Catalyst 6500 Release 12.2SXH and Later Software コンフィギュレーション ガイド
NetFlow の設定
NetFlow の設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

NetFlow の設定

NetFlow の概要

NetFlow の概要

PFC での NetFlow

フロー マスク

フロー マスクの矛盾

RP での NetFlow

NetFlow 機能

インターフェイス単位の NDE

NetFlow アグリゲーション

マルチキャスト IP の NetFlow

デフォルトの NetFlow 設定

NetFlow 設定時の注意事項および制約事項

NetFlow の設定

PFC での NetFlow の設定

NetFlow PFC コマンドの要約

PFC での NetFlow のイネーブル化

最小 IP MLS フロー マスクの設定

MLS エージング タイムの設定

ACL 拒否の除外の設定

PFC NetFlow 情報の表示

NetFlow 機能の設定

レイヤ 3 インターフェイスでの NetFlow の設定

入力ブリッジド IP トラフィックに対する NetFlow のイネーブル化

NetFlow アグリゲーションの設定

マルチキャスト IP トラフィックに対する NetFlow の設定

NetFlow の設定

ここでは、Cisco IOS Software Release 12.2SX で NetFlow 統計情報収集を設定する方法について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、以下のマニュアルを参照してください。

次の URL の『 Cisco IOS NetFlow Command Reference

http://www.cisco.com/en/US/docs/ios/netflow/command/reference/nf_book.html

次の URL にある Release 12.2 のマニュアル

http://www.cisco.com/en/US/products/sw/iosswrel/ps1838/tsd_products_support_series_home.html


 

この章で説明する内容は、次のとおりです。

「NetFlow の概要」

「デフォルトの NetFlow 設定」

「NetFlow 設定時の注意事項および制約事項」

「NetFlow の設定」

NetFlow の概要

NetFlow 機能は、スイッチを通って流れるパケットに関するトラフィック統計情報を収集し、NetFlow テーブルに統計情報を保存します。いくつかの機能は NetFlow テーブルの統計情報を使用し、その統計情報は NetFlow Data Export(NDE)機能を使用してエクスポートできます。

以下で NetFlow についての追加情報を説明しています。

「NetFlow の概要」

「PFC での NetFlow」

「RP での NetFlow」

「NetFlow 機能」

NetFlow の概要

NetFlow 機能は、スイッチを通って流れるパケットに関するトラフィック統計情報を収集し、NetFlow テーブルに統計情報を保存します。ルート プロセッサ(RP)上の NetFlow テーブルは、ソフトウェアでルーティングされるフローの統計情報をキャプチャし、PFC(および各 DFC)上の NetFlow テーブルは、ハードウェアでルーティングされるフローの統計情報をキャプチャします。

一部の機能は、NetFlow テーブルを使用します。ネットワーク アドレス変換(NAT)などの機能は、NetFlow を使用して、転送結果を変更します。他の機能(QoS [Quality of Service] マイクロフロー ポリシングなど)は、NetFlow テーブルの統計情報を使用して、QoS ポリシーを適用します。NDE 機能は、(NetFlow コレクタと呼ばれる)外部デバイスに統計情報をエクスポートする機能を提供します。

PFC3A モードでは、NetFlow はルーティングされたトラフィックの統計情報だけを収集します。他の PFC では、ルーティングされたトラフィックとブリッジされたトラフィックの両方の統計情報を収集するように NetFlow を設定できます。

大量の統計情報を収集してエクスポートすると、スイッチ プロセッサ(SP)および RP の CPU 使用率に多大な影響を与えることがあるため、NetFlow には、統計情報量を制御するためのオプションが用意されています。これらのオプションには、次のようなものがあります。

NetFlow フロー マスクは、測定するフローの細かさを決定します。非常に固有性の高いフロー マスクは、エクスポートするための多数の NetFlow テーブル エントリおよび大量の統計情報を生成します。固有性の低いフロー マスクは、トラフィック統計情報を少数の NetFlow テーブル エントリに集約し、生成する統計情報の量も少なくなります。

