スイッチ上でのNDEの設定
ここでは、NDEを設定する手順について説明します。
• 「NDE設定時の注意事項」
• 「NDEコレクタの指定」
• 「MSFC上でのNetFlowスイッチングの設定」
• 「NDEのイネーブル化」
• 「VLANに対するブリッジド フロー統計のイネーブル化およびディセーブル化」
• 「宛先ホスト フィルタの指定」
• 「宛先および送信元サブネット フィルタの指定」
• 「宛先TCP/UDPポート フィルタの指定」
• 「送信元ホストおよび宛先TCP/UDPポート フィルタの指定」
• 「プロトコル フィルタの指定」
• 「統計収集対象プロトコルの指定」
• 「統計収集対象プロトコルの削除」
• 「NDEフロー フィルタの消去」
• 「NDEのディセーブル化」
• 「NDE IPアドレスの削除」
• 「NDE設定の表示」
NDE設定時の注意事項
NetFlowテーブルにエントリを追加しすぎた場合は、以下の注意事項に従ってください。
• MLSエージング タイムを短縮します。20,000~30,000エントリの範囲で、NetFlowテーブルのエントリ数を保持できるだけの長さにエージング タイムを設定します。Supervisor Engine 2でブリッジド フロー統計を使用する場合は、エージング タイムを1秒に設定します。MLSエージング タイムの変更方法については、「MLSの設定」の「MLSエージング タイム値の指定」を参照してください。
• フローあたりの実行パケットが少ないプロトコルがある場合は、MLSファスト エージング タイムを削減します。MLSファスト エージング タイムの変更方法については、「MLSの設定」の「IP MLSの長期エージング タイム、ファスト エージング タイム、およびパケット スレッシュホールド値の指定」を参照してください。
• 必要な種類の情報を取得するのに必要なフロー マスクを使用します。full flowマスクによりさらに情報が表示されますが、フロー数が増えるにつれて、レイヤ3エージングに対する負荷も増えます。必要なデータを取得するのに必要な最小限の細かさでフロー マスクを使用してみてください。full flowマスクの場合は、full flowマスクが1秒あたりのフロー数を増やすので、MLSエージング タイムを減らすことが必要な場合もあります。フロー マスクの設定手順については、「MLSの設定」の「最小IP MLSフロー マスクの設定」を参照してください。
• フローあたりのパケットの少ないエントリを除外します。Domain Name System(DNS;ドメイン ネーム システム)のような一部のクエリ プロトコルは、生成するフローあたりのパケットが少なく、set mls exclude protocolコマンドでNetFlowテーブルから除外することができます。最大4つのプロトコル フィルタを指定できますが、フィルタが実行されたプロトコルからのパケットはMSFCに進みます。
• set mls nde flow excludeコマンドで、NetFlowテーブルに特定のフローが追加されないようにしてください。
• レイヤ3フローに見えるVLANのブリッジド フローでNetFlowテーブル内のフロー数を増加するために、VLANに対するブリッジド フロー統計をイネーブルにします。NetFlowテーブル内のNetFlowエントリが増えると、パフォーマンスが低下します。
Supervisor Engine 1では、ハードウェアのNetFlowテーブル内にVLANフローについてレポートする容量がない場合、パケットはMSFCに送信されてソフトウェアによって転送され、NetFlow Full Errorsレジスタが加算されます。
Supervisor Engine 2では、NetFlowテーブル内にフロー エントリが1つもない場合、パケットが転送され、NetFlow Full Errorsレジスタが加算されて、統計情報は失われます。
NetFlowテーブルが溢れるのを防ぐには、次のようにします
–フロー マスクの詳細値を最小にします。たとえば、プロトコルおよびレイヤ4ポートの情報が必要ない場合は、フロー マスクをfull flowではなく、destination-sourceまたはdestinationに設定します。
–トラフィック プロファイルに応じて、エージング タイムを設定可能な最小値(1秒)にします。
–ブリッジド フロー統計をイネーブルにするのは、VLAN内の統計情報が必要なVLANに対してだけにします。VLAN間の統計情報はデフォルトでレポートされます。
NDEコレクタの指定
NDEを初めてイネーブルにする前に、エクスポートされた統計情報を受信するNDEコレクタおよびUDPポートを指定する必要があります。コレクタのアドレスおよびUDPポート番号はNVRAMに保存され、NDEをディセーブルにして再びイネーブルにした場合、またはスイッチの電源を切って再び電源投入した場合にも、削除されずに保存されています。
(注) NetFlow FlowCollectorアプリケーションをデータ収集に使用する場合は、指定するUDPポート番号が、FlowCollectorのnfconfig.fileで指定されているポート番号と同じであることを確認してください。このファイルの場所は、FlowCollectorアプリケーションの/opt/csconfc/config/nfconfig.fileです。
NDEコレクタを指定するには、イネーブル モードで次の作業を行います。
|
|
ハードウェア スイッチングされるパケットのデータ エクスポート用のNDEコレクタおよびUDPポートを指定します。 |
set mls nde { collector_ip | collector_name } { udp_port_number } |
NDEコレクタを指定する例を示します。
Console> (enable) set mls nde Stargate 9996
Netflow data export not enabled.
