Cisco CNS NetFlow Collection Engine インストレーション コンフィギュレーション ガイド Release 5.0.2
概要
概要
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 454KB) | フィードバック

目次

概要

NetFlow サービスとは

NetFlow サービス デバイスと IOS リリースのサポート

NetFlow データのエクスポート

フロー統計情報エクスポートの方法と時点

NetFlow データ エクスポートの形式

CNS NetFlow Collection Engine とは

CNS NetFlow Collection Engine アーキテクチャの概要

コレクタ

Web ベース ユーザ インターフェイス

CNS/XML インターフェイス

Report Generator

BGP ピア

概要

この章では、Cisco ルータおよび Catalyst 5000 シリーズと Catalyst 6000 シリーズ スイッチの NetFlow サービス データ エクスポート機能と併用される、CNS NetFlow Collection Engine アプリケーションについて説明します。

この章は、次の項で構成されています。

NetFlow サービスとは

CNS NetFlow Collection Engine とは

CNS NetFlow Collection Engine アーキテクチャの概要

NetFlow サービスとは

NetFlow サービスは、高度な IP スイッチング機能で構成されています。IP スイッチング機能は、スイッチング機能の実行中にルータおよびスイッチからエクスポートされたトラフィック統計情報の全情報をキャプチャします。エクスポートされた NetFlow データは、トラフィック フローで構成されています。トラフィック フローは、同じプロトコルおよびトランスポート レイヤ情報を共有する特定の発信元デバイスと宛先デバイス間の、単一方向に連続したパケットです。キャプチャしたトラフィック統計情報は、ネットワークの分析と計画、ネットワーク管理、アカウンティング、課金およびデータ マイニングなど、さまざまな目的に使用できます。

情報の流れが単方向であることから、クライアントからサーバへ向かうフローは、サーバからクライアントへ向かうフローと区別することができます。フローは、プロトコルに基づいて区別することもできます。たとえば、特定の発信元ホストから特定の宛先ホストへの Hypertext Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)Web パケットには、同じホスト間の File Transfer Protocol(FTP; ファイル転送プロトコル)ファイル転送パケットとは別のフローが構成されます。

ルータおよびスイッチは、IP パケットの次のフィールドを参照することで、フローを特定します。

発信元 IP アドレス

宛先 IP アドレス

発信元ポート番号

宛先ポート番号

プロトコル タイプ

ToS

入力インターフェイス

Catalyst 5000 シリーズ スイッチは、これらのフィールドのサブセットを参照することで、フローを特定できます。たとえば、発信元アドレスと宛先アドレスのみでフローを特定することができます。


) Catalyst 5000 シリーズ スイッチの場合、NetFlow サービスに類似した機能として、統合化された Multilayer Switching(MLS; マルチレイヤ スイッチング)管理があります。MLS 管理には、フロー統計情報の収集、それらの統計情報のエクスポート、およびエクスポートされた統計情報に関するデータの収集と整理を目的とした、製品、ユーティリティ、およびパートナー アプリケーションが含まれています。MLS 管理では、トラフィックのモニタリング、計画、およびアカウンティングのためにそれらをコンシューマ アプリケーションに転送します。


NetFlow サービス デバイスと IOS リリースのサポート

異なる Cisco ハードウェア プラットフォーム、Cisco IOS ソフトウェア リリースおよびサポートされている NetFlow データ エクスポート バージョン間での互換性の最新情報については、次の URL を参照してください。

http://tools.cisco.com/ITDIT/CFN/Dispatch?SearchText=Netflow&act=featSelect&rnFeatId=null&featStartsWith=&task=TextSearch&altrole=


) このマニュアルでは、特定のルータまたはスイッチのプラットフォームを指す必要のある記述を除いて、エクスポート デバイスという用語をルータおよびスイッチという用語の代わりに使用します。


NetFlow データのエクスポート

NetFlow データのエクスポートにより、NetFlow トラフィック統計情報をネットワーク計画や課金などの目的に使用することができます。NetFlow データ エクスポート用に構成されたエクスポート デバイスは、フローベースのトラフィック統計情報のキャプチャに使用されるフロー キャッシュを管理します。各アクティブ フローのトラフィック統計情報はキャッシュに保管され、各フロー内のパケットがスイッチされると更新されます。すべての期限満了フローのトラフィック統計情報のサマリーは、定期的にエクスポート デバイスからエクスポートされます。この時、CNS NetFlow Collection Engine が受信および処理を行う User Datagram Protocol(UDP; ユーザ データグラム プロトコル)データグラムが使用されます。

