この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
次に、Flexible NetFlow コンフィギュレーションの前提条件を示します。
ネットワーキング デバイスが IPv4 ルーティング用に設定されていること。
シスコ エクスプレス フォワーディングまたは分散型シスコ エクスプレス フォワーディングのいずれかが、使用中のルータおよび Flexible NetFlow をイネーブルにするすべてのインターフェイスでイネーブルにされていること。
ネットワーキング デバイスが、IPv6 ルーティング用に設定されていること。
シスコ エクスプレス フォワーディング IPv6 または分散型シスコ エクスプレス フォワーディングのいずれかが、使用中のルータおよび Flexible NetFlow をイネーブルにするすべてのインターフェイスでイネーブルにされていること。
次に、ワイヤレス Flexible NetFlow の前提条件を示します。
次に、Flexible NetFlow に関する制約事項を示します。
マイクロフロー ポリシング機能は FNF と NetFlow ハードウェア リソースを共有します。
インターフェイスごと、および方向ごとに 1 個のフロー モニタのみがサポートされています。
スイッチは、1 個または 2 個の ASIC をサポートできます。 各 TCAM が最大 6K 入力エントリおよび 12K 出力エントリを処理できる一方、各 ASIC は 8K 入力および 16 K 出力エントリを処理できます。
switch は、最大 個のフロー モニタをサポートしています。
NetFlow ソフトウェアの実装では、分散 NetFlow エクスポートがサポートされるため、フローが作成された同じswitchからフローがエクスポートされます。
IOS XE リリース 3E の場合、出力ネットフローおよび出力 WQoS を同時に有効にした 1 つの WLAN がサポートされます。
NetFlow は、switchを通過するパケットの統計情報を提供するシスコ テクノロジーです。 NetFlow は、IP ネットワークから実際の IP データを取得するための標準規格です。 NetFlow は、ネットワークとセキュリティの監視、ネットワーク計画、トラフィック分析、および IP アカウンティングをイネーブルにするためのデータを提供します。 以前の NetFlow を改良するために、Flexible NetFlow には実際の要件に合わせてトラフィック分析パラメータをカスタマイズする機能が追加されています。 Flexible NetFlow では、トラフィック分析のための非常に複雑な構成を作成したり、再利用可能な構成コンポーネントを使用してデータをエクスポートすることが容易になります。
Flexible NetFlow ではフローを使用して、アカウンティング、ネットワーク モニタリング、およびネットワーク プランニングに関連する統計情報を提供します。
フローは送信元インターフェイスに届く単方向のパケット ストリームで、キーの値は同じです。 キーは、パケット内のフィールドを識別する値です。 フローを作成するには、フロー レコードを使用して、フロー固有のキーを定義します。
switch は、ネットワーク異常とセキュリティ問題の高度な検出をイネーブルにする Flexible NetFlow 機能をサポートします。 Flexible NetFlow により、大量の定義済みフィールドの集合からキーを選択して、特定のアプリケーションに最適なフロー レコードを定義できます。
1 つのフローと見なされるパケットでは、すべてのキー値が一致している必要があります。 フローは、設定したエクスポート レコード バージョンに基づいて、関係のある他のフィールドを集めることもあります。 フローは Flexible NetFlow キャッシュに格納されます。
エクスポータを使用して Flexible NetFlowがフローのために収集するデータをエクスポートし、 Flexible NetFlow コレクタなどのリモート システムにこのデータをエクスポートできます。 Flexible NetFlow コレクタは、IPv4 アドレスを使用できます。
モニタを使用してフローのために収集するデータのサイズを定義します。 モニタで、フロー レコードおよびエクスポータを Flexible NetFlow キャッシュ情報と結合します。
ワイヤレス Flexible NetFlow インフラストラクチャは次をサポートします。
マイクロフロー ポリシングとユーザ ベースのレート制限
マイクロフロー ポリシングは、NetFlow テーブル内の各フローに 2 カラー、1 レートのポリサーと関連ドロップ統計情報を関連付けます。 フロー マスクがすべてのパケット フィールドで構成される場合、この機能は「マイクロフロー ポリシング」と呼ばれます。 フロー マスクが送信元または宛先のみで構成される場合、この機能は「ユーザ ベースのレート制限」と呼ばれます。
音声およびビデオ フロー モニタリング
音声およびビデオ フローはフル フロー マスク ベースのエントリです。 ASIC は、ポリサー パラメータのプログラム、複数のフローでのポリサー共有、フローの IP アドレスとレイヤー 4 ポート番号の書き換えにおいて柔軟性を提供します。
(注) |
ダイナミック エントリの場合、NetFlow エンジンは、ポリシー(ACL/QoS ベース ポリシー)に基づいてフローに対して取得されたポリサー パラメータを使用します。 ダイナミック エントリは複数のフロー間でポリサーを共有できません。 |
再帰 ACL
再帰 ACL により、上位層セッション情報に基づいて IP パケットをフィルタリングできます。 ACL は発信トラフィックを許可し、信頼ネットワーク内で開始されたセッションに応じて、着信トラフィックを制限します。 再帰 ACL は、再帰的なエントリと一致するデータ パケットによりアクティブにされるまで、フィルタリング メカニズムに対して透過的です。 この時点では、一時 ACL エントリが作成され、IP 名付きアクセス リストに追加されています。 再帰 ACL エントリを生成するデータ パケットから取得した情報は、許可/拒否ビット、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、ポート、およびプロトコル タイプです。 再帰 ACL エントリの評価において、プロトコル タイプが TCP または UDP の場合、ポート情報は正確に一致する必要があります。 他のプロトコルの場合、一致するポート情報はありません。 この ACL をインストールすると、通過する応答パケットに対してファイアウォールが開かれます。 この時点では、ハッカーがファイアウォールの背後にあるネットワークにアクセスする危険性があります。 この危険性を最小限に抑えるには、アイドル タイムアウト期間を定義できます。 ただし、TCP の場合、2 つの FIN ビットまたは RST が検出された場合、ACL エントリが削除される可能性があります。
Flexible NetFlow では、キー フィールドと非キー フィールドの組み合わせをレコードと呼びます。 Flexible NetFlow のレコードは Flexible NetFlow フロー モニタに割り当てられ、フロー データの格納に使用されるキャッシュが定義されます。
フロー レコードでは、フロー内のパケットを識別するために Flexible NetFlow で使用するキーとともに、Flexible NetFlow がフローについて収集する他の関連 フィールドを定義します。 キーと関連フィールドを任意の組み合わせで指定して、フロー レコードを定義できます。 switchは、幅広いキー セットをサポートします。 フロー レコードでは、フロー単位で収集するカウンタのタイプも定義します。 64 ビットのパケットまたはバイト カウンタを設定できます。 switchは、フロー レコードの作成時に、デフォルトとして次の match フィールドをイネーブルにします。
次の表で、Flexible NetFlow の match パラメータについて説明します。 フロー レコードごとに、次の match パラメータを 1 つ以上設定する必要があります。
コマンド |
目的 |
---|---|
match datalink {dot1q | ethertype | mac | vlan } |
データ リンクまたはレイヤ 2 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match flow direction |
フローを識別するフィールドとの一致を指定します。 |
match interface {input | output} |
インターフェイス フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match ipv4{destination | protocol | source | tos | ttl | version} |
IPv4 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match ipv6 {destination | hop-limit | protocol | source | traffic-class | version } |
IPv6 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match transport {destination-port | igmp | icmp | source-port} |
トランスポート層フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
次の表で、Flexible NetFlow の collect パラメータについて説明します。
コマンド |
目的 |
||
---|---|---|---|
collect counter { bytes { layer2 { long } | long } | packets { long } } |
カウンタ フィールドの合計バイト数と合計パケット数を収集します。 |
||
collect interface {input | output} |
入力または出力インターフェイスからフィールドを収集します。 |
||
collect timestamp absolute {first | last} |
最初のパケットが確認された絶対時間、または最新のパケットが最後に確認された絶対時間のフィールドを収集します(ミリ秒)。 |
||
collect transport tcp flags |
|
エクスポータでは、 Flexible NetFlow エクスポート パケットに関して、ネットワーク層およびトランスポート層の詳細を指定します。次の表は、エクスポータの設定オプションを示します。
switchがサポートするのは、NetFlow バージョン 9 エクスポート フォーマットだけです。 NetFlow バージョン 9 エクスポート フォーマットは、次の特徴と機能を提供します。