Netflow data export to port 9996 on 172.20.15.1(Stargate)
NetFlowスイッチングのイネーブル化
NetFlowスイッチングをイネーブルにするには、NDEを必要とする各レイヤ3インターフェイスに対して、次の作業を行います。
|
|
|
ステップ 1 |
設定するVLANインターフェイスを選択します。 |
Router(config)#
interface vlan
vlan_ID
|
ステップ 2 |
NetFlowスイッチングをイネーブルにします。 |
Router(config-if)#
ip route-cache flow
|
MSFC NDE送信元インターフェイスの設定
MSFCからの統計情報が含まれたNDEパケットの送信元として使用されるインターフェイスを設定するには、次の作業を行います。
|
|
MSFCからの統計情報が含まれたNDEパケットの送信元として使用されるインターフェイスを設定します。 • IPアドレスによって設定するインターフェイスを選択します。 • ループバック インターフェイスを使用します。 |
Router(config)# ip flow-export source {
vlan |
loopback } number
|
NDEフローの送信元としてループバック インターフェイスを設定する例を示します。
Router(config)# ip flow-export source loopback 0
NDEの宛先の設定
NDE統計情報を受信する宛先IPアドレスとUDPポートを設定するには、次の作業を行います。
|
|
NDEの宛先IPアドレスとUDPポートを設定します。 |
Router(config)# ip flow-export destination ip_address udp_port_number
|
NDEフローの宛先IPアドレスとUDPポートを設定する例を示します。
Router(config)# ip flow-export destination 172.20.52.37 200
NDEのイネーブル化
NDEをイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
スイッチ上でNDEをイネーブルにします。 |
set mls nde enable |
次の例で、スイッチ上でNDEをイネーブルにする方法を示します。
Console> (enable) set mls nde enable
Netflow data export enabled.
Netflow data export to port 9996 on 172.20.15.1 (Stargate)
事前にコレクタを指定せずにNDEをイネーブルにしようとすると、次のメッセージが表示されます。
Console> (enable) set mls nde enable
Please set host name and UDP port number with ‘set mls nde <collector_ip> <udp_port_number>’.
VLANに対するブリッジド フロー統計のイネーブル化およびディセーブル化
特定のVLANに対するブリッジド フロー統計をイネーブルまたはディセーブルに設定するには、 set mls bridged-flow-statistics コマンドを使用します。1つまたは複数のVLANを入力できます。
特定のVLANまたはVLAN範囲に対するブリッジド フロー統計をイネーブルまたはディセーブルに設定するには、イネーブル モードで次の作業を行います。
|
|
特定のVLANまたはVLAN範囲に対するブリッジド フロー統計をイネーブルまたはディセーブルに設定します。 |
set mls bridged-flow-statistics { enable | disable } { vlanlist } |
特定のVLANに対するブリッジド フロー統計をイネーブルにする例を示します。
Console> (enable) set mls bridged-flow-statistics enable 1,20-21
Netflow statistics is enabled for bridged packets on vlan(s) 1,20-21.
Netflow Data Export version: 7
Netflow Data Export enabled
Netflow Data Export configured for port 9991 on host 21.0.0.1
Total packets exported = 0
Bridged flow statistics is enabled on vlan(s) 1,20-21.
宛先ホスト フィルタの指定
宛先ホスト フィルタを指定するには、イネーブル モードで次の作業を行います。
|
|
NDEフローの宛先ホスト フィルタを指定します。 |
set mls nde flow destination [ ip_addr_spec ] |
次に、ホスト171.69.194.140への期限切れになったフローだけがエクスポートされるように、宛先ホスト フィルタを指定する例を示します。
Console> (enable) set mls nde flow destination 171.69.194.140
Netflow Data Export successfully set
Destination filter is 171.69.194.140/255.255.255.255
宛先および送信元サブネット フィルタの指定
宛先および送信元サブネット フィルタを指定するには、イネーブル モードで次の作業を行います。
|
|
NDEフローの宛先および送信元サブネット フィルタを指定します。 |
set mls nde flow destination [ ip_addr_spec ] source [ ip_addr_spec ] |
次に、サブネット171.69.173.0からサブネット171.69.194.0への期限切れになったフローだけがエクスポートされるように、宛先および送信元サブネット フィルタを指定する例を示します(フロー マスクはsource-destination-ipに設定されているものと想定します)。
Console> (enable) set mls nde flow destination 171.69.194.140/24 source 171.69.173.5/24
Netflow Data Export successfully set
Source filter is 171.69.173.0/24
Destination filter is 171.69.194.0/24
宛先TCP/UDPポート フィルタの指定
宛先TCP/UDPポート フィルタを指定するには、イネーブル モードで次の作業を行います。
|
|
NDEフローの宛先TCP/UDPポート フィルタを指定します。 |
set mls nde flow dst_prt [ port_number ] |
宛先ポート23への期限切れになったフローだけがエクスポートされるように、宛先TCP/UDPポート フィルタを指定する例を示します(フロー マスクはip-flowに設定されているものと想定します)。
Console> (enable) set mls nde flow dst_port 23
Netflow Data Export successfully set
Destination port filter is 23
送信元ホストおよび宛先TCP/UDPポート フィルタの指定
送信元ホストおよび宛先TCP/UDPポート フィルタを指定するには、イネーブル モードで次の作業を行います。
|
|
NDEフローの送信元ホストおよび宛先TCP/UDPポート フィルタを指定します。 |
set mls nde flow source [ ip_addr_spec ] dst_prt [ port_number ] |
ホスト171.69.194.140から宛先ポート23への期限切れになったフローだけがエクスポートされるように、送信元ホストおよび宛先TCP/UDPポート フィルタを指定する例を示します(フロー マスクはip-flowに設定されているものと想定します)。
Console> (enable) set mls nde flow source 171.69.194.140 dst_port 23
Netflow Data Export successfully set
Source filter is 171.69.194.140/255.255.255.255
Destination port filter is 23
プロトコル フィルタの指定
プロトコル フィルタを指定するには、イネーブル モードで次の作業を行います。
|
|
NDEフローのプロトコル フィルタを指定します。 |
set mls nde flow protocol protocol |
プロトコル17からの期限切れになったフローだけがエクスポートされるように、プロトコル フィルタを指定する例を示します。
Console> (enable) set mls nde flow protocol 17
Netflow Data Export filter successfully set.
統計収集対象プロトコルの指定
set mls statistics protocol protocol port コマンドを使用すると、NDEによってエクスポートされる統計情報の収集対象になるプロトコルを64個まで指定できます。 protocol 引数には、 ip 、 ipinip 、 icmp 、 igmp 、 tcp 、 udp 、またはその他のプロトコル ファミリーを表す10進数を指定できます。 port 引数には、プロトコル ポートを指定します。
プロトコルを統計収集の対象に指定するには、イネーブル モードで次の作業を行います。
|
|
プロトコルを統計収集の対象として指定します。 |
set mls statistics protocol protocol port |
プロトコルを統計収集の対象として指定する例を示します。
Console> (enable) set mls statistics protocol 17 1934
Protocol 17 port 1934 is added to protocol statistics list.
統計収集対象プロトコルの削除
clear mls statistics protocol { protocol port | all } コマンドを使用すると、NDEによってエクスポートされる統計情報の収集対象から削除するプロトコルを64個まで指定できます。 protocol 引数には、 tcp 、 udp 、 icmp 、またはその他のプロトコル ファミリーに対応する10進数を指定できます。 port 引数には、プロトコル ポートを指定します。すべてのプロトコルを統計収集対象から削除するには、 all キーワードを指定します。
プロトコルを統計収集の対象から削除するには、イネーブル モードで次の作業を行います。
|
|
プロトコルを統計収集の対象から削除します。 |
clear mls statistics protocol { protocol port | all } |
プロトコルを統計収集の対象から削除する例を示します。
Console> (enable) clear mls statistics protocol 17 1934
Protocol 17 port 1934 cleared from protocol statistics list.
NDEフロー フィルタの消去
NDEフロー フィルタを消去し、フィルタをデフォルト(すべてのフローをエクスポート)に戻すには、イネーブル モードで次の作業を行います。
|
|
NDEフロー フィルタを消去します。 |
clear mls nde flow |
NDEフロー フィルタを消去して、すべてのフローがエクスポートされるようにする例を示します。
Console> (enable) clear mls nde flow
Netflow data export filter cleared.
NDEのディセーブル化
(注) Supervisor Engine 1およびPFCで、NDEがイネーブルに設定されているときにMLSをディセーブルにすると、既存のキャッシュ エントリの統計情報が消去され、エクスポートされなくなります。
スイッチ上でNDEをディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
スイッチ上でNDEをディセーブルにします。 |
set mls nde disable |
スイッチのNDEをディセーブルにする例を示します。
Console> (enable) set mls nde disable
Netflow data export disabled.
NDE IPアドレスの削除
MSFCからNDE IPアドレスを削除するには、グローバル コンフィギュレーション モードで次の作業を行います。
|
|
MSFCのNDE IPアドレスを削除します。 |
Router(config)# no mls nde-address [ ip_addr ] |
MSFCのNDE IPアドレスを削除する例を示します。
Router(config)# no mls nde-address 170.170.2.1
NDE設定の表示
スイッチ上のNDE設定を表示するには、イネーブル モードで次の作業を行います。
|
|
スイッチのNDE設定を表示します。 |
show mls nde |
次の例で、スイッチのNDE設定を表示する方法を示します。
Console> (enable) show mls nde
Netflow Data Export enabled
Netflow Data Export configured for port 1098 on host 172.20.15.1
Source filter is 171.69.194.140/255.255.255.0
Destination port filter is 23
Total packets exported = 26784
次に示すのは、スイッチに対して、ブリッジド フロー統計がイネーブルに設定されている場合のNDE設定を表示する例です。
Console> (enable) show mls nde
Netflow Data Export version:7
Netflow Data Export enabled
Netflow Data Export configured for port 9991 on host 21.0.0.1
Total packets exported = 0
Bridged flow statistics is enabled on vlan(s) 1,20-21.