インターフェイス単位の NetFlow により、レイヤ 3 インターフェイス上での NetFlow データ収集をイネーブルまたはディセーブルにできます。

NetFlow フロー サンプリングは、フロー内のサブセットのデータをエクスポートしますが、これによってエクスポートされる統計情報量を大幅に減らすことができます。NetFlow フロー サンプリングが、収集される統計情報の量を減らすことはありません。

NetFlow アグリゲーションにより、エクスポートする前に収集した統計情報が結合されます。集約により、エクスポートするレコードの量は減りますが、収集する統計情報の量は減りません。NetFlow アグリゲーションにより、SP の CPU 使用率が増え、コレクタが使用できるデータが減ります。NetFlow アグリゲーションは、NetFlow バージョン 8 を使用します。

NetFlow は 3 つの設定可能タイマーを定義し、テーブルから削除できる失効フローを識別します。NetFlow は、失効エントリを削除し、新しいエントリのためにテーブルのスペースをクリアします。

PFC での NetFlow

PFC の NetFlow テーブルは、ハードウェアでルーティングされるフローの統計情報をキャプチャします。

ここでは、PFC の NetFlow を詳細に説明します。

「フロー マスク」

「フロー マスクの矛盾」

「デフォルトの NetFlow 設定」

フロー マスク

フローとは、送信元と宛先の間での、パケットの単方向ストリームです。フロー マスクは、NetFlow が NetFlow テーブル エントリを照合(または作成)するために使用する着信パケットのフィールドを指定します。

すべてのフロー マスクは、定義に入力インターフェイスを含んでいます。したがって、NetFlow は常にインターフェイス単位をベースに統計情報を収集します。また、NetFlow はインターフェイス単位でイネーブルまたはディセーブルにできます。

PFC は次のフロー マスクをサポートします。

interface-source -- より固有性の低いフロー マスク。各送信元 IP アドレスからのインターフェイスの全入力フローの統計情報は、1 つのエントリに集約されます。

interface-destination -- より固有性の低いフロー マスク。各宛先 IP アドレスへのインターフェイスの全入力フローの統計情報は、1 つのエントリに集約されます。

interface-destination-source -- より固有性の高いフロー マスク。同じ送信元 IP アドレスと宛先 IP アドレスの間のインターフェイスの全入力フローの統計情報は、1 つのエントリに集約されます。

interface-full -- 最も固有性の高いフロー マスク。PFC は、インターフェイスの IP フローごとにテーブル エントリを個別に作成し、維持します。interface-full エントリには送信元 IP アドレス、宛先 IP アドレス、プロトコル、およびプロトコル ポートが格納されます。

フロー マスクは、収集する統計情報の細かさを決定し、これによって NetFlow テーブルのサイズが制御されます。固有性の低いフロー マスクでは、結果的に NetFlow テーブルのエントリが少なくなり、最も固有性の高いフロー マスクでは、NetFlow エントリが最も多くなります。

たとえば、フロー マスクが interface-source に設定されている場合、NetFlow テーブルには、送信元 IP アドレスごとに 1 つのエントリが含まれます(NetFlow が 1 つのインターフェイス上でのみイネーブルになっている場合を想定)。各送信元からのすべてのフローの統計情報は、1 つのエントリに蓄積されます。ただし、フロー マスクが interface-full に設定されている場合、NetFlow テーブルでは、full flow につき 1 つのエントリが含まれます。送信元 IP アドレスごとに多くのエントリが存在する可能性があるため、NetFlow が大型になることがあります。NetFlow テーブルの容量については、「NetFlow 設定時の注意事項および制約事項」を参照してください。

フロー マスクの矛盾

一部の機能は、NetFlow テーブルを使用します。 表55-1 に、各機能のフロー マスク要件を示します。

 

