .000 .000 .000 .000 .000 .000
 
IP Flow Switching Cache, 278544 bytes
6 active, 4090 inactive, 17 added
505 ager polls, 0 flow alloc failures
Active flows timeout in 1 minutes
Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
12 active, 1012 inactive, 39 added, 17 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 1 0.0 362 940 2.7 60.2 0.0
TCP-FTP 1 0.0 362 840 2.7 60.2 0.0
TCP-FTPD 1 0.0 362 840 2.7 60.1 0.1
TCP-SMTP 1 0.0 361 1040 2.7 60.0 0.1
UDP-other 5 0.0 1 66 0.0 1.0 10.6
ICMP 2 0.0 8829 1378 135.8 60.7 0.0
Total: 11 0.0 1737 1343 147.0 33.4 4.8
 
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts
Port Msk AS Port Msk AS NextHop B/Pk Active
Et0/0.1 10.251.138.218 Et1/0.1 172.16.10.2 06 80 00 65
0015 /0 0 0015 /0 0 0.0.0.0 840 10.8
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 840 Max plen: 840
Min TTL: 59 Max TTL: 59
IP id: 0


 

NetFlow エクスポートの NBAR サポートの設定

NBAR データを NetFlow コレクタにエクスポートするには、次の作業を実行します。

前提条件

NBAR データ エクスポートを設定する前に、NetFlow バージョン 9 と NBAR をイネーブルにする必要があります。

次のフィールドを Cisco NetFlow コレクタ ソフトウェアに追加および設定して、NBAR データ エクスポート機能でエクスポートされるフローを特定する必要があります。

app_id field フィールド:NumericID が 95 の整数

app_name フィールド:NumericID が 96 の UTF-8 文字列

sub_app_id フィールド:NumericID が 97 の整数

biflowDirection フィールド:NumericID が 239 の整数


) biflowDirection フィールドは、セッションを開始するホストに関する情報を与えます。このフィールドのサイズは、1 バイトです。このフィールドの使用方法の詳細については、RFC 5103 に記載されています。


制約事項

NBAR サポートは、NetFlow バージョン 9 フォーマットでだけ設定できます。他のバージョンで NBAR データ エクスポートの設定を試みると、次のエラー メッセージが表示されます。

1d00h: %FLOW : Export version 9 not enabled
 

NBAR データ エクスポートでは、NetFlow エージング パラメータは使用されません。

手順の概要

1. enable

2. configure terminal

3. ip flow-export version

4. ip flow-capture nbar

5. ip flow-export template options nbar

6. exit

7. show ip flow export nbar

8. clear ip flow stats nbar

手順の詳細

ステップ 1

enable

 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip flow-export version 9

 

Router(config)# ip flow-capture version 9

NetFlow キャッシュ エントリをエクスポートするためにバージョン 9 フォーマットをイネーブルにします。

ステップ 4

ip flow-capture nbar

 

Router(config)# ip flow-capture nbar

NetFlow エクスポート レコード内の NBAR データをキャプチャできるようにします。

ステップ 5

ip flow-export template options nbar

 

Router(config)# ip flow-export template options nbar

アプリケーション マッピング情報を NetFlow データ コレクタにエクスポートします。

ステップ 6

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 7

show ip flow export nbar

 

Router # show ip flow export nbar

(任意)NBAR エクスポート レコードを表示します。

ステップ 8

clear ip flow stats nbar

 

Router# clear ip flow stats nbar

(任意)NBAR の NetFlow アカウンティング統計情報をクリアします。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定例

ここでは、次の設定例について説明します。

「シミュレートされた FTP 攻撃を分析する NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定および使用方法:例」

「シミュレートされた ICMP ping 攻撃を分析する NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定および使用方法:例」

シミュレートされた FTP 攻撃を分析する NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定および使用方法:例

FTP サーバを過負荷状態にするために疑似 FTP トラフィックを送信しているホストによってネットワークが攻撃されていないかどうかを調べるために、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を使用する例を示します。この攻撃により、エンド ユーザは、FTP サーバにおける新規接続の受け入れ能力や既存接続へのサービス提供能力の低下を体験する可能性があります。

この例では、図 7 に示されているネットワークを使用します。ホスト A は、疑似 FTP パケットを FTP サーバに送信しています。

この例では、トラフィックの送信元とトラフィックがネットワーク内で使用しているパスを調べるために、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能によってキャプチャされたレイヤ 2 データを使用する方法も示します。

図 7 テスト ネットワーク

 


ヒント ネットワーク内のデバイスの MAC アドレスと IP アドレスを追跡します。それらを使用して、攻撃を分析し、問題を解決できます。



) この例には、ip flow-capture icmp コマンドは含まれていません。このコマンドでは、ICMP のタイプとコードのフィールドの値がキャプチャされます。ip flow-capture icmp コマンドの使用方法は、シミュレートされた ICMP ping 攻撃を分析する NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定および使用方法:例で説明されています。


R2

!
hostname R2
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc02
ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc03
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 5
ip address 172.16.6.1 255.255.255.0
!
!
router rip
version 2
network 172.16.0.0
no auto-summary
!