(注) |
Version 9 エクスポート フォーマットの詳細については、RFC 3954 を参照してください。 |
モニタは、フロー レコードおよびフロー エクスポータを参照します。 モニタは、スイッチのインターフェイスに適用します。
サンプル モードを使用する場合は、サンプラーを使用してパケットのサンプリング レートを指定します。
(注) |
パケットに VLAN フィールドがある場合、その長さは考慮されません。 |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
---|---|---|---|---|---|---|---|
Key または Collect フィールド |
|||||||
インターフェイス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
フロー モニタを入力方向に適用する場合: |
インターフェイス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
フロー モニタを出力方向に適用する場合: |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
---|---|---|---|---|---|---|---|
Key フィールド |
|||||||
フロー方向 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Ethertype |
Yes |
Yes |
— |
— |
— |
— |
|
VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
dot1q VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
dot1q VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
dot1q 優先度 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
スイッチ ポートでのみサポートされています。 |
MAC 送信元アドレス入力 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
MAC 送信元アドレス出力 |
— |
— |
— |
— |
— |
— |
|
MAC 宛先アドレス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
|
MAC 送信先アドレス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
|
IPv4 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 TOS |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
IPv4 TTL |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 発信元アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
IPv4 宛先アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
ICMP IPv4 タイプ |
— |
— |
Yes |
Yes |
— |
— |
|
ICMP IPv4 コード |
— |
— |
Yes |
Yes |
— |
— |
|
IGMP タイプ |
— |
— |
Yes |
Yes |
— |
— |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
---|---|---|---|---|---|---|---|
Key フィールド(続き) |
|||||||
IPv6 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP バージョンと同じです。 |
IPv6 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP プロトコルと同じです。 送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
IPv6 送信元アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
IPv6 宛先アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
IPv6 トラフィック クラス |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TOS と同じです。 |
IPv6 ホップ リミット |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TTL と同じです。 |
ICMP IPv6 タイプ |
— |
— |
— |
— |
Yes |
Yes |
|
ICMP IPv6 コード |
— |
— |
— |
— |
Yes |
Yes |
|
source-port |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
dest-port |
— |
— |
Yes |
Yes |
Yes |
Yes |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
---|---|---|---|---|---|---|---|
Collect フィールド |
|||||||
Bytes long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
パケット サイズ =(FCS を含むイーサネット フレーム サイズ - 18 バイト) 推奨: このフィールドを回避し、Bytes layer2 long を使用します。 |
Packets long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Timestamp absolute first |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Timestamp absolute last |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
TCP フラグ |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
すべてのフラグを収集します。 |
Bytes layer2 long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
次の表は、switchに対する Flexible NetFlow のデフォルト設定を示します。
設定 |
デフォルト |
---|---|
フロー アクティブ タイムアウト |
1800 秒 |
フロー タイムアウトの非アクティブ化 |
15 秒 |
フロー レコードを作成し、照合するキー、および収集するフィールドをフロー内に追加できます。
2. flow recordname
3. DescriptionString
4. matchtype
5. collecttype
7. show flow record [namerecord-name]
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
configureterminal 例: Switch# configure terminal |
|||
ステップ 2 | flow recordname 例: Switch(config)# flow record test Switch(config-flow-record)# |
フロー レコードを作成し、フロー レコード コンフィギュレーション モードを開始します。 |
||
ステップ 3 | DescriptionString 例:
Switch(config-flow-record)# description Ipv4Flow
|
(任意)最大 63 文字で、このフローの説明を指定します。 |
||
ステップ 4 | matchtype 例: Switch(config-flow-record)# match ipv4 source address Switch(config-flow-record)# match ipv4 destination address Switch(config-flow-record)# match flow direction |
一致キーを指定します。 使用できる match キーの値については、Flexible NetFlow の match パラメータ を参照してください。 |
||
ステップ 5 | collecttype 例: Switch(config-flow-record)# collect counter bytes layer2 long Switch(config-flow-record)# collect counter bytes long Switch(config-flow-record)# collect timestamp absolute first Switch(config-flow-record)# collect transport tcp flags Switch(config-flow-record)# collect interface output |
コレクション フィールドを指定します。 使用できるコレクション フィールドの値については、Flexible NetFlow の collect パラメータ を参照してください。
|
||
ステップ 6 |
end 例: Switch(config-flow-record)# end |
|||
ステップ 7 | show flow record [namerecord-name] 例:
Switch show flow record test
|
(任意)NetFlow のフロー レコード情報を表示します。 |
||
ステップ 8 |
copy running-config startup-config 例: Switch# copy running-config startup-config |
エクスポート フォーマット、プロトコル、宛先、およびその他のパラメータを指定することによって、任意でフロー エクスポータを定義します。
フロー エクスポートを作成して、フローのエクスポート パラメータを定義できます。
(注) |
フロー エクスポータごとに、1 つ宛先のみがサポートされます。 複数の宛先にデータをエクスポートする場合は、複数のフロー エクスポータを設定してフロー モニタに割り当てる必要があります。 IPv4 アドレスを使用した宛先にエクスポートできます。 |
