Flexible NetFlow の設定
(注) Flexible NetFlow は、Supervisor Engine 7-E、Supervisor Engine 7L-E、および Catalyst 4500X だけでサポートされます。
フローは、パケット フィールドを含む場合があるキー フィールド属性、パケット ルーティング属性、および入出力インターフェイス情報の一意のセットとして定義されます。NetFlow 機能は、フローを、機能キー フィールドの値が同じ一連のパケットとして定義します。Flexible NetFlow(FNF)を使用すれば、さまざまなフロー属性が指定されたフロー レコードを収集し、オプションで転送もできます。Netflow 収集は、IP、IPv6、およびレイヤ 2 トラフィックをサポートします。
(注) この章では、Catalyst 4500 スイッチ固有の情報について説明します。プラットフォームに依存しない設定とコマンドの詳細については、次のリンクを参照してください。
『Cisco IOS Flexible NetFlow Configuration Guide』
http://www.cisco.com/en/US/partner/docs/ios/fnetflow/configuration/guide/12_4t/fnf_12_4t_book.html
『Cisco IOS Flexible NetFlow Command Reference』
http://www.cisco.com/en/US/partner/docs/ios/fnetflow/command/reference/fnf_book.html
この章では、VSS と非 VSS 環境の両方を扱います。
• 「VSS 導入後の環境」
• 「Non-VSS 導入後の環境」
VSS 導入後の環境
次の項目は、Virtual Switch System に属する Catalyst 4500 シリーズ スイッチ w に適用されます。
1. Catalyst 4500 シリーズ スイッチは、スイッチドおよびルーテッド パケットの入力フロー統計情報の収集をサポートします。これは、出力トラフィックに Flexible NetFlow をサポートしていません。
2. VSS の各スイッチが独立 NFE(NetFlow エンジン)を備えています。これは、VSS アクティブ スイッチとスタンバイ スイッチの両方に入力トラフィックがあるときに、それぞれが入力トラフィックのフローを作成できることを意味します。
3. 設定は VSS アクティブ スイッチで実行され、このスイッチが VSS スタンバイ スイッチと同期されます。
4. トップ トーカー、集約キャッシュ、および clear コマンドを含む NetFlow の show コマンドは、VSS アクティブ スイッチとスタンバイ スイッチで別個に実行する必要があります。VSS スタンバイ コンソールは、VSS アクティブ スイッチからリモート コンソール アクセスで使用できます。
5. Supervisor Engine 7-E、Supervisor Engine 7L-E、および Catalyst 4500X は 100,000 エントリのハードウェア フロー テーブルをサポートします。VSS アクティブ スイッチとスタンバイ スイッチの両方に 100,000 エントリの独立したハードウェア フロー テーブルがあります。ハードウェア フロー テーブルはスイッチのすべてのフロー モニタで共有されます。1 つのモニタですべてのフロー テーブル エントリが使用されることを防ぐには、cache entries number コマンドによって、スイッチでそれが使用するエントリの個数を制限できます。この制限は、それが接続されているターゲットの数に関係なく、フロー モニタごとになります。
次に、1,000 エントリを保持するようにフロー モニタ m1 キャッシュを設定する例を示します。この設定では、インターフェイス gig 1/3/1(VSS アクティブ上)は最大 1000 のフローを作成でき、インターフェイス gig 2/3/2(VSS スタンバイ上)は最大 1000 のフローを作成できます。
! exporter specifies where the flow records are send to
! record specifies packet fields to collect
match ipv4 source address
match ipv4 destination address
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
! monitor refers record configuration and optionally exporter
! configuration. It specifies the cache size i.e. how many unique flow
cache timeout inactive 30
!interface GigabitEthernet 1/3/1
! layer2-switched allows collection of flow records even when the packet is
ip flow monitor m1 layer2-switched input
interface GigabitEthernet 2/3/2
6. フローの収集は、複数のターゲット(ポート、VLAN、ポート単位/VLAN 単位(FNF は、特定のポートの特定の VLAN でイネーブルにできます))、およびポートチャネル(FNF は、個々のメンバ ポートではなく、ポートチャネル インターフェイスで設定されます)でサポートされます。これらのターゲットは VSS アクティブ上にも VSS スタンバイ上にもすることができます。たとえば、ターゲットが VLAN である場合は、ターゲットを両方のスイッチに属するポートで構成できます。両方のスイッチでその VLAN に入力トラフィックがある場合、フローは、独立したフロー キャッシュに作成されます。ただし、NetFlow コンフィギュレーションは、Virtual Switch Link(VSL)ポートに適用できます。
7. 64 個の一意のフロー レコード設定がサポートされます。
8. フロー QoS/UBRL と FNF は同じターゲット上で設定できません (フロー ベースの QoS については、「フロー ベースの QoS」を参照してください)。
9. 14,000 の一意の IPv6 アドレスをモニタできます。
10. 特定のターゲット上で、トラフィック タイプごとに 1 つずつのモニタを使用することができます。ただし、さまざまなトラフィック タイプに対して、同じターゲットの複数のモニタを設定できます。
たとえば、次の設定は許可されます。
ip flow monitor <name> input
ipv6 flow monitor <name> input
次の設定は許可されていません。
interface GigabitEthernet 3/1
11. レイヤ 2 とレイヤ 3 をモニタしている特定のターゲット上で、同時トラフィックはサポートされません。
interface channel-group 1
datalink flow monitor m1 input
!
12. 1 つのフロー レコード定義でレイヤ 2 パケット フィールドとレイヤ 3 パケット フィールドを選択することはできません。ただし、[ingress 802.1Q VLAN Id of packet and Layer 3 packet] フィールドの選択は許可されます。
13. ポートまたはポート VLAN ターゲットにモニタを接続するには、入力 802.1Q VLANId キー フィールドで一致しているフロー レコードは、キー フィールドとして入力インターフェイスでも一致している必要があります。
(注) match datalink dot1q vlan input オプションは、IOS Release XE 3.3.0 より前では使用不可です。input オプションだけが IOS Release XE 3.3.0 以降では表示されます。
14. キー フィールドとして入力 802.1Q VLANId で一致するフロー モニタを VNET トランク ポート ターゲットに接続することはできません。
15. 永続的および通常のフロー キャッシュ タイプだけがサポートされます。
16. Supervisor Engine 7-E は、Supervisor Engine 7L-E、および Catalyst 4500X は従来のルータのように事前定義済みレコードをサポートしません(record netflow ipv4 original-input)。
17. Supervisor Engine 7-E は、Supervisor Engine 7L-E、および Catalyst 4500X はフロー ベース サンプラをサポートしません。
18. CoS、ToS、TTL またはパケット長のオプションでサポートされていないインターフェイスのオプション。
19. VSS アクティブと VSS スタンバイは、同一または異なる NetFlow コレクタに別個にフロー エクスポータの設定に従ってフローをエクスポートします。NetFlow コレクタへの IP ルートが存在する必要があり、それはフローのエクスポートのために VSS から到達可能でなければなりません。
20. コレクタで、フロー シーケンス番号はスイッチに対してローカルであり、VSS のメンバーごとに単調に増加します。また、v9 エクスポート パケットの SourceId フィールドは、そのエクスポート元の VSS スイッチ番号を一意に識別します。
21. フロー エクスポータの設定は、オプションの出力機能をサポートしません。
22. VSS で、フロー エクスポータの宛先アドレス設定に使用できる VRF の最大数は 5 です。この制限は、グローバル ルーティング テーブルを含み、VSS のすべてのフロー エクスポータに共通です。
たとえば、制限を超えて 6 番目の VRF を使用してユーザがエクスポータ宛先アドレスを設定しようとすると、次の警告が表示されます。
destination 20.1.20.4 vrf blue
%%Warning - Netflow exporter on Cat4k VSS switch cannot exceed a total max of 5 vrfs used for destination address
configuration. Flow exporter e10 cannot export in vrf blue.
23. フロー キャッシュ内でのフローの有効期限は、アクティブと非アクティブのタイマー設定を通して制御されます。アクティブと非アクティブのエージング タイマーの最小値は 5 秒です。このタイマーは、5 秒単位にする必要があります。
(注) ハードウェア テーブル内のフローは、アクティブまたは非アクティブ タイマーの設定値に関係なく、5 秒間の無活動期間後に削除されます。これにより、新しいハードウェア フローをすばやく作成することができます。
24. First-seen および Last-seen フローのタイムスタンプの精度は 3 秒以内です。
25. 2048 のフロー モニタおよびレコードがサポートされます。
• TTL がフロー フィールドとして設定されている場合は、次の値が特定のパケット TTL 値として報告されます。 表 63-1 に、パケット TTL と報告される値を示します。
表 63-1 TTL マップ:設定された TTL
|
|
0 |
0 |
1 |
1 |
2 ~ 10 |
10 |
11 ~ 25 |
25 |
26 ~ 50 |
50 |
51 ~ 100 |
100 |
100 ~ 150 |
150 |
150-255 |
255 |
• パケット長がフロー フィールドとして設定されている場合は、次の値が特定のパケット長の値として報告されます。 表 63-2 に、パケット長と報告される値を示します。
表 63-2 パケット長マップ:設定されたパケット長
|
|
0-64 |
64 |
65-128 |
128 |
129-256 |
256 |
257 ~ 512 |
512 |
513-756 |
756 |
757 ~ 1500 |
1500 |
1500-4000 |
4000 |
4000+ |
8192 |
次の表に、FNF を通じて使用できるオプションとサポートされているフィールドを示します。
表 63-3 FNF を通じて使用できるオプションとサポートされているフィールド
|
|
|
データ リンク フィールド(レイヤ 2 フロー ラベル + A94) |
dot1q priority |
802 1Q ユーザ |
|
dot1q vlan |
802.1Q VLAN ID |
入力 VLAN は、キー フィールドとしてサポートされます。 |
mac destination-address |
アップストリーム宛先 MAC アドレス |
|
mac source-address |
ダウンストリーム送信元 MAC アドレス |
|
|
destination address |
IPv4 宛先アドレス |
Yes |
DSCP |
IPv4 DSCP(ToS の一部) |
|
fragmentation flags |
IPv4 フラグメンテーション フラグ |
非キー フィールドとしてサポートされます。 DF フラグはサポートされません |
is-multicast |
IPv4 マルチキャスト パケットのインジケータ(該当しない場合は 0、該当する場合は 1) |
非キー フィールドとしてサポートされます。 |
Precedence |
IPv4 precedence |
|
Protocol |
IPv4 プロトコル |
|
source address |
IPv4 送信元アドレス |
|
total length |
IPv4 データグラム |
値は、 表 63-2 に基づいてレポートされます。 |
Total length minimum |
表示される最小パケット サイズ |
|
Total length maximum |
検出された最大パケット サイズ |
|
Tos |
IPv4 Type of Service(TOS) |
|
ttl |
Pv4 存続可能時間(TTL) |
値は、 表 63-1 に基づいてレポートされます。 |
ttl minimum |
|
非キー フィールドとしてサポートされます。 |
ttl maximum |
|
非キー フィールドとしてサポートされます。 |
|
destination address |
IPv6 宛先アドレス |
|
dscp |
IPv6 DSCP(IPv6 トラフィック クラスの一部) |
|
flow-label |
IPv6 フロー ラベル |
|
is-multicast |
IPv6 マルチキャスト パケットのインジケータ(該当しない場合は 0、該当する場合は 1) |
非キー フィールドとしてサポートされます。 |
hop-limit |
IPv6 ホップ制限(IPv4 ttl に取って代わります) |
値は、 表 63-1 に基づいてレポートされます。 |
hop-limit minimum |
フロー内で検出された IPv6 最小ホップ制限値。 |
非キー フィールドとしてサポートされます。 |
hop-limit maximum |
フロー内で検出された IPv6 最大ホップ制限値。 |
非キー フィールドとしてサポートされます。 |
next-header |
IPv6 の次のヘッダー タイプ |
最初の次のヘッダーだけがレポートされます |
total length |
IPv6 総パケット長 |
値は、 表 63-2 に基づいています。 |
Total length minimum |
表示される最小パケット サイズ |
|
Total length maximum |
検出された最大パケット サイズ |
|
protocol |
最後の IPv6 拡張ヘッダーにおける IPv6 の次のヘッダー タイプ |
|
source address |
IPv6 送信元アドレス |
|
traffic-class |
IPv6 トラフィック クラス |
Yes |
|
forwarding-status |
パケットの転送ステータス(転送済み、ルータで終端、ACL、RPF、CAR によってドロップ) |
非キー フィールドとしてサポートされます。 |
|
フィールド |
説明 |
コメント |
TCP ヘッダー フィールド |
destination-port TCP destination number |
TCP 宛先ポート |
|
flags [ack] [fin] [psh] [rst] [syn] [urg] |
TCP フラグ |
非キー フィールドとしてサポートされます。 |
source-port |
TCP 送信元ポート |
|
UDP ヘッダー フィールド |
destination-port |
UDP 宛先ポート |
|
source-port |
UDP 送信元ポート |
|
ICMP ヘッダー フィールド |
code |
ICMP コード |
|
type |
ICMP タイプ |
|
IGMP ヘッダー フィールド |
type |
IGMP |
|
インターフェイス フィールド |
input |
入力インターフェイス インデックス |
|
output |
入力インターフェイス インデックス |
出力インターフェイスは、非キーとしてのみサポートできます。 |
Flexible NetFlow 機能に関連するフィールド |
direction: input |
|
|
カウンタ フィールド |
bytes |
32 ビット カウンタ |
|
bytes long |
64 ビット カウンタ |
|
packets |
32 ビット カウンタ |
|
packets long |
フロー内のパケットの 64 ビット カウンタ |
|
Timestamp |
first seen |
フロー内でアカウントされた最初のパケットのタイムスタンプ(ミリ秒単位、ルータ起動後に開始) |
3 秒の精度 |
last seen |
フロー内でアカウントされた最後のパケットのタイムスタンプ(ミリ秒単位、ルータ起動後に開始) |
3 秒の精度 |
フロー モニタ キャッシュ値の設定
アクティブ キャッシュ タイムアウト値を小さくすると、より頻繁にフローがリモート コレクタに転送されます。また、ソフトウェアによって、転送されたフローがローカル キャッシュから削除されます。そのため、スイッチから報告されるキャッシュ統計情報に実際のモニタ対象フローが表示されない場合があります。
Non-VSS 導入後の環境
次の項目は、Catalyst 4500 シリーズ スイッチに適用されます。
Catalyst 4500 シリーズ スイッチは、スイッチドおよびルーテッド パケットの入力フロー統計情報の収集をサポートします。これは、出力トラフィックに Flexible NetFlow をサポートしていません。
1. Supervisor Engine 7-E、Supervisor Engine 7L-E、および Catalyst 4500X は 100,000 エントリのハードウェア フロー テーブルをサポートします。ハードウェア フロー テーブルはスイッチのすべてのフロー モニタで共有されます。1 つのモニタですべてのフロー テーブル エントリが使用されることを防ぐには、cache entries number コマンドによって、スイッチでそれが使用するエントリの個数を制限できます。この制限は、それが接続されているターゲットの数に関係なく、フロー モニタごとになります。
次に、1,000 エントリを保持するようにフロー モニタ m1 キャッシュを設定する例を示します。この設定では、インターフェイス gig 3/1 は最大 1000 フローを作成でき、インターフェイス gig 3/2 は最大 1000 フローを作成できます。
! exporter specifies where the flow records are sent to
! record specifies packet fields to collect
match ipv4 source address
match ipv4 destination address
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
! monitor refers record configuration and optionally exporter
! configuration. It specifies the cache size i.e. how many unique flow
cache timeout inactive 30
!interface GigabitEthernet 3/1
! layer2-switched allows collection of flow records even when the packet is
ip flow monitor m1 layer2-switched input
interface GigabitEthernet 3/2
2. フローの収集は、複数のターゲット(ポート、VLAN、ポート単位/VLAN 単位(FNF は、特定のポートの特定の VLAN でイネーブルにできます))、およびポートチャネル(FNF は、個々のメンバ ポートではなく、ポートチャネル インターフェイスで設定されます)でサポートされます。
3. 64 個の一意のフロー レコード設定がサポートされます。
4. フロー QoS/UBRL と FNF は同じターゲット上で設定できません (フロー ベースの QoS については、「フロー ベースの QoS」を参照してください)。
5. 14,000 の一意の IPv6 アドレスをモニタできます。
6. 特定のターゲット上で、トラフィック タイプごとに 1 つずつのモニタを使用することができます。ただし、さまざまなトラフィック タイプに対して、同じターゲットの複数のモニタを設定できます。
たとえば、次の設定は許可されます。
ip flow monitor <name> input
ipv6 flow monitor <name> input
次の設定は許可されていません。
interface GigabitEthernet 3/1
7. レイヤ 2 とレイヤ 3 をモニタしている特定のターゲット上で、同時トラフィックはサポートされません。
interface channel-group 1
datalink flow monitor m1 input
!
