Cisco CNS Netflow Collection Engine

パケット ヘッダー

テンプレート フローセット

データ フローセット

データ フローセット

-

テンプレート フローセット

データ フローセット

バージョン

カウント

システム稼働時間

UNIX秒

パケット シーケンス番号

ソースID

バージョン

このパケットにエクスポートされたNetFlowレコードのバージョン。Version 9の場合、この値は0x0009となります。

カウント

このパケットに含まれるフローセット レコード（テンプレートとデータ双方）の数

システム稼働時間

このデバイスが起動してからの稼働時間（ミリ秒）

UNIX秒

1970年1月1日0時0分UTC（Coordinated Universal Time）からの経過時間（秒）

シーケンス番号

このエクスポート デバイスが送信したすべてのエクスポート パケットに振られるシーケンス番号。この番号は逐次増加するため、エクスポート パケットのロスの検出に利用できます。

注： NetFlow Version 5およびVersion 8のパケット ヘッダーにおける「合計フロー数」は、このフィールドに変更されました。

ソースID

あるデバイスがエクスポートする全パケットにわたって唯一性が保証される32ビットの値（NetFlow Version 5およびVersion 8のパケット ヘッダーにおけるエンジン タイプおよびエンジンIDフィールドに相当します）。このフィールドのフォーマットはベンダー固有となります。シスコ製品の場合、最初の2バイトは拡張用に予約されており、つねにゼロとなります。3バイト目には、エクスポート デバイスのルーティング エンジンを識別する値が入ります。4バイト目には、エクスポート デバイスの各ライン カードやVersatile Interface Processorを識別する値が入ります。データ収集デバイスでは、受信したNetFlowエクスポート パケットを個々のエクスポート デバイス上のIPフローに関連づける手段として、ソースIDとソースIPアドレスの組み合わせを用いる必要があります。

フローセットID = 0

レングス

テンプレートID

フィールド数

フィールド1タイプ

フィールド1レングス

フィールド2タイプ

フィールド2レングス

―

フィールドNタイプ

フィールドNレングス

テンプレートID

フィールド数

フィールド１タイプ

フィールド1レングス

フィールド2タイプ

フィールド2レングス

―

フィールドNタイプ

フィールドNレングス

フローセットID

フローセットIDは、テンプレート レコードとデータ レコードを区別するためのIDです。テンプレート レコードのフローセットIDは、つねに0～255の値をとります。現在のところ、テンプレート レコードのフローセットIDはゼロに、オプション テンプレート（後述）のフローセットIDは1にセットされます。データ レコードの場合は、つねに255より大きな値をとります。

レングス

このフローセット全体の長さを表します。表4が示すとおり、個々のテンプレート フローセットは複数のテンプレートを含むことができます。よって、後続のフローセット（テンプレートまたはデータ）の位置を得るためには、このフィールドの値を使用する必要があります。

レングス フィールドは、TLV（type/length/value）形式で表現されています。つまり、フローセットIDとレングスの両フィールドのバイト長、そしてフローセットに含まれるすべてのテンプレート レコードのバイト長を合計した値となります。

テンプレートID

ルータは、エクスポートしようとするNetFlowデータのタイプに応じて、いくつかのテンプレート フローセットを送信します。その際、個々のテンプレートに割り当てられる固有のIDがテンプレートIDです。このIDの唯一性は、それを割り当てたルータ内に限定されています。

テンプレートIDは256以上の値をとり、それぞれがデータ レコードのフォーマットを表します。なお、0～255の値はフローセットID用に予約されているため、テンプレートIDとしては利用されません。

フィールド数

このテンプレート レコードのフィールド数を表します。1つのテンプレート フローセットには、複数のテンプレート レコードを含めることができます。よってパーサでは、この数を参照することで、現在のテンプレート レコードの終端と次のテンプレート レコードの始点を決定します。

フィールド タイプ

フィールドのタイプを表す数値です。フィールドのタイプを表す値は、ベンダー固有となります。シスコでは、NetFlow Version 9をサポートするすべてのプラットフォームに共通の値を設定しています。

シスコでは、NetFlow Version 9ソフトウェア（および新しいフィールド タイプ定義を加えた追加版）の初回リリースの時点で、既定のフィールド タイプとその長さを記述したファイルを提供します。

表6に、現在定義されているフィールド タイプの詳細を示します。

フィールド長

先に定義されたフィールドのバイト長を表します。

BYTES_32

1

4

特定のIPフローに対応する32ビットのバイト数カウンタ

PKTS_32

2

4

特定のIPフローに対応する32ビットのパケット数カウンタ

FLOWS

3

4

アグリゲートされたフロー数。Nのデフォルト値は4です。

PROT

4

1

IPプロトコルを表すバイト値

SRC_TOS

5

1

入力インタフェースで受信されたときのToS（Type of Service）バイト値

TCP_FLAGS

6

1

このIPフローで検出されたすべてのTCPフラグの累計値

L4_SRC_PORT

7

2

TCP/UDPのソース ポート番号（例：FTP、Telnetその他）

IPV4_SRC_ADDR

8

4

IPv4ソース アドレス

SRC_MASK

9

1

ソール ルート マスクのビット長。連続マスクを前提とします。

INPUT_SNMP

10

2

入力インタフェース インデックス

L4_DST_PORT

11

2

TCP/UDPの宛先ポート番号（例：FTP、Telnet、その他）

IPV4_DST_ADDR

12

4

IPv4宛先アドレス

DST_MASK

13

1

宛先ルート マスクのビット長。連続マスクを前提とします。

OUTPUT_SNMP

14

N

出力インタフェース インデックス。Nのデフォルトは2ですが、より高い値を設定できます。

IPV4_NEXT_HOP

15

4

ネクスト ホップ ルータのIPv4アドレス

SRC_AS

16

N

BGP（Border Gateway Protocol）のソースAS（Autonomous System）番号

DST_AS

17

N

BGPの宛先AS番号

BGP_IPV4_NEXT_HOP

18

4

BGPドメイン内のネクスト ホップ ルータ

MUL_DST_PKTS

19

N

このIPフローに対応するIPマルチキャスト出力パケット数カウンタ。N×8ビットの長さを持ちます。

MUL_DST_BYTES

20

N

このIPフローに対応するIPマルチキャスト出力バイト数カウンタ。N×8ビットの長さを持ちます。

LAST_SWITCHED

21

4

このIPフローの最後のパケット転送時のシステム稼働時間

FIRST_SWITCHED

22

4

このIPフローの最初のパケット転送時のシステム稼働時間

BYTES_64

25

N

出口側IPフローに対応する出力バイト数カウンタ

PKTS_64

24

N

IPフローに対応する出力パケット数カウンタ

MAC_ADDR

25

6

IPフローに対応するレイヤ2MAC（Media Access Control）アドレス

VLAN_ID

26

2

IPフローに対応するVLAN ID

IPV6_SRC_ADDR

27

16

IPv6ソース アドレス

IPV6_DST_ADDR

28

16

IPv6宛先アドレス

IPV6_SRC_MASK

29

1

IPv6ソース マスクの連続ビット長

IPV6_DST_MASK

30

1

IPv6宛先マスクの連続ビット長

FLOW_LABEL

31

3

RFC 2460仕様に基づくIPv6フロー ラベル

ICMP_TYPE

32

2

ICMP（Internet Control Message Protocol）パケット タイプ。「（ICMPタイプ×256）+ICMPコード」の値で表されます。

MUL_IGMP_TYPE

33

1

IGMP（Internet Group Management Protocol）パケット タイプ

SAMPLING_INTERVAL

34

4

NetFlowによるパケット サンプリングの間隔。例えば「100」は、100パケットごとに1回のサンプリングを行うことを表します。

SAMPLING_ALGORITHM

35

1

NetFlowのサンプリングに用いられたアルゴリズムのタイプを表します。
0x01 一定間隔サンプリング

FLOW_ACTIVE_TIMEOUT

36

2

NetFlowキャッシュにおけるアクティブなフロー エントリーのタイムアウト値（秒）

FLOW_INACTIVE_TIMEOUT

37

2

NetFlowキャッシュにおける非アクティブなフロー エントリーのタイムアウト値（秒）

ENGINE_TYPE

38

1

フロー スイッチング エンジンのタイプ

ENGINE_ID

39

1

フロー スイッチング エンジンのID番号

TOTAL_BYTES_EXPORTED

40

4

このルータがエクスポートしたバイト数

TOTAL_EXPORT_PKTS_SENT

41

4

このルータがエクスポートしたパケット数

TOTAL_FLOWS_EXPORTED

42

4

このルータがエクスポートしたIPフロー数

FLOW_SAMPLER_ID

48

1

「show flow-sampler」コマンドで表示されるID

FLOW_SAMPLER_MODE

49

1

データ サンプリングに用いられたアルゴリズムのタイプを表します。
0x01 一定間隔のパケット サンプリング
0x02 擬似ランダム サンプリング

FLOW_SAMPLER_RANDOM_INTERVAL

50

4

サンプリング間隔のパケット数。一定間隔のパケット サンプリングにて参照されます。

IP_PROTOCOL_VERSION

60

1

IPプロトコルのバージョン。IPv4の場合は4、IPv6の場合は6にセットされます。テンプレート内に含まれない場合は、IPv4と仮定されます。

DIRECTION

61

1

フロー方向：

• 0 - 入力フロー
• 1 - 出力フロー

IPV6_NEXT_HOP

62

16

ネクスト ホップ ルータのIPv6アドレス

BPG_IPV6_NEXT_HOP

63

16

BGPドメイン内のネクスト ホップ ルータ

IPV6_OPTION_HEADERS

64

4

IPフロー中のIPv6オプション ヘッダーを表すビット列フィールド

MPLS_LABEL_1

70

3

スタック順位1のMPLSラベル

MPLS LABEL 2

71

3

スタック順位2のMPLSラベル

MPLS LABEL 3

72

3

スタック順位3のMPLSラベル

MPLS LABEL 4

73

3

スタック順位4のMPLSラベル

MPLS LABEL 5

74

3

スタック順位5のMPLSラベル

MPLS LABEL 6

75

3

スタック順位6のMPLSラベル

MPLS LABEL 7

76

3

スタック順位7のMPLSラベル

MPLS_LABEL_8

77

3

スタック順位8のMPLSラベル

MPLS_LABEL_9

78

3

スタック順位9のMPLSラベル

MPLS LABEL 10

79

3

スタック順位10のMPLSラベル

フローセットID = テンプレートID

レングス

レコード1――フィールド1の値

レコード1――フィールド2の値

レコード1――フィールド3の値

レコード1――フィールド4の値

―

レコード1――フィールドNの値

レコード2――フィールド1の値

レコード2――フィールド2の値

レコード2――フィールド3の値

―

レコード2――フィールドNの値

―

パディング

フローセットID =
テンプレートID

NetFlow Version 9のデータ フローセットでは、先頭にフローセットIDが位置し、その後に各レコードが続
く形となります。フローセットIDは、事前に送信されたテンプレートIDに対応しています。コレクター及び表
示アプリケーション側では、このフローセットIDに基づいて、後続の各フィールド値に適切なタイプと長さを
対応付けます。

レングス

データ フローセットの長さを表します。

レングス フィールドは、TLV（type/length/value）形式で表現され
ています。つまり、フローセットIDとレングスの両フィールドのバイト長、そしてフローセットに含まれるすべて
のデータ レコードのバイト長を合計した値となります。

レコードN ――
フィールドNの値

データ フローセットの残りの部分は、フィールド値の集まりで構成されます。各フィールドのタイプと長さ
は、上記フローセットID（テンプレートID）が示すテンプレート レコードによって事前に定義されています。

パディング

フローセットの終端を32ビットの境界に合わせるため、パディングが挿入されます。レングスフィールドに
は、このパディングの長さも含まれることに留意してください。

フローセットID = 1

レングス

テンプレートID

オプション スコープ レングス

オプション レングス

スコープ フィールド１タイプ

スコープ フィールド１レングス

―

スコープ フィールドNレングス

オプション フィールド１タイプ

オプション フィールド１レングス

―

オプション フィールドNレングス

パディング

フローセットID = 1

フローセットIDは、テンプレート レコードとデータ レコードを区別するためのIDです。オプション テ
ンプレートのフローセットIDは、つねに1にセットされます。データ レコードの場合は、つねに255より
大きな値をとります。

レングス

このフローセットの長さを表します。個々のテンプレート フローセットは複数のテンプレートを含むこ
とができます。よって、後続のフローセット（テンプレートまたはデータ）の位置を得るためには、この
フィールドの値を使用する必要があります。

レングス フィールドは、TLV（type/length/value）形式で表現されています。つまり、フローセットIDと
レングスの両フィールドのバイト長、そしてフローセットに含まれるすべてのテンプレート レコードのバ
イト長を合計した値となります。

テンプレートID

ルータは、エクスポートしようとするNetFlowデータのタイプに応じて、いくつかのテンプレート フ
ローセットを送信します。その際、個々のテンプレートに割り当てられる固有のIDがテンプレートIDで
す。このIDの唯一性は、それを割り当てたルータ内に限定されています。テンプレートIDは255より
大きな値をとり、255以下は予約されています。

オプション スコープ レングス

このオプション テンプレートに含まれるすべてのスコープ フィールドのバイト長を表します（スコープ
については後述）。

オプション レングス

このオプション テンプレートに含まれるすべてのオプション フィールドのバイト長を表します。

スコープ フィールド１タイプ

オプション レコードが対象とする、NetFlowプロセスの関連部分を示します。現在、以下の値が定 義されています。オプション レコードが対象とする、NetFlowプロセスの関連部分を示します。現在、以下の値が定 義されています。

• 0x0001 システム
• 0x0002 インタフェース
• 0x0003 ライン カード
• 0x0004 NetFlowキャッシュ
• 0x0005 テンプレート

例えば、NetFlowのサンプリングは、インタフェース単位で実施できます。このとき、オプション レコードによってサンプリングの構成がレポートされた場合、そのスコープが0x0002（インタフェース） であると示されます。

スコープ フィールド１レングス

オプション レコード上のスコープ フィールドのバイト長を表します。

オプション フィールド１タイプ

オプション レコード上のフィールドのタイプを表す数値です。このフィールドがとりうる値を表6に示し
ます。

オプション フィールド１レングス

オプション レコード上のオプション フィールドのバイト長を表します。

パディング

フローセットの終端を32ビットの境界に合わせるため、パディングが挿入されます。長さフィールドには、このパディングの長さも含まれることに留意してください。