Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.3.0SG および IOS 15.1(1)SG
NetFlow-lite の設定
NetFlow-lite の設定
発行日;2012/09/05 | 英語版ドキュメント(2012/08/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 14MB) | フィードバック

目次

NetFlow-lite の設定

NetFlow パケットのサンプリングについて

機能の相互作用

システム全体の制限

インターフェイス レベルの制限

モニタ レベルの制限

NetFlow パケットのサンプリングの設定

外部コレクタに関する情報の設定

使用上のガイドライン

サンプリング パラメータの設定

使用上のガイドライン

インターフェイスまたは VLAN のサンプリングのアクティブ化

使用上のガイドライン

表示コマンド

clear コマンド

NetFlow-lite の設定

この章では、NetFlow-lite を設定する方法について説明します。これは、NetFlow で提供されるものと同様のトラフィック モニタリング機能を実現します。


) NetFlow-lite は、Catalyst 4948E および Catalyst 4948E-F イーサネット スイッチだけでサポートされます。


次のトピックについて説明します。

「NetFlow パケットのサンプリングについて」

「機能の相互作用」

「NetFlow パケットのサンプリングの設定」

「表示コマンド」

「clear コマンド」


) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。

http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html

『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL でCisco IOS コマンド リファレンスと関連資料を参照してください。

http://www.cisco.com/en/US/products/ps6350/index.html



) VLAN モニタは、Cisco IOS Release 15.0(2)SG でサポートされません。



) NetFlow の使用および管理の詳細については、『NetFlow Solutions Guide』を参照してください。


NetFlow パケットのサンプリングについて

NetFlow-lite 機能は、スイッチのインターフェイスにすることができるモニタリング ポイントでの入力パケット サンプリングに基づいています。NetFlow のサンプリング パケットをエクスポートすることにより、デバイスで切り替えられるトラフィックが可視化されます。入力パケットをサンプリングするレートは設定可能で、幅広いサンプリング レートがサポートされます。サンプリングされたパケットは、NetFlow V9 または IPFIX の形式でエクスポートできます。

機能の相互作用

機能の相互作用は、次の 3 レベルで発生します。

システム全体の制限

WCCP の出力リダイレクトは、NetFlow-lite がいずれかのインターフェイスで設定されている場合はサポートされません。

任意のインターフェイス上で NetFlow-lite モニタを設定すると、レイヤ 3 Deny ACL は、ICMP 到達不能パケットを生成しなくなります。

NetFlow-lite モニタリングをイネーブルにすると、使用可能な TCAM およびパケット転送の帯域幅が減少します。

インターフェイス レベルの制限

NetFlow-lite モニタリングと入力 QoS ポリシーは、同じインターフェイスで共存できません。QoS ポリシーは、NetFlow-lite モニタリングよりも優先されます。

NetFlow-lite モニタリングと WCCP Exclude 機能は、同じインターフェイスで共存できません。

NetFlow-lite と SPAN は、同じインターフェイスで共存できません。NetFlow-lite は SPAN よりも優先されます。

モニタ レベルの制限

帯域幅合計が 20 ギガビットを超えるポート チャネルは、1/64 の最大サンプリング レートをサポートします。帯域幅合計が 40 ギガビットを超えるポート チャネルは、1/128 をサポートします。

PIM 双方向モードを実行し、RP または DF といずれかのレシーバが同じ VLAN 上にある場合、マルチキャスト パケットの NetFlow-lite モニタリングは機能しません。

NetFlow パケットのサンプリングの設定

NetFlow-lite 機能を設定するには、次の項の作業を実行します。

「外部コレクタに関する情報の設定」

「サンプリング パラメータの設定」

「インターフェイスまたは VLAN のサンプリングのアクティブ化」

外部コレクタに関する情報の設定

外部コレクタを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Switch# config terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# netflow-lite exporter exporter

