Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド Software Release 8.4
NDEの設定
NDEの設定
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

NDEの設定

NDEの機能概要

NDEおよび統合型レイヤ3スイッチング管理の概要

トラフィック統計データの収集

NDEフィルタの使用方法

ブリッジド フロー統計情報の使用方法

NDEバージョン

NDEのデフォルト設定

スイッチ上でのNDEの設定

NDE設定時の注意事項

NDEコレクタの指定

NDEコレクタの消去

MSFC上でのNetFlowスイッチングの設定

NetFlowスイッチングのイネーブル化

MSFC NDE送信元インターフェイスの設定

NDEの宛先の設定

NDEのイネーブル化

VLANに対するブリッジド フロー統計のイネーブル化およびディセーブル化

宛先ホスト フィルタの指定

宛先および送信元サブネット フィルタの指定

宛先TCP/UDPポート フィルタの指定

送信元ホストおよび宛先TCP/UDPポート フィルタの指定

プロトコル フィルタの指定

統計収集対象プロトコルの指定

統計収集対象プロトコルの削除

NDEフロー フィルタの消去

NetFlow AS情報エクスポートの指定

NDEのディセーブル化

NDE IPアドレスの削除

NDE設定の表示

NDEの設定

この章では、Catalyst 6500シリーズ スイッチ上でNetFlow Data Export(NDE;NetFlowデータ エクスポート)を設定する手順について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「NDEの機能概要」

「NDEのデフォルト設定」

「スイッチ上でのNDEの設定」

NDEの機能概要

ここでは、NDEの機能概要について説明します。

「NDEおよび統合型レイヤ3スイッチング管理の概要」

「トラフィック統計データの収集」

「NDEフィルタの使用方法」

「ブリッジド フロー統計情報の使用方法」

「NDEバージョン」

NDEおよび統合型レイヤ3スイッチング管理の概要

Catalyst 6500シリーズ スイッチは、Supervisor Engine 2、Supervisor Engine 720、およびSupervisor Engine 32にCisco Express Forwarding(CEF)によるレイヤ3スイッチングを提供します。PFC(ポリシー フィーチャ カード)が搭載されたSupervisor Engine 1の場合、レイヤ3スイッチングはMultilayer Switching(MLS;マルチレイヤ スイッチング)によって提供されます。NDEを使用して、Multilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ ガード)経由でレイヤ3スイッチングされたすべてのトラフィックをモニタできます。NDEは、すべてのポート トラフィックを調べるためにスイッチに組み込まれたRemote Monitoring(RMON)機能を補足します。


) IPマルチキャストまたはInternetwork Packet Exchange(IPX)トラフィックについては、NDEはサポートされていません。



) MSFCについては、NDEバージョン7およびバージョン8はサポートされていません。



) CEF for PFC2およびCEF for PFC3Aの設定については、第13章「CEF for PFC2およびCEF for PFC3Aの設定」を参照してください。MLSの設定については、第14章「MLSの設定」を参照してください。


統合型レイヤ3スイッチング管理には、フロー統計情報を収集してエクスポートし、その統計情報にデータ リダクションを収集して実行し、トラフィック モニタリング、プランニング、およびアカウンティング用のアプリケーションにそのデータを転送する目的で作られた各種の製品、管理ユーティリティ、およびパートナー アプリケーションが含まれます。フローの収集および分類は、Cisco SwitchProbe、NetFlow FlowCollectorなどのフロー コレクタが行います。このフロー情報を集約して、TrafficDirector、NetSys、NetFlow Analyzerなどのアプリケーションに提供します。

トラフィック統計データの収集

外部のデータ コレクタが、1台または複数のスイッチまたはシスコ製ルータの統計キャッシュから、フロー エントリを収集します。スイッチまたはルータは、統計キャッシュ内の期限切れになったフローに関するフロー エントリをUDPデータグラムにまとめて、フロー コレクタに転送します。このデータグラムは、ヘッダーと一連のフロー エントリで構成されます。図15-1を参照してください。

図15-1 統合型レイヤ3スイッチング管理

 

NDEフィルタの使用方法

デフォルトでは、フィルタを指定しないかぎり、期限切れになったすべてのフローがエクスポートされます。フィルタを指定すると、期限切れになって削除されたフローのうち、指定されたフィルタ基準に合うものだけがエクスポートされます。フィルタ値はNVRAM(不揮発性RAM)に保存され、NDEをディセーブルにしても消去されません。