2. flow exportername
3. DescriptionString
4. destination {ipv4-address}
5. dscpvalue
6. source { }
7. transportudpnumber
8. ttl seconds
9. export-protocol {netflow-v9}
11. show flow exporter [namerecord-name]
フロー レコードおよびフロー エクスポータに基づいて、フロー モニタを定義します。
フロー モニタを作成して、フロー レコードおよびフロー エクスポータと関連付けることができます。
2. flow monitor name
3. description string
4. exporter name
5. record name
6. cache { timeout {active | inactive} seconds | type normal }
8. show flow monitor [name record-name]
レイヤ 2 インターフェイス、レイヤ 3 インターフェイス、または VLAN にフロー モニタを適用します。
サンプラーを作成し、フローの NetFlow サンプリング レートを定義できます。
2. samplername
3. DescriptionString
4. mode {random}
6. show sampler [name]
送信元インターフェイス、サブインターフェイス、 VLAN インターフェイス、または VLAN にフロー モニタを適用します。
フロー モニタおよびオプションのサンプラーをインターフェイスに適用できます。
2. interfacetype
3. {ip flow monitor | ipv6 flow monitor}name [|samplername] { input}
5. show flow interface [interface-typenumber]
フロー モニタおよびオプションのサンプラーを VLAN に適用できます。
2. vlan [configuration] vlan-id
3. ip flow monitormonitor name [samplersampler name] {input}
Flexible NetFlow レコード内でレイヤ 2 キーを定義できます。このレコードを使用して、レイヤ 2 インターフェイスのフローをキャプチャできます。
2. flow record name
3. match datalink {dot1q |ethertype | mac | vlan}
5. show flow record [name ]
1. configure terminal
2. wlan [wlan-name { wlan-id SSID_NetworkName | wlan_id} | wlan-name | shutdown}
3. datalink flow monitor monitor-name {input | output}
4. end
5. show run wlanwlan-name
1. configure terminal
2. wlan {wlan-name { wlan-id SSID_NetworkName | wlan_id} | wlan-name | shutdown}
3. {ip | ipv6} flow monitor monitor-name {input | output}
4. end
5. show run wlanwlan-name
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例:
Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | wlan {wlan-name { wlan-id SSID_NetworkName | wlan_id} | wlan-name | shutdown} 例:
Switch (config) # wlan wlan1 |
WLAN コンフィギュレーション サブモードを開始します。 wlan-id はワイヤレス LAN の ID です。 指定できる範囲は 1 ~ 64 です。 SSID_NetworkName は、最大 32 文字の英数字からなる SSID です。
|
||
ステップ 3 | {ip | ipv6} flow monitor monitor-name {input | output} 例:
Switch (config-wlan) # ip flow monitor flow-monitor-1 input |
入力または出力パケットに対応する WLAN にフロー モニタを関連付けます。 |
||
ステップ 4 | end 例:
Switch (config) # end |
特権 EXEC モードに戻ります。 |
||
ステップ 5 | show run wlanwlan-name 例:
Switch # show wlan mywlan |
(任意)設定を確認します。 |
コマンド |
目的 |
---|---|
show flow exporter [broker | export-ids | name | name | statistics | templates] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
show flow exporter [ nameexporter-name] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
show flow interface |
NetFlow インターフェイスに関する情報を表示します。 |
show flow monitor [ nameexporter-name] |
NetFlow のフロー モニタ情報と統計情報を表示します。 |
show flow monitor statistics |
フロー モニタの統計情報を表示します。 |
show flow monitor cache format {table | record | csv} |
指定された形式でフロー モニタのキャッシュの内容を表示します。 |
show flow record [ namerecord-name] |
NetFlow のフロー レコード情報を表示します。 |
show flow ssid |
WLAN の NetFlow モニタのインストール ステータスを表示します。 |
show sampler [broker | name | name] |
NetFlow サンプラに関する情報を表示します。 |
show wlanwlan-name |
デバイスで設定された WLAN を表示します。 |
フローを作成し、そのフローをインターフェイスに適用する例を示します。
Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# flow export export1 Switch(config-flow-exporter)# destination 10.0.101.254 Switch(config-flow-exporter)# transport udp 2055 Switch(config-flow-exporter)# exit Switch(config)# flow record record1 Switch(config-flow-record)# match ipv4 source address Switch(config-flow-record)# match ipv4 destination address Switch(config-flow-record)# match ipv4 protocol Switch(config-flow-record)# match transport source-port Switch(config-flow-record)# match transport destination-port Switch(config-flow-record)# collect counter byte long Switch(config-flow-record)# collect counter packet long Switch(config-flow-record)# collect timestamp absolute first Switch(config-flow-record)# collect timestamp absolute last Switch(config-flow-record)# exit Switch(config)# flow monitor monitor1 Switch(config-flow-monitor)# record record1 Switch(config-flow-monitor)# exporter export1 Switch(config-flow-monitor)# exit Switch(config)# interface tenGigabitEthernet 1/0/1 Switch(config-if)# ip flow monitor monitor1 input Switch(config-if)# end
次に、WLAN 入力方向で IPv4 Flexible NetFlow を設定する例を示します。
Switch# configure terminal Switch(config)# flow record fr_v4 Switch(config-flow-record)# match ipv4 destination address Switch(config-flow-record)# match ipv4 source address Switch(config-flow-record)# match ipv4 protocol Switch(config-flow-record)# match ipv4 tos Switch(config-flow-record)# match ipv4 ttl Switch(config-flow-record)# match ipv4 version Switch(config-flow-record)# match wireless ssid Switch(config-flow-record)# collect wireless ap mac address Switch(config-flow-record)# collect counter packets long Switch(config-flow-record)# collect counter bytes long Switch(config-flow-record)# collect timestamp absolute first Switch(config-flow-record)# collect timestamp absolute last Switch(config-flow-record)# exit Switch(config)# flow monitor fm_v4 Switch(config-flow-monitor)# record fr_v4 Switch(config-flow-record)# exit Switch(config)# wlan wlan_1 Switch(config-wlan)# ip flow monitor fm_v4 in Switch(config-wlan)# end Switch# show flow monitor fm_v4 cache