エクスポータを定義し、NetFlow-lite エクスポータ サブモードを開始します。

ステップ 3

Switch(config-netflow-lite-exporter)# destination source-address

宛先アドレスを指定します

ステップ 4

Switch(config-netflow-lite-exporter)# source source-address

送信元のレイヤ 3 インターフェイスを指定します。

ステップ 5

Switch(config-netflow-lite-exporter)# vrf source-address

VRF ラベルを指定します

ステップ 6

Switch(config-netflow-lite-exporter)# transport udp destination-port

UDP トランスポート宛先ポートを指定します。

ステップ 7

Switch(config-netflow-lite-exporter)# ttl ttl-value

TTL 値を指定します

ステップ 8

Switch(config-netflow-lite-exporter)# cos cos-value

CoS 値を指定します。

ステップ 9

Switch(config-netflow-lite-exporter)# dscp dscp-value

DSCP 値を指定します。

ステップ 10

Switch(config-netflow-lite-exporter)# template data timeout timeout

テンプレート データ タイムアウトを指定します。

ステップ 11

Switch(config-netflow-lite-exporter)# options {sampler-table | interface-table} timeout timeout

オプションのタイムアウトを指定します。

ステップ 12

Switch(config-netflow-lite-exporter)# export-protocol {netflow-v9 | ipfix}

エクスポート プロトコルを指定します

ステップ 13

Switch(config-netflow-lite-exporter)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 14

Switch(config)# exit

EXEC モードに戻ります。

ステップ 15

Switch# show netflow-lite exporter exporter

エクスポータの設定を表示します。

次に、外部コレクタを設定し、エクスポータの設定を確認する例を示します。

Switch# config terminal
Switch(config)# netflow-lite exporter exporter1
Switch(config-netflow-lite-exporter)# destination 5.5.5.6
Switch(config-netflow-lite-exporter)# source 5.5.5.5
Switch(config-netflow-lite-exporter)# transport udp 8188
Switch(config-netflow-lite-exporter)# ttl 128
Switch(config-netflow-lite-exporter)# cos 7
Switch(config-netflow-lite-exporter)# dscp 32
Switch(config-netflow-lite-exporter)# template data timeout 1
Switch(config-netflow-lite-exporter)# options sampler-table timeout 1
Switch(config-netflow-lite-exporter)# options interface-table timeout 1
Switch(config-netflow-lite-exporter)# export-protocol netflow-v9 Switch(config-netflow-lite-exporter)# exit
Switch(config)# exit
Switch# show netflow-lite exporter exporter1
Netflow-lite Exporter exporter1:
Network Protocol Configuration:
Destination IP address: 5.5.5.6
Source IP Address: 5.5.5.5
VRF label: none
DSCP: 0x20
TTL: 128
COS: 7
Transport Protocol Configuration:
Transport Protocol: UDP
Source Port: 50441
Destination Port: 8188
Destination Ports to Load-share: 1
Export Protocol Configuration:
Export Protocol: netflow-v9
Template data timeout: 1800
Options sampler-table timeout: 1800
Options interface-table timeout: 1800
Exporter Statistics:
Packets Exported: 56

使用上のガイドライン

コレクタの IP アドレスおよび UDP ポートを指定できます。オプションとして、コレクタが到達可能である VRF ラベルを提供できます。エクスポータのエージェント アドレスは、送信元インターフェイスとして指定されます。IPFIX または NetFlow V9 エクスポートがサポートされます。

エクスポータ名は、モニタでサンプリングをアクティブにするときに指定できます。これは、インターフェイスまたは VLAN モードで実行できます。サンプリング インスタンスに対してエクスポータを指定しないと、サンプルはエクスポートされません。

エクスポータ サブモードでは、NetFlow テンプレートの更新頻度を指定できます。また、NetFlow パケット サンプリング プロセスに関するメタ データ(サンプラ コンフィギュレーション パラメータおよび SNMP インターフェイス テーブル マッピングなど)は、コレクタに対して定期的にエクスポートできます。

最小のエクスポータ設定の必須パラメータは、コレクタの宛先アドレス、送信元レイヤ 3 インターフェイス、およびコレクタの UDP 宛先ポートです。

コレクタのアドレスが IPv6 の場合、VRF ラベルは無視されます。デフォルトのグローバル ルーティング テーブルが、コレクタに IPv6 エクスポート パケットをルーティングするために使用されます。