R3

!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc04
no ip address
!
interface Ethernet0/0.1
encapsulation dot1Q 5
ip address 172.16.6.2 255.255.255.0
ip accounting output-packets
ip flow ingress
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc05
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.1 255.255.255.0
ip accounting output-packets
ip flow egress
!
router rip
version 2
network 172.16.0.0
no auto-summary
!

R4

!
hostname R4
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc07
ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc06
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.2 255.255.255.0
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
 

show ip cache verbose flow コマンドにより、ホスト A が送信している FTP トラフィックからキャプチャされた NetFlow フローが表示されます。

ip flow-capture コマンドで値がキャプチャされるフィールドは、表 9 に示すとおりです。これらは、この例でトラフィックの分析に使用されるフィールドと値です。 show ip cache verbose flow コマンドでキャプチャされる他のフィールドが、表 6表 7、および表 8 に説明されています。

R3# show ip cache verbose flow
IP packet size distribution (3596 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .003 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
 
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .995 .000 .000 .000 .000 .000 .000 .000
 

出力の最初には、サイズごとのパケットの構成比が示されています。この表示では、パケットの 99.5% が 1024 バイトのサイズ範囲に入っており、0.3% が 64 バイトの範囲に入っています。

出力の次の項は、4 つの部分に分けられます。それぞれに対応する項と表は、次のとおりです。

NetFlow キャッシュの出力項内のフィールドの説明(表 6

プロトコルごとのアクティビティの出力項内のフィールドの説明(表 7

NetFlow レコードの出力項内のフィールドの説明(表 8

NetFlow レコードの出力項内の NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート フィールド(表 9

 
IP Flow Switching Cache, 278544 bytes
5 active, 4091 inactive, 25 added
719 ager polls, 0 flow alloc failures
Active flows timeout in 1 minutes
Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
10 active, 1014 inactive, 64 added, 25 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-FTP 5 0.0 429 840 6.6 58.1 1.8
Total: 5 0.0 129 835 6.6 17.6 7.9
 
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts
Port Msk AS Port Msk AS NextHop B/Pk Active
Et0/0.1 10.132.221.111 Et1/0.1 172.16.10.2 06 80 00 198
0015 /0 0 0015 /0 0 0.0.0.0 840 41.2
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 840 Max plen: 840
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 10.251.138.218 Et1/0.1 172.16.10.2 06 80 00 198
0015 /0 0 0015 /0 0 0.0.0.0 840 41.2
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 840 Max plen: 840
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 10.10.12.1 Et1/0.1 172.16.10.2 06 80 00 203
0015 /0 0 0015 /0 0 0.0.0.0 840 42.2
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 840 Max plen: 840
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 10.231.185.254 Et1/0.1 172.16.10.2 06 80 00 203
0015 /0 0 0015 /0 0 0.0.0.0 840 42.2
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 840 Max plen: 840
Min TTL: 59 Max TTL: 59
IP id: 0
 
Et0/0.1 10.71.200.138 Et1/0.1 172.16.10.2 06 80 00 203
0015 /0 0 0015 /0 0 0.0.0.0 840 42.2
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 840 Max plen: 840
Min TTL: 59 Max TTL: 59
IP id: 0
 
R3#
 

表 6 に、NetFlow キャッシュの出力項内で表示される重要なフィールドについて説明します。

 

表 6 NetFlow キャッシュの出力項内のフィールドの説明

フィールド
説明

bytes

NetFlow キャッシュで使用されるメモリのバイト数

active

このコマンドが入力されたときの NetFlow キャッシュ内のアクティブなフローの数

inactive

NetFlow キャッシュに割り当てられているが、このコマンドを入力したときに特定のフローに割り当てられていなかったフロー バッファの数

added

サマリー期間を開始してから作成されたフローの数

ager polls

NetFlow コードがエントリを期限切れにした回数(シスコの Customer Support Engineers(CSE)が診断目的で使用)

flow alloc failures

NetFlow コードがフローの割り当てに失敗した回数

last clearing of statistics

clear ip flow stats 特権 EXEC コマンドを最後に実行してから経過した時間。24 時間未満では、時間、分、および秒の標準的な時間出力形式(hh:mm:ss)が使用されます。24 時間を超えてからは、時間と日数による時間出力に変化します。