次に、WLAN 出力方向で IPv6 および転送フラグ Flexible NetFlow を設定する例を示します。
Switch# configure terminal Switch(config)# flow record fr_v6 Switch(config-flow-record)# match ipv6 destination address Switch(config-flow-record)# match ipv6 source address Switch(config-flow-record)# match ipv6 hop-limit Switch(config-flow-record)# match ipv6 protocol Switch(config-flow-record)# match ipv6 traffic Switch(config-flow-record)# match ipv6 version Switch(config-flow-record)# match wireless ssid Switch(config-flow-record)# collect wireless ap mac address Switch(config-flow-record)# collect counter bytes long Switch(config-flow-record)# collect transport tcp flags Switch(config-flow-record)# exit Switch(config)# flow monitor fm_v6 Switch(config-flow-monitor)# record fr_v6 Switch(config-flow-monitor)# exit Switch(config)# wlan wlan_1 Switch(config-wlan)# ipv6 flow monitor fm_v6 out Switch(config-wlan)# end Switch# show flow monitor fm_v6 cache
(注) |
switchでは、収集する TCP フラグを指定できません。 転送 TCP フラグの収集のみ指定できます。 |
次に、双方向の WLAN 上で IPv6 Flexible NetFlow を設定する例を示します。
Switch# configure terminal Switch (config)# flow record fr_v6 Switch (config-flow-record)# match ipv6 destination address Switch (config-flow-record)# match ipv6 source address Switch (config-flow-record)# match ipv6 hop-limit Switch (config-flow-record)# match ipv6 protocol Switch (config-flow-record)# match ipv6 traffic Switch (config-flow-record)# match ipv6 version Switch (config-flow-record)# match wireless ssid Switch (config-flow-record)# collect wireless ap mac address Switch (config-flow-record)# collect counter packets long Switch (config-flow-record)# exit Switch (config)# flow monitor fm_v6 Switch (config-flow-monitor)# record fr_v6 Switch (config-flow-monitor)# exit Switch (config)# wlan wlan_1 Switch (config-wlan)# ipv6 flow monitor fm_v6 in Switch (config-wlan)# ipv6 flow monitor fm_v6 out Switch (config-wlan)# end Switch# show flow monitor fm_v6 cache
関連項目 | マニュアル タイトル |
---|---|
Flexible NetFlow の CLI コマンド |
Flexible NetFlow Command Reference、Cisco IOS XE Release 3SE(Cisco WLC 5700 Series) |
説明 | Link |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
標準/RFC | タイトル |
---|---|
RFC 3954 |
『Cisco Systems NetFlow Services Export Version 9』 |
MIB | MIB のリンク |
---|---|
本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
リリース |
変更内容 |
---|---|
|
この機能が導入されました。 |
目次
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
次に、Flexible NetFlow コンフィギュレーションの前提条件を示します。
次に、Flexible NetFlow に関する制約事項を示します。
マイクロフロー ポリシング機能は FNF と NetFlow ハードウェア リソースを共有します。
インターフェイスごと、および方向ごとに 1 個のフロー モニタのみがサポートされています。
スイッチは、1 個または 2 個の ASIC をサポートできます。 各 TCAM が最大 6K 入力エントリおよび 12K 出力エントリを処理できる一方、各 ASIC は 8K 入力および 16 K 出力エントリを処理できます。
switch は、最大 個のフロー モニタをサポートしています。
NetFlow ソフトウェアの実装では、分散 NetFlow エクスポートがサポートされるため、フローが作成された同じswitchからフローがエクスポートされます。
IOS XE リリース 3E の場合、出力ネットフローおよび出力 WQoS を同時に有効にした 1 つの WLAN がサポートされます。
NetFlow は、switchを通過するパケットの統計情報を提供するシスコ テクノロジーです。 NetFlow は、IP ネットワークから実際の IP データを取得するための標準規格です。 NetFlow は、ネットワークとセキュリティの監視、ネットワーク計画、トラフィック分析、および IP アカウンティングをイネーブルにするためのデータを提供します。 以前の NetFlow を改良するために、Flexible NetFlow には実際の要件に合わせてトラフィック分析パラメータをカスタマイズする機能が追加されています。 Flexible NetFlow では、トラフィック分析のための非常に複雑な構成を作成したり、再利用可能な構成コンポーネントを使用してデータをエクスポートすることが容易になります。
Flexible NetFlow ではフローを使用して、アカウンティング、ネットワーク モニタリング、およびネットワーク プランニングに関連する統計情報を提供します。
フローは送信元インターフェイスに届く単方向のパケット ストリームで、キーの値は同じです。 キーは、パケット内のフィールドを識別する値です。 フローを作成するには、フロー レコードを使用して、フロー固有のキーを定義します。
switch は、ネットワーク異常とセキュリティ問題の高度な検出をイネーブルにする Flexible NetFlow 機能をサポートします。 Flexible NetFlow により、大量の定義済みフィールドの集合からキーを選択して、特定のアプリケーションに最適なフロー レコードを定義できます。
1 つのフローと見なされるパケットでは、すべてのキー値が一致している必要があります。 フローは、設定したエクスポート レコード バージョンに基づいて、関係のある他のフィールドを集めることもあります。 フローは Flexible NetFlow キャッシュに格納されます。
エクスポータを使用して Flexible NetFlowがフローのために収集するデータをエクスポートし、 Flexible NetFlow コレクタなどのリモート システムにこのデータをエクスポートできます。 Flexible NetFlow コレクタは、IPv4 アドレスを使用できます。
モニタを使用してフローのために収集するデータのサイズを定義します。 モニタで、フロー レコードおよびエクスポータを Flexible NetFlow キャッシュ情報と結合します。
ワイヤレス Flexible NetFlow インフラストラクチャは次をサポートします。
マイクロフロー ポリシングとユーザ ベースのレート制限
マイクロフロー ポリシングは、NetFlow テーブル内の各フローに 2 カラー、1 レートのポリサーと関連ドロップ統計情報を関連付けます。 フロー マスクがすべてのパケット フィールドで構成される場合、この機能は「マイクロフロー ポリシング」と呼ばれます。 フロー マスクが送信元または宛先のみで構成される場合、この機能は「ユーザ ベースのレート制限」と呼ばれます。
音声およびビデオ フロー モニタリング
音声およびビデオ フローはフル フロー マスク ベースのエントリです。 ASIC は、ポリサー パラメータのプログラム、複数のフローでのポリサー共有、フローの IP アドレスとレイヤー 4 ポート番号の書き換えにおいて柔軟性を提供します。
(注) |
ダイナミック エントリの場合、NetFlow エンジンは、ポリシー(ACL/QoS ベース ポリシー)に基づいてフローに対して取得されたポリサー パラメータを使用します。 ダイナミック エントリは複数のフロー間でポリサーを共有できません。 |
再帰 ACL