表55-1 フロー マスクに対する機能要件

機能
Interface
送信元
Interface
宛先
Interface
宛先
送信元
フル
インターフェイス
フル
非インターフェイス
フル

再帰 ACL

 
 
 
 
X
 

TCP インターセプト

 
 
 
X
X
 

Context-Based Access Control(CBAC; コンテキスト ベース アクセス コントロール)

 
 
 
X
 
 

Web キャッシュ リダイレクト(WCCP)

 
 
 
X
X
 

サーバ ロード バランシング(SLB)

 
 
 
X
X
 

Network Address Translation(NAT; ネットワーク アドレス変換)

 
 
 
 
X
X

NetFlow データ エクスポート(NDE)

X
X
X
X
X
 

NetFlow サンプリング

 
 
 
 
X
 

NetFlow アグリゲーション

 
X
X
X
X
 

機能の要件が多岐に及ぶため、潜在的なフロー マスクの矛盾が発生することがあります。次のフロー マスクの制約事項に注意してください。

すべての機能が、フロー マスクの同じ制限付きセットを共有する必要があります。

PFC は各パケット検索に 1 つのフロー マスクのみを適用できます。

RP の Feature Manager ソフトウェアが、機能の矛盾を解決します。Feature Manager の主な目的は、すべての設定済み NetFlow 機能を満たす共通フロー マスクを選択することです。ただし、一部の機能にはフロー マスクに対して非常に固有性の高い要件があるため、Feature Manager が設定済み機能に共通フロー マスクを見つけることができないことがあります。機能の矛盾を解決するには、Feature Manager ソフトウェアが指示を出し、機能の 1 つが RP のソフトウェアで処理を行うようにします。

極端な場合、Feature Manager ソフトウェアは、最初に設定された機能に優先度を設定し、後続の機能に対する設定要求を拒否します。Feature Manager が扱うことのできない後続の機能を設定しようとすると、CLI に障害メッセージが表示されます。

機能の矛盾に関する問題を回避するには、次の注意事項に従ってください。

最も優先度の高い機能を最初に設定してください。解決できない矛盾が発生した場合、低い優先度の機能がブロックされます。

可能であれば、その機能が必要とされているインターフェイスでのみ機能を設定してください。

応答メッセージに注意してください。Feature Manager が機能に対するハードウェア アシストを切断した場合、機能処理が RP プロセッサに対して過負荷になっていないことを確認する必要があります。

次の固有の機能矛盾に注意してください。

CBAC には full フロー マスクが必要で、他のフローベースの機能以上の優先度が与えられています。フロー マスクの矛盾が発生した場合、他のフローベースの機能は RP で処理されます。

一般的に、最小フロー マスクが設定されているため、NDE には柔軟性があります。他のフローベースの機能を設定している場合、Feature Manager ソフトウェアは、すべての機能の要件を満たすために、より固有性の高いフロー マスクを設定することがあります。

NetFlow フロー サンプリングには、full-interface フロー マスクが必要です。同じインターフェイス上で、他のフローベースの機能との矛盾を発生させることがあります。

NDE は、QoS と矛盾します。NDE および QoS マイクロフロー ポリシングは、同じインターフェイス上に設定できません。

NAT が、ダイナミック ACE(たとえば、Web プロキシ認証または NAC レイヤ 3 IP 検証)を使用する他の機能とともにレイヤ 3 インターフェイス上で設定されている場合、NAT が過負荷に設定されていると、NAT による後続フラグメントの変換が正しく行われないときがあります。PFC3A モードを除き、この設定で NAT が正しく機能するかどうかを確認するには、 mls ip nat netflow-frag-l4-zero コマンドを使用します。