フロー統計情報エクスポートの方法と時点

エクスポート デバイスからエクスポートされた NetFlow データには、前回のエクスポートで期限満了となったフロー キャッシュ エントリの NetFlow 統計情報が含まれています。フロー キャッシュ エントリは、次の条件が発生した場合に期限切れとなり、フラッシュされます。

トランスポート プロトコルがコネクション完了(TCP FIN)を示し、その後 FIN ACK ハンドシェイク完了処理ができるだけの短い時間が経過したとき

トラフィックがアクティブでない状態が 16 秒以上続いたとき

継続的にアクティブなフローでは、フロー キャッシュ エントリが 30 分ごとに期限満了になり、確実にアクティブ フローの定期レポートが実行されるようになっています。

NetFlow データ エクスポート パケットは、CNS NetFlow Collection Engine が起動しているワークステーションなどの、ユーザが指定した宛先へ送信されます。最新の期限満了フローの数が事前に指定した最大値に達したときに送信するか、または 1 秒ごとに送信するか、どちらか早い方のタイミングで送信されます。送信可能なフロー数は次のとおりです。

Version 1 のデータグラムでは、約 1200 バイトの単一 UDP データグラムで最大 24 個までのフローを送信できます。

Version 5 のデータグラムでは、約 1500 バイトの単一 UDP データグラムで最大 30 個までのフローを送信できます。

Version 7 のデータグラムでは、約 1500 バイトの単一 UDP データグラムで最大 27 個までのフローを送信できます。

Version 8 のデータグラムでは、単一 UDP データグラムで送信できるフロー数は集計方式により異なります。

Version 9 のデータグラムでは、フロー数は可変で、テンプレートで定義されているフィールドの数とサイズにより異なります。

全バージョンの NetFlow データ エクスポートのデータ形式については、『 CNS NetFlow Collection Engine User Guide 』の Appendix B「NetFlow Export Datagram Formats」 を参照してください。

NetFlow データ エクスポートの形式

NetFlow は、フロー情報を、Version 1(V1)、Version 5(V5)、Version 7(V7)、Version 8(V8)、または Version 9(V9)の 5 つの形式のうちいずれかの UDP データグラムでエクスポートします。

Version 1 は、初期の NetFlow リリースでサポートされた形式です。Version 5 では、Border Gateway Protocol(BGP; ボーダーゲートウェイ プロトコル)の自律システム情報およびフロー シーケンス番号が追加されています。Version 7 は、NFFC が装備された Cisco Catalyst 5000 シリーズのみをサポートするように拡張されています。Version 7 は、Cisco ルータとの互換性がありません。Version 8 では、ルータベースの集計方式が追加されています。Version 9 は、マルチキャスト、Internet Protocol Security(IPSec)、および Multi Protocol Label Switching(MPLS)などのさまざまなテクノロジーをサポートするように拡張されています。CNS NetFlow Collection Engine Release 5.0 では、NetFlow Data Export の Version 1 ~ 8 に対してと同様の方法で、Version 9 のデータの収集、フィルタリング、および集約を行うことができます。

Version 2、3、4 および 6 は、CNS NetFlow Collection Engine ではサポートされていません。NetFlow データ エクスポートの各形式の相違点については、『 CNS NetFlow Collection Engine User Guide 』の Appendix B「NetFlow Export Datagram Formats」 を参照してください。

詳細なトラフィック統計情報には、次の情報が含まれます。

発信元 IP アドレスおよび宛先 IP アドレス

ネクストホップ アドレス

入力インターフェイス番号および出力インターフェイス番号

フローのパケット数

フローの合計バイト数(オクテット単位)

このフローの一部としてスイッチされたパケットの最初と最後のタイム スタンプ

発信元ポート番号および宛先ポート番号

プロトコル

ToS

発信元 AS(自律システム)番号と宛先 AS 番号、発信点またはピア(Version 5 データグラムと Version 8 データグラムの場合)

発信元と宛先のプレフィックス マスク ビット(Version 5 データグラム、Version 7 データグラム、Version 8 データグラムの場合)

ショートカット ルータ IP アドレス(Catalyst 5000 シリーズ スイッチの Version 7 のみ)


注意 このマニュアル全体にわたって、CNS NetFlow Collection Engine の入力コマンドおよび出力結果の例が多数記述されています。その中には IP アドレスの例も含まれています。IP アドレスの例は、実際に使用できる IP アドレスではありません。記載されている IP アドレスの例は、実際の設定を示すものではありません。

CNS NetFlow Collection Engine とは

CNS NetFlow Collection Engine は、NetFlow データ レコードをエクスポートする複数のエクスポート デバイスから、高速でスケーラブルかつ経済的にデータを収集します。図 1-1 に、典型的な NetFlow データ エクスポート方式の例を示します。図中では、ユーザによって指定された CNS NetFlow Collection Engine UDP ポートへ、さまざまなエクスポート デバイスからエクスポート データが送信されます。