表 7 に、プロトコルごとのアクティビティの出力項内で表示される重要なフィールドについて説明します。

 

表 7 プロトコルごとのアクティビティの出力項内のフィールドの説明

フィールド
説明

Protocol

IP プロトコルと既知のポート番号(最新の RFC 値については、 http://www.iana.org Protocol Assignment Number Services を参照してください)。

(注) すべてのプロトコルのうち一部しか表示されません。

Total Flows

最後に統計情報がクリアされてからのこのプロトコルのフローの数。

Flows/Sec

このプロトコルの秒あたりの平均フロー数。このサマリー期間におけるフローの合計数を秒数で割った値です。

Packets/Flow

このプロトコルのフローの平均パケット数。このサマリー期間におけるこのプロトコルの合計パケット数をこのプロトコルのフロー数で割った値です。

Bytes/Pkt

このプロトコルのパケットの平均バイト数。このサマリー期間においてこのプロトコルの合計バイト数をこのプロトコルの合計パケット数で割った値です。

Packets/Sec

このプロトコルの秒あたりの平均パケット数。このサマリー期間においてこのプロトコルの合計パケット数を合計秒数で割った値です。

Active(Sec)/Flow

このサマリー期間において、期限満了フローの最初のパケットから最後のパケットまでの秒数をこのプロトコルの合計フロー数で割った値。

Idle(Sec)/Flow

このサマリー期間において、このプロトコルの期限の切れていない各フローの最後のパケットから show ip cache verbose flow コマンドが入力されたときまでに経過した秒数をこのプロトコルの合計フロー数で割った値。

表 8 に、NetFlow レコードの出力項内で表示される重要なフィールドについて説明します。

 

表 8 NetFlow レコードの出力項内のフィールドの説明

フィールド
説明

SrcIf

パケットが受信されたインターフェイス。

Port Msk AS

送信元ポート番号(16 進形式で表示)、IP アドレス マスク、および自律システム番号。MPLS フローでは常に 0 に設定されます。

SrcIPaddress

5 本のフロー内のトラフィックの送信元 IP アドレス。このトラフィックでは、5 つの異なる送信元 IP アドレスが使用されています。

10.132.221.111

10.251.138.218

10.10.12.1

10.231.185.254

10.71.200.138

DstIf

パケットが送信されたインターフェイス。

 
(注) アスタリスク(*)が DstIf フィールドの直後に続く場合、表示されているフローは出力フローです。

Port Msk AS

送信元ポート番号(16 進形式で表示)、IP アドレス マスク、および自律システム番号。Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)フローでは、常に 0 に設定されます。

DstIPaddress

トラフィックの宛先 IP アドレス。

(注) 172.17.10.2 は、FTP サーバの IP アドレスです。

NextHop

Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)ネクストホップ アドレス。MPLS フローでは常に 0 に設定されます。

Pr

IP プロトコルの「既知の」ポート番号(16 進形式で表示)(最新の RFC 値については、 http://www.iana.org Protocol Assignment Number Services を参照してください)。

ToS

タイプ オブ サービス(16 進形式で表示)。

B/Pk

このフローで検出されたパケットの平均バイト数。

Flgs

TCP フラグ(16 進形式で表示)。フロー内のすべてのパケットの TCP フラグについてビット単位で論理和をとった結果です。

Pkts

このフロー内のパケット数。

Active

フローがアクティブだった時間。

表 9 に、NetFlow レコードの出力項の NetFlow トラフィック分類および識別情報フィールドにあるフィールドと値について説明します。

 

表 9 NetFlow レコードの出力項内の NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート フィールド