8. 1 つのフロー レコード定義でレイヤ 2 パケット フィールドとレイヤ 3 パケット フィールドを選択することはできません。ただし、[ingress 802.1Q VLAN Id of packet and Layer 3 packet] フィールドの選択は許可されます。
9. ポートまたはポート VLAN ターゲットにモニタを接続するには、キー フィールドとして入力 802.1Q VLAN Id で一致しているフロー レコードは、キー フィールドとして入力インターフェイスでも一致している必要があります。
(注) キー フィールドとして入力 802.1Q VLAN Id で一致するフロー モニタを VNET トランク ポート ターゲットに接続することはできません。
10. 永続的および通常のフロー キャッシュ タイプだけがサポートされます。
11. Supervisor Engine 7-E は、Supervisor Engine 7L-E、および Catalyst 4500X は従来のルータのように事前定義済みレコードをサポートしません(record netflow ipv4 original-input)。
12. Supervisor Engine 7-E は、Supervisor Engine 7L-E、および Catalyst 4500X はフロー ベース サンプラをサポートしません。
13. CoS、ToS、TTL またはパケット長のオプションでサポートされていないインターフェイスのオプション。
14. フロー エクスポータの設定は、オプションの出力機能をサポートしません。
15. フロー キャッシュ内でのフローの有効期限は、アクティブと非アクティブのタイマー設定を通して制御されます。アクティブと非アクティブのエージング タイマーの最小値は 5 秒です。このタイマーは、5 秒単位にする必要があります。
(注) ハードウェア テーブル内のフローは、アクティブまたは非アクティブ タイマーの設定値に関係なく、5 秒間の無活動期間後に削除されます。これにより、新しいハードウェア フローをすばやく作成することができます。
16. First-seen および Last-seen フローのタイムスタンプの精度は 3 秒以内です。
17. 2048 のフロー モニタおよびレコードがサポートされます。
• TTL がフロー フィールドとして設定されている場合は、次の値が特定のパケット TTL 値として報告されます。 表 63-4 に、パケット TTL と報告される値を示します。
表 63-4 TTL マップ:設定された TTL
|
|
0 |
0 |
1 |
1 |
2 ~ 10 |
10 |
11 ~ 25 |
25 |
26 ~ 50 |
50 |
51 ~ 100 |
100 |
100 ~ 150 |
150 |
150-255 |
255 |
• パケット長がフロー フィールドとして設定されている場合は、次の値が特定のパケット長の値として報告されます。 表 63-5 に、パケット長と報告される値を示します。
表 63-5 パケット長マップ:設定されたパケット長
|
|
0-64 |
64 |
65-128 |
128 |
129-256 |
256 |
257 ~ 512 |
512 |
513-756 |
756 |
757 ~ 1500 |
1500 |
1500-4000 |
4000 |
4000+ |
8192 |
次の表に、FNF を通じて使用できるオプションとサポートされているフィールドを示します。
表 63-6 FNF を通じて使用できるオプションとサポートされているフィールド
|
|
|
データ リンク フィールド(レイヤ 2 フロー ラベル + A94) |
dot1q priority |
802 1Q ユーザ |
|
dot1q vlan |
802.1Q VLAN ID |
入力 VLAN は、キー フィールドとしてサポートされます。 |
mac destination-address |
アップストリーム宛先 MAC アドレス |
|
mac source-address |
ダウンストリーム送信元 MAC アドレス |
|
|
destination address |
IPv4 宛先アドレス |
Yes |
DSCP |
IPv4 DSCP(ToS の一部) |
|
fragmentation flags |
IPv4 フラグメンテーション フラグ |
非キー フィールドとしてサポートされます。 DF フラグはサポートされません |
is-multicast |
IPv4 マルチキャスト パケットのインジケータ(該当しない場合は 0、該当する場合は 1) |
非キー フィールドとしてサポートされます。 |
Precedence |
IPv4 precedence |
|
Protocol |
IPv4 プロトコル |
|
source address |
IPv4 送信元アドレス |
|
total length |
IPv4 データグラム |
値は、 表 63-5 に基づいてレポートされます。 |
Total length minimum |
表示される最小パケット サイズ |
|
Total length maximum |
検出された最大パケット サイズ |
|
Tos |
IPv4 Type of Service(TOS) |
|
ttl |
Pv4 存続可能時間(TTL) |
値は、 表 63-4 に基づいてレポートされます。 |
ttl minimum |
|
非キー フィールドとしてサポートされます。 |
ttl maximum |
|
非キー フィールドとしてサポートされます。 |
|
destination address |
IPv6 宛先アドレス |
|
dscp |
IPv6 DSCP(IPv6 トラフィック クラスの一部) |
|
flow-label |
IPv6 フロー ラベル |
|
is-multicast |
IPv6 マルチキャスト パケットのインジケータ(該当しない場合は 0、該当する場合は 1) |
非キー フィールドとしてサポートされます。 |
hop-limit |
IPv6 ホップ制限(IPv4 ttl に取って代わります) |
値は、 表 63-4 に基づいてレポートされます。 |
hop-limit minimum |
フロー内で検出された IPv6 最小ホップ制限値。 |
非キー フィールドとしてサポートされます。 |
hop-limit maximum |
フロー内で検出された IPv6 最大ホップ制限値。 |
非キー フィールドとしてサポートされます。 |
next-header |
IPv6 の次のヘッダー タイプ |
最初の次のヘッダーだけがレポートされます |
total length |
IPv6 総パケット長 |
値は、 表 63-5 に基づいています。 |
Total length minimum |
表示される最小パケット サイズ |
|
Total length maximum |
検出された最大パケット サイズ |
|
protocol |
最後の IPv6 拡張ヘッダーにおける IPv6 の次のヘッダー タイプ |
|
source address |
IPv6 送信元アドレス |
|
traffic-class |
IPv6 トラフィック クラス |
Yes |
|
forwarding-status |
パケットの転送ステータス(転送済み、ルータで終端、ACL、RPF、CAR によってドロップ) |
非キー フィールドとしてサポートされます。 |
|
フィールド |
説明 |
コメント |
TCP ヘッダー フィールド |
destination-port TCP destination number |
TCP 宛先ポート |
|
flags [ack] [fin] [psh] [rst] [syn] [urg] |
TCP フラグ |
非キー フィールドとしてサポートされます。 |
source-port |
TCP 送信元ポート |
|
UDP ヘッダー フィールド |
destination-port |
UDP 宛先ポート |
|
source-port |
UDP 送信元ポート |
|
ICMP ヘッダー フィールド |
code |
ICMP コード |
|
type |
ICMP タイプ |
|
IGMP ヘッダー フィールド |
type |
IGMP |
|
インターフェイス フィールド |
input |
入力インターフェイス インデックス |
|
output |
出力インターフェイス インデックス |
出力インターフェイスは、非キーとしてのみサポートできます。 |
Flexible NetFlow 機能に関連するフィールド |
direction: input |
|
|
カウンタ フィールド |
bytes |
32 ビット カウンタ |
|
bytes long |
64 ビット カウンタ |
|
packets |
32 ビット カウンタ |
|
packets long |
フロー内のパケットの 64 ビット カウンタ |
|
タイムスタンプ |
first seen |
フロー内でアカウントされた最初のパケットのタイムスタンプ(ミリ秒単位、ルータ起動後に開始) |
3 秒の精度 |
last seen |
フロー内でアカウントされた最後のパケットのタイムスタンプ(ミリ秒単位、ルータ起動後に開始) |
3 秒の精度 |
フロー モニタ キャッシュ値の設定
アクティブ キャッシュ タイムアウト値を小さくすると、より頻繁にフローがリモート コレクタに転送されます。また、ソフトウェアによって、転送されたフローがローカル キャッシュから削除されます。そのため、スイッチから報告されるキャッシュ統計情報に実際のモニタ対象フローが表示されない場合があります。