CoS CLI オプションは、FPGA によってエクスポートされるサンプル パケットだけに対して、VLAN タグの CoS 値を設定するために使用します。

サンプリング パラメータの設定

この作業では、再利用可能な名前付きエンティティとして、パケットとカウンタのサンプリング パラメータを設定します。

NetFlow キャッシュを設定し、スイッチド IP フロー収集をイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Switch# config terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# netflow-lite sampler sampler

再利用可能な名前付きエンティティとしてパケットのサンプリング パラメータを設定し、NetFlow-lite サンプラ サブモードを開始します。

ステップ 3

Switch(config-netflow-lite-sampler)# packet-rate rate

NetFlow-lite サンプラ サブモードで、パケットのサンプリング レートを指定します。

ステップ 4

Switch(config-netflow-lite-sampler)# packet-section size size

NetFlow-lite サブモードで、サンプリングされたヘッダー サイズを指定します。

ステップ 5

Switch(config-netflow-lite-sampler)# packet-offset offset

NetFlow-lite サブモードで、開始パケット オフセットを指定します。

ステップ 6

Switch(config-netflow-lite-sampler)# exit

NetFlow-lite サンプラ サブモードを終了します。

ステップ 7

Switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 8

Switch# show netflow-lite sampler sampler

サンプラ情報を表示します。

次に、サンプリング パラメータを設定し、サンプラの設定を表示する例を示します。

Switch# config terminal
Switch(config)# netflow-lite sampler sampler1
Switch(config-netflow-lite-sampler)# packet-rate 32
Switch(config-netflow-lite-sampler)# packet-section size 128
Switch(config-netflow-lite-sampler)# packet-offset 16
Switch(config-netflow-lite-sampler)# exit
Switch(config)# exit
Switch#
 
Switch# show netflow-lite sampler sampler1
Netflow-lite Sampler sampler1:
Id : 1
Packet Sampling rate: 1 out of 32
Packet Section Size: 64 bytes
Packet offset: 16 bytes
 

show netflow-lite sampler 特権 EXEC コマンドを使用して設定を確認できます。

使用上のガイドライン

パケットのサンプリング レートは、2 の累乗で、32 ~ 2^15 の範囲で指定できます。2 つの 1 ギガビット ポートをトラブルシューティングする場合は、1 のレートが許可されます。これは、rx スパンだけの場合と同等です。10 ギガビット ポートでは、エクスポートの帯域幅要求が高すぎるため、この値は設定できません。

必須パラメータは、パケット レートです。最大 2 つの 1 ギガビット ポートを、1/1 サンプリングで設定できます。任意の 1 ギガビットまたは 10 ギガビット ポートで設定できる最適なパケットのサンプリング レートは、1/32 です。パケットのサンプリング レートは 2 の累乗に設定できます(1/64 および 1/128 など)。

ターゲット インターフェイスでサンプラを更新できますが、必須パラメータは削除または設定解除できません。

すべての必須パラメータは、サンプラを検証するために必要です。指定されていない非必須パラメータは、デフォルト値になります。

インターフェイスまたは VLAN のサンプリングのアクティブ化

ここでは、インターフェイスまたは VLAN のモニタ インスタンスを定義し、使用するサンプラおよびエクスポータを識別します。

インターフェイスのサンプリングをアクティブにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Switch# config terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface interface-id

インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

Switch(config-if)# netflow-lite monitor monitor

インターフェイスのモニタ インスタンスを定義し、NetFlow-lite モニタ サブモードを開始します。

ステップ 4

Switch(config-netflow-lite-monitor)# sampler sampler

NetFlow-lite モニタ サブモードで、インターフェイス上のサンプリングをアクティブにします。

ステップ 5

Switch(config-netflow-lite-monitor)# exporter exporter

NetFlow-lite モニタ サブモードで、エクスポータを割り当てます

ステップ 6

Switch(config-netflow-lite-monitor)# average-packet-size size

NetFlow-lite モニタ サブモードで、観察ポイントの平均パケット サイズを指定します。

ステップ 7

Switch(config-netflow-lite-monitor)# exit

NetFlow-lite モニタ サブモードを終了します。

ステップ 8

Switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 9

Switch# show netflow-lite monitor monitor interface interface-name

特定のパケットに関して、またはデータ ソース統計情報ごとに情報を表示します。

VLAN のサンプリングをアクティブにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Switch# config terminal

コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# vlan config 2

インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

Switch(config-vlan-config)# netflow-lite monitor monitor

インターフェイスのモニタ インスタンスを定義し、NetFlow-lite モニタ サブモードを開始します。

ステップ 4

Switch(config-netflow-lite-monitor)# average-packet-size size

NetFlow-lite モニタ サブモードで、観察ポイントの平均パケット サイズを指定します。

ステップ 5

Switch(config-netflow-lite-monitor)# exporter exporter

NetFlow-lite モニタ サブモードで、エクスポータを割り当てます。

ステップ 6

Switch(config-netflow-lite-monitor)# sampler sampler

NetFlow-lite モニタ サブモードで、インターフェイス上のサンプリングをアクティブにします。

ステップ 7

Switch(config-netflow-lite-monitor)# exit

NetFlow-lite モニタ サブモードを終了します。

ステップ 8

Switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 9

Switch# show netflow-lite monitor monitor vlan vlan

特定のパケットに関して、またはデータ ソース統計情報ごとに情報を表示します。

次に、ポートのインターフェイス ギガビット 1/3 で、モニタを設定する例を示します。

Switch# config terminal
Switch(config)# int GigabitEthernet1/3
Switch(config-if)# netflow-lite monitor 1
Switch(config-netflow-lite-monitor)# sampler sampler1
Switch(config-netflow-lite-monitor)# average-packet-size 128
Switch(config-netflow-lite-monitor)# exporter exporter1
Switch(config-netflow-lite-monitor)# exit
Switch(config-if)# exit
Switch(config)# exit
Switch(config)#
Switch# show netflow-lite monitor 1 interface gi1/3
Interface GigabitEthernet1/3:
Netflow-lite Monitor-1:
Active: TRUE
Sampler: sampler1
Exporter: exporter1
Average Packet Size: 0
Statistics:
Packets exported: 0
Packets observed: 0
Packets dropped: 0
Average Packet Size observed: 64
Average Packet Size used: 64
 

同様に、VLAN コンフィギュレーション モードで、VLAN のモニタを設定できます。

Switch# config terminal
Switch(config)# vlan config 2
Switch(config-vlan-config)# netflow-lite monitor 1
Switch(config-netflow-lite-monitor)# average-packet-size 128
Switch(config-netflow-lite-monitor)# exporter exporter1
Switch(config-netflow-lite-monitor)# sampler sampler1
Switch(config-netflow-lite-monitor)# exit
Switch(config-vlan-config)# exit
Switch(config)#
Switch# show netflow-lite monitor 1 vlan 2
VlanID-2:
Netflow-lite Monitor-1:
Active: TRUE
Sampler: sampler1
Exporter: exporter1
Average Packet Size: 0
Statistics:
Packets exported: 0
Packets observed: 0
Packets dropped: 0
Average Packet Size observed: 64
Average Packet Size used: 64
 

show policy-map 特権 EXEC コマンドで設定を確認できます。

使用上のガイドライン

単一パケットのサンプリング インスタンスだけが、モニタでサポートされます。これらのコマンドは、物理ポートのインターフェイス モード、ポート チャネル インターフェイス、または VLAN コンフィギュレーション モードで入力します。モニタは、他のインターフェイスではサポートされていません。物理ポートがポート チャネルのメンバである場合、ポートにモニタを適用しても効果はありません。代わりに、モニタをポート チャネルに適用する必要があります。

モニタを設定する場合、必須パラメータはサンプラおよびエクスポータです。エクスポータがモニタに関連付けられていない場合、サンプルはエクスポートされません。サンプラを指定しないと、入力パケットのサンプリングは、そのターゲット インターフェイスで実行されません。