再帰 ACL により、上位層セッション情報に基づいて IP パケットをフィルタリングできます。 ACL は発信トラフィックを許可し、信頼ネットワーク内で開始されたセッションに応じて、着信トラフィックを制限します。 再帰 ACL は、再帰的なエントリと一致するデータ パケットによりアクティブにされるまで、フィルタリング メカニズムに対して透過的です。 この時点では、一時 ACL エントリが作成され、IP 名付きアクセス リストに追加されています。 再帰 ACL エントリを生成するデータ パケットから取得した情報は、許可/拒否ビット、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、ポート、およびプロトコル タイプです。 再帰 ACL エントリの評価において、プロトコル タイプが TCP または UDP の場合、ポート情報は正確に一致する必要があります。 他のプロトコルの場合、一致するポート情報はありません。 この ACL をインストールすると、通過する応答パケットに対してファイアウォールが開かれます。 この時点では、ハッカーがファイアウォールの背後にあるネットワークにアクセスする危険性があります。 この危険性を最小限に抑えるには、アイドル タイムアウト期間を定義できます。 ただし、TCP の場合、2 つの FIN ビットまたは RST が検出された場合、ACL エントリが削除される可能性があります。
Flexible NetFlow では、キー フィールドと非キー フィールドの組み合わせをレコードと呼びます。 Flexible NetFlow のレコードは Flexible NetFlow フロー モニタに割り当てられ、フロー データの格納に使用されるキャッシュが定義されます。
フロー レコードでは、フロー内のパケットを識別するために Flexible NetFlow で使用するキーとともに、Flexible NetFlow がフローについて収集する他の関連 フィールドを定義します。 キーと関連フィールドを任意の組み合わせで指定して、フロー レコードを定義できます。 switchは、幅広いキー セットをサポートします。 フロー レコードでは、フロー単位で収集するカウンタのタイプも定義します。 64 ビットのパケットまたはバイト カウンタを設定できます。 switchは、フロー レコードの作成時に、デフォルトとして次の match フィールドをイネーブルにします。
次の表で、Flexible NetFlow の match パラメータについて説明します。 フロー レコードごとに、次の match パラメータを 1 つ以上設定する必要があります。
コマンド |
目的 |
---|---|
match datalink {dot1q | ethertype | mac | vlan } |
データ リンクまたはレイヤ 2 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match flow direction |
フローを識別するフィールドとの一致を指定します。 |
match interface {input | output} |
インターフェイス フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match ipv4{destination | protocol | source | tos | ttl | version} |
IPv4 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match ipv6 {destination | hop-limit | protocol | source | traffic-class | version } |
IPv6 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match transport {destination-port | igmp | icmp | source-port} |
トランスポート層フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
コマンド |
目的 |
||
---|---|---|---|
collect counter { bytes { layer2 { long } | long } | packets { long } } |
カウンタ フィールドの合計バイト数と合計パケット数を収集します。 |
||
collect interface {input | output} |
入力または出力インターフェイスからフィールドを収集します。 |
||
collect timestamp absolute {first | last} |
最初のパケットが確認された絶対時間、または最新のパケットが最後に確認された絶対時間のフィールドを収集します(ミリ秒)。 |
||
collect transport tcp flags |
次の転送 TCP フラグを収集します。
|
エクスポータでは、 Flexible NetFlow エクスポート パケットに関して、ネットワーク層およびトランスポート層の詳細を指定します。次の表は、エクスポータの設定オプションを示します。
エクスポータの設定 |
説明 |
---|---|
デフォルト |
コマンドをデフォルト値に設定します。 |
説明 |
フロー エクスポータの説明を提供します。 |
destination |
エクスポート先 |
dscp |
任意の DSCP 値。 |
exit |
フロー エクスポータ コンフィギュレーション モードを終了します。 |
export-protocol |
エクスポート プロトコルのバージョン。 |
no |
コマンドまたはデフォルトを無効にします。 |
オプション |
エクスポートのオプションを選択します。 |
source |
NetFlow の発信元インターフェイス。 |
template |
フロー エクスポータのテンプレート コンフィギュレーション。 |
transport |
トランスポート層プロトコル。 |
ttl |
任意の TTL またはホップ リミット。 |
(注) |
パケットに VLAN フィールドがある場合、その長さは考慮されません。 |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
---|---|---|---|---|---|---|---|
Key または Collect フィールド |
|||||||
インターフェイス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
フロー モニタを入力方向に適用する場合: |
インターフェイス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
フロー モニタを出力方向に適用する場合: |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
---|---|---|---|---|---|---|---|
Key フィールド |
|||||||
フロー方向 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Ethertype |
Yes |
Yes |
— |
— |
— |
— |
|
VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
dot1q VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
dot1q VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
dot1q 優先度 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
スイッチ ポートでのみサポートされています。 |
MAC 送信元アドレス入力 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
MAC 送信元アドレス出力 |
— |
— |
— |
— |
— |
— |
|
MAC 宛先アドレス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
|
MAC 送信先アドレス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
|
IPv4 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 TOS |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
IPv4 TTL |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 発信元アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
IPv4 宛先アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
ICMP IPv4 タイプ |
— |
— |
Yes |
Yes |
— |
— |
|
ICMP IPv4 コード |
— |
— |
Yes |
Yes |
— |
— |
|
IGMP タイプ |
— |
— |
Yes |
Yes |
— |
— |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
---|---|---|---|---|---|---|---|
Key フィールド(続き) |
|||||||
IPv6 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP バージョンと同じです。 |
IPv6 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP プロトコルと同じです。 送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
IPv6 送信元アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
IPv6 宛先アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
IPv6 トラフィック クラス |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TOS と同じです。 |
IPv6 ホップ リミット |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TTL と同じです。 |
ICMP IPv6 タイプ |
— |
— |
— |
— |
Yes |
Yes |
|
ICMP IPv6 コード |
— |
— |
— |
— |
Yes |
Yes |
|
source-port |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
dest-port |
— |
— |
Yes |
Yes |
Yes |
Yes |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
---|---|---|---|---|---|---|---|
Collect フィールド |
|||||||
