Cisco Catalyst 3560-X シリーズ スイッチ

Cisco Catalyst 3K-X サービス モジュール:アクセス レイヤでの Flexible NetFlow の有効化

ホワイト ペーパー





Cisco Catalyst 3K-X サービス モジュール:アクセス レイヤでの Flexible NetFlow の有効化



はじめに


ユーザ モビリティや仮想化が導入され、アプリケーションの数が急増していることにより、現在の企業ネットワークは複雑さが増し、管理が難しくなっています。Cisco® Flexible NetFlow は、ネットワークの完全な可視化を実現します。このため、管理者はセキュリティ攻撃に迅速に対応することや、パフォーマンス モニタリングやネットワークのトラブルシューティング タスクを効果的に実行することが可能になります。

このホワイト ペーパーでは、Cisco Catalyst® 3560-X および 3750-X シリーズ スイッチに導入された新しいアップリンク サービス モジュールを使用して、Flexible NetFlow 分析の範囲をアクセス レイヤにまで拡張する方法について説明します。

テクノロジー概要


この新しい 10GE サービス モジュールでは、Cisco Catalyst 3560-X および 3750-X シリーズ スイッチにラインレートの Cisco TrustSec® MACsec および Flexible NetFlow が導入されます。

Cisco Trustsec MACsec はホップバイホップのデータ リンク暗号化を実装して、2 つのスイッチ間でデータの完全な機密性を確保します。MACsec が Cisco Catalyst 3560-X および 3750-X でどのように動作するかについては、別のホワイト ペーパーで説明しています。

Cisco Flexible NetFlow は、特定のネットワーク境界を通過するトラフィックに関してユーザが設定可能な統計情報を計算するために使用される標準方式であり、RFC 3954 で定義されているものです。この新しいサービス モジュールは、物理および論理インターフェイスを経由するトラフィックの Flexible NetFlow 分析をリアルタイムで行うことができます。

Cisco Catalyst 3750-X シリーズ スイッチは、以前のシリーズの 3750-E、3750-G、および 3750-V2 にスタックできます。サービス モジュールをスタックに導入すると、Cisco Flexible NetFlow 機能をスタック内のすべてのスイッチ間で有効にでき、投資保護を実現できます。

製品情報

この項では、サービス モジュールの注文方法と、そのソフトウェアおよびハードウェアの互換性に関する情報を示します。

表 1 に、Cisco Catalyst 3560-X および 3750-X シリーズ スイッチ用の 10GE サービス モジュールを注文する際に使用する製品 ID を示します。

表 1 製品 ID と説明

製品 ID 説明
C3KX-SM-10G 2 つの 10GbE SFP+ ポートを備えたサービス モジュール、Cisco Catalyst 3560-X および 3750-X 用
C3KX-SM-10G= 2 つの 10GbE SFP+ ポートを備えたサービス モジュール、Cisco Catalyst 3560-X および 3750-X 用(スペア)


サービス モジュールには 2 つのデュアルスピード SFP+ ポートがあります。表 2 に、初期リリース時にサポートされるモジュールを示します。

表 2 サポートされるモジュール

製品 ID 説明
GLC-LH-SM= ギガビット イーサネット SFP、LC コネクタ LX/LH トランシーバ
GLC-SX-MM= ギガビット イーサネット SFP、LC コネクタ SX トランシーバ
GLC-ZX-SM= 1000BASE-ZX SFP
GLC-BX-D= 1000BASE-BX SFP、1490 nm
GLC-BX-U= 1000BASE-BX SFP、1310 nm
CWDM-SFP-xxxx= CWDM xxxx nm SFP ギガビット イーサネットおよび 1G/2G ファイバ チャネル(FC)
DWDM-SFP-yyyy= DWDM SFP 15yy.yy nm SFP(100 GHz ITU グリッド)
SFP-GE-S= MMF 用 1000BASE-SX SFP モジュール、850nm(DOM)2
SFP-GE-L= SMF 用 1000BASE-LX/LH SFP モジュール、1300nm(DOM)2
SFP-10G-LR= 10GBase-LR SFP+ モジュール
SFP-10G-SR= 10GBase-SR SFP+ モジュール
SFP-10G-LRM= 10GBASE-LRM SFP+ モジュール
SFP-H10GB-CU1M= 10GBASE-CX1 SFP モジュール
SFP-H10GB-CU3M= 10GBASE-CX3 SFP モジュール
SFP-H10GB-CU5M= 10GBASE-CX5 SFP モジュール


Cisco IOS® ソフトウェアの将来のリリースでは、1000BASE-T 銅線および 100BASE-FX ファイバ モジュールのサポートが追加されます。サポートされるトランシーバの最新のリストは、「Cisco 10 ギガビット イーサネット トランシーバ モジュール互換性マトリクス」および「Cisco ギガビット イーサネット トランシーバ モジュール互換性マトリクス」で参照できます。

このサービス モジュールはホットスワップ対応で、既存の 10GE ネットワーク モジュール、C3KX-NM-10G として SFP 速度を自動的に検出します。最近追加された WS-C3750X-12S および 24S SFP スイッチを含む、3560-X および 3750-X のすべてのモデルとの互換性があります。