RP での NetFlow

RP の NetFlow 機能は、ソフトウェアでルーティングされるフローの統計情報をキャプチャします。

RP での NetFlow の設定についての詳細は、次のマニュアルを参照してください。

Cisco IOS NetFlow Configuration Guide

NetFlow 機能

NetFlow は次の機能をサポートします。

「インターフェイス単位の NDE」

「NetFlow アグリゲーション」

「マルチキャスト IP の NetFlow」

インターフェイス単位の NDE

Cisco IOS Release 12.2(33)SXH 以降のリリースは、インターフェイス単位で PFC NetFlow データ収集をイネーブルにする、インターフェイス単位の NDE をサポートします。Release 12.2(33)SXH 前のリリースでは、PFC での NetFlow はグローバルにのみイネーブルおよびディセーブルにできました。

インターフェイス単位の NDE 機能をサポートするソフトウェア リリースにアップグレードするとき、システムは自動的にインターフェイス単位の NDE をイネーブルにし、各レイヤ 3 インターフェイス上で ip flow ingress コマンドを設定します。この一度だけのアクションは、アップグレード後の最初のリロードの際に行われ、グローバル NetFlow 対応コマンドとの下位互換性を維持します。リロード後には、レイヤ 3 インターフェイス上で no ip flow ingress コマンドを設定し、選択的に PFC および RP NetFlow データ収集/エクスポートをディセーブルにできます。

インターフェイス単位の NDE 機能は、レイヤ 3 インターフェイス上の IPv4 ユニキャスト フローにのみ適用されます。非 IPv4 プロトコルのフロー(IPv6 および MPLS)は、この機能では制御されません。

NetFlow アグリゲーション

NetFlow は、ハードウェア(PFC)またはソフトウェア(RP)で転送されるパケットの集約をサポートします。NetFlow アグリゲーション スキームについての詳細は、次のマニュアルを参照してください。

Cisco IOS NetFlow Configuration Guide

NetFlow アグリゲーションの設定についての詳細は、次のマニュアルを参照してください。

Cisco IOS NetFlow Configuration Guide

RP での NetFlow では、次のマニュアルにある Type of Service(ToS; サービス タイプ)ベースのルータ アグリゲーションをサポートします。

Cisco IOS NetFlow Configuration Guide

マルチキャスト IP の NetFlow

NetFlow は、ハードウェア(PFC)またはソフトウェア(RP)で転送されるマルチキャスト IP パケットをサポートします。

NetFlow マルチキャストでは、入力アカウンティングおよび出力アカウンティングが提供されます。入力アカウンティングでは、NetFlow が送信元あたり 1 つのフローを作成し、そこにパケット レプリケーションの発生数についての情報を含めます。出力アカウンティングでは、NetFlow が各発信インターフェイスに対して 1 つのフローを作成します。

任意で、NetFlow マルチキャストは、リバース パス失敗(RPF)チェックに失敗したマルチキャスト パケットの統計情報を保持します。

デフォルトの NetFlow 設定

表55-2 に、デフォルトの NetFlow 設定を示します。

 

表55-2 デフォルトの NetFlow 設定

機能
デフォルト値

NetFlow

ディセーブル

ルーティングされた IP トラフィックの NetFlow

ディセーブル

入力ブリッジド IP トラフィックの NetFlow

ディセーブル

NetFlow サンプリング

ディセーブル

NetFlow アグリゲーション

ディセーブル

インターフェイス単位の NDE

イネーブル

ACL 拒否トラフィックの除外

ディセーブル(NetFlow は ACL 拒否トラフィックに対してエントリを作成)

NetFlow 設定時の注意事項および制約事項

NetFlow を設定する際に、以下の注意事項と制約事項に従ってください。

CEF テーブル(および NetFlow テーブル以外)は、レイヤ 3 スイッチングをハードウェアに実装します。

PFC3A モードを除き、NetFlow はブリッジド IP トラフィックをサポートします。PFC3A モードでは、NetFlow ブリッジド IP トラフィックはサポートされません。