パケット サンプリング メカニズムは、1/N のランダム サンプリングの達成を試みます。アルゴリズムの精度は、特定のインターフェイスに到達するパケットのサイズに依存します。アルゴリズムの相対的な精度を調整するには、average-packet-size パラメータを使用します。システム全体で、最大 200 モニタがサポートされます。

入力トラフィックの観察に基づいて、インターフェイスで自動的に平均パケット サイズが決定され、DBL のサンプリング レートでその値が使用されます。

アルゴリズムで使用できるパケット サイズの範囲は、64 ~ 9216 バイトです。0 の値は、平均パケット サイズの自動決定が必要なことを意味していると見なされます。

サンプラおよびエクスポータは、パケットのサンプリングに対して有効にする必要があります。いずれかの必須パラメータが欠落している場合、サンプラまたはエクスポータが無効であることを示す警告メッセージが表示されます。

表示コマンド

設定された最小マスクの値を表示するには、必要に応じて各集約方式に対して次のコマンドを使用します。

 

コマンド
目的

Switch# show netflow-lite sampler sampler_name

サンプラ情報を表示します。

Switch# show netflow-lite monitor monitor interface interface_name

Switch# show netflow-lite monitor monitor vlan vlan_id

次のコマンドは、特定のパケットに関して、およびモニタ統計情報ごとに情報を表示します。インターフェイスは、物理ポートまたは VLAN のいずれかにすることができます。

次のパケット サンプリング統計情報が表示されます。

エクスポートされたパケット(サンプル)の合計数

ローカル リソースの不足のために、ドロップされたパケット(サンプル)の合計数

モニタで認識されたパケットの合計数

Switch# show netflow-lite exporter exporter_nsme

コレクタとに関する情報とグローバルな統計情報を表示します。

次に、サンプラに関する情報を表示する例を示します。

Switch# show netflow-lite sampler low-rate
Netflow-lite Sampler low-rate:
Description: Sampler
Sampling rate: 1 out of 256
Packet Section Size: 64 bytes
Packet offset: 0 bytes
 

次に、特定のパケットに関して、および物理ポートのモニタ統計情報ごとに情報を表示する例を示します。

Switch# show netflow-lite monitor 1 interface gi1/3
Interface GigabitEthernet1/3:
Netflow-lite Monitor-1:
Active: TRUE
Sampler: sampler1
Exporter: exporter1
Average Packet Size: 0
Statistics:
Packets exported: 0
Packets observed: 0
Packets dropped: 0
Average Packet Size observed: 64
Average Packet Size used: 64
 

次に、特定のパケットに関して、および VLAN のモニタ統計情報ごとに情報を表示する例を示します。

Switch# show netflow-lite monitor 1 vlan 2
VlanID-2:
Netflow-lite Monitor-1:
Active: TRUE
Sampler: sampler1
Exporter: exporter1
Average Packet Size: 0
Statistics:
Packets exported: 0
Packets observed: 0
Packets dropped: 0
Average Packet Size observed: 64
Average Packet Size used: 64
 

次に、送信されたエクスポート パケットの合計数を表示する例を示します。

Switch# show netflow-lite e1
Netflow-lite Exporter e1:
Description: Exporter
Network Protocol Configuration:
Destination IP address: 192.168.1.1
VRF label: cisc
Source IP Address: 10.1.1.5
DSCP: 0x1
TTL: 30
COS: 1
Transport Protocol Configuration:
Transport Protocol: UDP
Destination Port: 1234
Source Port: 65535
Export Protocol Configuration:
Export Protocol: netflow-v9
Exporter Statistics:
Export packets sent: 36

clear コマンド

モニタでパケット サンプラの統計情報をクリアするには、必要に応じて次のコマンドを使用します。

 

コマンド
目的
Switch# clear netflow-lite monitor monitor_id statistics interface interface name
Switch# clear netflow-lite monitor monitor_id statistics vlan vlan_id

データソースで、パケット サンプラの統計情報をクリアします。

Switch# clear netflow-lite exporter exporter_ name statistics

コレクタの統計情報をクリアします。