Bytes long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
パケット サイズ =(FCS を含むイーサネット フレーム サイズ - 18 バイト) 推奨: このフィールドを回避し、Bytes layer2 long を使用します。 |
Packets long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Timestamp absolute first |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Timestamp absolute last |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
TCP フラグ |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
すべてのフラグを収集します。 |
Bytes layer2 long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
2. flow recordname
3. DescriptionString
4. matchtype
5. collecttype
7. show flow record [namerecord-name]
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
configureterminal 例: Switch# configure terminal |
|||
ステップ 2 | flow recordname 例: Switch(config)# flow record test Switch(config-flow-record)# |
フロー レコードを作成し、フロー レコード コンフィギュレーション モードを開始します。 |
||
ステップ 3 | DescriptionString 例:
Switch(config-flow-record)# description Ipv4Flow
|
(任意)最大 63 文字で、このフローの説明を指定します。 |
||
ステップ 4 | matchtype 例: Switch(config-flow-record)# match ipv4 source address Switch(config-flow-record)# match ipv4 destination address Switch(config-flow-record)# match flow direction |
一致キーを指定します。 使用できる match キーの値については、Flexible NetFlow の match パラメータ を参照してください。 |
||
ステップ 5 | collecttype 例: Switch(config-flow-record)# collect counter bytes layer2 long Switch(config-flow-record)# collect counter bytes long Switch(config-flow-record)# collect timestamp absolute first Switch(config-flow-record)# collect transport tcp flags Switch(config-flow-record)# collect interface output |
コレクション フィールドを指定します。 使用できるコレクション フィールドの値については、Flexible NetFlow の collect パラメータ を参照してください。
|
||
ステップ 6 |
end 例: Switch(config-flow-record)# end |
|||
ステップ 7 | show flow record [namerecord-name] 例:
Switch show flow record test
|
(任意)NetFlow のフロー レコード情報を表示します。 |
||
ステップ 8 |
copy running-config startup-config 例: Switch# copy running-config startup-config |
エクスポート フォーマット、プロトコル、宛先、およびその他のパラメータを指定することによって、任意でフロー エクスポータを定義します。
フロー エクスポートを作成して、フローのエクスポート パラメータを定義できます。
(注) |
フロー エクスポータごとに、1 つ宛先のみがサポートされます。 複数の宛先にデータをエクスポートする場合は、複数のフロー エクスポータを設定してフロー モニタに割り当てる必要があります。 IPv4 アドレスを使用した宛先にエクスポートできます。 |
2. flow exportername
3. DescriptionString
4. destination {ipv4-address}
5. dscpvalue
6. source { }
7. transportudpnumber
8. ttl seconds
9. export-protocol {netflow-v9}
11. show flow exporter [namerecord-name]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configureterminal 例: Switch# configure terminal |
|
ステップ 2 | flow exportername 例:
Switch(config)# flow exporter ExportTest
|
フロー エクスポータを作成し、フロー エクスポータ コンフィギュレーション モードを開始します。 |
ステップ 3 | DescriptionString 例:
Switch(config-flow-exporter)# description ExportV9
|
(任意)最大 63 文字で、このフローの説明を指定します。 |
ステップ 4 | destination {ipv4-address} 例:
Switch(config-flow-exporter)# destination 192.0.2.1 (IPv4 destination)
|
このエクスポータに IPv4 宛先アドレスまたはホスト名を設定します。 |
ステップ 5 | dscpvalue 例:
Switch(config-flow-exporter)# dscp 0
|
(任意)DiffServ コードポイント値を指定します。 範囲は 0 ~ 63 です。 デフォルトは 0 です。 |
ステップ 6 | source { } 例:
Switch(config-flow-exporter)# source gigabitEthernet1/0/1
|
(任意)設定された宛先で NetFlow コネクタに到達するために使用するインターフェイスを指定します。 送信元として次のインターフェイスを設定できます。 |
ステップ 7 | transportudpnumber 例:
Switch(config-flow-exporter)# transport udp 200
|
(任意)NetFlow コレクタに到達するために使用する UDP ポートを指定します。 |
ステップ 8 | ttl seconds 例: Switch(config-flow-exporter)# ttl 210 |
(任意)エクスポータによって送信されるデータグラムの存続可能時間(TTL)値を設定します。 範囲は 1 ~ 255 秒です。 デフォルトは 255 です。 |
ステップ 9 | export-protocol {netflow-v9} 例:
Switch(config-flow-exporter)# export-protocol netflow-v9
|
エクスポータで使用される NetFlow エクスポート プロトコルのバージョンを指定します。 |
ステップ 10 |
end 例: Switch(config-flow-record)# end |
|
ステップ 11 | show flow exporter [namerecord-name] 例:
Switch show flow exporter ExportTest
|
(任意)NetFlow のフロー エクスポータ情報を表示します。 |
ステップ 12 |
copy running-config startup-config 例: Switch# copy running-config startup-config |
フロー レコードおよびフロー エクスポータに基づいて、フロー モニタを定義します。
2. flow monitor name
3. description string
4. exporter name
5. record name
6. cache { timeout {active | inactive} seconds | type normal }
8. show flow monitor [name record-name]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configureterminal 例: Switch# configure terminal |
|
ステップ 2 | flow monitor name 例: Switch(config)# flow monitor MonitorTest Switch (config-flow-monitor)# |
フロー モニタを作成し、フロー モニタ コンフィギュレーション モードを開始します。 |
ステップ 3 | description string 例:
Switch(config-flow-monitor)# description Ipv4Monitor
|
(任意)最大 63 文字で、このフローの説明を指定します。 |
ステップ 4 | exporter name 例:
Switch(config-flow-monitor)# exporter ExportTest
|
フロー エクスポータとこのフロー モニタを関連付けます。 |
ステップ 5 | record name 例:
Switch(config-flow-monitor)# record test
|
フロー レコードを指定したフロー モニタと関連付けます。 |
ステップ 6 | cache { timeout {active | inactive} seconds | type normal } 例:
Switch(config-flow-monitor)# cache timeout active 15000
|
指定したフロー モニタとフロー キャッシュを関連付けます。 |
ステップ 7 |
end 例: Switch(config-flow-monitor)# end |
|
ステップ 8 | show flow monitor [name record-name] 例:
Switch show flow monitor name MonitorTest