図1-1 CNS NetFlow Collection Engine の概要

 

この例の各エクスポート デバイスは、NetFlow データ エクスポート向けに構成されています。各エクスポート デバイスの構成情報の一部には、IP アドレスと、CNS NetFlow Collection Engine をこのエクスポート デバイスからのフローのレシーバとして特定する UDP ポート番号(論理的ポート番号)が含まれます。UDP ポート番号は、ユーザによる設定が可能な番号です。CNS NetFlow Collection Engine が異なる UDP ポート番号のフローを受信するように設定してから、専用の UDP ポートにフローをエクスポートするようにエクスポート デバイスを設定できます。また、いくつかのデバイスから同一の共有 UDP ポートへフローをエクスポートすることもできます。

設定を完了し、CNS NetFlow Collection Engine を起動すると、NetFlow データ エクスポート向けに設定したエクスポート デバイスからのエクスポート フローを、ユーザ指定の UDP ポートで受信します。

CNS NetFlow Collection Engine には、次の機能があります。

複数のエクスポート デバイスから NetFlow データを収集

フィルタリングと集約によりデータ量を削減

階層的なデータ記憶(クライアント アプリケーションによるデータ取り出しの円滑化)

ファイル システム スペース管理

CNS NetFlow Collection Engine は収集したデータを、CNS NetFlow Collection Engine 集約器で指定したユーザ定義の基準に従って、データ ファイルに要約(集約)します。集約器とは、ユーザによる設定が可能なアトリビュートのセットで定義された集約タスクです。アトリビュートには、CNS NetFlow Collection Engine が受信したトラフィック フローを要約する方法が指定されます。2 つの重要な集約器アトリビュートは、次のとおりです。

集計方式:トラフィック フロー内の必要なデータのサブセットに加えて、保持する統計情報を定義する

フィルタ:集約または要約されたフローを許可または拒否する基準

CNS NetFlow Collection Engine では、事前に定義した集計方式のセットを提供しています。これらの集計方式を使用して、NetFlow エクスポート データの収集および要約(つまりフローの集約)を行います。1 つまたは複数の集計方式を選択することで、CNS NetFlow Collection Engine を運用状況に応じてカスタマイズできます。さらに、Release 5.0 では、事前に定義した集計方式を修正したり、事前に定義した集計方式をベースに独自の集計方式を定義したりできます。また、フィルタと集計方式を併用して、特定の NetFlow データ タイプを含有または除外することも可能です。

スレッド、集計方式、およびフィルタの詳細については、『 CNS NetFlow Collection Engine User Guide 』の Chapter 4「Customizing the CNS NetFlow Collection Engine」 を参照してください。

CNS NetFlow Collection Engine アーキテクチャの概要

CNS NetFlow Collection Engine は次のサブシステムで構成されています。

コレクタ

Web ベース ユーザ インターフェイス(UI)

CNS/XML インターフェイス

Report Generator

BGP ピア

これらのサブシステムを併用することで、データ収集、ユーザ インターフェイス、設定と制御、およびレポート実行の CNS NetFlow Collection Engine の機能が使用可能になります。また、カスタム クライアント アプリケーションが CNS NetFlow Collection Engine とのインターフェイスを持てるようになります。CNS NetFlow Collection Engine システム アーキテクチャの図解については、図1-2 を参照してください。

図1-2 CNS NetFlow Collection Engine システム アーキテクチャ

 

コレクタ

コレクタ サブシステムは、NetFlow データを収集し、そのデータを集約(つまり要約)し、サポートされている Cisco ルータおよびスイッチからの指定したデータをフィルタします。出力は、使いやすいディレクトリ構造に構成されたファイルに格納されます。

Web ベース ユーザ インターフェイス

Web ベース ユーザ インターフェイスは、設定、制御、ステータス、およびレポート実行用に用意されています。

CNS/XML インターフェイス

CNS/XML インターフェイスは、設定や制御の要求、応答、および任意イベント通知の送受信を行うときに使用されます。CNS/XML インターフェイスは CNS 統合バスを使用してクライアントと通信します。

Report Generator

Report Generator は、ユーザが選択した基準に基づいて、コレクタ出力ファイルのレコードをさらに集約することによって、これらのファイルをベースにした時間単位および日単位のレポートを生成します。

BGP ピア

パッシブ BGP ピアは、BGP アトリビュートで CNS NetFlow Collection Engine 出力を補うために用意されています。