Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド
NDEの設定
NDEの設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

NDEの設定

NDEの機能

NDEおよび統合型レイヤ3スイッチング管理の概要

トラフィック統計データの収集

NDEフィルタの使用方法

ブリッジド フロー統計情報の使用方法

NDEのデフォルト設定

スイッチ上でのNDEの設定

NDE設定時の注意事項

NDEコレクタの指定

MSFC上でのNetFlowスイッチングの設定

NetFlowスイッチングのイネーブル化

MSFC NDE送信元インターフェイスの設定

NDEの宛先の設定

NDEのイネーブル化

VLANに対するブリッジド フロー統計のイネーブル化およびディセーブル化

宛先ホスト フィルタの指定

宛先および送信元サブネット フィルタの指定

宛先TCP/UDPポート フィルタの指定

送信元ホストおよび宛先TCP/UDPポート フィルタの指定

プロトコル フィルタの指定

統計収集対象プロトコルの指定

統計収集対象プロトコルの削除

NDEフロー フィルタの消去

NDEのディセーブル化

NDE IPアドレスの削除

NDE設定の表示

NDEの設定

この章では、Catalyst 6500シリーズ スイッチにNetFlow Data Export(NDE;NetFlowデータ エクスポート)を設定する手順について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「NDEの機能」

「NDEのデフォルト設定」

「スイッチ上でのNDEの設定」

NDEの機能

ここでは、NDEの機能について説明します。

「NDEおよび統合型レイヤ3スイッチング管理の概要」

「トラフィック統計データの収集」

「NDEフィルタの使用方法」

「ブリッジド フロー統計情報の使用方法」

NDEおよび統合型レイヤ3スイッチング管理の概要

Catalyst 6500シリーズ スイッチは、Cisco Express Forwarding(CEF)for Policy Feature Card 2(PFC2;ポリシー フィーチャ カード2)またはMultilayer Switching(MLS;マルチレイヤ スイッチング)によってレイヤ3スイッチングを行います。NDEを使用して、Multilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ ガード)経由でレイヤ3スイッチングされた全トラフィックをモニタできます。NDEは、すべてのポート トラフィックを調べるためにスイッチに組み込まれたRemote Monitoring(RMON)機能を補足します。


) IPマルチキャストまたはInternetwork Packet Exchange(IPX)トラフィックについては、NDEはサポートされていません。



) MSFCについては、NDEバージョン7およびバージョン8はサポートされていません。



) CEF for PFC2の設定については、「CEF for PFC2の設定」を参照してください。MLSの設定については、「MLSの設定」を参照してください。


統合型レイヤ3スイッチング管理には、フロー統計情報を収集してエクスポートし、その統計情報にデータ リダクションを収集して実行し、トラフィック モニタリング、プランニング、およびアカウンティング用のアプリケーションにそのデータを転送する目的で作られた各種の製品、管理ユーティリティ、およびパートナー アプリケーションが含まれます。フローの収集および分類は、Cisco SwitchProbe、NetFlow FlowCollectorなどのフロー コレクタが行います。このフロー情報を集約して、TrafficDirector、NetSys、NetFlow Analyzerなどのアプリケーションに供給します。

トラフィック統計データの収集

外部のデータ コレクタが、1台または複数のスイッチまたはシスコ ルータの統計キャッシュから、フロー エントリを収集します。スイッチまたはルータは、統計キャッシュ内の期限切れになったフローに関するフロー エントリをUDPデータグラムにまとめて、フロー コレクタに転送します。このデータグラムは、ヘッダーと一連のフロー エントリで構成されます。図 15-1を参照してください。

図 15-1 統合型レイヤ3スイッチング管理

 

NDEフィルタの使用方法

デフォルトでは、フィルタを指定しないかぎり、期限切れになったすべてのフローがエクスポートされます。フィルタを指定すると、期限切れになって削除されたフローのうち、指定されたフィルタ基準に合うものだけがエクスポートされます。フィルタ値はNVRAM(不揮発性RAM)に保存され、NDEをディセーブルにしても削除されません。