|
(任意)NetFlow のフロー モニタ情報を表示します。 |
ステップ 9 |
copy running-config startup-config 例: Switch# copy running-config startup-config |
レイヤ 2 インターフェイス、レイヤ 3 インターフェイス、または VLAN にフロー モニタを適用します。
2. samplername
3. DescriptionString
4. mode {random}
6. show sampler [name]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configureterminal 例: Switch# configure terminal |
|
ステップ 2 | samplername 例: Switch(config)# sampler SampleTest Switch(config-flow-sampler)# |
サンプラーを作成し、サンプラー コンフィギュレーション モードを開始します。 |
ステップ 3 | DescriptionString 例: Switch(config-flow-sampler)# description samples
|
(任意)最大 63 文字で、このフローの説明を指定します。 |
ステップ 4 | mode {random} 例: Switch(config-flow-sampler)# mode random 1 out-of 1024 |
ランダム サンプル モードを定義します。 |
ステップ 5 |
end 例: Switch(config-flow-sampler)# end |
|
ステップ 6 | show sampler [name] 例: Switch show sample SampleTest
|
(任意)NetFlow サンプラに関する情報を表示します。 |
ステップ 7 |
copy running-config startup-config 例: Switch# copy running-config startup-config |
送信元インターフェイス、サブインターフェイス、 VLAN インターフェイス、または VLAN にフロー モニタを適用します。
2. interfacetype
3. {ip flow monitor | ipv6 flow monitor}name [|samplername] { input}
5. show flow interface [interface-typenumber]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configureterminal 例: Switch# configure terminal |
|
ステップ 2 | interfacetype 例:
Switch(config)# interface GigabitEthernet1/0/1
|
インターフェイス コンフィギュレーション モードを開始し、インターフェイスを設定します。 インターフェイス コンフィギュレーションのコマンド パラメータは次のとおりです。 |
ステップ 3 | {ip flow monitor | ipv6 flow monitor}name [|samplername] { input} 例:
Switch(config-if)# ip flow monitor MonitorTest input
|
入力または出力パケットに対応するインターフェイスに、IPv4 または IPv6 フロー モニタ、およびオプションのサンプラーを関連付けます。 |
ステップ 4 |
end 例: Switch(config-flow-monitor)# end |
|
ステップ 5 | show flow interface [interface-typenumber] 例:
Switch# show flow interface
|
(任意)インターフェイスの NetFlow 情報を表示します。 |
ステップ 6 |
copy running-config startup-config 例: Switch# copy running-config startup-config |
2. vlan [configuration] vlan-id
3. ip flow monitormonitor name [samplersampler name] {input}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configureterminal 例: Switch# configure terminal |
|
ステップ 2 | vlan [configuration] vlan-id 例: Switch(config)# vlan configuration 30 Switch(config-vlan-config)# |
VLAN または VLAN コンフィギュレーション モードを開始します。 |
ステップ 3 | ip flow monitormonitor name [samplersampler name] {input} 例:
Switch(config-vlan-config)# ip flow monitor MonitorTest input
|
入力パケットに対応する VLAN に、フロー モニタおよびオプションのサンプラーを関連付けます。 |
ステップ 4 |
copy running-config startup-config 例: Switch# copy running-config startup-config |
2. flow record name
3. match datalink {dot1q |ethertype | mac | vlan}
5. show flow record [name ]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configureterminal 例: Switch# configure terminal |
|
ステップ 2 | flow record name 例: Switch(config)# flow record L2_record Switch(config-flow-record)# |
フロー レコード コンフィギュレーション モードを開始します。 |
ステップ 3 | match datalink {dot1q |ethertype | mac | vlan} 例: Switch(config-flow-record)# match datalink ethertype
|
レイヤ 2 属性をキーとして指定します。 |
ステップ 4 |
end 例: Switch(config-flow-record)# end |
|
ステップ 5 | show flow record [name ] 例:
Switch# show flow record
|
(任意)インターフェイスの NetFlow 情報を表示します。 |
ステップ 6 |
copy running-config startup-config 例: Switch# copy running-config startup-config |
1. configure terminal
2. wlan [wlan-name { wlan-id SSID_NetworkName | wlan_id} | wlan-name | shutdown}
3. datalink flow monitor monitor-name {input | output}
4. end
5. show run wlanwlan-name
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例:
Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | wlan [wlan-name { wlan-id SSID_NetworkName | wlan_id} | wlan-name | shutdown} 例:
Switch (config) # wlan wlan1 |
WLAN コンフィギュレーション サブモードを開始します。 wlan-id はワイヤレス LAN の ID です。 指定できる範囲は 1 ~ 64 です。 SSID_NetworkName は、最大 32 文字の英数字からなる SSID です。
|
||
ステップ 3 | datalink flow monitor monitor-name {input | output} 例:
Switch (config-wlan) # datalink flow monitor flow-monitor-1 {input | output} |
目的の方向のレイヤ 2 トラフィックにフロー モニタを適用します。 |
||
ステップ 4 | end 例:
Switch (config) # end |
特権 EXEC モードに戻ります。 |
||
ステップ 5 | show run wlanwlan-name 例:
Switch # show wlan mywlan |
(任意)設定を確認します。 |
1. configure terminal
2. wlan {wlan-name { wlan-id SSID_NetworkName | wlan_id} | wlan-name | shutdown}
3. {ip | ipv6} flow monitor monitor-name {input | output}
4. end
5. show run wlanwlan-name
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例:
Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | wlan {wlan-name { wlan-id SSID_NetworkName | wlan_id} | wlan-name | shutdown} 例:
Switch (config) # wlan wlan1 |
WLAN コンフィギュレーション サブモードを開始します。 wlan-id はワイヤレス LAN の ID です。 指定できる範囲は 1 ~ 64 です。 SSID_NetworkName は、最大 32 文字の英数字からなる SSID です。
|
||
ステップ 3 | {ip | ipv6} flow monitor monitor-name {input | output} 例:
Switch (config-wlan) # ip flow monitor flow-monitor-1 input |
入力または出力パケットに対応する WLAN にフロー モニタを関連付けます。 |
||
ステップ 4 | end 例:
Switch (config) # end |
特権 EXEC モードに戻ります。 |
||
ステップ 5 | show run wlanwlan-name 例:
