- はじめに
- コマンドライン インターフェイスの使用
- Web グラフィカル ユーザ インターフェイスの使用
-
- 不正アクセスの防止
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- 「Configuring TACACS+」
- RADIUS の設定
- 「Configuring Kerberos」
- ローカル認証および許可の設定
- セキュア シェル(SSH)の設定
- Secure Socket Layer HTTP の設定
- IPv4 ACL の設定
- IPv6 ACL の設定
- DHCP の設定
- IP ソース ガードの設定
- ダイナミック ARP インスペクションの設定
- IEEE 802.1x ポートベースの認証の設定
- Web ベース認証の設定
- ポート単位のトラフィック制御の設定
- IPv6 ファースト ホップ セキュリティの設定
- Cisco TrustSec の設定
- ワイヤレス ゲスト アクセスの設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- wIPS の設定
- 侵入検知システムの設定
-
- システムの管理
- スイッチのセットアップ設定の実行
- Right-To-Use ライセンスの設定
- 管理者のユーザ名とパスワードの設定
- 802.11 パラメータおよび帯域選択の設定
- アグレッシブ ロード バランシングの設定
- クライアント ローミングの設定
- Application Visibility and Control の設定
- 音声パラメータとビデオ パラメータの設定
- RFID タグ追跡の設定
- ロケーションの設定
- フロー制御のモニタリング
- SDM テンプレートの設定
- システム メッセージ ログの設定
- オンライン診断の設定
- コンフィギュレーション ファイルの管理
- コンフィギュレーションの置換とロールバック
- フラッシュ ファイル システムの操作
- Cisco IOS XE ソフトウェア バンドルの操作
- ソフトウェア設定のトラブルシューティング
- Index
統合プラットフォーム コンフィギュレーション ガイド、Cisco IOS XE 3.3SE(Catalyst 3850 スイッチ)
- Updated:
- 2017年9月19日
章のタイトル: Flexible NetFlow の設定
Flexible NetFlow の設定
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
前提条件
Flexible NetFlow の前提条件
次に、Flexible NetFlow コンフィギュレーションの前提条件を示します。
-
送信元インターフェイスを設定する必要があります。送信元インターフェイスを設定しなかった場合、エクスポータはディセーブル ステートのままです。
-
フロー モニタごとに、有効なレコード名を設定する必要があります。
-
IPv6 宛先サーバにフロー レコードをエクスポートするには、IPv6 ルーティングをイネーブルにする必要があります。
-
IPFIX 形式の NetFlow レコードをエクスポートするには、フロー エクスポータに IPFIX エクスポート プロトコルを設定する必要があります。
-
Flexible NetFlow の key フィールドについて、『Cisco IOS Flexible NetFlow Command Reference』で次のコマンドに定義されている内容をよく理解していること。
-
Flexible NetFlow の nonkey フィールドについて、『Cisco IOS Flexible NetFlow Command Reference』で次のコマンドに定義されている内容をよく理解する必要があります。
IPv4 トラフィック
-
ネットワーキング デバイスが IPv4 ルーティング用に設定されていること。
-
Cisco Express Forwarding またはdistributed Cisco Express Forwarding のいずれかが、デバイスおよび Flexible NetFlow を有効化するすべてのインターフェイスで有効化されていること。
IPv6 トラフィック
-
ネットワーキング デバイスが、IPv6 ルーティング用に設定されていること。
-
Cisco Express Forwarding IPv6 または分散型 Cisco Express Forwarding のいずれかが、デバイスおよび Flexible NetFlow を有効化するすべてのインターフェイスで有効化されていること。
ワイヤレス Flexible NetFlow の前提条件
次に、ワイヤレス Flexible NetFlow の前提条件を示します。
[Restrictions(機能制限)]
Flexible Netflow に関する制約事項
次に、Flexible NetFlow に関する制約事項を示します。
-
Traditional NetFlow(TNF)のアカウンティングはサポートされていません。
-
Flexible NetFlow バージョン 9 およびバージョン 10 のエクスポート フォーマットがサポートされています。ただし、エクスポート プロトコルが設定されていない場合は、バージョン 9 のエクスポート フォーマットがデフォルトで適用されます。
-
マイクロフロー ポリシング機能は FNF と NetFlow ハードウェア リソースを共有します。
-
インターフェイスごとおよび方向ごとに、1 つのフロー モニタのみがサポートされます。
-
レイヤ 2、IPv4、および IPv6 トラフィック タイプがサポートされています。ただし、スイッチは、特定の方向とインターフェイスにおいて、一度にこれらのタイプの 1 つだけにフロー モニタを適用できます。
-
レイヤ 2、VLAN、WLAN、およびレイヤ 3 インターフェイスがサポートされています。ただし、スイッチは SVI およびトンネルをサポートしていません。
-
次のサイズの NetFlow テーブルがサポートされています。
トリム レベル
入力 NetFlow テーブル
出力 NetFlow テーブル
LAN ベース
サポート対象外
サポート対象外
IP Base
8 K
16 K
IP サービス
8 K
16 K
-
スイッチのタイプに応じて、スイッチには 1 個または 2 個の転送 ASIC があります。上記の表に示されているのは、ASIC ごとの容量です。
-
スイッチは、1 個または 2 個の ASIC をサポートできます。各 TCAM が最大 6K 入力エントリおよび 12K 出力エントリを処理できる一方、各 ASIC は 8K 入力および 16 K 出力エントリを処理できます。
-
NetFlow テーブルは個別のコンパートメントにあり、組み合わせることはできません。パケットを処理した ASIC のテーブルに応じて、対応した ASIC のテーブルにフローが作成されます。
-
NetFlow ハードウェアの実装では、4 台のハードウェア サンプラーがサポートされています。1/2 ~ 1/1024 のサンプラー レートを選択できます。ランダム サンプリング モードのみがサポートされています。
-
マイクロフロー ポリシング機能(ワイヤレス実装の場合にのみ有効)では、フル フロー モードでのみ NetFlow を使用できます。NetFlow ポリシングは使用できません。マイクロフロー QoS の妨げになるため、ワイヤレス トラフィックにはサンプラーを適用できません。
-
ワイヤレス トラフィックでは、フル フロー アカウンティングだけがサポートされています。
-
NetFlow ハードウェアの内部では、ハッシュ テーブルが使用されています。ハードウェア内でハッシュ衝突が発生する場合があります。したがって、内部の連想メモリ(CAM)でオーバーフローが発生しても、実際の NetFlow テーブルの使用率は約 80 % しかない場合があります。
-