NetFlow はマルチキャスト IP トラフィックをサポートします。


) インターフェイスで NAT(ネットワーク アドレス変換)を設定する場合、PFC はフラグメント化されたパケット内のトラフィックをすべて MSFC に送信して、ソフトウェアで処理させます(CSCdz51590)。


統計情報は、NetFlow テーブルがいっぱいになるとスイッチングされるフローには使用できません。

NetFlow テーブルの利用率が、次の表に示す推奨レベルの利用率を超過すると、統計情報を保存するための十分な領域が不足する確率が高くなります。表55-1 表55-3 に、推奨の最大利用率を示します。

 

表55-3 NetFlow テーブルの利用率

PFC
推奨される NetFlow テーブルの利用率
NetFlow テーブルの合計容量

PFC3CXL

235,520(230 K)エントリ

262,144(256 K)エントリ

PFC3C

117,760(115 K)エントリ

131,072(128 K)エントリ

PFC3BXL

235,520(230 K)エントリ

262,144(256 K)エントリ

PFC3B

117,760(115 K)エントリ

131,072(128 K)エントリ

PFC3A

65,536(64 K)エントリ

131,072(128 K)エントリ

NetFlow の設定

ここでは、NetFlow の設定手順について説明します。

「PFC での NetFlow の設定」

「NetFlow 機能の設定」

PFC での NetFlow の設定

ここでは、NetFlow による統計情報収集を PFC で設定する手順について説明します。

「NetFlow PFC コマンドの要約」

「PFC での NetFlow のイネーブル化」

「最小 IP MLS フロー マスクの設定」

「MLS エージング タイムの設定」

「PFC NetFlow 情報の表示」

NetFlow PFC コマンドの要約

表55-4 に、PFC で使用可能な NetFlow コマンドの要約を示します。

 

表55-4 PFC NetFlow コマンドの要約

コマンド
目的

mls netflow

PFC で NetFlow をイネーブルにします。

mls flow ip

最小フロー マスクを設定します。

mls aging

設定可能なエージング パラメータを設定します。

mls exclude acl-deny

ACL 拒否トラフィックに対するフローの作成をディセーブルにします。

show mls netflow {...}

ユニキャストおよびマルチキャスト トラフィックの NetFlow PFC 情報を表示します。

show mls netflow aggregation flowmask

NetFlow アグリゲーション フロー マスクを表示します。

PFC での NetFlow のイネーブル化

PFC で NetFlow 統計情報収集をグローバルにイネーブルにするには、次の作業を行います。

 

コマンド
目的

Router(config)# mls netflow

PFC で NetFlow をイネーブルにします。

Router(config)# no mls netflow

PFC で NetFlow をディセーブルにします。

次に、PFC で NetFlow 統計情報収集をディセーブルにする例を示します(デフォルト設定はイネーブル)。

Router(config)# no mls netflow

最小 IP MLS フロー マスクの設定

PFC で NetFlow テーブルに対するフロー マスクの最小特性を設定できます。設定した他の機能がより固有性の高いフロー マスクを必要とする場合、実際のフロー マスクは mls flow コマンドで設定したレベルよりも固有性が高くなります(フロー マスクの矛盾を参照)。

最小 IPv4 フロー マスクを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# mls flow ip { interface-source | interface-destination | interface-destination-source | interface-full }

IPv4 パケットに最小フロー マスクを設定します。

Router(config)# no mls flow ip

デフォルトのフロー マスクに戻します(ヌル)。

次に、最小フロー マスクを設定する例を示します。

Router(config)# mls flow ip interface-destination
 

IP MLS フロー マスクの設定を表示するには、次の作業を行います。

 

コマンド
目的

Router# show mls netflow flowmask

フロー マスクの設定を表示します。

次に、MLS フロー マスクの設定を表示する例を示します。

Router# show mls netflow flowmask
current ip flowmask for unicast: if-dst
Router#

MLS エージング タイムの設定

MLS エージング タイム(デフォルトは 300 秒)は、すべての NetFlow テーブル エントリに適用されます。normal エージング タイムは、32 ~ 4,092 秒の範囲で設定できます。フローは、設定されたインターバルより 4 秒早く、または 4 秒遅く経過する場合があります。フローは、平均して設定値の 2 秒以内に経過します。

ルーティングの変更またはリンク ステートの変化など、エージング以外のイベントによって MLS エントリが削除される場合があります。


) MLS エントリの数が推奨利用率(NetFlow 設定時の注意事項および制約事項を参照)を超えると、一部のフローで隣接統計情報しか使用できなくなる場合があります。


NetFlow テーブル サイズが推奨利用率を超えないように維持するには、mls aging コマンドを使用する際、次のパラメータをイネーブルにします。

normal -- 非アクティブ タイマーを設定します。タイマーに設定した期間内にフローでパケットが受信されなかった場合、フロー エントリはテーブルから削除されます。

fast aging -- わずかな数のパケットしかスイッチングせず、そのあと再び使用されることのないフローに対して作成されるエントリを、効率的に期限切れにするためのプロセスを設定します。fast aging パラメータは、time キーワード値を使用して、各フローについて最低でも threshold キーワード値で指定される数のパケットがスイッチングされているかどうかを調べます。time で指定される時間内に threshold で指定される数のパケットをスイッチングしていないフローについては、このエントリが期限切れになります。

long -- 指定した時間にわたってアクティブになっていたエントリを、エントリが使用中であっても削除するように設定します。long エージングは、不正確な統計情報の原因となるカウンタ ラップアラウンドを防止するために使用します。

fast aging によって削除される一般的なテーブル エントリは、Domain Name Server(DNS; ドメイン ネーム サーバ)または TFTP(簡易ファイル転送プロトコル)サーバとやりとりするフローに対するエントリです。

MLS fast エージング タイムをイネーブルにすることが必要な場合は、最初は 128 秒に設定してください。NetFlow テーブル サイズが増え続け、推奨利用率を超えた場合は、テーブル サイズが推奨利用率未満になるまで設定値を下げます。テーブルが増え続け、推奨利用率を超えた場合は、normal MLS エージング タイムを短くします。

MLS エージング タイムを設定するには、次の作業を行います。

 

コマンド
目的

Router(config)# mls aging {fast [threshold { 1-128 } | time { 1-128 }] | long 64-1920 | normal 32-4092 }

NetFlow テーブル エントリの MLS エージング タイムを設定します。

Router(config)# no mls aging fast

fast aging をディセーブルにします。

Router(config)# no mls aging {long | normal}

デフォルトの MLS エージング タイムに戻します。

次に、MLS エージング タイムを設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# mls aging fast threshold 64 time 30
 

MLS エージング タイムの設定を表示するには、次の作業を行います。

 

コマンド
目的

Router# show mls netflow aging

MLS エージング タイムの設定を表示します。

次に、MLS エージング タイムの設定を表示する例を示します。

Router# show mls netflow aging
enable timeout packet threshold
------ ------- ----------------
normal aging true 300 N/A
fast aging true 32 100
long aging true 900 N/A
 

ACL 拒否の除外の設定

デフォルトでは、NetFlow テーブル エントリは、ACL 拒否フローに対して作成されます。これらのフローは、NetFlow テーブルをオーバーフローさせることがあります。Release 12.2(33)SXH 以降のリリースの場合、NetFlow テーブルから ACL 拒否フローを除外するには、次の作業を行います。

 

コマンド
目的

Router# mls exclude acl-deny

NetFlow テーブルから ACL 拒否フローを除外します。

次に、NetFlow テーブルから ACL 拒否フローを除外する例を示します。

Router(config)# mls exclude acl-deny

PFC NetFlow 情報の表示

PFC での NetFlow についての情報を表示するには、次の作業を行います。

 

コマンド
目的

Router(config)# show mls netflow { aggregation | aging | creation | flowmask | ip | ipv6 | mpls | table-contention | usage }