Switch # show wlan mywlan |
(任意)設定を確認します。 |
コマンド |
目的 |
---|---|
show flow exporter [broker | export-ids | name | name | statistics | templates] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
show flow exporter [ nameexporter-name] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
show flow interface |
NetFlow インターフェイスに関する情報を表示します。 |
show flow monitor [ nameexporter-name] |
NetFlow のフロー モニタ情報と統計情報を表示します。 |
show flow monitor statistics |
フロー モニタの統計情報を表示します。 |
show flow monitor cache format {table | record | csv} |
指定された形式でフロー モニタのキャッシュの内容を表示します。 |
show flow record [ namerecord-name] |
NetFlow のフロー レコード情報を表示します。 |
show flow ssid |
WLAN の NetFlow モニタのインストール ステータスを表示します。 |
show sampler [broker | name | name] |
NetFlow サンプラに関する情報を表示します。 |
show wlanwlan-name |
デバイスで設定された WLAN を表示します。 |
フローを作成し、そのフローをインターフェイスに適用する例を示します。
Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# flow export export1 Switch(config-flow-exporter)# destination 10.0.101.254 Switch(config-flow-exporter)# transport udp 2055 Switch(config-flow-exporter)# exit Switch(config)# flow record record1 Switch(config-flow-record)# match ipv4 source address Switch(config-flow-record)# match ipv4 destination address Switch(config-flow-record)# match ipv4 protocol Switch(config-flow-record)# match transport source-port Switch(config-flow-record)# match transport destination-port Switch(config-flow-record)# collect counter byte long Switch(config-flow-record)# collect counter packet long Switch(config-flow-record)# collect timestamp absolute first Switch(config-flow-record)# collect timestamp absolute last Switch(config-flow-record)# exit Switch(config)# flow monitor monitor1 Switch(config-flow-monitor)# record record1 Switch(config-flow-monitor)# exporter export1 Switch(config-flow-monitor)# exit Switch(config)# interface tenGigabitEthernet 1/0/1 Switch(config-if)# ip flow monitor monitor1 input Switch(config-if)# end
次に、WLAN 入力方向で IPv4 Flexible NetFlow を設定する例を示します。
Switch# configure terminal Switch(config)# flow record fr_v4 Switch(config-flow-record)# match ipv4 destination address Switch(config-flow-record)# match ipv4 source address Switch(config-flow-record)# match ipv4 protocol Switch(config-flow-record)# match ipv4 tos Switch(config-flow-record)# match ipv4 ttl Switch(config-flow-record)# match ipv4 version Switch(config-flow-record)# match wireless ssid Switch(config-flow-record)# collect wireless ap mac address Switch(config-flow-record)# collect counter packets long Switch(config-flow-record)# collect counter bytes long Switch(config-flow-record)# collect timestamp absolute first Switch(config-flow-record)# collect timestamp absolute last Switch(config-flow-record)# exit Switch(config)# flow monitor fm_v4 Switch(config-flow-monitor)# record fr_v4 Switch(config-flow-record)# exit Switch(config)# wlan wlan_1 Switch(config-wlan)# ip flow monitor fm_v4 in Switch(config-wlan)# end Switch# show flow monitor fm_v4 cache
次に、WLAN 出力方向で IPv6 および転送フラグ Flexible NetFlow を設定する例を示します。
Switch# configure terminal Switch(config)# flow record fr_v6 Switch(config-flow-record)# match ipv6 destination address Switch(config-flow-record)# match ipv6 source address Switch(config-flow-record)# match ipv6 hop-limit Switch(config-flow-record)# match ipv6 protocol Switch(config-flow-record)# match ipv6 traffic Switch(config-flow-record)# match ipv6 version Switch(config-flow-record)# match wireless ssid Switch(config-flow-record)# collect wireless ap mac address Switch(config-flow-record)# collect counter bytes long Switch(config-flow-record)# collect transport tcp flags Switch(config-flow-record)# exit Switch(config)# flow monitor fm_v6 Switch(config-flow-monitor)# record fr_v6 Switch(config-flow-monitor)# exit Switch(config)# wlan wlan_1 Switch(config-wlan)# ipv6 flow monitor fm_v6 out Switch(config-wlan)# end Switch# show flow monitor fm_v6 cache
(注) |
switchでは、収集する TCP フラグを指定できません。 転送 TCP フラグの収集のみ指定できます。 |
次に、双方向の WLAN 上で IPv6 Flexible NetFlow を設定する例を示します。
Switch# configure terminal Switch (config)# flow record fr_v6 Switch (config-flow-record)# match ipv6 destination address Switch (config-flow-record)# match ipv6 source address Switch (config-flow-record)# match ipv6 hop-limit Switch (config-flow-record)# match ipv6 protocol Switch (config-flow-record)# match ipv6 traffic Switch (config-flow-record)# match ipv6 version Switch (config-flow-record)# match wireless ssid Switch (config-flow-record)# collect wireless ap mac address Switch (config-flow-record)# collect counter packets long Switch (config-flow-record)# exit Switch (config)# flow monitor fm_v6 Switch (config-flow-monitor)# record fr_v6 Switch (config-flow-monitor)# exit Switch (config)# wlan wlan_1 Switch (config-wlan)# ipv6 flow monitor fm_v6 in Switch (config-wlan)# ipv6 flow monitor fm_v6 out Switch (config-wlan)# end Switch# show flow monitor fm_v6 cache
説明 | Link |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |