Flexible NetFlow の設定
(注) Flexible NetFlow は、Supervisor Engine 7-E および Supervisor Engine 7L-E だけでサポートされます。
フローは、パケット フィールドを含む場合があるキー フィールド属性、パケット ルーティング属性、および入出力インターフェイス情報の一意のセットとして定義されます。NetFlow 機能は、フローを、機能キー フィールドの値が同じ一連のパケットとして定義します。Flexible NetFlow(FNF)を使用すれば、さまざまなフロー属性が指定されたフロー レコードを収集し、オプションで転送もできます。Netflow 収集は、IP、IPv6、およびレイヤ 2 トラフィックをサポートします。
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html
『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Catalyst 4500 Series Switch Cisco IOS Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
次の項目は、Catalyst 4500 シリーズ スイッチに適用されます。
1. Supervisor Engine 7-E と Supervisor E ngine 7L-E は、スイッチ上のすべてのポートと VLAN で共有された 100,000 エントリのハードウェア フロー テーブルをサポートします。特定のインターフェイスまたは VLAN のテーブル エントリ数を制限するには、cache entries number コマンドを入力します。
次に、1,000 エントリを保持するようにフロー モニタ m1 キャッシュを設定する例を示します。この設定では、インターフェイス gig 3/1 は最大 1000 フローを作成でき、インターフェイス gig 3/2 は最大 1000 フローを作成できます。
! exporter specifies where the flow records are send to
! record specifies packet fields to collect
match ipv4 source address
match ipv4 destination address
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
! monitor refers record configuration and optionally exporter
! configuration. It specifies the cache size i.e. how many unique flow
cache timeout inactive 30
!interface GigabitEthernet 3/1
! layer2-switched allows collection of flow records even when the packet is
ip flow monitor m1 layer2-switched input
interface GigabitEthernet 3/2
2. フローの収集は、複数のターゲット(ポート、VLAN、ポート単位/VLAN 単位(FNF は、特定のポートの特定の VLAN でイネーブルにできます))、およびポートチャネル(FNF は、個々のメンバ ポートではなく、ポートチャネル インターフェイスで設定されます)でサポートされます。
3. 64 個の一意のフロー レコード設定がサポートされます。
4. フロー QoS/UBRL と FNF は同じターゲット上で設定できません (フロー ベースの QoS については、「フロー ベースの QoS」を参照してください)。
5. 14,000 の一意の IPv6 アドレスをモニタできます。
6. 特定のターゲット上で、トラフィック タイプごとに 1 つずつのモニタを使用することができます。ただし、さまざまなトラフィック タイプに対して、同じターゲットの複数のモニタを設定できます。
たとえば、次の設定は許可されます。
ip flow monitor <name> input
ipv6 flow monitor <name> input
次の設定は許可されていません。
interface GigabitEthernet 3/1
7. レイヤ 2 とレイヤ 3 をモニタしている特定のターゲット上で、同時トラフィックはサポートされません。
interface channel-group 1
datalink flow monitor m1 input
!
8. 1 つのフロー レコード定義でレイヤ 2 パケット フィールドとレイヤ 3 パケット フィールドを選択することはできません。ただし、[ingress 802.1Q VLAN Id of packet and Layer 3 packet] フィールドの選択は許可されます。
9. ポートまたはポート VLAN ターゲットにモニタを対応付けるには、キー フィールドとして入力 802.1Q VLAN ID で一致しているフロー レコードは、キー フィールドとして入力インターフェイスでも一致している必要があります。
10. 永続的および通常のフロー キャッシュ タイプだけがサポートされます。
11. Supervisor Engine 7-E および Supervisor Engine 7L-E は、従来のルータのように事前定義済みレコードをサポートしません(record neflow ipv4 original-input)。
12. Supervisor Engine 7-E および Supervisor Engine 7L-E は、フロー ベース サンプラをサポートしません。
13. CoS、ToS、TTL またはパケット長のオプションでサポートされていないインターフェイスのオプション。
14. フロー エクスポータの設定は、オプションの出力機能をサポートしません。
15. フロー キャッシュ内でのフローの有効期限は、アクティブと非アクティブのタイマー設定を通して制御されます。アクティブと非アクティブのエージング タイマーの最小値は 5 秒です。このタイマーは、5 秒単位にする必要があります。
(注) ハードウェア テーブル内のフローは、アクティブまたは非アクティブ タイマーの設定値に関係なく、5 秒間の無活動期間後に削除されます。これにより、新しいハードウェア フローをすばやく作成することができます。
16. First-seen および Last-seen フローのタイムスタンプの精度は 3 秒以内です。
17. 2048 のフロー モニタおよびレコードがサポートされます。
• TTL がフロー フィールドとして設定されている場合は、次の値が特定のパケット TTL 値として報告されます。 表 62-1 に、パケット TTL と報告される値を示します。
表 62-1 TTL マップ:設定された TTL
|
|
0 |
0 |
1 |
1 |
2 ~ 10 |
10 |
11 ~ 25 |
25 |
26 ~ 50 |
50 |
51 ~ 100 |
100 |
100 ~ 150 |
150 |
150-255 |
255 |
• パケット長がフロー フィールドとして設定されている場合は、次の値が特定のパケット長の値として報告されます。 表 62-2 に、パケット長と報告される値を示します。
表 62-2 パケット長マップ:設定されたパケット長
|
|
0-64 |
64 |
65-128 |
128 |
129-256 |
256 |
257 ~ 512 |
512 |
513-756 |
756 |
757 ~ 1500 |
1500 |
1500-4000 |
4000 |
4000+ |
8192 |
次の表に、FNF を通じて使用できるオプションとサポートされているフィールドを示します。
表 62-3 FNF を通じて使用できるオプションとサポートされているフィールド
|
|
|
データ リンク フィールド(レイヤ 2 フロー ラベル + A94) |
dot1q priority |
802 1Q ユーザ |
|
dot1q vlan |
802.1Q VLAN ID |
入力 VLAN は、キー フィールドとしてサポートされます。 出力 VLAN は、非キー フィールドとしてサポートされます。 |
mac destination-address |
アップストリーム宛先 MAC アドレス |
|
mac source-address |
ダウンストリーム送信元 MAC アドレス |
|
|
destination address |
IPv4 宛先アドレス |
Yes |
DSCP |
IPv4 DSCP(ToS の一部) |
|
fragmentation flags |
IPv4 フラグメンテーション フラグ |
非キーとしてサポートされます。DF フラグはサポートされません |
is-multicast |
IPv4 マルチキャスト パケットのインジケータ(該当しない場合は 0、該当する場合は 1) |
非キーとしてサポートされます |
Precedence |
IPv4 precedence |
|
Protocol |
IPv4 プロトコル |
|
source address |
IPv4 送信元アドレス |
|
total length |
IPv4 データグラム |
値は、 表 62-2 に基づいてレポートされます。 |
Total length minimum |
表示される最小パケット サイズ |
|
Total length maximum |
検出された最大パケット サイズ |
|
Tos |
IPv4 Type of Service(TOS) |
|
ttl |
Pv4 存続可能時間(TTL) |
値は、 表 62-1 に基づいてレポートされます。 |
ttl minimum |
FNF は mon-key モードでのみこのフィールドをサポートします。 |
|
ttl maximum |
FNF は mon-key モードでのみこのフィールドをサポートします。 |
|
|
destination address |
IPv6 宛先アドレス |
|
dscp |
IPv6 DSCP(IPv6 トラフィック クラスの一部) |
|
flow-label |
IPv6 フロー ラベル |
|
is-multicast |
IPv6 マルチキャスト パケットのインジケータ(該当しない場合は 0、該当する場合は 1) |
非キー フィールドとしてサポートされます。 |
hop-limit |
IPv6 ホップ制限(IPv4 ttl に取って代わります) |
値は、 表 62-1 に基づいてレポートされます。 |
hop-limit minimum |
フロー内で検出された IPv6 最小ホップ制限値。非キー フィールドとしてしか使用することができません。 |
|
hop-limit maximum |
フロー内で検出された IPv6 最大ホップ制限値。非キー フィールドとしてしか使用することができません。 |
|
next-header |
IPv5 の次のヘッダー タイプ |
最初の次のヘッダーだけがレポートされます |
total length |
IPv6 総パケット長 |
値は、 表 62-2 に基づいています。 |
Total length minimum |
表示される最小パケット サイズ |
|
Total length maximim |
検出された最大パケット サイズ |
|
protocol |
最後の IPv6 拡張ヘッダーにおける IPv6 の次のヘッダー タイプ |
|
source address |
IPv6 送信元アドレス |
|
traffic-class |
IPv6 トラフィック クラス |
Yes |
|
forwarding-status |
パケットの転送ステータス(転送済み、ルータで終端、ACL、RPF、CAR によってドロップ) |
非キー フィールドとしてサポートされます。 |
|
フィールド |
説明 |
コメント |
TCP ヘッダー フィールド |
destination-port TCP destination number |
TCP 宛先ポート |
|
flags [ack] [fin] [psh] [rst] [syn] [urg] |
TCP フラグ。 |
非キー フィールドとしてサポートされます。 |
source-port |
TCP 送信元ポート |
|
UDP ヘッダー フィールド |
destination-port |
UDP 宛先ポート |
|
source-port |
UDP 送信元ポート |
|
ICMP ヘッダー フィールド |
code |
ICMP コード |
|
type |
ICMP タイプ |
|
IGMP ヘッダー フィールド |
type |
IGMP |
|
インターフェイス フィールド |
input |
入力インターフェイス インデックス |
|
output |
入力インターフェイス インデックス |
出力インターフェイスは、非キーとしてのみサポートできます。 |
Flexible NetFlow 機能に関連するフィールド |
direction: input |
|
|
カウンタ フィールド |
bytes |
32 ビット カウンタ |
|
bytes long |
64 ビット カウンタ |
|
packets |
32 ビット カウンタ |
|
packets long |
フロー内のパケットの 64 ビット カウンタ |
|
タイムスタンプ |
first seen |
フロー内でアカウントされた最初のパケットのタイムスタンプ(ミリ秒単位、ルータ起動後に開始) |
3 秒の精度 |
last seen |
フロー内でアカウントされた最後のパケットのタイムスタンプ(ミリ秒単位、ルータ起動後に開始) |
3 秒の精度 |
フロー モニタ キャッシュ値の設定
アクティブ キャッシュ タイムアウト値を小さくすると、より頻繁にフローがリモート コレクタに転送されます。また、ソフトウェアによって、転送されたフローがローカル キャッシュから削除されます。そのため、スイッチから報告されるキャッシュ統計情報に実際のモニタ対象フローが表示されない場合があります。