C3KX 10GE サービス モジュールには、バージョン ID(VID)02 以上または H/W リビジョン 0x03 以上の Cisco Catalyst 3560-X または 3750-X スイッチが必要です。VID はスイッチの上部カバーにあるラベルで確認できます。または、Cisco IOS ソフトウェア CLI コマンド「show version | include Version ID」を使用して取得できます。

H/W リビジョンは、次の Cisco IOS ソフトウェア CLI コマンドを使用して取得できます。

  • 3560-X スイッチの場合:「show version | include Hardware」
  • 3750-X スイッチ(スタックまたはスタンドアロン)の場合:「remote command all show version | include Hardware」

たとえば、次の Cisco IOS ソフトウェア CLI の出力は、このサービス モジュールをサポートする 3750-X スイッチのスタックから取得されたものです。

3750-X#show version | include Switch 0|Version ID|System serial|Model number
Model number: WS-C3750X-48P-L
System serial number: FDO1530T0NS
Version ID: V02
Switch 02
Model number: WS-C3750X-48P-L
System serial number: FDO1530K1HG
Version ID: V02
3750-X#remote command all show version | include Hardware
Switch: 1: (Master) 
---------------------
Hardware Board Revision Number: 0x03
Switch: 2: 
---------------------
Hardware Board Revision Number: 0x03

シスコは、2011 年 1 月からこのサービス モジュールと互換性のあるスイッチを出荷しています。サービス モジュールの注文時に旧リビジョンを交換する方法については、アカウント マネージャにお問い合わせください。

サービス モジュールが古いハードウェア リビジョンのスイッチに接続されている場合は、Flexible NetFlow および MACsec の機能は無効になります。サービス モジュールは「パススルー」モードで動作し、基本的には 10GE ネットワーク モジュールのように機能します。

サービス モジュールに最低限必要な Cisco IOS ソフトウェア リリースは 15.0(1)SE です。これよりも古い Cisco IOS ソフトウェア リビジョンではサービス モジュールは認識されません。

スイッチでサービス モジュールをサポートするために必要なライセンス レベルは、IP Base または IP Services です。LAN Base を実行するスイッチに挿入されるサービス モジュールは、パススルー モードで動作します。

サービス モジュールのソフトウェアの互換性

Cisco Catalyst 3560-X および 3750-X シリーズで利用できる他の現場交換可能なアップリンク モジュールとは異なり、このサービス モジュールは独自のオペレーティング システム、CPU、メモリ、スイッチング ファブリック、およびファイル システムを搭載しています。このため、Flexible NetFlow などの多数の高度なアプリケーションが有効になります。しかし、ソフトウェア管理の点から見ると、スイッチまたはスイッチ スタックにソフトウェア サブシステムが追加されることになります。サービス モジュール ソフトウェアのバージョン番号付け規則は Cisco IOS ソフトウェアの場合と同じです。

サービス モジュール ソフトウェアは、Cisco IOS ソフトウェア イメージとは異なり、.tar ファイルというソフトウェア パッケージで導入されます。サービス モジュール ソフトウェア専用の特定のバージョンまで警告を追跡して見つけ出すことができます。つまり、Cisco Defect and Enhancement Tracking System(CDETS)システムにおける新製品と言えます。

ソフトウェア バージョンの非互換性:サービス モジュールのソフトウェア バージョンと、スタックの Cisco IOS ソフトウェア バージョンが一致することを前提としています(たとえば、15.0(2)SE1 と 15.0(2)SE1)。そうでない場合は、バージョンの不一致が発生します(たとえば、15.0(1)SE と 15.0(2)SE2)。サービス モジュールのバージョンは、Cisco IOS ソフトウェア コマンドライン インターフェイスを使用して取得できます。

特定の Cisco IOS ソフトウェア リリース内で、サービス モジュール ソフトウェアで変更は不要な場合も(製品がアップグレードされる場合など)、新バージョンが提供されます。この場合は、ソフトウェア バージョン ストリングのみが変更され、リリース ノートに記載されます。

単純な互換性スキーマが記述されているだけで、アップデート要件を実装する場合は、互換性マトリクスを維持したり文書化したりする必要はありません。お客様側でよくある、ソフトウェアの互換性の評価が必要になるような状況において、これがどのような影響を及ぼすのかを以下に例示します。

  • サービス モジュールがスイッチ スタックに初めて導入される場合。
  • ネットワークのメンテナンスがすでに行われているので、お客様は最適なソフトウェア リリースを評価し、サービス モジュールを含む、スタック内のすべてのサブシステムをアップデートします。

  • サービス モジュールが、他のサービス モジュールをすでに装備している運用上の設定に追加される場合、またはあるサービス モジュールの交換品として追加される場合。
  • 現在インストールされている Cisco IOS ソフトウェアのメジャー バージョンが決定の実際の決め手となるので、スペア用のサービス モジュールの注文時期に応じて、製造時にプリインストールされているバージョンよりも古いバージョンまたは新しいバージョンにサービス モジュールをアップデートする必要があります。このような場合、サービスの中断は最小限に抑えられます。