PFC での NetFlow についての情報を表示します。

NetFlow 機能の設定

NetFlow 機能は、一般的にハードウェア(PFC)またはソフトウェア(RP)で転送されるパケットに適用されます。機能を PFC に適用するには、PFC で NetFlow がイネーブルになっている必要があります。

ここでは、NetFlow 機能の設定手順について説明します。

「レイヤ 3 インターフェイスでの NetFlow の設定」

「入力ブリッジド IP トラフィックに対する NetFlow のイネーブル化」

「NetFlow アグリゲーションの設定」

「マルチキャスト IP トラフィックに対する NetFlow の設定」

レイヤ 3 インターフェイスでの NetFlow の設定

インターフェイス単位の NDE 機能により、ハードウェア(PFC)またはソフトウェア(RP)で転送されるパケットに対して、インターフェイス単位をベースとした NetFlow 収集をイネーブルまたはディセーブルにできます。Release 12.2(33)SXH 以降のリリースでは、この機能は自動的にイネーブルになっています。

レイヤ 3 インターフェイスの NetFlow をイネーブルまたはディセーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface { vlan vlan_ID } | { type slot/port } | { port-channel port_channel_number }

設定するレイヤ 3 インターフェイスを選択します。

ステップ 2

Router(config-if)# ip flow ingress

指定したインターフェイスの NetFlow をイネーブルにします。NetFlow は、ハードウェア(PFC)またはソフトウェア(RP)で転送されるパケットの統計情報を収集します。

ステップ 3

Router(config-if)# no ip flow ingress

指定したインターフェイスの NetFlow をディセーブルにします。NetFlow は、ハードウェア(PFC)またはソフトウェア(RP)で転送されるパケットの統計情報の収集を停止します。

PFC でのインターフェイス単位の NetFlow をサポートするソフトウェア イメージに初めてアップグレードするとき、システムは NetFlow をイネーブルにするように各レイヤ 3 インターフェイスを自動的に設定します(これにより、グローバル mls netflow コマンドとの下位互換性を維持します)。この一度だけのアクションは、アップグレード後に初めてシステムが再起動されたときに行われます。このアクションのあと、NetFlow データ収集をディセーブルまたはイネーブルにするように、レイヤ 3 インターフェイスを設定できます。

入力ブリッジド IP トラフィックに対する NetFlow のイネーブル化

PFC3A モードを除き、NetFlow は入力ブリッジド IP トラフィックをサポートします。PFC3A モードでは、ブリッジド IP トラフィック に対する NetFlow はサポートされません。


) • 入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにすると、NefFlow フロー サンプリング機能によってこの統計情報を使用できます( NetFlow サンプリングを参照)。

VLAN でブリッジド IP トラフィックに対して NetFlow をイネーブルにするには、対応する VLAN インターフェイスを作成し、 no shutdown コマンドを入力する必要があります。必要に応じて、 no shutdown コマンドのあとに shutdown コマンドを入力できます。

レイヤ 3 VLAN の場合、入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにすると、指定した VLAN 上のレイヤ 3 フローに対する NetFlow もイネーブルになります。

エクスポートされたブリッジド フローには、入力および出力 VLAN 情報が含まれ、物理ポート情報は含まれません。


 

VLAN 上の入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにするには、次の作業を行います。

 

コマンド
目的

Router(config)# ip flow ingress layer2-switched vlan vlan_ID [- vlan_ID ] [ , vlan_ID [- vlan_ID ]]

指定の VLAN 上での入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにします。


) VLAN 上での入力ブリッジド IP トラフィックに対して NetFlow を使用するには、mls netflow コマンドを使用して、PFC 上で NetFlow をイネーブルにする必要があります。


Router(config)# no ip flow ingress layer2-switched vlan vlan_ID [- vlan_ID ] [ , vlan_ID [- vlan_ID ]]