フィールド
説明

MAC

トラフィックの送信元および宛先の MAC アドレスです。出力内で送信元および宛先の MAC アドレスは左から右の順で表示されています。

このトラフィックは、MAC アドレス aaa.bbb.cc03 から受信されています。

(注) この MAC アドレスは、ルータ R2 のインターフェイス 1/0.1 です。

このトラフィックは、MAC アドレス aaa.bbb.cc06 に送信されています。

(注) この MAC アドレスは、ルータ R4 のインターフェイス 1/0.1 です。

VLAN id

送信元および宛先の VLAN ID です。出力内で送信元および宛先の VLAN ID は左から右の順で表示されています。

このトラフィックは、VLAN 5 から受信されています。

このトラフィックは、VLAN 6 に送信されています。

Min plen

5 本のフロー内でキャプチャされたパケットの最小パケット長です。

現在値は 840 です。

Max plen

5 本のフロー内でキャプチャされたパケットの最大パケット長です。

現在値は 840 です。

Min TTL

5 本のフロー内でキャプチャされたパケットの最小存続可能時間(TTL)です。

現在値は 59 です。

Max TTL

5 本のフロー内でキャプチャされたパケットの最大 TTL です。

現在値は 59 です。

IP id

5 本のフロー内のトラフィックの IP 識別情報フィールドです。

現在値は 0 です。

レイヤ 3 TTL、識別情報、およびパケット長の各フィールドが 5 本のフローにおいてすべて同じ値であることから、このトラフィックは DoS 攻撃である可能性が高いです。このデータが本当のトラフィックからキャプチャされたものならば、一般にそれらの値は異なるものになります。これら 6 本すべてのフローの TTL 値が 59 であることから、このトラフィックは、R3 からの距離が同一のポイントから送信されていることがわかります。本当のユーザ トラフィックならば、通常は着信距離が異なるため、TTL 値は異なるものになります。

このトラフィックが(レイヤ 3 フィールドでキャプチャされたデータに基づいて)DoS 攻撃であると確認された場合は、フロー内のレイヤ 2 情報を使用して、そのトラフィックがネットワーク内で使用しているパスを特定できます。この例では、トラフィックは、VLAN 5 上で R2 から R3 へ送信されています。送信元 MAC アドレス(aaaa.bbb.cc03)が R2 上のインターフェイス 1/0.1 に属していることから、R2 が 1/0.1 経由でトラフィックを送信していることが実証されます。宛先 MAC アドレス(aaaa.bbbb.cc06)が R4 上のインターフェイス 1/0.1 に属していることから、R3 がインターフェイス 1/0.1 上の VLAN 6 を使用して R4 上のインターフェイス 1/0.1 へトラフィックを送信していることがわかります。

この情報を使用して、この攻撃を軽減するための計画を作成できます。この攻撃を軽減するために考えられる方法の 1 つは、10.0.0.0 ネットワーク上の送信元アドレスを持つすべてのホストからの FTP トラフィックをブロックする拡張 IP アクセス リストを設定することです。もう 1 つの考えられる解決策は、ルータ上のヌル インターフェイスを指すデフォルト ルートを 10.0.0.0 ネットワークに対して設定することです。


注意 これらのいずれの解決方法でも、10.0.0.0 ネットワーク上の正当なホストからのトラフィックがブロックされます。そのため、これらの解決方法は、攻撃の発信源を特定し、それを止める方法が決まるまでの間の一時的なものとしてだけ使用する必要があります。

シミュレートされた ICMP ping 攻撃を分析する NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定および使用方法:例

ネットワークが ICMP トラフィックによって攻撃されていることを検出するために、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能を使用する例を示します。図 7 に示されているネットワークを使用します。ホスト A は、非常に大きい ICMP ping パケットを FTP サーバに送信しています。

R2

!
hostname R2
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc02
ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc03
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 5
ip address 172.16.6.1 255.255.255.0
!
!
router rip
version 2
network 172.16.0.0
no auto-summary
!

R3

!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture icmp
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc04
no ip address
!
interface Ethernet0/0.1
encapsulation dot1Q 5
ip address 172.16.6.2 255.255.255.0
ip accounting output-packets
ip flow ingress
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc05
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.1 255.255.255.0
ip accounting output-packets
ip flow egress
!
router rip
version 2
network 172.16.0.0
no auto-summary
!

R4

!
hostname R4
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc07
ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc06
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.2 255.255.255.0
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
 

show ip cache verbose flow コマンドにより、ホスト A が送信している ICMP トラフィックからキャプチャされた NetFlow フローが表示されます。

ip flow-capture コマンドで値がキャプチャされるフィールドは、表 13 に説明されています。これらは、この例でトラフィックの分析に使用されるフィールドと値です。 show ip cache verbose flow コマンドでキャプチャされる他のフィールドが、表 10表 11、および表 12 に説明されています。

R3# show ip cache verbose flow
IP packet size distribution (5344 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
 
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .166 .832 .000 .000 .000 .000 .000 .000
 

出力の最初には、サイズごとのパケットの構成比が示されています。この表示では、パケットの 16.6% が 1024 バイトのサイズ範囲に入っており、83.2% が 1536 バイトの範囲に入っています。

出力の次の項は、4 つの部分に分けられます。それぞれに対応する項と表は、次のとおりです。

NetFlow キャッシュの出力項内のフィールドの説明(表 10

プロトコルごとのアクティビティの出力項内のフィールドの説明(表 11

NetFlow レコードの出力項内のフィールドの説明(表 12

NetFlow レコードの出力項内の NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート フィールド(表 13

 
IP Flow Switching Cache, 278544 bytes
3 active, 4093 inactive, 7 added
91 ager polls, 0 flow alloc failures
Active flows timeout in 1 minutes
Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
7 active, 1017 inactive, 17 added, 7 added to flow
0 alloc failures, 0 force free
1 chunk, 0 chunks added
last clearing of statistics 00:01:13
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
ICMP 2 0.0 1500 1378 42.8 11.4 10.9
Total: 2 0.0 600 1378 42.9 11.5 10.8
 
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts
Port Msk AS Port Msk AS NextHop B/Pk Active
Et0/0.1 10.106.1.1 Et1/0.1 172.16.10.2 01 00 10 391
0000 /0 0 0800 /0 0 0.0.0.0 1500 8.6
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 1500 Max plen: 1500
Min TTL: 59 Max TTL: 59
ICMP type: 8 ICMP code: 0
IP id: 13499
 
Et0/0.1 10.106.1.1 Et1/0.1 172.16.10.2 01 00 00 1950
0000 /0 0 0000 /0 0 0.0.0.0 1354 8.6
MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006)
Min plen: 772 Max plen: 1500
Min TTL: 59 Max TTL: 59
ICMP type: 0 ICMP code: 0
IP id: 13499 FO: 185
 
R3#
 

 

表 10 に、NetFlow キャッシュの出力行内で表示される重要なフィールドについて説明します。

 

表 10 NetFlow キャッシュの出力項内のフィールドの説明

フィールド
説明

bytes

NetFlow キャッシュで使用されるメモリのバイト数。

active

このコマンドが入力されたときの NetFlow キャッシュ内のアクティブなフローの数。

inactive

NetFlow キャッシュに割り当てられているが、このコマンドを入力したときに特定のフローに割り当てられていなかったフロー バッファの数。

added

サマリー期間を開始してから作成されたフローの数。

ager polls

NetFlow コードがエントリを期限切れにした回数(シスコの Customer Support Engineers(CSE)が診断目的で使用)。

flow alloc failures

NetFlow コードがフローの割り当てに失敗した回数。

last clearing of statistics

clear ip flow stats 特権 EXEC コマンドを最後に実行してから経過した時間。24 時間未満では、時間、分、および秒の標準的な時間出力形式(hh:mm:ss)が使用されます。24 時間を超えてからは、時間と日数による時間出力に変化します。

表 11 に、プロトコルごとのアクティビティの出力行内で表示される重要なフィールドについて説明します。

 

表 11 プロトコルごとのアクティビティの出力項内のフィールドの説明

フィールド
説明

Protocol

IP プロトコルと既知のポート番号(最新の RFC 値については、 http://www.iana.org Protocol Assignment Number Services を参照してください)。

(注) すべてのプロトコルのうち一部しか表示されません。

Total Flows

最後に統計情報がクリアされてからのこのプロトコルのフローの数。

Flows/Sec

このプロトコルの秒あたりの平均フロー数。このサマリー期間におけるフローの合計数を秒数で割った値です。

Packets/Flow

このプロトコルのフローの平均パケット数。このサマリー期間におけるこのプロトコルの合計パケット数をこのプロトコルのフロー数で割った値です。

Bytes/Pkt

このプロトコルのパケットの平均バイト数。このサマリー期間においてこのプロトコルの合計バイト数をこのプロトコルの合計パケット数で割った値です。

Packets/Sec

このプロトコルの秒あたりの平均パケット数。このサマリー期間においてこのプロトコルの合計パケット数を合計秒数で割った値です。

Active(Sec)/Flow

このサマリー期間において、期限満了フローの最初のパケットから最後のパケットまでの秒数をこのプロトコルの合計フロー数で割った値。

Idle(Sec)/Flow

このサマリー期間において、このプロトコルの期限の切れていない各フローの最後のパケットから show ip cache verbose flow コマンドが入力されたときまでに経過した秒数をこのプロトコルの合計フロー数で割った値。

表 12 に、NetFlow レコードの出力行内で表示される重要なフィールドについて説明します。

 

表 12 NetFlow レコードの出力項内のフィールドの説明

フィールド
説明

SrcIf

パケットが受信されたインターフェイス。

Port Msk AS

送信元ポート番号(16 進形式で表示)、IP アドレス マスク、および自律システム番号。MPLS フローでは、常に 0 に設定されます。

SrcIPaddress

パケットを送信したデバイスの IP アドレス。送信ホストは、送信元 IP アドレスとして 10.106.1.1 を使用しています。

DstIf

パケットが送信されたインターフェイス。

 
(注) アスタリスク(*)が DstIf フィールドの直後に続く場合、表示されているフローは出力フローです。

Port Msk AS

宛先ポート番号(16 進形式で表示)、IP アドレス マスク、および自律システム。MPLS フローでは常に 0 に設定されます。

DstIPaddress

宛先デバイスの IP アドレス。

NextHop

BGP ネクストホップ アドレス。MPLS フローでは常に 0 に設定されます。

Pr

IP プロトコルの「既知の」ポート番号(16 進形式で表示)(最新の RFC 値については、 http://www.iana.org Protocol Assignment Number Services を参照してください)。

ToS

タイプ オブ サービス(16 進形式で表示)。

B/Pk

このフローで検出されたパケットの平均バイト数。

Flgs

TCP フラグ(16 進形式で表示)。フロー内のすべてのパケットの TCP フラグについてビット単位で論理和をとった結果です。

Pkts

このフロー内のパケット数。

Active

フローがアクティブだった時間。

表 13 に、NetFlow レコードの出力行の NetFlow トラフィック分類および識別情報フィールドにあるフィールドと値について説明します。

 

表 13 NetFlow レコードの出力項内の NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート フィールド

フィールド
説明

MAC

トラフィックの送信元および宛先の MAC アドレスです。出力内で送信元および宛先の MAC アドレスは左から右の順で表示されています。

このトラフィックは、MAC アドレス aaa.bbb.cc03 から受信されています。

(注) この MAC アドレスは、ルータ R2 のインターフェイス 1/0.1 です。

このトラフィックは、MAC アドレス aaa.bbb.cc06 に送信されています。

(注) この MAC アドレスは、ルータ R4 のインターフェイス 1/0.1 です。

VLAN id

送信元および宛先の VLAN ID です。出力内で送信元および宛先の VLAN ID は左から右の順で表示されています。

このトラフィックは、VLAN 5 から受信されています。

このトラフィックは、VLAN 6 に送信されています。

Min plen

2 本のフロー内でキャプチャされたパケットの最小パケット長です。

最初のフローの現在値は、1500 です。

2 番めのフローの現在値は、772 です。

Max plen

2 本のフロー内でキャプチャされたパケットの最大パケット長です。

最初のフローの現在値は、1500 です。

2 番めのフローの現在値は、1500 です。

Min TTL

2 本のフロー内でキャプチャされたパケットの最小存続可能時間(TTL)です。

現在値は 59 です。

Max TTL

2 本のフロー内でキャプチャされたパケットの最大 TTL です。

現在値は 59 です。

IP id

2 本のフロー内のトラフィックの IP 識別情報フィールドです。3 本すべてのフローの現在値は 0 です。

ICMP type

最初のフロー内でキャプチャされた ICMP データグラムの Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)タイプ フィールドです。

値は 8 です。

ICMP code

3 番めのフロー内でキャプチャされた ICMP データグラムの ICMP コード フィールドです。

値は 0 です。

FO

2 番めのフロー内の最初のフラグメント化されたデータグラムのフラグメント オフセット フィールドの値です。

値は 185 です。

この出力内には 2 本の ICMP フローが表示されています。これらのフローは、同じ 13499 の IP ID フィールド値を持つことから、同じ ICMP データグラムによるフローであることがわかります。2 本の ICMP フローが同じ IP ID 値を持つ場合は、分析対象の ICMP データグラムがフラグメント化されていることを意味します。最初のフローの ICMP タイプ フィールドは 8 に設定されています。これは、ICMP エコー要求(ping)データグラムであることを示しています。2 番めのフロー内の Fragment Offset(FO; フラグメント オフセット)フィールドの値 185 は、FTP サーバで ICMP データグラムが再構成されるときに、このフラグメントが FTP サーバのメモリ バッファ内で配置される位置を表しています。この 185 の値は、このデータグラムの最初のフラグメントに対してだけ当てはまります。後続の値では、それ以前のフラグメントが考慮されるため、より大きい値になります。

2 番めのフローの ICMP タイプ フィールドの値 0 は、このフローが ICMP エコー応答であることを意味しているわけではなく、表 2 で示されているものとは異なっています。この場合、ICMP データグラムのフラグメントの ICMP ヘッダーにはタイプとコードのフィールドがないため、ICMP タイプ フィールドの値は 0 に設定されます。デフォルト値の 0 が代わりに挿入されています。


) このデータが現実の ICMP 攻撃からキャプチャされたものならば、ほとんどの場合、フローは複数存在します。


show ip cache verbose flow で表示された情報から ICMP データグラムの元のサイズがわからなくても、送信中にフラグメント化されなければならないほどサイズが大きかったということから、これが通常の ICMP データグラムではないことがよくわかります。両方のフローの最小パケット長フィールドと最大パケット長フィールドの値に注目してください。最初のフローでは、両方のフィールドの値が 1500 に設定されています。2 番めのフローでは、最小パケット長の値が 772 に設定され、最大パケット長の値は 1500 に設定されています。

レイヤ 3 フィールドでキャプチャされたデータに基づいて、このトラフィックが DoS 攻撃であると確認された場合は、フロー内のレイヤ 2 情報を使用して、そのトラフィックがネットワーク内で使用しているパスを特定できます。この例では、トラフィックは、VLAN 5 上で R2 から R3 へ送信されています。送信元 MAC アドレス(aaaa.bbb.cc03)が R2 上のインターフェイス 1/0.1 に属していることから、R2 が 1/0.1 経由でトラフィックを送信していることが実証されます。宛先 MAC アドレス(aaaa.bbbb.cc06)が R4 上のインターフェイス 1/0.1 に属していることから、R3 がインターフェイス 1/0.1 上の VLAN 6 を使用して R4 上のインターフェイス 1/0.1 へトラフィックを送信していることが実証されます。

この情報を使用して、この攻撃を軽減できます。この攻撃を軽減するために考えられる方法の 1 つは、10.0.0.0 ネットワーク上の送信元アドレスを持つすべてのホストからの ICMP トラフィックをブロックする拡張 IP アクセス リストを設定することです。もう 1 つの考えられる解決策は、ルータ上のヌル インターフェイスを指すデフォルト ルートを 10.0.0.0 ネットワークに対して設定することです。


注意 これらのいずれの解決方法でも、10.0.0.0 ネットワーク上の正当なホストからのトラフィックがブロックされます。そのため、これらの解決方法は、攻撃の発信源を特定し、それを止める方法が決まるまでの間の一時的なものとしてだけ使用する必要があります。

NetFlow エクスポートの NBAR サポートの設定:例

NetFlow エクスポートの NBAR サポートを設定する例を示します。

Router(config)# ip flow-export version 9
Router(config)# ip flow-capture nbar
Router(config)# ip flow-export template options nbar
Router# exit
 

 

次に、 show ip flow export nbar コマンドの出力例を示します。

Router # show ip flow export nbar
Nbar netflow is enabled
10 nbar flows exported
0 nbar flows failed to export due to lack of internal buffers
 

次に、NetFlow アカウンティング統計情報から NBAR データをクリアする例を示します。

Router # clear ip flow stats nbar

その他の参考資料

ここでは、NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートに関する関連資料について説明します。

関連資料

関連項目
参照先

Cisco IOS NetFlow の概要

「Cisco IOS NetFlow Overview」

マニュアル タイトル 』に記載されている機能のリスト

「Cisco IOS NetFlow Features Roadmap」

NBAR の概要

「Classifying Network Traffic Using NBAR」

NBAR の設定

「Configuring NBAR Using the MQC」

プロトコルディスカバリを使用した NBAR の設定

「Enabling Protocol Discovery」

NetFlow コマンド

『Cisco IOS NetFlow Command Reference』

CNS NetFlow Collection Engine のインストール、開始、および設定に関する情報

Cisco CNS NetFlow Collection Engine のマニュアル

規格

規格
タイトル

この機能に関連する新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

この機能に関連する新しい MIB や変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

シスコのテクニカル サポート

説明
リンク

シスコのテクニカル サポート Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

http://www.cisco.com/techsupport

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの機能情報

表 14 に、このモジュールに記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(1) または 12.0(3)S 以降のリリースで導入または変更された機能だけを示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドのサポートの導入時期に関する詳細については、コマンド リファレンス マニュアルを参照してください。

ここに記載されていないこのテクノロジーの機能情報については、「 Cisco IOS NetFlow Features Roadmap 」を参照してください。

Cisco IOS ソフトウェア イメージは、Cisco IOS ソフトウェア リリース、機能セット、プラットフォームそれぞれに固有です。Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco IOS ソフトウェア イメージの各サポート情報を検索できます。 http://www.cisco.com/go/fn にある Cisco Feature Navigator にアクセスしてください。アクセスするには、Cisco.com のアカウントが必要です。アカウントをお持ちでない場合や、ユーザ名やパスワードを忘れた場合は、ログイン ダイアログボックスで [Cancel] をクリックし、表示される説明に従ってください。


表 14 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。


 

表 14 NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの機能情報

機能名
リリース
機能設定情報

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート

12.3(14)T
12.2(33)SRA

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポート機能により、アカウンティングおよびセキュリティ分析用の IP トラフィックのレイヤ 2 およびレイヤ 3 のフィールドからの値のキャプチャをイネーブルにします。

この機能に関する詳細については、次の各項を参照してください。

「NetFlow レイヤ 2 およびセキュリティ モニタリング」

「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの設定」

「NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートの確認」

この機能により、 ip flow-capture ip flow-export 、および show ip cache verbose flow の各コマンドが変更されました。

NetFlow レイヤ 2 およびセキュリティ モニタリング エクスポートに追加される IP ヘッダーのフラグメント オフセット フィールドからの値のキャプチャのサポート 1

12.4(2)T

ip flow-capture コマンドの fragment-offset キーワードにより、フロー内の最初のフラグメント化された IP データグラムからの IP フラグメント オフセット フィールドの値のキャプチャをイネーブルにします。

アプリケーション認識 NetFlow

12.2(18)ZYA2

アプリケーション認識 NetFlow 機能により、PISA NBAR によって収集されたアプリケーション情報のキャプチャをイネーブルにし、NetFlow バージョン 9 を使用してエクスポートします。

この機能に関する詳細については、次の各項を参照してください。

NBAR データ エクスポート

NetFlow エクスポートの NBAR サポートの設定

この機能により、 ip flow-capture ip flow-export template options show ip flow export 、および clear ip flow stats の各コマンドが変更されました。

1.これはマイナーな拡張です。マイナーな拡張は、通常 Feature Navigator に記載されません。

用語集

NBAR :Cisco IOS ソフトウェアの分類エンジン。Web ベースのアプリケーションやクライアント/サーバ アプリケーションなど、多種多様なアプリケーションを認識します。

NetFlow :フロー単位の情報を保持する Cisco IOS アカウンティング機能。

NetFlow Collection Engine (以前の NetFlow FlowCollector):Cisco ルータおよび Catalyst シリーズ スイッチで NetFlow と一緒に使用するシスコのアプリケーション。NetFlow Collection Engine によって、NetFlow を実行するルータからパケットが収集され、それらのパケットが復号、集約、および格納されます。NetFlow Collection Engine で設定できる各種の集約で、レポートを生成できます。

NetFlow v9 :NetFlow エクスポート フォーマットのバージョン 9。ネットワーク ノードからコレクタに NetFlow レコードを送信するための柔軟で拡張可能な手段。NetFlow バージョン 9 には定義可能なレコード タイプが用意されています。また、自己記述型で、NetFlow Collection Engine の設定を容易にします。

NetFlow 集約 :NetFlow Collection Engine などの NetFlow データ収集装置にデータをエクスポートする前に、Cisco IOS ルータで NetFlow エクスポート データを要約する NetFlow の機能。この機能により、NetFlow エクスポート データの帯域幅要件が減少し、NetFlow データ収集装置のプラットフォーム要件も減少します。

エクスポート パケット :NetFlow サービスがイネーブルのデバイス(ルータなど)によって作成されるパケットのタイプ。このパケットは、別のデバイス(NetFlow Collection Engine など)にアドレス指定されます。このパケットには、NetFlow 統計情報が含まれています。この他方のデバイスによってパケットが処理されます(IP フローの情報の解析、集約、および格納)。

フロー :送信元 IP アドレス、宛先 IP アドレス、プロトコル、送信元ポートと宛先ポート、タイプ オブ サービス、およびフローがモニタされるインターフェイスがすべて同一のパケットの集合。入力フローは入力インターフェイスに関連付けられ、出力フローは出力インターフェイスに関連付けられます。