  • サービス モジュールがすでにスタックに導入されていて、特定のバグ修正(パッチ)または新機能を有効にするために、サービス モジュール ソフトウェアまたはスタック ソフトウェアのどちらか、あるいはその両方に対してソフトウェア アップデートが必要な場合。
  • スタック内のすべてのサブシステムがアップデートされます。

サービス モジュールのソフトウェア アップデート オプション

サービス モジュール ソフトウェアのアップデートは、Cisco IOS ソフトウェアのアップデートと同時でも別のタイミングでもかまいません。同時にアップデートする場合、サービス モジュールのアップデートによってサービスのダウンタイムが増えることはありませんが、新しいイメージを導入するためにイメージのダウンロード時間が長くなります。別にアップデートする場合は、サービス モジュールのみがアップデートされ、インサービス アップグレード手順が実行され、サービスの中断を最小限に抑えられます。

スイッチ シャーシでの同時アップデートは、標準の Cisco IOS ソフトウェア CLI コマンド「archive download-sw」を使用して行います。このコマンドを実行すると、Cisco IOS ソフトウェア イメージのリスト内のサービス モジュール イメージ バンドルが提供されます。これは、3750V2 または 3750G スイッチが同じ 3750-X スタック内に存在していて、c3750 イメージ バンドルをイメージ リスト内で指定することが必要になる場合と類似しています。

ソフトウェアの互換性はデフォルトで適用されます。新しいサービス モジュール イメージにスイッチ シャーシの新しい Cisco IOS ソフトウェア イメージとの互換性がない場合、アップデートはキャンセルされます。/ no-version-check オプションを指定すると、互換性チェックを削除できます。互換性のないソフトウェアを実行するサービス モジュールは、Flexible NetFlow を実行できませんが、アップリンク トラフィック機能は引き続き提供され、パススルー モードで動作します。

イメージのインストール後、スイッチまたはスタックをリロードすると、新しいソフトウェアがアクティブ化されます。さらにこれにより、スイッチまたはスタックのあらゆるサービス モジュールで新しいソフトウェアがリブートされ、アクティブ化されます。「reload」コマンドを入力するか、CLI コマンド「archive download-sw」に直接 /reload オプションを指定すると、リロード シーケンスが完了します。

サービス モジュールのみをアップデートする必要があり、ディストリビューション レイヤとの通信が 2 つ以上のサービス モジュールに実装されているスタック トポロジでは、インサービス ソフトウェア アップデート手順を利用できます。アップデート手順は次のとおりです。

1. CLI コマンド「archive download-sw [/no-version-check] <service module image bundle>」を使用して、新しいソフトウェア イメージをスタック内のすべてのサービス モジュールにインストールします。/reload オプションは含めないでください。

2. コマンドが正常に完了したら、次の CLI コマンドを使用して 1 つのサービス モジュールをリロードし、新しいソフトウェアがアクティブ化されるまで待機します。スイッチオーバー時間を最小限に抑えるために、「スタンバイ」サービス モジュールから開始して、「アクティブ」サービス モジュールを最後まで維持することを推奨します。

switch <slot-number> fru-link reload

サービス モジュールのリブートの進捗状況は、3 つの異なる Cisco IOS ソフトウェア SysLog メッセージで報告されます。

  • %PLATFORM_SM10G-3-NO_RESPONSE:サービス モジュールのリロードの実行直後、サービス モジュール自体に関連するすべてのインターフェイス リンク アップダウン イベントと同時に表示されます。
  • %PLATFORM-6-FRULINK_INSERTED:前のイベント後、約 20 秒間表示されて、サービス モジュール ソフトウェアがアクティブ化されていることを示します。インターフェイス アップダウン イベントは通常約 5 秒後に発生します。この段階で、サービス モジュールは、Flexible NetFlow を除くすべてのネットワーキング機能を実行できます。
  • %PLATFORM_SM10G-6-LINK_UP:前のイベントから約 3 分後に表示され、サービス モジュールが Flexible NetFlow を含むすべての機能を通常どおり実行できることを示します。

3. サービス モジュールのステータスは、Cisco IOS ソフトウェア コマンド「show switch service-modules」を実行して取得することもできます。

archive download-sw を使用したスタックのアップデートの詳細については、Cisco Catalyst 3560-X および 3750-X のコンフィギュレーション ガイドを参照してください。

アーキテクチャの概要

このサービス モジュールは、スイッチ フォワーディングやプロセッサ(CPU)のパフォーマンスに影響を与えずに、Flexible NetFlow などのインテリジェントなアプリケーションを提供することを目的として設計されています。この観点から、Flexible NetFlow 分析機能を搭載した、新しいプログラム可能な特定用途向け集積回路(ASIC)は、アップリンク ポート専用のスイッチ ポート ASIC のデータ回線に接続します。そして、新しい CPU は、スイッチ CPU とのやり取りおよびサービス モジュール ASIC の制御以外のさまざまな Flexible NetFlow タスクを実行します。

サービス モジュール ASIC は、各フロー モニタのトラフィック分析を実行する Flexible NetFlow エンジンです。ASIC キャッシュに存在する統計情報には、フロー モニタ間で共有されるフローを合計 32K 格納できます。

サービス モジュールの CPU で動作する Flexible NetFlow ソフトウェア プロセスは、この後説明するタスクを実行する複数のコンポーネントで構成されます。

サービス モジュール ASIC コントローラは、Cisco IOS ソフトウェアを実行するスイッチ CPU から Cisco IOS ソフトウェア Flexible NetFlow 設定を受信し、その設定に応じてサービス モジュール ASIC をプログラムします。

Flexible NetFlow プロセスでは、フロー エージングおよび Cisco IOS ソフトウェア CLI コマンド「show flow monitor <name> cache」によって発生するクエリへの対応を目的として、フローの統計情報キャッシュのデータベースを維持します。30 秒ごとに定期的にフロー レコードの統計情報をスイッチ CPU に送信します。

エクスポータ コンポーネントはフロー エージングのメカニズムを処理して、期限満了のフロー統計情報を設定済みのコレクタに送信します。フロー エクスポート パケットの送信先のスイッチ ASIC によって、転送アクションが実行されます(図 1)。

図 1 サービス モジュールの機能ブロック図とスイッチとのやり取り

図 1 サービス モジュールの機能ブロック図とスイッチとのやり取り


ここまでの説明から、サービス モジュール ASIC がアップリンク ポートを通過するパケットをモニタすることがわかります。分析されるトラフィックには、アップリンクとの間で送受信された CPU トラフィックが含まれます。さらに、アップリンク ポートで受信されたダウンストリーム トラフィックのうち、アクセス コントロール リスト(ACL)の deny ステートメントなどの理由でスイッチによってドロップされるものも含まれます。

サービス モジュール ASIC は次のトラフィック カテゴリを分析しません。

  • ダウンリンク ポートの着信および発信トラフィックのうち、ローカルにスイッチされたもの
  • スイッチ CPU から送信されたトラフィックまたはスイッチ CPU で終端したトラフィックのうち、ダウンリンク ポートで送受信されるもの
  • アップリンク ポートに転送されたアップストリーム トラフィックのうち、ACL の deny ステートメントなどの理由でスイッチによってドロップされるもの
  • イーサネット管理ポート(FastEthernet0)の入力および出力トラフィック

Flexible NetFlow エンジンはスイッチ ASIC ロジックの外部にあるので、ダウンストリーム トラフィック用の宛先インターフェイス情報とアップストリーム トラフィック用の送信元インターフェイスのどちらも利用できません。したがって、サービス モジュール CPU は、スイッチ CPU によって 20 秒ごとに受信されたレイヤ 2 およびレイヤ 3 キャッシュの処理と、フローごとの入出力インターフェイスのフィールドの計算において重要な役割を果たします。インターフェイスの値は、スイッチド トラフィックの宛先/送信元 MAC アドレスと、ルーテッド トラフィックの IP 宛先/送信元アドレスに基づいています。この点から考えると、これらのフィールドはフロー レコードに必ず設定する必要があります。

アクセス レイヤの Flexible NetFlow のフィールド

FCS 時にサービス モジュールによって実装された Flexible NetFlow は、標準のレイヤ 2、レイヤ 3、およびレイヤ 4 のフィールドと、入出力物理インターフェイス情報を含んでいます。

これらのうち、MAC アドレス、サービス クラス(CoS)、仮想 LAN(VLAN)、および入出力インターフェイスは、エンドユーザ デバイスとそのトラフィックの特定に役立つ情報を伝送するので、アクセス レイヤに特に関連すると言えます。

データリンク MAC 宛先/送信元アドレスは、組織固有識別子(OUI)から入手可能なデバイス ベンダーに関する情報とともに、スイッチとの間でトラフィックを送受信するユーザ デバイスの固有識別子を提供します。

送信元および宛先 VLAN のフィールドには、トラフィックによって使用されるスイッチ VLAN に関する情報が含まれます。送信元 VLAN は入力(ダウンストリーム)方向に定義されたフロー モニタに利用でき、宛先 VLAN は出力(アップストリーム)方向に定義されたフロー モニタに利用できることに注意してください。特定の方向をモニタするときは、送信元および宛先 VLAN のフィールドを一緒に使用することはできません。

出力トラフィックの CoS フィールドには、スイッチによってフローに割り当てられた、レイヤ 2 Quality Of Service(QoS)プライオリティの値が含まれます。反対方向の場合に報告される値は、サービス モジュールのポートに接続するネットワークで他のスイッチによって割り当てられた値になります。

入出力インターフェイスの値は、トラフィックがスイッチへの着信/スイッチからの発信に使用する物理インターフェイスの Simple Network Management Protocol(SNMP)インターフェイス インデックス値を報告します。たとえば、ダウンストリーム フローでは、入力インターフェイスの値はサービス モジュールのポートを指し、出力インターフェイスの値はダウンリンク ポートを指します。有線ロケーション データベースから取得した情報や、シスコのタイム ドメイン反射率計(TDR)によって測定されたケーブル長と統合して、後者の値を使用すると、ユーザ デバイスのロケーションを追跡できます。

パフォーマンス

各サービス モジュールは同時に 32,000 のフローを処理できます。サポートされるモニタの数はレコード定義によって異なります。レイヤ 2 およびレイヤ 3 のフィールドを含むレコードの場合は、最大 128 の同時モニタを実行できます。

ただし、この数は、スタック内のサービス モジュールの数に応じて増減します。たとえば、スタック内のサービス モジュールが 4 つの場合は、128,000 のフローを格納し、512 の同時モニタを実行することができます。この点はスタック内の他のリソースと異なります。たとえば、Ternary Content Addressable Memory(TCAM)領域や CPU メモリなどは、新しいスタック メンバーを追加しても増えません。

「アーキテクチャの概要」の項で説明したように、フローのエクスポートによってスイッチ CPU のパフォーマンスが低下することはありません。それは、このタスクがサービス モジュール自体のみによって実行されるからです。定義されるエクスポータの数にハード リミットはありません。サービス モジュールは、モニタごとに 10 のエクスポータが定義された状態でテストされ、正常に動作することが確認されています。

Cisco Flexible NetFlow の設計により、フローのエクスポートはデータ トラフィックの帯域幅に対してもほとんど影響を与えません。エクスポートされるパケットに対してレイヤ 3 プライオリティを設定すると、輻輳時にドロップされないようにできることを述べておきます。

アクセス レイヤの Flexible NetFlow


アクセス スイッチで NetFlow を有効にすると、エンドユーザ トラフィックを最大限に可視化できます。実際、エンドポイントに接続するインターフェイス ポート番号によって提供されたデバイスのロケーション情報を、データ リンクおよびネットワーク レイヤで固有のアドレスに関連付けることが可能です。ユーザ認証などのアイデンティティ機能はアクセス レイヤで実行されるので、アイデンティティ認識の追加は、Flexible NetFlow の将来の実装に向けた自然な展開と言えます。

Cisco Flexible NetFlow が想定している分散アーキテクチャでは、NetFlow モニタリングがネットワークのさまざまなポイントでリアルタイムに実行され、情報が集中型のコレクタに送信されて、さらに詳細な分析やオフライン データ マイニングに使用されます。アクセス スイッチの数は一般にディストリビューションやコアよりも多いので、規模に合わせて適切に増減でき、アグリゲーションやコアでオーバーサブスクリプションによるパフォーマンスへの影響が発生しないようにできます。

最終的に、NetFlow 統計情報の正確性はモニタ対象のエンドポイントの近くで高めることができます。ここでは、輻輳またはトラフィック ポリシングによるパケットドロップが、アグリゲーションやコアと比べて小さいためです。

設定例と注意事項

この項では、Flexible NetFlow の設定例をいくつか示し、一部のコマンドを詳しく説明します。サービス モジュールで Flexible NetFlow を設定する方法の詳細については、Cisco Catalyst 3560-X および 3750-X シリーズのソフトウェア コンフィギュレーション ガイドを参照してください。

Flexible NetFlow のオブジェクトはモジュール型で、異なるモニタリング要件に使用できます。フロー レコードでは、どのヘッダー フィールドを分析する必要があるかを定義します。Flexible NetFlow 分析の結果を、行がそれぞれ異なるトラフィック フローを表すテーブルとして表示できる場合、ユーザはフロー レコードで次の操作を実行できます。

  • テーブルの列を定義する
  • どの列がキー フィールドであるかを定義する キー フィールドでは、フローの一意性を制御します。Flexible NetFlow エンジンは、キー列の新しい値を検出すると、新しい行を作成します。非キー フィールドは、各フローの数と継続時間を示すカウンタまたはタイム スタンプといった計算値に使用されます。

次に、レイヤ 2、レイヤ 3、およびレイヤ 4 のフィールドを含むフロー レコードの 2 つの例を示します。キー フィールドは「match」キーワードを使用して定義されますが、非キー フィールドでは「collect」キーワードを使用しています。

flow record L2L4input
 description L2 IPv4 L4 fields for input downstream monitor
 match datalink source-vlan-id
 match datalink ethertype
 match datalink mac source-address
 match datalink mac destination-address
 match ipv4 protocol
 match ipv4 source address
 match ipv4 destination address
 match transport source-port
 match transport destination-port
 collect interface input snmp
 collect interface output snmp
 collect counter flows
 collect counter bytes
 collect counter packets
 collect timestamp sys-uptime first
 collect timestamp sys-uptime last
flow record L2L4output
 description L2 IPv4 L4 fields for output upstream monitor
 match datalink destination-vlan-id
 match datalink ethertype
 match datalink dot1q priority
 match datalink mac source-address
 match datalink mac destination-address
 match ipv4 tos
 match ipv4 protocol
 match ipv4 source address
 match ipv4 destination address
 match transport source-port
 match transport destination-port
 match transport tcp flags
 collect interface input snmp
 collect interface output snmp
 collect counter flows
 collect counter bytes
 collect counter packets
 collect timestamp sys-uptime first
 collect timestamp sys-uptime last

インターフェイスのフィールドを非キー フィールドとしてどのように利用できるかがわかります。これは、「アーキテクチャの概要」の項で説明したように、これらのフィールドが実際には、サービス モジュール CPU でのフローの後処理で計算された値であるからです。

また、IP プロトコル フィールドの重要性についてもわかります。これは、ネットワークで IPv6 が設定されていない場合でも IPv6 トラフィックの存在を判断する方法になります。アクセス ネットワークでは、IPv4 および IPv6 ネットワークのデュアル スタックを実行するエンドポイントの導入が増えており、無防備のフィールドが IPv6 の脆弱性を利用しようとする悪意のある攻撃者に提供されます。

次のリストでは、前述の Flexible NetFlow のフィールドを異なるネットワーク管理タスクにどのように使用できるかを説明します。

  • データ リンクおよび IP レイヤにおける宛先および送信元アドレスが、インターフェイスの値とともに、フローのエンドポイントを一意に定義します。
  • アプリケーションまたはサービスの分析の基準として使用できるのは、データ リンク EtherType、IP プロトコル、トランスポート送信元ポートおよびトランスポート宛先ポート、IP 送信元アドレスおよび IP 宛先アドレスのフィールドです。
  • 「datalink dot1q priority」フィールドで表されるサービス クラス(CoS)と、タイプ オブ サービス(ToS)フィールドを使用すると、ネットワークの Quality Of Service(QoS)設定を検証できます。
  • 最後に、宛先 IP アドレス、Transmission Control Protocol(TCP)フラグ、およびトランスポート宛先ポートを使用すると、SYN ビットが過剰使用されているかどうかをモニタできます。この状態は、マルウェアによるポート スキャン特有のものです。

フロー エクスポータは、NetFlow データ エクスポート(NDE)トラフィックの DiffServ コード ポイント(DSCP)および存続可能時間(TTL)値とともに、コレクタの IP アドレスおよび User Datagram Protocol(UDP)ポートが定義される Flexible NetFlow モジュール型オブジェクトです。

重要なエクスポータ パラメータは送信元インターフェイスです。これを使用して、NDE トラフィックの送信元 IP アドレスを計算することで、コレクタへのスイッチを識別します。一般的に、送信元インターフェイスはスイッチの管理インターフェイスです。出荷開始(FCS)時には、Virtual Routing and Forwarding(VRF)認識も IPv6 アドレッシングもサポートされていないことに注意してください。

3 つ目のオブジェクト、フロー モニタは基本的には、分析対象のインターフェイスの方向(入力または出力)に接続される Flexible NetFlow プロファイルで構成されます。1 つのフロー レコードと 1 つ以上のエクスポータが含まれます。

フロー モニタの複数の特性の中で最もカスタマイズが必要なものの 1 つ、「cache active timeout」では、フロー エージング頻度を秒単位で定義します。つまり、これは統計情報の精度と、サイバー セキュリティ攻撃に対応するまでの最短時間に影響を与えます。この特性はコレクタの推奨事項に従って設定する必要があります。設定しなかった場合の一般的な設定は 1 分です。

プライベート VLAN を使用した導入

アーキテクチャの項で説明したように、スタック内でローカルにスイッチされ、サービス モジュールを通過しないトラフィックはモニタされません。したがって、Flexible NetFlow のレコードに表示されることはありません。ローカルにスイッチされるトラフィックの量は通常はほんのわずかですが、Flexible NetFlow をサイバー上のセキュリティまたは調査のために使用するときは、このことが問題になる可能性があります。

プライベート VLAN(PVLAN)は、ローカル スイッチングを防止し、トラフィックにサービス モジュールのポートを強制的に通過させることで、この制限を克服することができます。このソリューションは、直接接続されたデバイスによって使用される VLAN 内にある、レイヤ 2 デバイスとして動作するアクセス 3560-X スイッチまたは 3750-X スタックと、ローカル プロキシの Address Resolution Protocol(ARP)機能が有効にされたレイヤ 3 ゲートウェイであるディストリビューション スイッチで構成されます。

図 2 は、PVLAN エッジ(保護ポート)が使用されている例です。ローカルにスイッチされたトラフィックは、同じサブネットにある 2 台のワークステーション間で交換されます。どちらのワークステーションも Cisco Catalyst 3750-X スイッチのスタックに接続されています。

図 2 ローカルにスイッチされたトラフィック(左)を、レイヤ 2 で設定されたスイッチまたはスタックのプライベート VLAN(右)を使用してモニタする方法

図 2 ローカルにスイッチされたトラフィック(左)を、レイヤ 2 で設定されたスイッチまたはスタックのプライベート VLAN(右)を使用してモニタする方法


次の発信トラフィックのフローは、スイッチ アクセス ポートに着信し、2 台目のワークステーション宛てに送信されるトラフィックが、サービス モジュール インターフェイスをどのように経由するかを示しています。

LAYER 2 DESTINATION VLAN ID:  20

DATALINK ETHERTYPE: 0x0800 MAC SOURCE ADDRESS: 0000.0400.0002 MAC DESTINATION ADDRESS: 503d.e5fb.adcb IPV4 SOURCE ADDRESS: 11.1.10.102 IPV4 DESTINATION ADDRESS: 11.1.10.103 TRNS SOURCE PORT: 1024 TRNS DESTINATION PORT: 80 interface input snmp index: 10608 interface output snmp index: 10202

対称的に、モニタされる着信トラフィックについて、同じデータ リンク、IPv4、およびトランスポート情報が指定されているフローが計算されます。

LAYER 2 DESTINATION VLAN ID:  20
DATALINK ETHERTYPE:           0x0800
MAC SOURCE ADDRESS:           503d.e5fb.adcb
MAC DESTINATION ADDRESS:      0000.0400.0003
IPV4 SOURCE ADDRESS:          11.1.10.102
IPV4 DESTINATION ADDRESS:     11.1.10.103
TRNS SOURCE PORT:             1024
TRNS DESTINATION PORT:        80

前述のフロー内の MAC 送信元および宛先は、2 つのレイヤ 2 ホップを明確に示しています。1 つ目はディストリビューション スイッチのスイッチ仮想インターフェイス(SVI)宛てで、2 つ目は宛先ワークステーション宛てです。

リモート SPAN およびフローベース SPAN を使用した導入

ローカルにスイッチされたトラフィックまたはルーテッド トラフィックの分析は、スイッチド ポート アナライザ(SPAN)モニタリングを有効にし、サービス モジュール ポート経由でトラフィックのコピーを送信して、実行することもできます。PVLAN による導入と比較すると、このソリューションでは、レイヤ 2 専用デバイスとして動作するアクセス スイッチが不要になります。さらに、ミラーされたトラフィックには、CPU および ACL によってドロップされ、サービス モジュール ASIC に到達しなかったトラフィックも含めることができます。

リモート SPAN(RSPAN)セッションは、アクセス VLAN で受信したトラフィックをモニタするアクセスおよびディストリビューション スイッチ上で設定されます。フローベース SPAN の場合は、ローカルにスイッチされるトラフィックの特性を、RSPAN セッションに適用される ACL フィルタと正確に一致させることができます。ローカルにスイッチされたトラフィックは、リモート SPAN 宛先 VLAN 上でミラーされ、トランクとして設定されたサービス モジュールのポートに伝送されます。

図 3 の設定例では、PVLAN の使用例と同じ状況が考慮されています。つまり、ローカルにスイッチされたトラフィックが、同じサブネットにある 2 台のワークステーション間で交換されます。どちらのワークステーションも Cisco Catalyst 3750-X スイッチのスタックに接続されています。

図 3 フローベースのリモート SPAN を使用した、ローカルにスイッチされたトラフィックまたはルーテッド トラフィックのモニタリング

図 3 フローベースのリモート SPAN を使用した、ローカルにスイッチされたトラフィックまたはルーテッド トラフィックのモニタリング


次に、ミラーされた RSPAN トラフィックから取得されたフローを示します。

LAYER 2 DESTINATION VLAN ID:  666
DATALINK ETHERTYPE:           0x0800
MAC SOURCE ADDRESS:           0000.0400.0002
MAC DESTINATION ADDRESS:      0000.0400.0003
IPV4 SOURCE ADDRESS:          11.1.10.102
IPV4 DESTINATION ADDRESS:     11.1.10.103
TRNS SOURCE PORT:             1024
TRNS DESTINATION PORT:        80
interface input snmp index:   0
interface output snmp index:  10202

PVLAN の場合と異なるのは VLAN ID です。VLAN ID は、送信元のアクセス VLAN ではなく RSPAN 宛先 VLAN になっています。また、フロー レコード内の入力インターフェイスがヌル(0)で、出力インターフェイスがサービス モジュール ポートであるという事実も異なります。実際の入出力インターフェイスは、MAC および IPv4 送信元アドレスと宛先アドレスを調べることで、発信トラフィックのコレクタ フロー レコードで引き続き取得できます。

イーサネット管理ポートへのエクスポート

イーサネット管理ポート(FastEthernet0)は、Telnet、Secure Shell(SSH)Protocol、Trivial File Transfer Protocol(TFTP)、SNMP などのアウトオブバンド スイッチ管理サービスに使用される専用のルーテッド インターフェイスです。

サービス モジュール FNF ソフトウェアによって、エクスポートされたトラフィックがスイッチ ASIC に直接挿入され、そこで転送が実行されます。設計上、FastEthernet0 とスイッチ ASIC の間での転送は、Cisco Catalyst 3560-X および 3750-X スイッチでブロックされます。

前述の理由により、イーサネット管理ポート経由でフローをコレクタにエクスポートすることは FCS ではサポートされていません。FastEthernet0 宛てのフロー エクスポートは、Cisco IOS ソフトウェア CLI コマンド「show flow exporter」で出力した統計情報により、正常に送信されたことが報告されます。これは現在、警告 CSCtt05810 で追跡されています。

付録


この項では、このサービス モジュールの Flexible NetFlow およびソフトウェア アップデート機能が、Cisco Catalyst 3560-X および 3750-X スイッチによって実装される他の機能とどのように相互運用するかについて説明します。

EEM との連動

FCS 時は、サービス モジュールによって生成された Flexible NetFlow 統計情報を、Cisco IOS ソフトウェア CLI コマンド「event nf」を使用して、Embedded Event Manager サブシステムで使用することはできません。この機能は将来実装される予定です。

TrustSec MACsec との連動

TrustSec MACsec によって実行されるトラフィックの暗号化はサービス モジュールの物理レイヤ チップ(PHY)で行われるので、MACsec を有効にすることで稼働する Flexible NetFlow 機能に影響を与えることはありません。また、暗号化されたトラフィックをモニタすることはできません。

スマート ロギングおよびテレメトリとの連動

Flexible NetFlow 機能は、同じスイッチ上の Smart Logging and Telemetry(SLT)と同時に有効にできます。

SLT は、Flexible NetFlow 対応コレクタのセキュリティ違反イベント関連の統計情報へのエクスポートを承認する Cisco IOS ソフトウェア機能です。最初の実装段階では、Cisco IOS ソフトウェア リリース 12.2(58)SE1 の一部として、次のタイプのイベントに対応しています。

  • ダイナミック ARP インスペクション違反
  • IP ソース ガード違反
  • Dynamic Host Configuration Protocol(DHCP)スヌーピング違反
  • IP で拒否または許可されたトラフィックのポート ACL ロギング

SLT の詳細については、Cisco Catalyst 3560-X および 3750-X のコンフィギュレーション ガイドの「システム メッセージ ロギングとスマート ロギングの設定」の項を参照してください。

SLT は、サービス モジュールによって実行される Flexible NetFlow 機能と同一のエクスポータを共有できます。

スイッチ ASIC が受信した特定のパケットによって、スマート ロギングが有効にされているイベントがトリガーされると、コピーがスイッチ CPU に送信され、その内容が処理されてコレクタにエクスポートされます。SLT 対応イベント カテゴリの場合は、パケットの処理とエクスポートが自動的に実行されることはありませんが、別のプロセスである SLT ハンドラによって実行されます。このハンドラは、グローバル コンフィギュレーション コマンド「logging smartlog」によって明示的にアクティブ化される必要があります。

SLT が、NetFlow コレクタでは把握できない可能性があるセキュリティ違反に関するリアルタイム情報を使用して、Flexible NetFlow 分析を補完することは明らかです。たとえば、ダウンリンク ポートで受信された違反トラフィックや拒否されたトラフィックは、サービス モジュールを通過する前にスイッチ ASIC によってドロップされます。

SLT はスイッチ CPU で実行されるので、パフォーマンスに影響を与える可能性があります。ACL スマート ロギングをアクティブ化するときは、トラフィック サイズが大幅に増加することがあるので、特に注意が必要です。このような場合は、CPU パフォーマンスをモニタすることを強く推奨します。「show processes cpu」を実行すると、ACL スマート ロギングに関連する 2 つのプロセス名が表示されます。「slthandler」は前述の SLT ハンドラ プロセスで、「HACL queue」は ACL によって生成されたコピー パケットのキュー ハンドラです。たとえば、ロギングされるパケットの数が 1 秒あたり約 100,000 の場合、2 つのプロセスそれぞれが CPU 時間を最大で 15 % および 35 % 消費し、CPU 使用率が 90 % に達する可能性があります。

EEM を使用したソフトウェア アップデート

EEM を使用すると、Cisco IOS ソフトウェアとのバージョンの不一致が発生したときに、サービス モジュール ソフトウェア アップデートを完全に自動化できます。シンプルな EEM スクリプトを実行して、サービス モジュール バージョンの不一致に関する SysLog メッセージを検出し、アーカイブのダウンロードとサービス モジュールのリロードを順に実行します。この機能は、サービス モジュールがあるスタックから、異なる Cisco IOS ソフトウェア バージョンを実行する別のスタックに移動される場合、既存のサービス モジュールが交換される場合、またはネットワーク モジュールがサービス モジュールにアップグレードされる場合に非常に役立ちます。

ローリング スタック アップグレードを使用したソフトウェア アップデート

ローリング スタック アップグレードは、冗長アップリンク モジュールがあるレイヤ 2 スタックに対して Cisco IOS ソフトウェア アップデートを実行している間に、ネットワークの中断を最小限に抑える機能です。スタックが 2 つ以上のサービス モジュールを装備している場合も、ローリング スタック アップグレードを使用できます。詳細については、Cisco Catalyst 3560-X および 3750-X のコンフィギュレーション ガイドの「スイッチ スタックの管理」の項を参照してください。

関連情報


次のドキュメントを参照してください。

  • Cisco Catalyst 3560-X および 3750-X のソフトウェア コンフィギュレーション ガイド
  • Cisco Catalyst 3560-X および 3750-X のハードウェア インストレーション ガイド
  • Cisco Flexible NetFlow ホワイト ペーパー

.