フローに使用されるフィールドによって異なりますが、単一のフローは 2 個の連続したエントリを取得できます。IPv6 フローも 2 個のエントリを取得します。この場合、NetFlow エントリを効果的に使用すれば、テーブル サイズの半分で済みます。これは、上記のハッシュ衝突の制限とは別です。
-
スイッチは、最大 63 個のフロー モニタをサポートしています。
-
SSID ベースの NetFlow アカウンティングがサポートされています。SSID はインターフェイスと同様の方法で扱われます。ただし、ユーザ ID などの一部のフィールドはサポートされていません。
-
NetFlow ソフトウェアの実装では、分散 NetFlow エクスポートがサポートされるため、フローが作成された同じスイッチからフローがエクスポートされます。
-
入力フローは最初にフローのパケットを受信した ASIC にあります。出力フローは、パケットが実際に スイッチ セットアップを残した ASIC にあります。
-
バイト カウント フィールドのレポート値(「bytes long」と呼ばれる)は、レイヤ 2 パケット サイズの 18 バイトです。従来のイーサネット トラフィック(802.3)の場合、これは正確です。他のすべてのイーサネット タイプの場合、このフィールドは正確ではありません。「bytes layer2」フィールドを使用すると、常に正確なレイヤ 2 パケット サイズが報告されます。サポートされる Flexible NetFlow フィールドについては、サポートされている Flexible NetFlow フィールド を参照してください。
-
AVC フロー モニタの IPFIX エクスポータの設定はサポートされていません。
-
Flexible NetFlow エクスポートは、イーサネット管理ポート(Gi0/0)ではサポートされていません。
-
フロー レコードに送信元グループ タグ(SGT)と宛先グループ タグ(DGT)のフィールド(またはこの 2 つのいずれかのフィールド)だけが含まれる場合、両方の値を適用できないとしても、SGT と DGT に値ゼロを設定したフローが作成されます。フロー レコードには、SGT および DGT フィールドと一緒に、送信元および宛先 IP アドレスが含まれる必要があります。
-
WLAN(SSID)では接続できない CTS フィールドを含むフロー レコードを使用したフロー モニタ。
QoS のマークが付けられたパケットが出力方向に NetFlow が設定されているインターフェイスで受信されると、パケットの QoS 値がコレクタによってキャプチャされます。しかし、パケットが入力方向に NetFlow が設定されているインターフェイスで受信されると、パケットの QoS 値はコレクタによってキャプチャされません。
ワイヤレス Flexible NetFlow の制限事項
- ASIC ごとに最大 24 K の NetFlow をサポートします。
- 各 WLAN で方向(入力と出力)ごとに、1 つのポリシーをサポートします。つまり、WLAN ごとに最大 2 つのモニタがサポートされます。
- Flexible NetFlow v9 エクスポート フォーマットのみをサポートします。
- ワイヤレス クライアントの QoS ポリシー機能は、Flexible NetFlow と NetFlow ハードウェア リソースを共有します。
- QoS ポリシー機能では、フル フロー モードでのみ NetFlow を使用します。
- インターフェイスごと、および方向ごとに、1 つのフロー モニタだけをサポートします。
- サポートされているトラフィックのタイプは、レイヤ 2、IPv4、および IPv6 です。特定の方向およびインターフェイスに対してフロー モニタを同時に適用できるのは、これらのタイプのうちのいずれか 1 つに限られます。
- フル フロー アカウンティングのみをサポートします。
- NetFlow テーブルは別のコンパートメントにあるため、組み合わせることはできません。パケットを処理した ASIC のテーブルに応じて、対応した ASIC のテーブルにフローが作成されます。
- Flexible NetFlow ハードウェア内ではハッシュ衝突が発生します。内部の CAM でオーバーフローが発生しても、実際の NetFlow テーブルの使用率は約 80 % です。
- フローに使用されるフィールドによって異なりますが、単一のフローは 2 個の連続したエントリを取得します。IPv6 フローも 2 個のエントリを取得します。したがって、NetFlow エントリによって事実上使用されるのは、テーブル サイズの半分です。これは、ハッシュ衝突の制限とは別です。
- 最大 63 個のフロー モニタをサポートします。QoS ポリシーは、別個のフロー モニタのセットを使用します。
- Flexible NetFlow ソフトウェアの実装では、分散 NetFlow エクスポートをサポートします。フローは、そのフローが作成された同じスイッチからエクスポートされます。
- 入力フローは最初にフローのパケットを受信した ASIC にあります。出力フローは、パケットが実際に スイッチ セットアップを出た ASIC にあります。
- バイト カウント フィールド(IN_BYTES)で報告される値は、レイヤ 2 パケット サイズから 18 バイトを引いた値です。このフィールドは、従来のイーサネット トラフィックの場合にのみ正確です。bytes layer2 フィールドを使用すると、常に正確なレイヤ 2 パケット サイズが報告されます。
- コントローラは 3 個の ASIC をサポートします。
- SSID ベースの NetFlow アカウンティングをサポートします。
- IOS XE リリース 3E については、Cisco 5700 シリーズ ワイヤレス LAN コントローラでの IPFIX IPv4 エクスポートの使用は推奨されていません。
- IOS XE リリース 3E では、出力ワイヤレス トラフィックの WLAN 設定に関して以下の制限事項があります。
-
IOS XE リリース 3E の場合、出力ネットフローおよび出力 WQoS を同時に有効にした 1 つの WLAN がサポートされます。
NetFlow 情報
NetFlow は、スイッチを通過するパケットの統計情報を提供するシスコ テクノロジーです。NetFlow は、IP ネットワークから実際の IP データを取得するための標準規格です。NetFlow は、ネットワークとセキュリティの監視、ネットワーク計画、トラフィック分析、および IP アカウンティングをイネーブルにするためのデータを提供します。Flexible NetFlow は、実際の要件に合わせてトラフィック分析パラメータをカスタマイズする機能を追加することで、以前の NetFlow よりも改善されています。Flexible NetFlow では、トラフィック分析のための非常に複雑な構成を作成したり、再利用可能な構成コンポーネントを使用してデータをエクスポートすることが容易になります。
- Flexible NetFlow の概要
- ワイヤレス Flexible NetFlow の概要
- フロー レコード
- エクスポータ
- モニタ
- サンプラー
- サポートされている Flexible NetFlow フィールド
- デフォルト設定
Flexible NetFlow の概要
Flexible NetFlow ではフローを使用して、アカウンティング、ネットワーク モニタリング、およびネットワーク プランニングに関連する統計情報を提供します。
フローは送信元インターフェイスに届く単方向のパケット ストリームで、キーの値は同じです。キーは、パケット内のフィールドを識別する値です。フローを作成するには、フロー レコードを使用して、フロー固有のキーを定義します。
スイッチ は、ネットワーク異常とセキュリティ問題の高度な検出をイネーブルにする Flexible NetFlow 機能をサポートします。Flexible NetFlow により、大量の定義済みフィールドの集合からキーを選択して、特定のアプリケーションに最適なフロー レコードを定義できます。