フロー マスクがdestination-ipモードであり、NDEフィルタに送信元と宛先の両方を対象とするフィルタが含まれている場合には、宛先フィルタだけが有効になります。フロー マスクががdestination-ipモードの場合(以下の表示を参照)、宛先アドレス9.1.2.15のフローがすべてエクスポートされます。ホスト10.1.2.15を指定した送信元フィルタは無視されます。

Console> (enable) set mls nde flow destination 9.1.2.15/32 source 10.1.2.15/32
Netflow data export: destination filter set to 9.1.2.15/32
Netflow data export: source filter set to 10.1.2.15/32
Console> (enable)

ブリッジド フロー統計情報の使用方法


) ブリッジド フロー統計は、Supervisor Engine 720またはSupervisor Engine 32ではサポートされません。


VLAN(仮想LAN)ごとにブリッジド フローの統計レポートが作成されるように設定することができます。ブリッジド フロー統計をイネーブルにすると、ブリッジド フローはNDEを通じてエクスポートされます。


注意 この機能を利用する場合は注意が必要です。NetFlowテーブル内のNetFlowエントリが増えるため、NDEのパフォーマンスが低下することがあります。ブリッジド フロー統計の設定については、「NDE設定時の注意事項」を参照してください。


) NetFlowテーブル エントリ作成はVLAN単位でイネーブルにすることもできます。ただし、ブリッジド フロー統計およびVLAN単位エントリ作成は同じメカニズムを使用して統計情報を収集するため、VLANエントリが重複することがあります。「インターフェイス単位でのNetFlowテーブル エントリの指定」を参照してください。


NDEバージョン

PFC上のNDEは次のNDEバージョンをサポートし、レイヤ3スイッチングされたトラフィックについてPFCでキャプチャされた統計情報をエクスポートします。

Supervisor Engine 1およびPFC

7.5以降のソフトウェア リリースのNDEバージョン5

6.1以降のソフトウェア リリースのNDEバージョン7

Supervisor Engine 2およびPFC2

7.5以降のソフトウェア リリースのNDEバージョン5

6.1以降のソフトウェア リリースのNDEバージョン7

Supervisor Engine 720およびPFC3A/PFC3B/PFC3BXL ― NDEバージョン5および7(Supervisor Engine 720は当初、ソフトウェア リリース8.1[1]でサポートされていました。)

Supervisor Engine 32およびPFC3B/PFC3BXL ― NDEバージョン5および7(Supervisor Engine 32は当初、ソフトウェア リリース8.4[1]でサポートされていました。)

現在のフロー マスクによっては、フロー レコードの一部のフィールドに値が入らない場合があります。PFCがキャッシュ エントリをエクスポートする際、サポートされていないフィールドには0が入ります。

Release 8.4(1)以降のソフトウェア リリースでは、NDEレコード内の正しい(ゼロ以外の)値とともに、ピアまたは送信元宛先のAutonomous System(AS;自律システム)番号をエクスポートできます。「NetFlow AS情報エクスポートの指定」を参照してください。

次の表に、サポートされているNDEフィールドを示します。

表15-1 ― バージョン5ヘッダー フォーマット

表15-2 ― バージョン5フロー レコード フォーマット

表15-3 ― バージョン7ヘッダー フォーマット

表15-4 ― バージョン7フロー レコード フォーマット

 

表15-1 NDEバージョン5ヘッダー フォーマット

バイト
内容
説明

0~1

version

NetFlowエクスポートのフォーマット バージョン番号

2~3

count

このパケットでエクスポートされるフローの数(1~30)

4~7

SysUptime

ルータ起動以降の現在時間(ミリ秒)

8~11

unix_secs

0000 UTC 1970以降の現在秒数

12~15

unix_nsecs

0000 UTC 1970以降の残余ナノ秒数

16~19

flow_sequence

検知された総フローのシーケンス カウンタ

20~21

engine_type

フロー スイッチング エンジンのタイプ
(VS_ENGINE_TYPE_CATALYST_SWITCH)

21~23

engine_id

0

 

表15-2 NDEバージョン5フロー レコード フォーマット

バイト
内容
説明
フロー マスク:X = 実装
宛先
宛先送信元
フル
フルVLAN1

0~3

srcaddr

送信元IPアドレス

0
X
X
X

4~7

dstaddr

宛先IPアドレス

X
X
X
X

8~11

nexthop

ネクスト ホップ ルータのIPアドレス

X
X
X
X

12~13

input

入力インターフェイスのSNMP ifIndex

0
X
X
X

14~15

output

出力インターフェイスのSNMP ifIndex

X
X
X
X

16~19

dPkts

フロー内のパケット

X
X
X
X

20~23

dOctets

フロー内のオクテット(バイト)

X
X
X
X

24~27

first

フロー開始時のSysUptime

X
X
X
X

28~31

last

フローの最終パケット受信時のSysUptime

X
X
X
X

32~33

srcport

レイヤ4送信元ポート番号または同等の内容

0
0
X
X

34~35

dstport

レイヤ4宛先ポート番号または同等の内容

0
0
X
X

36

pad1

使用しない(0の)バイト

 
 
 
 

37

tcp_flags

TCPフラグの累積OR

0
0
0
0

38

prot

レイヤ4プロトコル(たとえば、6=TCP、17=UDP)

0
0
X
X

39

tos

IP ToS(サービス タイプ)のバイト

X
X
X
X

40~41

src_as

送信元のAS番号(オリジンまたはピア)2

0
0
0
0

42~43

dst_as

宛先のAS番号(オリジンまたはピア)

0
0
0
0

44~45

src_mask

送信元アドレスのプレフィクス マスク ビット

0
0
0
0

46~47

dst_mask

宛先アドレスのプレフィクス マスク ビット

0
0
0
0

48

pad2

使用しない(0の)バイト

 
 
 
 

1.このフロー マスクはCLI(コマンドライン インターフェイス)から設定できません。再帰ACL(アクセス制御リスト)などの一部の機能を設定した場合のみオンになります。

2.Release 8.4(1)以降のソフトウェア リリースでは、NDEレコード内の正しい(ゼロ以外の)値とともに、ピアまたは送信元宛先のAS番号をエクスポートできます(NetFlow AS情報エクスポートの指定を参照)。

 

表15-3 NDEバージョン7ヘッダー フォーマット

バイト
内容
説明

0~1

version

NetFlowエクスポートのフォーマット バージョン番号

2~3

count

このパケットでエクスポートされるフローの数(1~30)

4~7

SysUptime

ルータ起動以降の現在時間(ミリ秒)

8~11

unix_secs

0000 UTC 1970以降の現在秒数

12~15

unix_nsecs

0000 UTC 1970以降の残余ナノ秒数

16~19

flow_sequence

検知された総フローのシーケンス カウンタ

20~24

reserved

使用しない(0の)バイト

 

表15-4 NDEバージョン7フロー レコード フォーマット

バイト
内容
説明
フロー マスク:X = 実装
宛先
宛先送信元
フル
フルVLAN3

0~3

srcaddr

送信元IPアドレス

0
X
X
X

4~7

dstaddr

宛先IPアドレス

X
X
X
X

8~11

nexthop

ネクスト ホップ ルータのIPアドレス

X
X
X
X

12~13

input

入力インターフェイスのSNMP ifIndex

0
X
X
X

14~15

output

出力インターフェイスのSNMP ifIndex

X
X
X
X

16~19

dPkts

フロー内のパケット

X
X
X
X

20~23

dOctets

フロー内のオクテット(バイト)

X
X
X
X

24~27

First

フロー開始時のSysUptime

X
X
X
X

28~31

Last

フローの最終パケット受信時のSysUptime

X
X
X
X

32~33

srcport

レイヤ4送信元ポート番号または同等の内容

0
0
X
X

34~35

dstport

レイヤ4宛先ポート番号または同等の内容

0
0
X
X

36

flags

使用中のフロー マスク

X
X
X
X

37

tcp_flags

TCPフラグの累積OR

0
0
0
0

38

prot

レイヤ4プロトコル(たとえば、6=TCP、17=UDP)

0
0
X
X

39

tos

IP ToSのバイト

X
X
X
X

40~41

src_as

送信元のAS番号(オリジンまたはピア)4

0
0
0
0

42~43

dst_as

宛先のAS番号(オリジンまたはピア)

0
0
0
0

44~45

src_mask

送信元アドレスのプレフィクス マスク ビット

0
0
0
0

46~47

dst_mask

宛先アドレスのプレフィクス マスク ビット

0
0
0
0

48

pad2

使用しない(0の)バイト

 
 
 
 

49~50

MLS RP

MLSルータのIPアドレス

X5
X2
X2
X2

3.このフロー マスクはCLIから設定できません。再帰ACLなどの一部の機能を設定した場合のみオンになります。

4.Release 8.4(1)以降のソフトウェア リリースでは、NDEレコード内の正しい(ゼロ以外の)値とともに、ピアまたは送信元宛先のAS番号をエクスポートできます(NetFlow AS情報エクスポートの指定を参照)。

5.スイッチド エントリ用です。

NDEのデフォルト設定

表15-5 に、NDEのデフォルト設定を示します。

 

表15-5 NDEのデフォルト設定

機能
デフォルト値

NDE

ディセーブル

NDEデータ コレクタのアドレスおよびUDPポート

指定なし

NDEフィルタ

設定なし

スイッチ上でのNDEの設定

ここでは、NDEを設定する手順について説明します。

「NDE設定時の注意事項」

「NDEコレクタの指定」

「NDEコレクタの消去」

「MSFC上でのNetFlowスイッチングの設定」

「NDEのイネーブル化」

「VLANに対するブリッジド フロー統計のイネーブル化およびディセーブル化」

「宛先ホスト フィルタの指定」

「宛先および送信元サブネット フィルタの指定」

「宛先TCP/UDPポート フィルタの指定」

「送信元ホストおよび宛先TCP/UDPポート フィルタの指定」

「プロトコル フィルタの指定」

「統計収集対象プロトコルの指定」

「統計収集対象プロトコルの削除」

「NDEフロー フィルタの消去」

「NetFlow AS情報エクスポートの指定」

「NDEのディセーブル化」

「NDE IPアドレスの削除」

「NDE設定の表示」

NDE設定時の注意事項

ここでは、NetFlowテーブルのエントリが多すぎる場合の注意事項について説明します。

MLSエージング タイムを短縮します。Policy Feature Card 2(PFC2;ポリシー フィーチャ カード2)の場合、エージング タイムを設定して、PFC2の32,000フロー範囲内にエントリ数を余裕をもって保てるようにします。PFC3Aの場合、エージング タイムを設定して、PFC3Aの64,000フロー範囲内にエントリ数を余裕をもって保てるようにします。

Supervisor Engine 2でブリッジド フロー統計を使用する場合は、エージング タイムを1秒に設定します。MLSエージング タイムの変更方法については、 第14章「MLSの設定」 「MLSエージング タイム値の指定」を参照してください。


) ブリッジド フロー統計は、Supervisor Engine 720またはSupervisor Engine 32ではサポートされません。


フローあたりの実行パケットが少ないプロトコルがある場合は、MLSファスト エージング タイムを削減します。MLSファスト エージング タイムの変更方法については、 第14章「MLSの設定」 「IP MLSの長期エージング タイム、ファスト エージング タイム、およびパケット スレッシュホールド値の指定」を参照してください。

必要な種類の情報を取得するのに必要なフロー マスクを使用します。full flowマスクによりさらに情報が表示されますが、フロー数が増えるにつれて、レイヤ3エージングに対する負荷も増えます。必要なデータを取得するのに必要な最小粒度のフロー マスクを使用してみてください。full flowマスクの場合は、full flowマスクが1秒あたりのフロー数を増やすので、MLSエージング タイムを減らすことが必要な場合もあります。フロー マスクの設定手順については、 第14章「MLSの設定」 「最小IP MLSフロー マスクの設定」を参照してください。

フローあたりのパケットの少ないエントリを除外します。Domain Name System(DNS;ドメイン ネーム システム)のような一部のクエリ プロトコルは、生成するフローあたりのパケットが少なく、set mls exclude protocolコマンドでNetFlowテーブルから除外することができます。最大4つのプロトコル フィルタを指定できますが、フィルタが実行されたプロトコルからのパケットはMSFCに進みます。

set mls nde flow excludeコマンドで、NetFlowテーブルに特定のフローが追加されないようにしてください。

レイヤ3フローに見えるVLANのブリッジド フローでNetFlowテーブル内のフロー数を増加するために、VLANに対するブリッジド フロー統計をイネーブルにします。NetFlowテーブル内のNetFlowエントリが増えると、パフォーマンスが低下します。

Supervisor Engine 1では、ハードウェアのNetFlowテーブル内にVLANフローについてレポートする容量がない場合、パケットはMSFCに送信されてソフトウェアによって転送され、NetFlow Full Errorsレジスタが加算されます。

Supervisor Engine 2では、NetFlowテーブル内にフロー エントリが1つもない場合、パケットが転送され、NetFlow Full Errorsレジスタが加算されて、統計情報は失われます。

NetFlowテーブルがオーバーフローするのを防ぐには、次のようにします

フロー マスクを最小粒度値にします。たとえば、プロトコルおよびレイヤ4ポートの情報が必要ない場合は、フロー マスクをfull flowではなく、destination-sourceまたはdestinationに設定します。

トラフィック プロファイルに応じて、エージング タイムを設定可能な最小値(1秒)にします。

ブリッジド フロー統計をイネーブルにするのは、VLAN内の統計情報が必要なVLANに対してだけにします。VLAN間の統計情報はデフォルトでレポートされます。

NetFlowテーブル エントリ作成はVLAN単位でイネーブルにできます。ただし、ブリッジド フロー統計およびVLAN単位エントリ作成は同じメカニズムを使用して統計情報を収集するため、VLANエントリが重複することがあります。「インターフェイス単位でのNetFlowテーブル エントリの指定」を参照してください。

NDEコレクタの指定

NDEを初めてイネーブルにする前に、エクスポートされた統計情報を受信するNDEコレクタおよびUDPポートを指定する必要があります。コレクタのアドレスおよびUDPポート番号はNVRAMに保存され、NDEをディセーブルにして再びイネーブルにした場合、またはスイッチの電源を切って再び電源投入した場合にも、削除されずに保存されています。


) NetFlow FlowCollectorアプリケーションをデータ収集に使用する場合は、指定するUDPポート番号が、FlowCollectorのnfconfig.fileで指定されているポート番号と同じであることを確認してください。このファイルは、FlowCollectorアプリケーションの/opt/csconfc/config/nfconfig.fileに格納されています。


Release 8.3(1)以降のソフトウェアでは、二重宛先機能によりNetFlowは2つの宛先へ同時にデータをエクスポートできます。この拡張により、2つの個別のコレクタを設定できます。同じNetFlowデータが両方の宛先にエクスポートされます。ただし、2つのコレクタに送信されるパケットのカウントは、2つの宛先が作成された時間によって異なる可能性があります。個々のコレクタに送信されるパケットのカウントは別々に保持されます。両方の宛先における他のNetFlowパラメータは同じです。

コレクタが設定されていないとNDEをイネーブルにできません。NDEをイネーブルにする前に、プライマリおよびセカンダリ宛先を設定する必要があります。

セカンダリ宛先IPアドレスおよびポート番号は、プライマリ宛先IPアドレスおよびポート番号と同一にはできません。

NDEコレクタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ハードウェア スイッチングされるパケットのデータ エクスポート用のNDEコレクタおよびUDPポートを指定します。

set mls nde { collector_ip | collector_name } { udp_port_number }

次に、他のコレクタが設定されていない場合にNDEコレクタを指定する例を示します。

Console> (enable) set mls nde 10.6.1.10 7772
Number of collectors configured is 1
Netflow export configured for port 7772 on host 10.6.1.10
Netflow export is not enabled. Please enable it now.
Console> (enable)
 

次に、1つのコレクタがすでに設定されいる場合にNDEコレクタを指定する例を示します。

Console> (enable) set mls nde 10.6.1.10 7775
Number of collectors configured is 2
Netflow export configured for port 7775 on host 10.6.1.10
Netflow export is not enabled. Please enable it now.
Console> (enable)

NDEコレクタの消去

clear mls nde コマンドを入力すると、プライマリおよびセカンダリ コレクタを消去してNDEをディセーブルにすることができます。特定のコレクタ宛先を消去するには、コレクタのIPアドレスおよびポート番号を指定します。

NDEコレクタを消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

すべてのNDEコレクタ、または特定のNDEコレクタを消去します。

clear mls nde { ip_address port }

次に、プライマリおよびセカンダリ コレクタを消去する例を示します。

Console> (enable) clear mls nde
Collector’s IP address cleared.
Secondary Collector IP address cleared.
Console> (enable)
 

次に、特定のコレクタ宛先を消去する例を示します。

Console> (enable) clear mls nde 10.6.1.10 9939
Cleared Collector IP 10.6.1.10 port 9939
Console> (enable)

MSFC上でのNetFlowスイッチングの設定

NDEをサポートするためには、MSFCレイヤ3インターフェイス上でNetFlowスイッチングをイネーブルにする必要があります。

MSFC上でのNetFlowスイッチングの設定に関する詳細は、次の資料を参照してください。

Cisco IOS Switching Services Configuration Guide 』Release 12.1の「NetFlow Switching」

http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/switch_c/xcprt3/index.htm

Cisco IOS Switching Services Command Reference 』Release 12.1

http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/switch_r/index.htm

ここでは、MSFC上でのNetFlowスイッチングの設定手順を説明します。

「NetFlowスイッチングのイネーブル化」

「MSFC NDE送信元インターフェイスの設定」

「NDEの宛先の設定」

NetFlowスイッチングのイネーブル化

NetFlowスイッチングをイネーブルにするには、各レイヤ3インターフェイスで次の作業を行います。

 

作業
コマンド

ステップ 1

設定するVLANインターフェイスを選択します。

Router(config)# interface vlan vlan_ID

ステップ 2

NetFlowスイッチングをイネーブルにします。

Router(config-if)# ip route-cache flow

MSFC NDE送信元インターフェイスの設定

MSFCからの統計情報が含まれたNDEパケットの送信元として使用されるインターフェイスを設定するには、次の作業を行います。

 

作業
コマンド

MSFCからの統計情報が含まれたNDEパケットの送信元として使用されるインターフェイスを設定します。

IPアドレスによって設定するインターフェイスを選択します。

ループバック インターフェイスを使用します。

Router(config)# ip flow-export source { vlan | loopback } number

次に、NDEフローの送信元としてループバック インターフェイスを設定する例を示します。

Router(config)# ip flow-export source loopback 0
Router(config)#

NDEの宛先の設定

NDEフロー宛先IPアドレスおよびUDPポートを設定するには、次の作業を行います。

 

作業
コマンド

NDEの宛先IPアドレスとUDPポートを設定します。

Router(config)# ip flow-export destination ip_address udp_port_number

次に、NDEフローの宛先IPアドレスとUDPポートを設定する例を示します。

Router(config)# ip flow-export destination 172.20.52.37 200
Router(config)#

NDEのイネーブル化

NDEをイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチ上でNDEをイネーブルにします。

set mls nde enable

次に、スイッチ上でNDEをイネーブルにする例を示します。

Console> (enable) set mls nde enable
Netflow data export enabled.
Netflow data export to port 9996 on 172.20.15.1 (Stargate)
Console> (enable)
 

事前にコレクタを指定せずにNDEをイネーブルにしようとすると、次のメッセージが表示されます。

Console> (enable) set mls nde enable
Please set host name and UDP port number with ‘set mls nde <collector_ip> <udp_port_number>’.
Console> (enable)

VLANに対するブリッジド フロー統計のイネーブル化およびディセーブル化


) この機能はSupervisor Engine 1または1A/PFC、Supervisor Engine 2/PFC2でサポートされていて、MSFC/MSFC2は不要です。この機能は、Supervisor Engine 720またはSupervisor Engine 32ではサポートされていません。


特定のVLANに対するブリッジド フロー統計をイネーブルまたはディセーブルに設定するには、 set mls bridged-flow-statistics コマンドを使用します。1つまたは複数のVLANを入力できます。


) NetFlowテーブル エントリ作成はVLAN単位でイネーブルにできます。ただし、ブリッジド フロー統計およびVLAN単位エントリ作成は同じメカニズムを使用して統計情報を収集するため、VLANエントリが重複することがあります。「インターフェイス単位でのNetFlowテーブル エントリの指定」を参照してください。


特定のVLANまたはVLAN範囲に対するブリッジド フロー統計をイネーブルまたはディセーブルに設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

特定のVLANまたはVLAN範囲に対するブリッジド フロー統計をイネーブルまたはディセーブルに設定します。

set mls bridged-flow-statistics { enable | disable } { vlanlist }

次に、特定のVLANに対するブリッジド フロー統計をイネーブルにする例を示します。

Console> (enable) set mls bridged-flow-statistics enable 1,20-21
Netflow statistics is enabled for bridged packets on vlan(s) 1,20-21.
Console> show mls nde
Netflow Data Export version: 7
Netflow Data Export enabled
Netflow Data Export configured for port 9991 on host 21.0.0.1
Total packets exported = 0
Bridged flow statistics is enabled on vlan(s) 1,20-21.
Console>

宛先ホスト フィルタの指定

宛先ホスト フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローの宛先ホスト フィルタを指定します。

set mls nde flow destination [ ip_addr_spec ]

次に、ホスト171.69.194.140への期限切れになったフローだけがエクスポートされるように、宛先ホスト フィルタを指定する例を示します。

Console> (enable) set mls nde flow destination 171.69.194.140
Netflow Data Export successfully set
Destination filter is 171.69.194.140/255.255.255.255
Filter type: include
Console> (enable)

宛先および送信元サブネット フィルタの指定

宛先および送信元サブネット フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローの宛先および送信元サブネット フィルタを指定します。

set mls nde flow destination [ ip_addr_spec ] source [ ip_addr_spec ]

次に、サブネット171.69.173.0からサブネット171.69.194.0への期限切れになったフローだけがエクスポートされるように、宛先および送信元サブネット フィルタを指定する例を示します(フロー マスクはsource-destination-ipに設定されているものと想定します)。

Console> (enable) set mls nde flow destination 171.69.194.140/24 source 171.69.173.5/24
Netflow Data Export successfully set
Source filter is 171.69.173.0/24
Destination filter is 171.69.194.0/24
Filter type: include
Console> (enable)

宛先TCP/UDPポート フィルタの指定

宛先TCP/UDPポート フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローの宛先TCP/UDPポート フィルタを指定します。

set mls nde flow dst_prt [ port_number ]

次に、宛先ポート23への期限切れになったフローだけがエクスポートされるように、宛先TCP/UDPポート フィルタを指定する例を示します(フロー マスクはip-flowに設定されているものと想定します)。

Console> (enable) set mls nde flow dst_port 23
Netflow Data Export successfully set
Destination port filter is 23
Filter type: include
Console> (enable)

送信元ホストおよび宛先TCP/UDPポート フィルタの指定

送信元ホストおよび宛先TCP/UDPポート フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローの送信元ホストおよび宛先TCP/UDPポート フィルタを指定します。

set mls nde flow source [ ip_addr_spec ] dst_prt [ port_number ]

次に、ホスト171.69.194.140から宛先ポート23への期限切れになったフローだけがエクスポートされるように、送信元ホストおよび宛先TCP/UDPポート フィルタを指定する例を示します(フロー マスクはip-flowに設定されているものと想定します)。

Console> (enable) set mls nde flow source 171.69.194.140 dst_port 23
Netflow Data Export successfully set
Source filter is 171.69.194.140/255.255.255.255
Destination port filter is 23
Filter type: include
Console> (enable)

プロトコル フィルタの指定

プロトコル フィルタを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフローのプロトコル フィルタを指定します。

set mls nde flow protocol protocol

次に、プロトコル17からの期限切れになったフローだけがエクスポートされるように、プロトコル フィルタを指定する例を示します。

Console> (enable) set mls nde flow protocol 17
Netflow Data Export filter successfully set.
Protocol filter is 17
Filter type: include
Console> (enable)

統計収集対象プロトコルの指定

set mls statistics protocol protocol port コマンドを使用すると、NDEによってエクスポートされる統計情報の収集対象になるプロトコルを64個まで指定できます。 protocol 引数には、 ip ipinip icmp igmp tcp udp 、またはその他のプロトコル ファミリーを表す10進数を指定できます。 port 引数には、プロトコル ポートを指定します。

プロトコルを統計収集の対象に指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

プロトコルを統計収集の対象として指定します。

set mls statistics protocol protocol port

次に、プロトコルを統計収集の対象として指定する例を示します。

Console> (enable) set mls statistics protocol 17 1934
Protocol 17 port 1934 is added to protocol statistics list.
Console> (enable)

統計収集対象プロトコルの削除

clear mls statistics protocol { protocol port | all }コマンドを使用すると、NDEによってエクスポートされる統計情報の収集対象から削除するプロトコルを64個まで指定できます。 protocol 引数には、 tcp udp icmp 、またはその他のプロトコル ファミリーを表す10進数を指定できます。 port 引数には、プロトコル ポートを指定します。すべてのプロトコルを統計収集対象から削除するには、 all キーワードを指定します。

プロトコルを統計収集の対象から削除するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

プロトコルを統計収集の対象から削除します。

clear mls statistics protocol { protocol port | all }

次に、プロトコルを統計収集の対象から削除する例を示します。

Console> (enable) clear mls statistics protocol 17 1934
Protocol 17 port 1934 cleared from protocol statistics list.
Console> (enable)

NDEフロー フィルタの消去

NDEフロー フィルタを消去し、フィルタをデフォルト(すべてのフローをエクスポート)に戻すには、イネーブル モードで次の作業を行います。

 

作業
コマンド

NDEフロー フィルタを消去します。

clear mls nde flow

次に、NDEフロー フィルタを消去して、すべてのフローがエクスポートされるようにする例を示します。

Console> (enable) clear mls nde flow
Netflow data export filter cleared.
Console> (enable)

NetFlow AS情報エクスポートの指定

Release 8.4(1)以降のソフトウェア リリースでは、NDEレコード内の正しい(ゼロ以外の)値とともに、ピアまたは送信元宛先のAutonomous System(AS;自律システム)番号をエクスポートできます。この機能をイネーブルにすると、NDEレコードで正しいAS値を伝達することができます。この機能をディセーブルにすると、NDEレコードでゼロの値が伝達されます。ピアAS番号または送信元AS番号をエクスポートできます。

送信元ASエクスポートまたはピアASエクスポートのステータスは、 show mls コマンドの一部として表示されます。


) 送信元ASエクスポートおよびピアASエクスポートを同時にイネーブルにすることはできません。同時にイネーブルにできるのは1つのエクスポートのみです。


NDEレコード内の送信元および宛先IPアドレスの送信元AS番号エクスポートをイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

送信元AS番号のエクスポートをイネーブルまたはディセーブルにします。

set mls originate-as-info [ enable | disable ]

次に、送信元AS番号のエクスポートをイネーブルにする例を示します。

Console> (enable) set mls originate-as-info enable
Console> (enable)
 

NDEレコード内の送信元および宛先IPアドレスのピアAS番号エクスポートをイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ピアAS番号のエクスポートをイネーブルまたはディセーブルにします。

set mls peer-as-info [ enable | disable ]

次に、ピアAS番号のエクスポートをイネーブルにする例を示します。

Console> (enable) set mls peer-as-info enable
Console> (enable)

NDEのディセーブル化


) Supervisor Engine 1およびPFCで、NDEがイネーブルに設定されているときにMLSをディセーブルにすると、統計情報がエクスポートされなくなるため、既存のキャッシュ エントリの統計情報が失われます。


スイッチ上でNDEをディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチ上でNDEをディセーブルにします。

set mls nde disable

次に、スイッチ上でNDEをディセーブルにする例を示します。

Console> (enable) set mls nde disable
Netflow data export disabled.
Console> (enable)

NDE IPアドレスの削除

MSFCからNDE IPアドレスを削除するには、グローバル コンフィギュレーション モードで次の作業を行います。

 

作業
コマンド

MSFCからNDE IPアドレスを削除します。

Router(config)# no mls nde-address [ ip_addr ]

次に、MSFCからNDE IPアドレスを削除する例を示します。

Router(config)# no mls nde-address 170.170.2.1
Router(config)#

NDE設定の表示

スイッチ上のNDE設定を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチ上のNDE設定を表示します。

show mls nde

次に、スイッチ上でNDE設定を表示する方法を示します。

Console> (enable) show mls nde
Netflow Data Export enabled
Netflow Data Export configured for port 7772 on host 10.6.1.10
Secondary Data Export configured for port 7775 on host 10.6.1.10
Source filter is 171.69.194.140/255.255.255.0
Destination port filter is 23
Total packets exported = 26784
Console> (enable)
 

次に、スイッチ上でブリッジド フロー統計がイネーブルに設定されている場合のNDE設定を表示する例を示します。

Console> (enable) show mls nde
Netflow Data Export version:7
Netflow Data Export enabled
Netflow Data Export configured for port 7772 on host 10.6.1.10
Secondary Data Export configured for port 7775 on host 10.6.1.10
Total packets exported = 0
Bridged flow statistics is enabled on vlan(s) 1,20-21.