指定の VLAN 上での入力ブリッジド IP トラフィックに対して NetFlow をディセーブルにします。

次に、VLAN 200 上の入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにする例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip flow ingress layer2-switched vlan 200
 

NetFlow アグリゲーションの設定

NetFlow アグリゲーションを設定するには、次のマニュアルの手順を実行します。

Cisco IOS NetFlow Configuration Guide


) • NetFlow アグリゲーションを設定するとき、ハードウェア(PFC)またはソフトウェア(RP)で転送されるパケットに対して自動的に設定されます。

PFC および DFC では、NetFlow ToS ベースのルータ アグリゲーションをサポートしません。


 

PFC または DFC の NetFlow アグリゲーション情報を表示するには、次の作業を行います。

 

コマンド
目的

Router # show ip cache flow aggregation { as | destination-prefix | prefix | protocol-port | source-prefix ) module slot_num

NetFlow アグリゲーション キャッシュ情報を表示します。

Router # show mls netflow aggregation flowmask

NetFlow アグリゲーション フロー マスク情報を表示します。


) PFC および DFC では、NetFlow ToS ベースのルータ アグリゲーションをサポートしません。


次に、NetFlow アグリゲーション キャッシュ情報を表示する例を示します。

Router# show ip cache flow aggregation destination-prefix module 1
IPFLOW_DST_PREFIX_AGGREGATION records and statistics for module :1
IP Flow Switching Cache, 278544 bytes
2 active, 4094 inactive, 6 added
236 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
Dst If Dst Prefix Msk AS Flows Pkts B/Pk Active
Gi7/9 9.1.0.0 /16 0 3003 12M 64 1699.8
Gi7/10 11.1.0.0 /16 0 3000 9873K 64 1699.8
Router#
 

次に、NetFlow アグリゲーション フロー マスク情報を表示する例を示します。

Router# show mls netflow aggregation flowmask
Current flowmask set for netflow aggregation : Vlan Full Flow
Netflow aggregations configured/enabled :
AS Aggregation
PROTOCOL-PORT Aggregation
SOURCE-PREFIX Aggregation
DESTINATION-PREFIX Aggregation
Router

マルチキャスト IP トラフィックに対する NetFlow の設定

マルチキャスト IP トラフィックに対して NetFlow を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip multicast netflow output-counters

(任意)入力フローの出力バイト/パケット数の計算をイネーブルにします。

ステップ 2

Router(config)# ip multicast netflow rpf-failure

(任意)RPF チェックが失敗したマルチキャスト データの NetFlow をイネーブルにします。

ステップ 3

Router(config)# interface { vlan vlan_ID } | { type slot/port } | { port-channel port_channel_number }

設定するレイヤ 3 インターフェイスを選択します。

ステップ 4

Router(config-if)# ip flow { ingress | egress }

指定したインターフェイス(RP および PFC)上で NetFlow マルチキャスト トラフィックをイネーブルにします。

NetFlow マルチキャスト入力アカウンティングをイネーブルにするには、ingress を指定します。

NetFlow マルチキャスト出力アカウンティングをイネーブルにするには、egress を指定します。

マルチキャスト トラフィックの NetFlow の設定についての詳細は、次のマニュアル内の『 Configuring NetFlow Multicast Accounting 』のマニュアルを参照してください。

Cisco IOS NetFlow Configuration Guide

このマニュアルでは、マルチキャスト ファースト スイッチングまたはマルチキャスト ディストリビューティッド ファースト スイッチング(MDFS)を設定するのに必要な前提条件が指定されています。ただし、この前提条件は、12.2SX リリースでの NetFlow マルチキャスト サポートを設定するときには適用されません。


) 『Configuring NetFlow Multicast Accounting』のマニュアルでは、Cisco IOS release 12.2(4) 以降の新しいリリースのコンフィギュレーション コマンドを説明しています。12.2SX リリースは、新しいコマンドをサポートしています。