1 つのフローと見なされるパケットでは、すべてのキー値が一致している必要があります。フローは、設定したエクスポート レコード バージョンに基づいて、関係のある他のフィールドを集めることもあります。フローはFlexible NetFlow キャッシュに格納されます。
エクスポータを使用してFlexible NetFlowがフローのために収集するデータをエクスポートし、Flexible NetFlow コレクタなどのリモート システムにこのデータをエクスポートできます。Flexible NetFlow コレクタは、IPv4 または IPv6 アドレスを使用できます。
モニタを使用してフローのために収集するデータのサイズを定義します。モニタで、フロー レコードおよびエクスポータを Flexible NetFlow キャッシュ情報と結合します。
ワイヤレス Flexible NetFlow の概要
ワイヤレス Flexible NetFlow インフラストラクチャは次をサポートします。
- Flexible NetFlow バージョン 9.0 および 10
- ユーザ ベースのレート制限
- microflow ポリシング
- 音声およびビデオ フロー モニタリング
- 再帰アクセス コントロール リスト(ACL)
マイクロフロー ポリシングとユーザ ベースのレート制限
マイクロフロー ポリシングは、NetFlow テーブル内の各フローに 2 カラー、1 レートのポリサーと関連ドロップ統計情報を関連付けます。フロー マスクがすべてのパケット フィールドで構成される場合、この機能は「マイクロフロー ポリシング」と呼ばれます。フロー マスクが送信元または宛先のみで構成される場合、この機能は「ユーザ ベースのレート制限」と呼ばれます。
音声およびビデオ フロー モニタリング
音声およびビデオ フローはフル フロー マスク ベースのエントリです。ASIC は、ポリサー パラメータのプログラム、複数のフローでのポリサー共有、フローの IP アドレスとレイヤー 4 ポート番号の書き換えにおいて柔軟性を提供します。
 (注) | ダイナミック エントリの場合、NetFlow エンジンは、ポリシー(ACL/QoS ベース ポリシー)に基づいてフローに対して取得されたポリサー パラメータを使用します。ダイナミック エントリは複数のフロー間でポリサーを共有できません。 |
再帰 ACL
再帰 ACL により、上位層セッション情報に基づいて IP パケットをフィルタリングできます。ACL は発信トラフィックを許可し、信頼ネットワーク内で開始されたセッションに応じて、着信トラフィックを制限します。再帰 ACL は、再帰的なエントリと一致するデータ パケットによりアクティブにされるまで、フィルタリング メカニズムに対して透過的です。この時点では、一時 ACL エントリが作成され、IP 名付きアクセス リストに追加されています。再帰 ACL エントリを生成するデータ パケットから取得した情報は、許可/拒否ビット、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、ポート、およびプロトコル タイプです。再帰 ACL エントリの評価において、プロトコル タイプが TCP または UDP の場合、ポート情報は正確に一致する必要があります。他のプロトコルの場合、一致するポート情報はありません。この ACL をインストールすると、通過する応答パケットに対してファイアウォールが開かれます。この時点では、ハッカーがファイアウォールの背後にあるネットワークにアクセスする危険性があります。この危険性を最小限に抑えるには、アイドル タイムアウト期間を定義できます。ただし、TCP の場合、2 つの FIN ビットまたは RST が検出された場合、ACL エントリが削除される可能性があります。
フロー レコード
Flexible NetFlow では、キー フィールドと非キー フィールドの組み合わせをレコードと呼びます。Flexible NetFlow のレコードは Flexible NetFlow フロー モニタに割り当てられ、フロー データの格納に使用されるキャッシュが定義されます。Flexible NetFlow には、Flexible NetFlow の使用を開始する際に役立ついくつかの事前定義済みのレコードが含まれています。
フロー レコードでは、フロー内のパケットを識別するために Flexible NetFlow で使用するキーとともに、Flexible NetFlow がフローについて収集する他の関連 フィールドを定義します。キーと関連フィールドを任意の組み合わせで指定して、フロー レコードを定義できます。スイッチは、幅広いキー セットをサポートします。フロー レコードでは、フロー単位で収集するカウンタのタイプも定義します。64 ビットのパケットまたはバイト カウンタを設定できます。スイッチは、フロー レコードの作成時に、デフォルトとして次の match フィールドをイネーブルにします。
Flexible NetFlow の match パラメータ
次の表で、Flexible NetFlow の match パラメータについて説明します。フロー レコードごとに、次の match パラメータを 1 つ以上設定する必要があります。
|
コマンド |
目的 |
|---|---|
|
match datalink {dot1q | ethertype | mac | vlan } |
データ リンクまたはレイヤ 2 フィールドとの一致を指定します。次のコマンド オプションが使用可能です。 |
|
match flow direction |
フローを識別するフィールドとの一致を指定します。 |
|
match interface {input | output} |
インターフェイス フィールドとの一致を指定します。次のコマンド オプションが使用可能です。 |
|
match ipv4 {destination | protocol | source | tos | ttl | version} |
IPv4 フィールドとの一致を指定します。次のコマンド オプションが使用可能です。 |
|
match ipv6 {destination | hop-limit | protocol | source | traffic-class | version } |
IPv6 フィールドとの一致を指定します。次のコマンド オプションが使用可能です。 |
|
match transport {destination-port | igmp | icmp | source-port} |
トランスポート層フィールドとの一致を指定します。次のコマンド オプションが使用可能です。 |
|
match flow cts {source | destination} group-tag |
FNF レコードの CTS フィールドのサポートとの一致を指定します。次のコマンド オプションが使用可能です。 |
Flexible NetFlow の collect パラメータ
次の表で、Flexible NetFlow の collect パラメータについて説明します。
|
コマンド |
目的 |
||
|---|---|---|---|
|
collect counter { bytes { layer2 { long } | long } | packets { long } } |
カウンタ フィールドの合計バイト数と合計パケット数を収集します。 |
||
|
collect interface {input | output} |
入力または出力インターフェイスからフィールドを収集します。 |
||
|
collect timestamp absolute {first | last} |
最初のパケットが確認された絶対時間、または最新のパケットが最後に確認された絶対時間のフィールドを収集します(ミリ秒)。 |
||
|
collect transport tcp flags |
|
エクスポータ
エクスポータでは、Flexible NetFlow エクスポート パケットに関して、ネットワーク層およびトランスポート層の詳細を指定します。次の表は、エクスポータの設定オプションを示します。
スイッチ は、タイムアウトが発生するたびに、またはフローが終了したときに(TCP Fin または Rst を受信した場合など)、コレクタにデータをエクスポートします。次のタイマーを設定すると、フローを強制的にエクスポートできます。
エクスポート フォーマット
スイッチがサポートするのは、NetFlow バージョン 9 エクスポート フォーマットだけです。NetFlow バージョン 9 エクスポート フォーマットは、次の特徴と機能を提供します。
(注) | Version 9 エクスポート フォーマットの詳細については、RFC 3954 を参照してください。 |
モニタ
モニタは、フロー レコードおよびフロー エクスポータを参照します。スイッチのインターフェイスにモニタを適用します。
サンプラー
サンプル モードを使用する場合は、サンプラーを使用してパケットのサンプリング レートを指定します。
サポートされている Flexible NetFlow フィールド
(注) | パケットに VLAN フィールドがある場合、その長さは考慮されません。 |
|
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
|---|---|---|---|---|---|---|---|
|
Key または Collect フィールド |
|||||||
|
インターフェイス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
フロー モニタを入力方向に適用する場合: |
|
インターフェイス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
フロー モニタを出力方向に適用する場合: |
|
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
|---|---|---|---|---|---|---|---|
|
Key フィールド |
|||||||
|
フロー方向 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
|
Ethertype |
Yes |
Yes |
— |
— |
— |
— |
|
|
VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
|
VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
|
dot1q VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
|
dot1q VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
|
dot1q 優先度 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
スイッチ ポートでのみサポートされています。 |
|
MAC 送信元アドレス入力 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
|
MAC 送信元アドレス出力 |
— |
— |
— |
— |
— |
— |
|
|
MAC 宛先アドレス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
|
|
MAC 送信先アドレス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
|
|
IPv4 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
|
IPv4 TOS |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
|
IPv4 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
|
IPv4 TTL |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
|
IPv4 発信元アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
|
IPv4 宛先アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
|
ICMP IPv4 タイプ |
— |
— |
Yes |
Yes |
— |
— |
|
|
ICMP IPv4 コード |
— |
— |
Yes |
Yes |
— |
— |
|
|
IGMP タイプ |
— |
— |
Yes |
Yes |
— |
— |
|
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
|---|---|---|---|---|---|---|---|
|
Key フィールド(続き) |
|||||||
|
IPv6 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP バージョンと同じです。 |
|
IPv6 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP プロトコルと同じです。送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
|
IPv6 送信元アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
|
IPv6 宛先アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
|
IPv6 トラフィック クラス |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TOS と同じです。 |
|
IPv6 ホップ リミット |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TTL と同じです。 |
|
ICMP IPv6 タイプ |
— |
— |
— |
— |
Yes |
Yes |
|
|
ICMP IPv6 コード |
— |
— |
— |
— |
Yes |
Yes |
|
|
source-port |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
|
dest-port |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注意 |
|---|---|---|---|---|---|---|---|
|
Collect フィールド |
|||||||
|
Bytes long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
パケット サイズ =(FCS を含むイーサネット フレーム サイズ - 18 バイト) 推奨: このフィールドを回避し、Bytes layer2 long を使用します。 |
|
Packets long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
|
Timestamp absolute first |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
|
Timestamp absolute last |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
|
TCP フラグ |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
すべてのフラグを収集します。 |
|
Bytes layer2 long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
デフォルト設定
次の表は、スイッチに対する Flexible NetFlow のデフォルト設定を示します。
|
設定 |
デフォルト |
|---|---|
|
フロー アクティブ タイムアウト |
1800 秒 |
|
フロー タイムアウトの非アクティブ化 |
15 秒 |
Flexible NetFlow の設定方法
Flexible Netflow を設定するには、次の手順を実行します。
- フロー レコードの作成
- フロー エクスポータの作成
- フロー モニタの作成
- サンプラーの作成
- インターフェイスへのフローの適用
- VLAN 上でのブリッジ型 NetFlow の設定
- レイヤ 2 NetFlow の設定
- データ リンクの入出力方向にフロー モニタを適用する WLAN 設定
- IPV4 および IPv6 の入出力方向にフロー モニタを適用する WLAN 設定
フロー レコードの作成
フロー レコードを作成し、照合するキー、および収集するフィールドをフロー内に追加できます。
エクスポート フォーマット、プロトコル、宛先、およびその他のパラメータを指定することによって、任意でフロー エクスポータを定義します。
フロー エクスポータの作成
フロー エクスポートを作成して、フローのエクスポート パラメータを定義できます。
(注) | フロー エクスポータごとに、1 つ宛先のみがサポートされます。複数の宛先にデータをエクスポートする場合は、複数のフロー エクスポータを設定してフロー モニタに割り当てる必要があります。 IPv4 または IPv6 アドレスを使用して宛先にエクスポートできます。 |
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configureterminal 例: Device# configure terminal | |
| ステップ 2 | flow exporter name 例:
Device(config)# flow exporter ExportTest
|
フロー エクスポータを作成し、フロー エクスポータ コンフィギュレーション モードを開始します。このコマンドを使用して既存のフロー エクスポータを変更することもできます。 |
| ステップ 3 | description string 例:
Device(config-flow-exporter)# description ExportV9
|
(任意)最大 63 文字で、このフローの説明を指定します。 |
| ステップ 4 | destination {ipv4-address| ipv6-address} 例: Device(config-flow-exporter)# destination 192.0.2.1 (IPv4 destination) Device(config-flow-exporter)# destination 2001:0:0:24::10 (IPv6 destination) |
このエクスポータに IPv4/IPv6 宛先アドレスまたはホスト名を設定します。 |
| ステップ 5 | dscp value 例:
Device(config-flow-exporter)# dscp 0
|
(任意)DSCP(DiffServ コードポイント)値を指定します。範囲は 0 ~ 63 です。デフォルトは 0 です。 |
| ステップ 6 | source { source type |} 例:
Device(config-flow-exporter)# source gigabitEthernet1/0/1
|
(任意)設定された宛先で NetFlow コネクタに到達するために使用するインターフェイスを指定します。送信元として次のインターフェイスを設定できます。
|
| ステップ 7 | transportudp number 例:
Device(config-flow-exporter)# transport udp 200
|
(任意)NetFlow コレクタに到達するために使用する UDP ポートを指定します。範囲は 0 ~ 65535 です。 プロトコルをエクスポートする IPFIX の場合、デフォルトの宛先ポートは 4739 です。 |
| ステップ 8 | ttl
seconds 例: Device(config-flow-exporter)# ttl 210
|
(任意)エクスポータによって送信されるデータグラムの存続可能時間(TTL)値を設定します。範囲は 1 ~ 255 秒です。デフォルトは 255 です。 |
| ステップ 9 | export-protocol {netflow-v9 | ipfix} 例:
Device(config-flow-exporter)# export-protocol netflow-v9
|
エクスポータで使用される NetFlow エクスポート プロトコルのバージョンを指定します。 |
| ステップ 10 | end 例: Device(config-flow-record)# end | |
| ステップ 11 | show flow exporter [name record-name] 例:
Device# show flow exporter ExportTest
|
(任意)NetFlow のフロー エクスポータ情報を表示します。 |
| ステップ 12 | copy
running-config startup-config 例: Device# copy running-config startup-config |
フロー レコードおよびフロー エクスポータに基づいて、フロー モニタを定義します。
フロー モニタの作成
フロー モニタを作成して、フロー レコードおよびフロー エクスポータと関連付けることができます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configureterminal 例: Device# configure terminal | |
| ステップ 2 | flow monitor name 例: Device(config)# flow monitor MonitorTest Device (config-flow-monitor)# | フロー モニタを作成し、フロー モニタ コンフィギュレーション モードを開始します。 |
| ステップ 3 | description string 例:
Device(config-flow-monitor)# description Ipv4Monitor
| (任意)最大 63 文字で、このフローの説明を指定します。 |
| ステップ 4 | exporter name 例:
Device(config-flow-monitor)# exporter ExportTest
| フロー エクスポータとこのフロー モニタを関連付けます。 |
| ステップ 5 | record name 例:
Device(config-flow-monitor)# record test
| フロー レコードを指定したフロー モニタと関連付けます。 |
| ステップ 6 | cache { timeout {active | inactive} seconds | type normal } 例:
Device(config-flow-monitor)# cache timeout active 15000
| 指定したフロー モニタとフロー キャッシュを関連付けます。 |
| ステップ 7 | end 例: Device(config-flow-monitor)# end | |
| ステップ 8 | show flow monitor [name record-name] 例:
Device show flow monitor name MonitorTest
| (任意)NetFlow のフロー モニタ情報を表示します。 |
| ステップ 9 | copy running-config startup-config 例: Device# copy running-config startup-config |
レイヤ 2 インターフェイス、レイヤ 3 インターフェイス、または VLAN にフロー モニタを適用します。
サンプラーの作成
サンプラーを作成し、フローの NetFlow サンプリング レートを定義できます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configureterminal 例: Device# configure terminal | |
| ステップ 2 | sampler name 例: Device(config)# sampler SampleTest Device(config-flow-sampler)# |
サンプラーを作成し、サンプラー コンフィギュレーション モードを開始します。 |
| ステップ 3 | description string 例: Device(config-flow-sampler)# description samples
|
(任意)最大 63 文字で、このフローの説明を指定します。 |
| ステップ 4 | mode {random} 例: Device(config-flow-sampler)# mode random 1 out-of 1024
|
ランダム サンプル モードを定義します。 |
| ステップ 5 | end 例: Device(config-flow-sampler)# end | |
| ステップ 6 | show sampler [name] 例: Device show sample SampleTest
|
(任意)NetFlow サンプラに関する情報を表示します。 |
| ステップ 7 | copy
running-config startup-config 例: Device# copy running-config startup-config |
送信元インターフェイス、サブインターフェイス、 VLAN インターフェイス、または VLAN にフロー モニタを適用します。
インターフェイスへのフローの適用
フロー モニタおよびオプションのサンプラーをインターフェイスに適用できます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configureterminal 例: Device# configure terminal | |
| ステップ 2 | interface type 例:
Device(config)# interface GigabitEthernet1/0/1
|
インターフェイス コンフィギュレーション モードを開始し、インターフェイスを設定します。 インターフェイス コンフィギュレーションのコマンド パラメータは次のとおりです。 |
| ステップ 3 | {ip flow monitor | ipv6 flow
monitor}name [| sampler name] {input} 例:
Device(config-if)# ip flow monitor MonitorTest input
|
入力または出力パケットに対応するインターフェイスに、IPv4 または IPv6 フロー モニタ、およびオプションのサンプラーを関連付けます。 入力と出力の両方向で、複数のモニタをインターフェイスに関連付けることができます。 |
| ステップ 4 | {ip flow monitor | ipv6 flow
monitor | datalink
flow monitor} name [sampler name] {input |
output} 例:
Device(config-if)# ip flow monitor MonitorTest input
|
入力または出力パケットに対応するインターフェイスに、IPv4、IPv6、およびデータリンクのフロー モニタ、およびオプションのサンプラーを関連付けます。 さまざまなトラフィック タイプの複数のモニタを、同じ方向のインターフェイスに関連付けることができます。ただし、同じトラフィック タイプの複数のモニタを、同じ方向のインターフェイスに関連付けることはできません。 |
| ステップ 5 | end 例: Device(config-flow-monitor)# end | |
| ステップ 6 | show flow interface [interface-type number] 例:
Device# show flow interface
|
(任意)インターフェイスの NetFlow 情報を表示します。 |
| ステップ 7 | copy
running-config startup-config 例: Device# copy running-config startup-config |
VLAN 上でのブリッジ型 NetFlow の設定
フロー モニタおよびオプションのサンプラーを VLAN に適用できます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configureterminal 例: Device# configure terminal | |
| ステップ 2 | vlan [configuration] vlan-id 例: Device(config)# vlan configuration 30 Device(config-vlan-config)# |
VLAN または VLAN コンフィギュレーション モードを開始します。 |
| ステップ 3 | ip flow monitor monitor name [sampler sampler name] {input | output} 例:
Device(config-vlan-config)# ip flow monitor MonitorTest input
|
入力または出力パケットに対応する VLAN に、フロー モニタおよびオプションのサンプラーを関連付けます。 |
| ステップ 4 | copy
running-config startup-config 例: Device# copy running-config startup-config |
レイヤ 2 NetFlow の設定
Flexible NetFlow レコード内でレイヤ 2 キーを定義できます。このレコードを使用して、レイヤ 2 インターフェイスのフローをキャプチャできます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configureterminal 例: Device# configure terminal | |
| ステップ 2 | flow record name 例: Device(config)# flow record L2_record Device(config-flow-record)# | フロー レコード コンフィギュレーション モードを開始します。 |
| ステップ 3 | match datalink {dot1q |ethertype | mac | vlan} 例: Device(config-flow-record)# match datalink ethertype
| レイヤ 2 属性をキーとして指定します。 |
| ステップ 4 | end 例: Device(config-flow-record)# end | |
| ステップ 5 | show flow record [name ] 例:
Device# show flow record
| (任意)インターフェイスの NetFlow 情報を表示します。 |
| ステップ 6 | copy running-config startup-config 例: Device# copy running-config startup-config |
データ リンクの入出力方向にフロー モニタを適用する WLAN 設定
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | configure terminal 例:
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 | ||
| ステップ 2 | wlan [wlan-name { wlan-id
SSID_NetworkName | wlan_id} | wlan-name | shutdown} 例:
Device (config) # wlan wlan1
|
WLAN コンフィギュレーション サブモードを開始します。 wlan-id はワイヤレス LAN の ID です。指定できる範囲は 1 ~ 64 です。 SSID_NetworkName は、最大 32 文字の英数字からなる SSID です。
| ||
| ステップ 3 | datalink flow monitor
monitor-name {input | output} 例:
Device (config-wlan) # datalink flow monitor flow-monitor-1 {input | output}
|
目的の方向のレイヤ 2 トラフィックにフロー モニタを適用します。 | ||
| ステップ 4 | end 例:
Device (config) # end
|
特権 EXEC モードに戻ります。 | ||
| ステップ 5 | show run wlan
wlan-name 例:
Device # show wlan mywlan
|
(任意)設定を確認します。 |
IPV4 および IPv6 の入出力方向にフロー モニタを適用する WLAN 設定
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | configure terminal 例:
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 | ||
| ステップ 2 | wlan {wlan-name { wlan-id
SSID_NetworkName | wlan_id} | wlan-name | shutdown} 例:
Device (config) # wlan wlan1
|
WLAN コンフィギュレーション サブモードを開始します。 wlan-id はワイヤレス LAN の ID です。指定できる範囲は 1 ~ 64 です。 SSID_NetworkName は、最大 32 文字の英数字からなる SSID です。
| ||
| ステップ 3 | {ip | ipv6} flow monitor monitor-name {input |
output} 例:
Device (config-wlan) # ip flow monitor flow-monitor-1 input
|
入力または出力パケットに対応する WLAN にフロー モニタを関連付けます。 | ||
| ステップ 4 | end 例:
Device (config) # end
|
特権 EXEC モードに戻ります。 | ||
| ステップ 5 | show run wlan wlan-name 例:
Device # show wlan mywlan
|
(任意)設定を確認します。 |
Flexible NetFlow のモニタリング
|
コマンド |
目的 |
|---|---|
|
show flow exporter [broker | export-ids | name | name | statistics | templates] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
|
show flow exporter [ name exporter-name] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
|
show flow interface |
NetFlow インターフェイスに関する情報を表示します。 |
|
show flow monitor [ name exporter-name] |
NetFlow のフロー モニタ情報と統計情報を表示します。 |
|
show flow monitor statistics |
フロー モニタの統計情報を表示します。 |
|
show flow monitor cache format {table | record | csv} |
指定された形式でフロー モニタのキャッシュの内容を表示します。 |
|
show flow record [ name record-name] |
NetFlow のフロー レコード情報を表示します。 |
|
show sampler [broker | name | name] |
NetFlow サンプラに関する情報を表示します。 |
Flexible NetFlow の設定例
- 例:フローの設定
- 例:WLAN(入力方向)の IPv4 Flexible NetFlow の設定
- 例:WLAN(出力方向)の IPv6 および転送フラグ Flexible NetFlow の設定
- 例:WLAN(入力および出力の両方向)の IPv6 Flexible NetFlow の設定
例:フローの設定
フローを作成し、そのフローをインターフェイスに適用する例を示します。
Device# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)# flow export export1 Device(config-flow-exporter)# destination 10.0.101.254 Device(config-flow-exporter)# transport udp 2055 Device(config-flow-exporter)# exit Device(config)# flow record record1 Device(config-flow-record)# match ipv4 source address Device(config-flow-record)# match ipv4 destination address Device(config-flow-record)# match ipv4 protocol Device(config-flow-record)# match transport source-port Device(config-flow-record)# match transport destination-port Device(config-flow-record)# match flow cts source group-tag Device(config-flow-record)# match flow cts destination group-tag Device(config-flow-record)# collect counter byte long Device(config-flow-record)# collect counter packet long Device(config-flow-record)# collect timestamp absolute first Device(config-flow-record)# collect timestamp absolute last Device(config-flow-record)# exit Device(config)# flow monitor monitor1 Device(config-flow-monitor)# record record1 Device(config-flow-monitor)# exporter export1 Device(config-flow-monitor)# exit Device(config)# interface tenGigabitEthernet 1/0/1 Device(config-if)# ip flow monitor monitor1 input Device(config-if)# end
例:WLAN(入力方向)の IPv4 Flexible NetFlow の設定
次に、WLAN 入力方向で IPv4 Flexible NetFlow を設定する例を示します。
flow record WLAN-FLOW07
description Working AP mac
match datalink mac source address input
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match wireless ssid
collect counter bytes long
collect counter packets long
collect wireless ap mac address
flow monitor WLAN-FLOW07
exporter wlan-export
cache timeout inactive 30
cache timeout active 10
record WLAN-FLOW07
wlan CC0506-CC0404
ip flow monitor WLAN-FLOW07 input
Device#show flow monitor WLAN-FLOW07 cache
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 6
Flows added: 276
Flows aged: 270
Active timeout ( 10 secs) 257
Inactive timeout ( 30 secs) 13
DATALINK MAC SOURCE ADDRESS INPUT: 3CA9.F421.4E34
IPV4 SOURCE ADDRESS: 192.168.11.1
IPV4 DESTINATION ADDRESS: 10.29.5.6
WIRELESS SSID: CC0506-CC0404
IP TOS: 0x00
IP PROTOCOL: 6
counter bytes long: 66
counter packets long: 1
wireless ap mac address: B0AA.778E.EB60
例:WLAN(出力方向)の IPv6 および転送フラグ Flexible NetFlow の設定
次に、WLAN 出力方向で IPv6 および転送フラグ Flexible NetFlow を設定する例を示します。
Device# configure terminal Device(config)# flow record fr_v6 Device(config-flow-record)# match ipv6 destination address Device(config-flow-record)# match ipv6 source address Device(config-flow-record)# match ipv6 hop-limit Device(config-flow-record)# match ipv6 protocol Device(config-flow-record)# match ipv6 traffic Device(config-flow-record)# match ipv6 version Device(config-flow-record)# match wireless ssid Device(config-flow-record)# collect wireless ap mac address Device(config-flow-record)# collect counter bytes long Device(config-flow-record)# collect transport tcp flags Device(config-flow-record)# exit Device(config)# flow monitor fm_v6 Device(config-flow-monitor)# record fr_v6 Device(config-flow-monitor)# exit Device(config)# wlan wlan_1 Device(config-wlan)# ipv6 flow monitor fm_v6 out Device(config-wlan)# end Device# show flow monitor fm_v6 cache
(注) | スイッチでは、収集する TCP フラグを指定できません。転送 TCP フラグの収集のみ指定できます。 |
例:WLAN(入力および出力の両方向)の IPv6 Flexible NetFlow の設定
次に、双方向の WLAN 上で IPv6 Flexible NetFlow を設定する例を示します。
Device# configure terminal Device (config)# flow record fr_v6 Device (config-flow-record)# match ipv6 destination address Device (config-flow-record)# match ipv6 source address Device (config-flow-record)# match ipv6 hop-limit Device (config-flow-record)# match ipv6 protocol Device (config-flow-record)# match ipv6 traffic Device (config-flow-record)# match ipv6 version Device (config-flow-record)# match wireless ssid Device (config-flow-record)# collect wireless ap mac address Device (config-flow-record)# collect counter packets long Device (config-flow-record)# exit Device (config)# flow monitor fm_v6 Device (config-flow-monitor)# record fr_v6 Device (config-flow-monitor)# exit Device (config)# wlan wlan_1 Device (config-wlan)# ipv6 flow monitor fm_v6 in Device (config-wlan)# ipv6 flow monitor fm_v6 out Device (config-wlan)# end Device# show flow monitor fm_v6 cache
NetFlow に関する追加情報
関連資料
| 関連項目 | マニュアル タイトル |
|---|---|
|
Flexible NetFlow の CLI コマンド |
Cisco Flexible NetFlow Command Reference (Catalyst 3850 Switches) 『Flexible NetFlow Command Reference, Cisco IOS XE Release 3SE (Cisco WLC 5700 Series)』 |
エラー メッセージ デコーダ
| 説明 | Link |
|---|---|
|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
標準および RFC
| 標準/RFC | Title |
|---|---|
|
RFC 3954 |
『Cisco Systems NetFlow Services Export Version 9』 |
MIB
| MIB | MIB のリンク |
|---|---|
|
本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
シスコのテクニカル サポート
| 説明 | Link |
|---|---|
|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
Flexible NetFlow の機能情報
リリース |
変更内容 |
|---|---|
Cisco IOS XE 3.2SE |
この機能が導入されました。 |
Cisco IOS XE 3.3SE |
次の新しいコマンドが追加されました。 |
フィードバック