フロー マスクがdestination-ipモードであり、NDEフィルタに送信元と宛先の両方を対象とするフィルタが含まれている場合には、宛先フィルタだけが有効になります。たとえば、次の例に示すフィルタの場合、フロー マスクがdestination-ipモードであれば、宛先アドレス9.1.2.15のフローがすべてエクスポートされます。ホスト10.1.2.15を指定した送信元フィルタは無視されます。

Console> (enable) set mls nde flow destination 9.1.2.15/32 source 10.1.2.15/32
Netflow data export: destination filter set to 9.1.2.15/32
Netflow data export: source filter set to 10.1.2.15/32
Console> (enable)

ブリッジド フロー統計情報の使用方法

VLAN(仮想LAN)ごとにブリッジド フローの統計レポートが作成されるように設定することができます。ブリッジド フロー統計をイネーブルにすると、ブリッジド フローはNDEを通じてエクスポートされます。


注意 この機能を利用する場合は注意が必要です。NetFlowテーブル内のNetFlowエントリが増えるため、NDEのパフォーマンスが低下することがあります。ブリッジド フロー統計の設定については、「NDE設定時の注意事項」を参照してください。

NDEのデフォルト設定

表 15-1 に、NDEのデフォルト設定を示します。

 

表 15-1 NDEのデフォルト設定

機能
デフォルト値

NDE

ディセーブル

NDEデータ コレクタのアドレスおよびUDPポート

指定なし

NDEフィルタ

設定なし

スイッチ上でのNDEの設定

ここでは、NDEを設定する手順について説明します。

「NDE設定時の注意事項」

「NDEコレクタの指定」

「MSFC上でのNetFlowスイッチングの設定」

「NDEのイネーブル化」

「VLANに対するブリッジド フロー統計のイネーブル化およびディセーブル化」

「宛先ホスト フィルタの指定」

「宛先および送信元サブネット フィルタの指定」

「宛先TCP/UDPポート フィルタの指定」

「送信元ホストおよび宛先TCP/UDPポート フィルタの指定」

「プロトコル フィルタの指定」

「統計収集対象プロトコルの指定」

「統計収集対象プロトコルの削除」

「NDEフロー フィルタの消去」

「NDEのディセーブル化」

「NDE IPアドレスの削除」

「NDE設定の表示」

NDE設定時の注意事項

NetFlowテーブルにエントリを追加しすぎた場合は、以下の注意事項に従ってください。

MLSエージング タイムを短縮します。20,000~30,000エントリの範囲で、NetFlowテーブルのエントリ数を保持できるだけの長さにエージング タイムを設定します。Supervisor Engine 2でブリッジド フロー統計を使用する場合は、エージング タイムを1秒に設定します。MLSエージング タイムの変更方法については、「MLSの設定」「MLSエージング タイム値の指定」を参照してください。

フローあたりの実行パケットが少ないプロトコルがある場合は、MLSファスト エージング タイムを削減します。MLSファスト エージング タイムの変更方法については、「MLSの設定」「IP MLSの長期エージング タイム、ファスト エージング タイム、およびパケット スレッシュホールド値の指定」を参照してください。

必要な種類の情報を取得するのに必要なフロー マスクを使用します。full flowマスクによりさらに情報が表示されますが、フロー数が増えるにつれて、レイヤ3エージングに対する負荷も増えます。必要なデータを取得するのに必要な最小限の細かさでフロー マスクを使用してみてください。full flowマスクの場合は、full flowマスクが1秒あたりのフロー数を増やすので、MLSエージング タイムを減らすことが必要な場合もあります。フロー マスクの設定手順については、「MLSの設定」「最小IP MLSフロー マスクの設定」を参照してください。

フローあたりのパケットの少ないエントリを除外します。Domain Name System(DNS;ドメイン ネーム システム)のような一部のクエリ プロトコルは、生成するフローあたりのパケットが少なく、set mls exclude protocolコマンドでNetFlowテーブルから除外することができます。最大4つのプロトコル フィルタを指定できますが、フィルタが実行されたプロトコルからのパケットはMSFCに進みます。

set mls nde flow excludeコマンドで、NetFlowテーブルに特定のフローが追加されないようにしてください。

レイヤ3フローに見えるVLANのブリッジド フローでNetFlowテーブル内のフロー数を増加するために、VLANに対するブリッジド フロー統計をイネーブルにします。NetFlowテーブル内のNetFlowエントリが増えると、パフォーマンスが低下します。

Supervisor Engine 1では、ハードウェアのNetFlowテーブル内にVLANフローについてレポートする容量がない場合、パケットはMSFCに送信されてソフトウェアによって転送され、NetFlow Full Errorsレジスタが加算されます。

Supervisor Engine 2では、NetFlowテーブル内にフロー エントリが1つもない場合、パケットが転送され、NetFlow Full Errorsレジスタが加算されて、統計情報は失われます。

NetFlowテーブルが溢れるのを防ぐには、次のようにします

フロー マスクの詳細値を最小にします。たとえば、プロトコルおよびレイヤ4ポートの情報が必要ない場合は、フロー マスクをfull flowではなく、destination-sourceまたはdestinationに設定します。

トラフィック プロファイルに応じて、エージング タイムを設定可能な最小値(1秒)にします。

ブリッジド フロー統計をイネーブルにするのは、VLAN内の統計情報が必要なVLANに対してだけにします。VLAN間の統計情報はデフォルトでレポートされます。

NDEコレクタの指定

NDEを初めてイネーブルにする前に、エクスポートされた統計情報を受信するNDEコレクタおよびUDPポートを指定する必要があります。コレクタのアドレスおよびUDPポート番号はNVRAMに保存され、NDEをディセーブルにして再びイネーブルにした場合、またはスイッチの電源を切って再び電源投入した場合にも、削除されずに保存されています。


) NetFlow FlowCollectorアプリケーションをデータ収集に使用する場合は、指定するUDPポート番号が、FlowCollectorのnfconfig.fileで指定されているポート番号と同じであることを確認してください。このファイルの場所は、FlowCollectorアプリケーションの/opt/csconfc/config/nfconfig.fileです。


NDEコレクタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ハードウェア スイッチングされるパケットのデータ エクスポート用のNDEコレクタおよびUDPポートを指定します。

set mls nde { collector_ip | collector_name } { udp_port_number }

NDEコレクタを指定する例を示します。

Console> (enable) set mls nde Stargate 9996
Netflow data export not enabled.
Netflow data export to port 9996 on 172.20.15.1(Stargate)
Console> (enable)
 

MSFC上でのNetFlowスイッチングの設定

NDEをサポートするためには、MSFCレイヤ3インターフェイスに対してNetFlowスイッチングをイネーブルにする必要があります。

MSFCに対するNetFlowスイッチングの設定に関する詳細は、次の資料を参照してください。

Cisco IOS Switching Services Configuration Guide 』、Release 12.1、「NetFlow Switching」

http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/switch_c/xcprt3/index.htm

Cisco IOS Switching Services Command Reference 』、Release 12.1、

URL: http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/switch_r/index.htm

ここでは、MSFCに対するNetFlowスイッチングの設定手順を説明します。

「NetFlowスイッチングのイネーブル化」

「MSFC NDE送信元インターフェイスの設定」

「NDEの宛先の設定」

NetFlowスイッチングのイネーブル化

NetFlowスイッチングをイネーブルにするには、NDEを必要とする各レイヤ3インターフェイスに対して、次の作業を行います。

 

作業
コマンド

ステップ 1

設定するVLANインターフェイスを選択します。

Router(config)# interface vlan vlan_ID

ステップ 2

NetFlowスイッチングをイネーブルにします。

Router(config-if)# ip route-cache flow

MSFC NDE送信元インターフェイスの設定

MSFCからの統計情報が含まれたNDEパケットの送信元として使用されるインターフェイスを設定するには、次の作業を行います。

 

作業
コマンド

MSFCからの統計情報が含まれたNDEパケットの送信元として使用されるインターフェイスを設定します。

IPアドレスによって設定するインターフェイスを選択します。

ループバック インターフェイスを使用します。

Router(config)# ip flow-export source { vlan | loopback } number

NDEフローの送信元としてループバック インターフェイスを設定する例を示します。

Router(config)# ip flow-export source loopback 0
Router(config)#
 

NDEの宛先の設定

NDE統計情報を受信する宛先IPアドレスとUDPポートを設定するには、次の作業を行います。

 

作業
コマンド

NDEの宛先IPアドレスとUDPポートを設定します。

Router(config)# ip flow-export destination ip_address udp_port_number

NDEフローの宛先IPアドレスとUDPポートを設定する例を示します。

Router(config)# ip flow-export destination 172.20.52.37 200
Router(config)#
 

NDEのイネーブル化

NDEをイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチ上でNDEをイネーブルにします。

set mls nde enable

次の例で、スイッチ上でNDEをイネーブルにする方法を示します。

Console> (enable) set mls nde enable
Netflow data export enabled.
Netflow data export to port 9996 on 172.20.15.1 (Stargate)
Console> (enable)
 

事前にコレクタを指定せずにNDEをイネーブルにしようとすると、次のメッセージが表示されます。

Console> (enable) set mls nde enable
Please set host name and UDP port number with ‘set mls nde <collector_ip> <udp_port_number>’.
Console> (enable)
 

VLANに対するブリッジド フロー統計のイネーブル化およびディセーブル化

特定のVLANに対するブリッジド フロー統計をイネーブルまたはディセーブルに設定するには、 set mls bridged-flow-statistics コマンドを使用します。1つまたは複数のVLANを入力できます。

特定のVLANまたはVLAN範囲に対するブリッジド フロー統計をイネーブルまたはディセーブルに設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

特定のVLANまたはVLAN範囲に対するブリッジド フロー統計をイネーブルまたはディセーブルに設定します。

set mls bridged-flow-statistics { enable | disable } { vlanlist }

特定のVLANに対するブリッジド フロー統計をイネーブルにする例を示します。

Console> (enable) set mls bridged-flow-statistics enable 1,20-21
Netflow statistics is enabled for bridged packets on vlan(s) 1,20-21.
Console> show mls nde
Netflow Data Export version: 7
Netflow Data Export enabled
Netflow Data Export configured for port 9991 on host 21.0.0.1
Total packets exported = 0
Bridged flow statistics is enabled on vlan(s) 1,20-21.
Console>
 

宛先ホスト フィルタの指定

宛先ホスト フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローの宛先ホスト フィルタを指定します。

set mls nde flow destination [ ip_addr_spec ]

次に、ホスト171.69.194.140への期限切れになったフローだけがエクスポートされるように、宛先ホスト フィルタを指定する例を示します。

Console> (enable) set mls nde flow destination 171.69.194.140
Netflow Data Export successfully set
Destination filter is 171.69.194.140/255.255.255.255
Filter type: include
Console> (enable)
 

宛先および送信元サブネット フィルタの指定

宛先および送信元サブネット フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローの宛先および送信元サブネット フィルタを指定します。

set mls nde flow destination [ ip_addr_spec ] source [ ip_addr_spec ]

次に、サブネット171.69.173.0からサブネット171.69.194.0への期限切れになったフローだけがエクスポートされるように、宛先および送信元サブネット フィルタを指定する例を示します(フロー マスクはsource-destination-ipに設定されているものと想定します)。

Console> (enable) set mls nde flow destination 171.69.194.140/24 source 171.69.173.5/24
Netflow Data Export successfully set
Source filter is 171.69.173.0/24
Destination filter is 171.69.194.0/24
Filter type: include
Console> (enable)
 

宛先TCP/UDPポート フィルタの指定

宛先TCP/UDPポート フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローの宛先TCP/UDPポート フィルタを指定します。

set mls nde flow dst_prt [ port_number ]

宛先ポート23への期限切れになったフローだけがエクスポートされるように、宛先TCP/UDPポート フィルタを指定する例を示します(フロー マスクはip-flowに設定されているものと想定します)。

Console> (enable) set mls nde flow dst_port 23
Netflow Data Export successfully set
Destination port filter is 23
Filter type: include
Console> (enable)
 

送信元ホストおよび宛先TCP/UDPポート フィルタの指定

送信元ホストおよび宛先TCP/UDPポート フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローの送信元ホストおよび宛先TCP/UDPポート フィルタを指定します。

set mls nde flow source [ ip_addr_spec ] dst_prt [ port_number ]

ホスト171.69.194.140から宛先ポート23への期限切れになったフローだけがエクスポートされるように、送信元ホストおよび宛先TCP/UDPポート フィルタを指定する例を示します(フロー マスクはip-flowに設定されているものと想定します)。

Console> (enable) set mls nde flow source 171.69.194.140 dst_port 23
Netflow Data Export successfully set
Source filter is 171.69.194.140/255.255.255.255
Destination port filter is 23
Filter type: include
Console> (enable)
 

プロトコル フィルタの指定

プロトコル フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローのプロトコル フィルタを指定します。

set mls nde flow protocol protocol

プロトコル17からの期限切れになったフローだけがエクスポートされるように、プロトコル フィルタを指定する例を示します。

Console> (enable) set mls nde flow protocol 17
Netflow Data Export filter successfully set.
Protocol filter is 17
Filter type: include
Console> (enable)

統計収集対象プロトコルの指定

set mls statistics protocol protocol port コマンドを使用すると、NDEによってエクスポートされる統計情報の収集対象になるプロトコルを64個まで指定できます。 protocol 引数には、 ip ipinip icmp igmp tcp udp 、またはその他のプロトコル ファミリーを表す10進数を指定できます。 port 引数には、プロトコル ポートを指定します。

プロトコルを統計収集の対象に指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

プロトコルを統計収集の対象として指定します。

set mls statistics protocol protocol port

プロトコルを統計収集の対象として指定する例を示します。

Console> (enable) set mls statistics protocol 17 1934
Protocol 17 port 1934 is added to protocol statistics list.
Console> (enable)
 

統計収集対象プロトコルの削除

clear mls statistics protocol { protocol port | all } コマンドを使用すると、NDEによってエクスポートされる統計情報の収集対象から削除するプロトコルを64個まで指定できます。 protocol 引数には、 tcp udp icmp 、またはその他のプロトコル ファミリーに対応する10進数を指定できます。 port 引数には、プロトコル ポートを指定します。すべてのプロトコルを統計収集対象から削除するには、 all キーワードを指定します。

プロトコルを統計収集の対象から削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

プロトコルを統計収集の対象から削除します。

clear mls statistics protocol { protocol port | all }

プロトコルを統計収集の対象から削除する例を示します。

Console> (enable) clear mls statistics protocol 17 1934
Protocol 17 port 1934 cleared from protocol statistics list.
Console> (enable)
 

NDEフロー フィルタの消去

NDEフロー フィルタを消去し、フィルタをデフォルト(すべてのフローをエクスポート)に戻すには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフロー フィルタを消去します。

clear mls nde flow

NDEフロー フィルタを消去して、すべてのフローがエクスポートされるようにする例を示します。

Console> (enable) clear mls nde flow
Netflow data export filter cleared.
Console> (enable)
 

NDEのディセーブル化


) Supervisor Engine 1およびPFCで、NDEがイネーブルに設定されているときにMLSをディセーブルにすると、既存のキャッシュ エントリの統計情報が消去され、エクスポートされなくなります。


スイッチ上でNDEをディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチ上でNDEをディセーブルにします。

set mls nde disable

スイッチのNDEをディセーブルにする例を示します。

Console> (enable) set mls nde disable
Netflow data export disabled.
Console> (enable)
 

NDE IPアドレスの削除

MSFCからNDE IPアドレスを削除するには、グローバル コンフィギュレーション モードで次の作業を行います。

 

作業
コマンド

MSFCのNDE IPアドレスを削除します。

Router(config)# no mls nde-address [ ip_addr ]

MSFCのNDE IPアドレスを削除する例を示します。

Router(config)# no mls nde-address 170.170.2.1
Router(config)#
 

NDE設定の表示

スイッチ上のNDE設定を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチのNDE設定を表示します。

show mls nde

次の例で、スイッチのNDE設定を表示する方法を示します。

Console> (enable) show mls nde
Netflow Data Export enabled
Netflow Data Export configured for port 1098 on host 172.20.15.1
Source filter is 171.69.194.140/255.255.255.0
Destination port filter is 23
Total packets exported = 26784
Console> (enable)
 

次に示すのは、スイッチに対して、ブリッジド フロー統計がイネーブルに設定されている場合のNDE設定を表示する例です。

Console> (enable) show mls nde
Netflow Data Export version:7
Netflow Data Export enabled
Netflow Data Export configured for port 9991 on host 21.0.0.1
Total packets exported = 0
Bridged flow statistics is enabled on vlan(s) 1,20-21.