この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
次に、Flexible NetFlow コンフィギュレーションの前提条件を示します。
次に、ワイヤレス Flexible NetFlow の前提条件を示します。
次に、Flexible NetFlow に関する制約事項を示します。
Traditional NetFlow(TNF)のアカウンティングはサポートされていません。
Flexible NetFlow v5 エクスポート フォーマットはサポートされていません。NetFlow v9 エクスポート フォーマットのみがサポートされています。
入力および出力の両方の NetFlow アカウンティングがサポートされています。
マイクロフロー ポリシング機能は FNF と NetFlow ハードウェア リソースを共有します。
、インターフェイスと方向ごとに 1 個のフロー モニタだけをサポートしています。
レイヤ 2、IPv4、および IPv6 トラフィック タイプがサポートされています。ただし、controllerは、特定の方向とインターフェイスにおいて、一度にこれらのタイプの 1 つだけにフロー モニタを適用できます。
レイヤ 2、VLAN、WLAN、およびレイヤ 3 インターフェイスがサポートされています。ただし、controllerは SVI およびトンネルをサポートしていません。
次のサイズの NetFlow テーブルがサポートされています。
トリム レベル |
入力 NetFlow テーブル |
出力 NetFlow テーブル |
---|---|---|
LAN Base |
サポート対象外 |
サポート対象外 |
IP Base |
8 K |
16 K |
IP サービス |
8 K |
16 K |
コントローラは 3 個の ASIC をサポートできます。 各 ASIC には、8K 入力エントリと 16K 出力エントリがあります。
NetFlow テーブルは個別のコンパートメントにあり、組み合わせることはできません。 パケットを処理した ASIC のテーブルに応じて、対応した ASIC のテーブルにフローが作成されます。
フル フロー アカウンティングとサンプル NetFlow アカウンティングの両方がサポートされています。
NetFlow ハードウェアの実装では、4 台のハードウェア サンプラーがサポートされています。 1/2 ~ 1/1024 のサンプラー レートを選択できます。 ランダム サンプリング モードのみがサポートされています。
マイクロフロー ポリシング機能(ワイヤレス実装の場合にのみ有効)では、フル フロー モードでのみ NetFlow を使用できます。NetFlow ポリシングは使用できません。 マイクロフロー QoS の妨げになるため、ワイヤレス トラフィックにはサンプラーを適用できません。
ワイヤレス トラフィックでは、フル フロー アカウンティングだけがサポートされています。
NetFlow ハードウェアの内部では、ハッシュ テーブルが使用されています。 ハードウェア内でハッシュ衝突が発生する場合があります。 したがって、内部の連想メモリ(CAM)でオーバーフローが発生しても、実際の NetFlow テーブルの使用率は約 80 % しかない場合があります。
フローに使用されるフィールドによって異なりますが、単一のフローは 2 個の連続したエントリを取得できます。 IPv6 フローも 2 個のエントリを取得します。 この場合、NetFlow エントリを効果的に使用すれば、テーブル サイズの半分で済みます。これは、上記のハッシュ衝突の制限とは別です。
controllerは、最大 16 個のフロー モニタをサポートしています。
マイクロフロー ポリシングは、フロー モニタ(制限 3)の個別セットを使用します。
SSID ベースの NetFlow アカウンティングがサポートされています。 SSID はインターフェイスと同様の方法で扱われます。 ただし、ユーザ ID などの一部のフィールドはサポートされていません。
NetFlow v9 形式のNetFlow エクスポートはサポートされていません。
入力フローは最初にフローのパケットを受信した ASIC にあります。 出力フローは、パケットが実際に controller セットアップを残した ASIC にあります。
バイト カウント フィールドのレポート値(「bytes long」と呼ばれる)は、レイヤ 2 パケット サイズの 18 バイトです。 従来のイーサネット トラフィック(802.3)の場合、これは正確です。 他のすべてのイーサネット タイプの場合、このフィールドは正確ではありません。 「bytes layer2」フィールドを使用すると、常に正確なレイヤ 2 パケット サイズが報告されます。 サポートされる Flexible NetFlow フィールドについては、サポートされている Flexible NetFlow フィールド を参照してください。
NetFlow は、controllerを通過するパケットの統計情報を提供するシスコ テクノロジーです。 NetFlow は、IP ネットワークから IP 運用データを取得するための標準規格です。 NetFlow は、ネットワークとセキュリティのモニタリング、ネットワーク プランニング、トラフィック分析、および IP アカウンティングを可能にするデータを提供します。 Flexible NetFlow は、実際の要件に合わせてトラフィック分析パラメータをカスタマイズする機能を追加することで、以前の NetFlow よりも改善されています。 Flexible NetFlow は再利用可能な設定コンポーネントを使用し、トラフィック分析およびデータ エクスポートに使用する、より複雑な設定を作成できるようにします。
Flexible NetFlow ではフローを使用して、アカウンティング、ネットワーク モニタリング、およびネットワーク プランニングに関連する統計情報を提供します。
フローは送信元インターフェイスに届く単方向のパケット ストリームで、キーの値は同じです。 キーは、パケット内のフィールドを識別する値です。 フローを作成するには、フロー レコードを使用して、フロー固有のキーを定義します。
controller は、ネットワーク異常とセキュリティ問題の高度な検出をイネーブルにする Flexible NetFlow 機能をサポートします。 Flexible NetFlow により、大量の定義済みフィールドの集合からキーを選択して、特定のアプリケーションに最適なフロー レコードを定義できます。
特定のフローでカウントするパケットでは、すべてのキー値が一致している必要があります。 フローは、設定したエクスポート レコード バージョンに基づいて、関係のある他のフィールドを収集することもあります。 フローは Flexible NetFlow キャッシュに格納されます。
エクスポータを使用して Flexible NetFlow がフローのために収集するデータをエクスポートし、リモートの Flexible NetFlow コレクタにこのデータをエクスポートできます。
モニタを使用してフローのために収集するデータのサイズを定義します。 モニタで、フロー レコードおよびエクスポータを Flexible NetFlow キャッシュ情報と結合します。
ワイヤレス Flexible NetFlow インフラストラクチャは次をサポートします。
マイクロフロー ポリシングとユーザ ベースのレート制限
マイクロフロー ポリシングは、NetFlow テーブル内の各フローに 2 カラー、1 レートのポリサーと関連ドロップ統計情報を関連付けます。 フロー マスクがすべてのパケット フィールドで構成される場合、この機能は「マイクロフロー ポリシング」と呼ばれます。 フロー マスクが送信元または宛先のみで構成される場合、この機能は「ユーザ ベースのレート制限」と呼ばれます。
音声およびビデオ フロー モニタリング
音声およびビデオ フローはフル フロー マスク ベースのエントリです。 ASIC は、ポリサー パラメータのプログラム、複数のフローでのポリサー共有、フローの IP アドレスとレイヤー 4 ポート番号の書き換えにおいて柔軟性を提供します。
(注) |
ダイナミック エントリの場合、NetFlow エンジンは、ポリシー(ACL/QoS ベース ポリシー)に基づいてフローに対して取得されたポリサー パラメータを使用します。 ダイナミック エントリは複数のフロー間でポリサーを共有できません。 |
再帰 ACL
再帰 ACL により、上位層セッション情報に基づいて IP パケットをフィルタリングできます。 ACL は発信トラフィックを許可し、信頼ネットワーク内で開始されたセッションに応じて、着信トラフィックを制限します。 再帰 ACL は、再帰的なエントリと一致するデータ パケットによりアクティブにされるまで、フィルタリング メカニズムに対して透過的です。 この時点では、一時 ACL エントリが作成され、IP 名付きアクセス リストに追加されています。 再帰 ACL エントリを生成するデータ パケットから取得した情報は、許可/拒否ビット、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、ポート、およびプロトコル タイプです。 再帰 ACL エントリの評価において、プロトコル タイプが TCP または UDP の場合、ポート情報は正確に一致する必要があります。 他のプロトコルの場合、一致するポート情報はありません。 この ACL をインストールすると、通過する応答パケットに対してファイアウォールが開かれます。 この時点では、ハッカーがファイアウォールの背後にあるネットワークにアクセスする危険性があります。 この危険性を最小限に抑えるには、アイドル タイムアウト期間を定義できます。 ただし、TCP の場合、2 つの FIN ビットまたは RST が検出された場合、ACL エントリが削除される可能性があります。
Flexible NetFlow では、key フィールドと nonkey フィールドの組み合わせがレコードと呼ばれます。 Flexible NetFlow のレコードは Flexible NetFlow フロー モニタに割り当てられ、フロー データの格納に使用されるキャッシュが定義されます。 Flexible NetFlow には、Flexible NetFlow の使用を開始する際に役立ついくつかの事前定義済みのレコードが含まれています。
フロー レコードでは、フロー内のパケットを識別するために Flexible NetFlow で使用するキーとともに、Flexible NetFlow がフローについて収集する他の関連 フィールドを定義します。 キーと関連フィールドを任意の組み合わせで指定して、フロー レコードを定義できます。 controllerは、幅広いキー セットをサポートします。 フロー レコードでは、フロー単位で収集するカウンタのタイプも定義します。 64 ビットのパケットまたはバイト カウンタを設定できます。 controllerは、フロー レコードの作成時に、デフォルトとして次の match フィールドをイネーブルにします。
次の表で、Flexible NetFlow の match パラメータについて説明します。 フロー レコードごとに、次の match パラメータを 1 つ以上設定する必要があります。
コマンド |
目的 |
---|---|
match datalink {dot1q | ethertype | mac | vlan } |
データ リンクまたはレイヤ 2 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match flow direction |
フローを識別するフィールドとの一致を指定します。 |
match interface {input | output} |
インターフェイス フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match ipv4 {destination | protocol | source | tos | ttl | version} |
IPv4 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match ipv6 {destination | hop-limit | protocol | source | traffic-class | version } |
IPv6 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match transport {destination-port | igmp | icmp | source-port} |
トランスポート層フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match wireless ssid |
使用される 802.11(Wi-Fi)ネットワークを識別する Service Set Identifier(SSID)フィールドとの一致を指定します。 |
match application name |
アプリケーション名との一致を指定します。 これは、Application Visibility and Control(AVC)機能に固有のコマンドです。 詳細については、『System Management Configuration Guide, Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ)』を参照してください。 |
次の表で、Flexible NetFlow の collect パラメータについて説明します。
コマンド |
目的 |
||
---|---|---|---|
collect counter { bytes { layer2 { long } | long } | packets { long } } |
カウンタ フィールドの合計バイト数と合計パケット数を収集します。 |
||
collect interface {input | output} |
入力または出力インターフェイスからフィールドを収集します。 |
||
collect timestamp absolute {first | last} |
最初のパケットが確認された絶対時間、または最新のパケットが最後に確認された絶対時間のフィールドを収集します(ミリ秒)。 |
||
collect transport tcp flags |
|
||
collect wireless ap mac address |
ワイヤレス クライアントが関連付けられているアクセス ポイントの MAC アドレスを収集します。 |
||
collect wireless client mac address |
ワイヤレス ネットワークのクライアントの MAC アドレスを収集します。 これは、AVC 機能に固有のコマンドです。 詳細については、『System Management Configuration Guide, Cisco IOS XE Release 3SE』を参照してください。 |
エクスポータでは、 Flexible NetFlow エクスポート パケットに関して、ネットワーク層およびトランスポート層の詳細を指定します。次の表は、エクスポータの設定オプションを示します。
controller は、タイムアウトが発生するたびに、またはフローが終了したときに(TCP Fin または Rst を受信した場合など)、コレクタにデータをエクスポートします。 次のタイマーを設定すると、フローを強制的にエクスポートできます。
controllerがサポートするのは、NetFlow バージョン 9 エクスポート フォーマットだけです。 NetFlow バージョン 9 エクスポート フォーマットは、次の特徴と機能を提供します。
(注) |
Version 9 エクスポート フォーマットの詳細については、RFC 3954 を参照してください。 |
モニタは、フロー レコードおよびフロー エクスポータを参照します。 コントローラのインターフェイスにモニタを適用します。
サンプル モードを使用する場合は、サンプラーを使用してパケットのサンプリング レートを指定します。
(注) |
パケットに VLAN フィールドがある場合、その長さは考慮されません。 |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注記 |
---|---|---|---|---|---|---|---|
Key または Collect フィールド |
|||||||
インターフェイス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
フロー モニタを入力方向に適用する場合: |
インターフェイス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
フロー モニタを出力方向に適用する場合: |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注記 |
---|---|---|---|---|---|---|---|
Key フィールド |
|||||||
フロー方向 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Ethertype |
Yes |
Yes |
— |
— |
— |
— |
|
VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
dot1q VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
dot1q VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
dot1q 優先度 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
スイッチ ポートでのみサポートされています。 |
MAC 送信元アドレス入力 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
MAC 送信元アドレス出力 |
— |
— |
— |
— |
— |
— |
|
MAC 宛先アドレス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
|
MAC 送信先アドレス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
|
IPv4 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 TOS |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
IPv4 TTL |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 発信元アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
IPv4 宛先アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
ICMP IPv4 タイプ |
— |
— |
Yes |
Yes |
— |
— |
|
ICMP IPv4 コード |
— |
— |
Yes |
Yes |
— |
— |
|
IGMP タイプ |
— |
— |
Yes |
Yes |
— |
— |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注記 |
---|---|---|---|---|---|---|---|
Key フィールド(続き) |
|||||||
IPv6 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP バージョンと同じです。 |
IPv6 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP プロトコルと同じです。 送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
IPv6 送信元アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
IPv6 宛先アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
IPv6 トラフィック クラス |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TOS と同じです。 |
IPv6 ホップ リミット |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TTL と同じです。 |
ICMP IPv6 タイプ |
— |
— |
— |
— |
Yes |
Yes |
|
ICMP IPv6 コード |
— |
— |
— |
— |
Yes |
Yes |
|
送信元ポート |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
宛先ポート |
— |
— |
Yes |
Yes |
Yes |
Yes |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注記 |
---|---|---|---|---|---|---|---|
Collect フィールド |
|||||||
Bytes long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
パケット サイズ =(FCS を含むイーサネット フレーム サイズ - 18 バイト) 推奨: このフィールドを回避し、Bytes layer2 long を使用します。 |
Packets long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Timestamp absolute first |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Timestamp absolute last |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
TCP フラグ |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
すべてのフラグを収集します。 |
Bytes layer2 long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
次の表は、controllerに対する Flexible NetFlow のデフォルト設定を示します。
設定 |
Default |
---|---|
フロー アクティブ タイムアウト |
1800 秒 |
フロー タイムアウトの非アクティブ化 |
15 秒 |
フロー レコードを作成し、照合するキー、および収集するフィールドをフロー内に追加できます。
2. flow record name
3. description string
4. match type
5. collect type
7. show flow record [name record-name]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
ステップ 2 | flow record name 例: Controller(config)# flow record test Controller(config-flow-record)# |
フロー レコードを作成し、フロー レコード コンフィギュレーション モードを開始します。 |
ステップ 3 | description string 例:
Controller(config-flow-record)# description Ipv4Flow
|
(任意)最大 63 文字で、このフロー レコードの説明を指定します。 |
ステップ 4 | match type 例: Controller(config-flow-record)# match ipv4 source address Controller(config-flow-record)# match ipv4 destination address Controller(config-flow-record)# match flow direction |
match キーを指定します。 使用できる match キーの値については、Flexible NetFlow の match パラメータ を参照してください。 |
ステップ 5 | collect type 例: Controller(config-flow-record)# collect counter bytes layer2 long Controller(config-flow-record)# collect counter bytes long Controller(config-flow-record)# collect timestamp absolute first Controller(config-flow-record)# collect transport tcp flags |
コレクション フィールドを指定します。 使用できるコレクション フィールドの値については、Flexible NetFlow の collect パラメータ を参照してください。 |
ステップ 6 |
end 例: Controller(config-flow-record)# end |
|
ステップ 7 | show flow record [name record-name] 例:
Controller show flow record test
|
(任意)NetFlow のフロー レコード情報を表示します。 |
ステップ 8 |
copy running-config startup-config 例: Controller# copy running-config startup-config |
エクスポート フォーマット、プロトコル、宛先、およびその他のパラメータを指定することによって、任意でフロー エクスポータを定義します。
フロー エクスポートを作成して、フローのエクスポート パラメータを定義できます。
2. flow exporter name
3. description string
4. dscp value
5. destination{ipv4-address}
6. source { source type }
7. transport udp number
9. show flow exporter [name record-name]
フロー レコードおよびフロー エクスポータに基づいて、フロー モニタを定義します。
フロー モニタを作成して、フロー レコードおよびフロー エクスポータと関連付けることができます。
2. flow monitor name
3. description string
4. exporter name
5. record name
6. cache { timeout {active | inactive} seconds | type normal }
8. show flow monitor [name record-name]
レイヤ 2 インターフェイス、レイヤ 3 インターフェイス、または VLAN にフロー モニタを適用します。
サンプラーを作成して、フローの NetFlow サンプリング レートを定義できます。
2. sampler name
3. description string
4. mode {random}
6. show sampler [name]
送信元インターフェイス、サブインターフェイス、 VLAN インターフェイス、または VLAN にフロー モニタを適用します。
フロー モニタおよびオプションのサンプラーをインターフェイスに適用できます。
2. interface type
3. {ip flow monitor | ipv6 flow monitor}name [|sampler name] { input}
5. show flow interface [interface-type number]
フロー モニタおよびオプションのサンプラーを VLAN に適用できます。
2. vlan [configuration] vlan-id
3. ip flow monitor name [sampler name] {input |output}
Flexible NetFlow レコード内でレイヤ 2 キーを定義できます。このレコードを使用して、レイヤ 2 インターフェイスのフローをキャプチャできます。
2. flow record name
3. match datalink {dot1q |ethertype | mac | vlan}
5. show flow record [name ]
1. configure terminal
2. wlan wlan-name
3. datalink flow monitor monitor-name {input | output}
4. end
5. show wlan wlan-name
1. configure terminal
2. wlan wlan-id
3. {ip | ipv6} flow monitor monitor-name {input | output}
4. end
5. show wlan wlan-name
コマンド |
目的 |
---|---|
show flow exporter [broker | export-ids | name | name | statistics | templates] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
show flow exporter [ name exporter-name] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
show flow interface |
NetFlow インターフェイスに関する情報を表示します。 |
show flow monitor [ name exporter-name] |
NetFlow のフロー モニタ情報と統計情報を表示します。 |
show flow monitor statistics |
フロー モニタの統計情報を表示します。 |
show flow monitor cache format {table | record | csv} |
指定された形式でフロー モニタのキャッシュの内容を表示します。 |
show flow record [ name record-name] |
NetFlow のフロー レコード情報を表示します。 |
show flow ssid |
WLAN の NetFlow モニタのインストール ステータスを表示します。 |
show sampler [broker | name | name] |
NetFlow サンプラーに関する情報を表示します。 |
show wlan wlan-name |
デバイスで設定された WLAN を表示します。 |
フローを作成し、そのフローをインターフェイスに適用する例を示します。
Controller# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)# flow export export1 Controller(config-flow-exporter)# destination 10.0.101.254 Controller(config-flow-exporter)# transport udp 2055 Controller(config-flow-exporter)# exit Controller(config)# flow record record1 Controller(config-flow-record)# match ipv4 source address Controller(config-flow-record)# match ipv4 destination address Controller(config-flow-record)# match ipv4 protocol Controller(config-flow-record)# match transport source-port Controller(config-flow-record)# match transport destination-port Controller(config-flow-record)# collect counter byte long Controller(config-flow-record)# collect counter packet long Controller(config-flow-record)# collect timestamp absolute first Controller(config-flow-record)# collect timestamp absolute last Controller(config-flow-record)# exit Controller(config)# flow monitor monitor1 Controller(config-flow-monitor)# record record1 Controller(config-flow-monitor)# exporter export1 Controller(config-flow-monitor)# exit Controller(config)# interface tenGigabitEthernet 1/0/1 Controller(config-if)# ip flow monitor monitor1 input Controller(config-if)# end
次に、WLAN 入力方向で IPv4 Flexible NetFlow を設定する例を示します。
Controller# configure terminal Controller(config)# flow record fr_v4 Controller(config-flow-record)# match ipv4 destination address Controller(config-flow-record)# match ipv4 source address Controller(config-flow-record)# match ipv4 protocol Controller(config-flow-record)# match ipv4 tos Controller(config-flow-record)# match ipv4 ttl Controller(config-flow-record)# match ipv4 version Controller(config-flow-record)# match wireless ssid Controller(config-flow-record)# collect wireless ap mac address Controller(config-flow-record)# collect counter packets long Controller(config-flow-record)# collect counter bytes long Controller(config-flow-record)# collect timestamp absolute first Controller(config-flow-record)# collect timestamp absolute last Controller(config-flow-record)# exit Controller(config)# flow monitor fm_v4 Controller(config-flow-monitor)# record fr_v4 Controller(config-flow-record)# exit Controller(config)# wlan wlan_1 Controller(config-wlan)# ip flow monitor fm_v4 in Controller(config-wlan)# end Controller# show flow monitor fm_v4 cache
次に、WLAN 出力方向で IPv6 および転送フラグ Flexible NetFlow を設定する例を示します。
Controller# configure terminal Controller(config)# flow record fr_v6 Controller(config-flow-record)# match ipv6 destination address Controller(config-flow-record)# match ipv6 source address Controller(config-flow-record)# match ipv6 hop-limit Controller(config-flow-record)# match ipv6 protocol Controller(config-flow-record)# match ipv6 traffic Controller(config-flow-record)# match ipv6 version Controller(config-flow-record)# match wireless ssid Controller(config-flow-record)# collect wireless ap mac address Controller(config-flow-record)# collect counter bytes long Controller(config-flow-record)# collect transport tcp flags Controller(config-flow-record)# exit Controller(config)# flow monitor fm_v6 Controller(config-flow-monitor)# record fr_v6 Controller(config-flow-monitor)# exit Controller(config)# wlan wlan_1 Controller(config-wlan)# ipv6 flow monitor fm_v6 out Controller(config-wlan)# end Controller# show flow monitor fm_v6 cache
(注) |
controllerでは、収集する TCP フラグを指定できません。 転送 TCP フラグの収集のみ指定できます。 |
次に、双方向の WLAN 上で IPv6 Flexible NetFlow を設定する例を示します。
Controller# configure terminal Controller (config)# flow record fr_v6 Controller (config-flow-record)# match ipv6 destination address Controller (config-flow-record)# match ipv6 source address Controller (config-flow-record)# match ipv6 hop-limit Controller (config-flow-record)# match ipv6 protocol Controller (config-flow-record)# match ipv6 traffic Controller (config-flow-record)# match ipv6 version Controller (config-flow-record)# match wireless ssid Controller (config-flow-record)# collect wireless ap mac address Controller (config-flow-record)# collect counter packets long Controller (config-flow-record)# exit Controller (config)# flow monitor fm_v6 Controller (config-flow-monitor)# record fr_v6 Controller (config-flow-monitor)# exit Controller (config)# wlan wlan_1 Controller (config-wlan)# ipv6 flow monitor fm_v6 in Controller (config-wlan)# ipv6 flow monitor fm_v6 out Controller (config-wlan)# end Controller# show flow monitor fm_v6 cache
関連項目 | マニュアル タイトル |
---|---|
Flexible NetFlow の CLI コマンド |
Flexible NetFlow Command Reference (Cisco WLC 5700 Series) Flexible NetFlow Command Reference、Cisco IOS XE Release 3SE(Cisco WLC 5700 Series) |
説明 | Link |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
標準/RFC | タイトル |
---|---|
RFC 3954 |
『Cisco Systems NetFlow Services Export Version 9』 |
MIB | MIB のリンク |
---|---|
本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
この機能が導入されました。 |
Cisco IOS XE 3.3SE |
次の新しいコマンドが追加されました。 |
目次
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
次に、Flexible NetFlow に関する制約事項を示します。
Traditional NetFlow(TNF)のアカウンティングはサポートされていません。
Flexible NetFlow v5 エクスポート フォーマットはサポートされていません。NetFlow v9 エクスポート フォーマットのみがサポートされています。
入力および出力の両方の NetFlow アカウンティングがサポートされています。
マイクロフロー ポリシング機能は FNF と NetFlow ハードウェア リソースを共有します。
、インターフェイスと方向ごとに 1 個のフロー モニタだけをサポートしています。
レイヤ 2、IPv4、および IPv6 トラフィック タイプがサポートされています。ただし、controllerは、特定の方向とインターフェイスにおいて、一度にこれらのタイプの 1 つだけにフロー モニタを適用できます。
レイヤ 2、VLAN、WLAN、およびレイヤ 3 インターフェイスがサポートされています。ただし、controllerは SVI およびトンネルをサポートしていません。
次のサイズの NetFlow テーブルがサポートされています。
コントローラは 3 個の ASIC をサポートできます。 各 ASIC には、8K 入力エントリと 16K 出力エントリがあります。
NetFlow テーブルは個別のコンパートメントにあり、組み合わせることはできません。 パケットを処理した ASIC のテーブルに応じて、対応した ASIC のテーブルにフローが作成されます。
フル フロー アカウンティングとサンプル NetFlow アカウンティングの両方がサポートされています。
NetFlow ハードウェアの実装では、4 台のハードウェア サンプラーがサポートされています。 1/2 ~ 1/1024 のサンプラー レートを選択できます。 ランダム サンプリング モードのみがサポートされています。
マイクロフロー ポリシング機能(ワイヤレス実装の場合にのみ有効)では、フル フロー モードでのみ NetFlow を使用できます。NetFlow ポリシングは使用できません。 マイクロフロー QoS の妨げになるため、ワイヤレス トラフィックにはサンプラーを適用できません。
ワイヤレス トラフィックでは、フル フロー アカウンティングだけがサポートされています。
NetFlow ハードウェアの内部では、ハッシュ テーブルが使用されています。 ハードウェア内でハッシュ衝突が発生する場合があります。 したがって、内部の連想メモリ(CAM)でオーバーフローが発生しても、実際の NetFlow テーブルの使用率は約 80 % しかない場合があります。
フローに使用されるフィールドによって異なりますが、単一のフローは 2 個の連続したエントリを取得できます。 IPv6 フローも 2 個のエントリを取得します。 この場合、NetFlow エントリを効果的に使用すれば、テーブル サイズの半分で済みます。これは、上記のハッシュ衝突の制限とは別です。
controllerは、最大 16 個のフロー モニタをサポートしています。
マイクロフロー ポリシングは、フロー モニタ(制限 3)の個別セットを使用します。
SSID ベースの NetFlow アカウンティングがサポートされています。 SSID はインターフェイスと同様の方法で扱われます。 ただし、ユーザ ID などの一部のフィールドはサポートされていません。
NetFlow v9 形式のNetFlow エクスポートはサポートされていません。
入力フローは最初にフローのパケットを受信した ASIC にあります。 出力フローは、パケットが実際に controller セットアップを残した ASIC にあります。
バイト カウント フィールドのレポート値(「bytes long」と呼ばれる)は、レイヤ 2 パケット サイズの 18 バイトです。 従来のイーサネット トラフィック(802.3)の場合、これは正確です。 他のすべてのイーサネット タイプの場合、このフィールドは正確ではありません。 「bytes layer2」フィールドを使用すると、常に正確なレイヤ 2 パケット サイズが報告されます。 サポートされる Flexible NetFlow フィールドについては、サポートされている Flexible NetFlow フィールド を参照してください。
NetFlow は、controllerを通過するパケットの統計情報を提供するシスコ テクノロジーです。 NetFlow は、IP ネットワークから IP 運用データを取得するための標準規格です。 NetFlow は、ネットワークとセキュリティのモニタリング、ネットワーク プランニング、トラフィック分析、および IP アカウンティングを可能にするデータを提供します。 Flexible NetFlow は、実際の要件に合わせてトラフィック分析パラメータをカスタマイズする機能を追加することで、以前の NetFlow よりも改善されています。 Flexible NetFlow は再利用可能な設定コンポーネントを使用し、トラフィック分析およびデータ エクスポートに使用する、より複雑な設定を作成できるようにします。
Flexible NetFlow ではフローを使用して、アカウンティング、ネットワーク モニタリング、およびネットワーク プランニングに関連する統計情報を提供します。
フローは送信元インターフェイスに届く単方向のパケット ストリームで、キーの値は同じです。 キーは、パケット内のフィールドを識別する値です。 フローを作成するには、フロー レコードを使用して、フロー固有のキーを定義します。
controller は、ネットワーク異常とセキュリティ問題の高度な検出をイネーブルにする Flexible NetFlow 機能をサポートします。 Flexible NetFlow により、大量の定義済みフィールドの集合からキーを選択して、特定のアプリケーションに最適なフロー レコードを定義できます。
特定のフローでカウントするパケットでは、すべてのキー値が一致している必要があります。 フローは、設定したエクスポート レコード バージョンに基づいて、関係のある他のフィールドを収集することもあります。 フローは Flexible NetFlow キャッシュに格納されます。
エクスポータを使用して Flexible NetFlow がフローのために収集するデータをエクスポートし、リモートの Flexible NetFlow コレクタにこのデータをエクスポートできます。
モニタを使用してフローのために収集するデータのサイズを定義します。 モニタで、フロー レコードおよびエクスポータを Flexible NetFlow キャッシュ情報と結合します。
ワイヤレス Flexible NetFlow インフラストラクチャは次をサポートします。
マイクロフロー ポリシングとユーザ ベースのレート制限
マイクロフロー ポリシングは、NetFlow テーブル内の各フローに 2 カラー、1 レートのポリサーと関連ドロップ統計情報を関連付けます。 フロー マスクがすべてのパケット フィールドで構成される場合、この機能は「マイクロフロー ポリシング」と呼ばれます。 フロー マスクが送信元または宛先のみで構成される場合、この機能は「ユーザ ベースのレート制限」と呼ばれます。
音声およびビデオ フロー モニタリング
音声およびビデオ フローはフル フロー マスク ベースのエントリです。 ASIC は、ポリサー パラメータのプログラム、複数のフローでのポリサー共有、フローの IP アドレスとレイヤー 4 ポート番号の書き換えにおいて柔軟性を提供します。
(注) |
ダイナミック エントリの場合、NetFlow エンジンは、ポリシー(ACL/QoS ベース ポリシー)に基づいてフローに対して取得されたポリサー パラメータを使用します。 ダイナミック エントリは複数のフロー間でポリサーを共有できません。 |
再帰 ACL
再帰 ACL により、上位層セッション情報に基づいて IP パケットをフィルタリングできます。 ACL は発信トラフィックを許可し、信頼ネットワーク内で開始されたセッションに応じて、着信トラフィックを制限します。 再帰 ACL は、再帰的なエントリと一致するデータ パケットによりアクティブにされるまで、フィルタリング メカニズムに対して透過的です。 この時点では、一時 ACL エントリが作成され、IP 名付きアクセス リストに追加されています。 再帰 ACL エントリを生成するデータ パケットから取得した情報は、許可/拒否ビット、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、ポート、およびプロトコル タイプです。 再帰 ACL エントリの評価において、プロトコル タイプが TCP または UDP の場合、ポート情報は正確に一致する必要があります。 他のプロトコルの場合、一致するポート情報はありません。 この ACL をインストールすると、通過する応答パケットに対してファイアウォールが開かれます。 この時点では、ハッカーがファイアウォールの背後にあるネットワークにアクセスする危険性があります。 この危険性を最小限に抑えるには、アイドル タイムアウト期間を定義できます。 ただし、TCP の場合、2 つの FIN ビットまたは RST が検出された場合、ACL エントリが削除される可能性があります。
Flexible NetFlow では、key フィールドと nonkey フィールドの組み合わせがレコードと呼ばれます。 Flexible NetFlow のレコードは Flexible NetFlow フロー モニタに割り当てられ、フロー データの格納に使用されるキャッシュが定義されます。 Flexible NetFlow には、Flexible NetFlow の使用を開始する際に役立ついくつかの事前定義済みのレコードが含まれています。
フロー レコードでは、フロー内のパケットを識別するために Flexible NetFlow で使用するキーとともに、Flexible NetFlow がフローについて収集する他の関連 フィールドを定義します。 キーと関連フィールドを任意の組み合わせで指定して、フロー レコードを定義できます。 controllerは、幅広いキー セットをサポートします。 フロー レコードでは、フロー単位で収集するカウンタのタイプも定義します。 64 ビットのパケットまたはバイト カウンタを設定できます。 controllerは、フロー レコードの作成時に、デフォルトとして次の match フィールドをイネーブルにします。
次の表で、Flexible NetFlow の match パラメータについて説明します。 フロー レコードごとに、次の match パラメータを 1 つ以上設定する必要があります。
コマンド |
目的 |
---|---|
match datalink {dot1q | ethertype | mac | vlan } |
データ リンクまたはレイヤ 2 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match flow direction |
フローを識別するフィールドとの一致を指定します。 |
match interface {input | output} |
インターフェイス フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match ipv4 {destination | protocol | source | tos | ttl | version} |
IPv4 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match ipv6 {destination | hop-limit | protocol | source | traffic-class | version } |
IPv6 フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match transport {destination-port | igmp | icmp | source-port} |
トランスポート層フィールドとの一致を指定します。 次のコマンド オプションが使用可能です。 |
match wireless ssid |
使用される 802.11(Wi-Fi)ネットワークを識別する Service Set Identifier(SSID)フィールドとの一致を指定します。 |
match application name |
アプリケーション名との一致を指定します。 これは、Application Visibility and Control(AVC)機能に固有のコマンドです。 詳細については、『System Management Configuration Guide, Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ)』を参照してください。 |
コマンド |
目的 |
||
---|---|---|---|
collect counter { bytes { layer2 { long } | long } | packets { long } } |
カウンタ フィールドの合計バイト数と合計パケット数を収集します。 |
||
collect interface {input | output} |
入力または出力インターフェイスからフィールドを収集します。 |
||
collect timestamp absolute {first | last} |
最初のパケットが確認された絶対時間、または最新のパケットが最後に確認された絶対時間のフィールドを収集します(ミリ秒)。 |
||
collect transport tcp flags |
次の転送 TCP フラグを収集します。
|
||
collect wireless ap mac address |
ワイヤレス クライアントが関連付けられているアクセス ポイントの MAC アドレスを収集します。 |
||
collect wireless client mac address |
ワイヤレス ネットワークのクライアントの MAC アドレスを収集します。 これは、AVC 機能に固有のコマンドです。 詳細については、『System Management Configuration Guide, Cisco IOS XE Release 3SE』を参照してください。 |
エクスポータでは、 Flexible NetFlow エクスポート パケットに関して、ネットワーク層およびトランスポート層の詳細を指定します。次の表は、エクスポータの設定オプションを示します。
controller は、タイムアウトが発生するたびに、またはフローが終了したときに(TCP Fin または Rst を受信した場合など)、コレクタにデータをエクスポートします。 次のタイマーを設定すると、フローを強制的にエクスポートできます。
モニタは、フロー レコードおよびフロー エクスポータを参照します。 コントローラのインターフェイスにモニタを適用します。
(注) |
パケットに VLAN フィールドがある場合、その長さは考慮されません。 |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注記 |
---|---|---|---|---|---|---|---|
Key または Collect フィールド |
|||||||
インターフェイス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
フロー モニタを入力方向に適用する場合: |
インターフェイス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
フロー モニタを出力方向に適用する場合: |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注記 |
---|---|---|---|---|---|---|---|
Key フィールド |
|||||||
フロー方向 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Ethertype |
Yes |
Yes |
— |
— |
— |
— |
|
VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
dot1q VLAN 入力 |
Yes |
— |
Yes |
— |
Yes |
— |
スイッチ ポートでのみサポートされています。 |
dot1q VLAN 出力 |
— |
Yes |
— |
Yes |
— |
Yes |
スイッチ ポートでのみサポートされています。 |
dot1q 優先度 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
スイッチ ポートでのみサポートされています。 |
MAC 送信元アドレス入力 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
MAC 送信元アドレス出力 |
— |
— |
— |
— |
— |
— |
|
MAC 宛先アドレス入力 |
Yes |
— |
Yes |
— |
Yes |
— |
|
MAC 送信先アドレス出力 |
— |
Yes |
— |
Yes |
— |
Yes |
|
IPv4 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 TOS |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
IPv4 TTL |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
IPv4 発信元アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
IPv4 宛先アドレス |
— |
— |
Yes |
Yes |
— |
— |
|
ICMP IPv4 タイプ |
— |
— |
Yes |
Yes |
— |
— |
|
ICMP IPv4 コード |
— |
— |
Yes |
Yes |
— |
— |
|
IGMP タイプ |
— |
— |
Yes |
Yes |
— |
— |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注記 |
---|---|---|---|---|---|---|---|
Key フィールド(続き) |
|||||||
IPv6 バージョン |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP バージョンと同じです。 |
IPv6 プロトコル |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP プロトコルと同じです。 送信元/宛先ポート、ICMP コード/タイプ、IGMP タイプ、TCP フラグのいずれかが使用されている場合に使用する必要があります。 |
IPv6 送信元アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
IPv6 宛先アドレス |
— |
— |
— |
— |
Yes |
Yes |
|
IPv6 トラフィック クラス |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TOS と同じです。 |
IPv6 ホップ リミット |
— |
— |
Yes |
Yes |
Yes |
Yes |
IP TTL と同じです。 |
ICMP IPv6 タイプ |
— |
— |
— |
— |
Yes |
Yes |
|
ICMP IPv6 コード |
— |
— |
— |
— |
Yes |
Yes |
|
送信元ポート |
— |
— |
Yes |
Yes |
Yes |
Yes |
|
宛先ポート |
— |
— |
Yes |
Yes |
Yes |
Yes |
フィールド |
レイヤ 2 In |
レイヤ 2 Out |
IPv4 In |
IPV4 Out |
IPv6 In |
IPv6 Out |
注記 |
---|---|---|---|---|---|---|---|
Collect フィールド |
|||||||
Bytes long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
パケット サイズ =(FCS を含むイーサネット フレーム サイズ - 18 バイト) 推奨: このフィールドを回避し、Bytes layer2 long を使用します。 |
Packets long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Timestamp absolute first |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Timestamp absolute last |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
TCP フラグ |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
すべてのフラグを収集します。 |
Bytes layer2 long |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
2. flow record name
3. description string
4. match type
5. collect type
7. show flow record [name record-name]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例: Controller# configure terminal |
|
ステップ 2 | flow record name 例: Controller(config)# flow record test Controller(config-flow-record)# |
フロー レコードを作成し、フロー レコード コンフィギュレーション モードを開始します。 |
ステップ 3 | description string 例:
Controller(config-flow-record)# description Ipv4Flow
|
(任意)最大 63 文字で、このフロー レコードの説明を指定します。 |
ステップ 4 | match type 例: Controller(config-flow-record)# match ipv4 source address Controller(config-flow-record)# match ipv4 destination address Controller(config-flow-record)# match flow direction |
match キーを指定します。 使用できる match キーの値については、Flexible NetFlow の match パラメータ を参照してください。 |
ステップ 5 | collect type 例: Controller(config-flow-record)# collect counter bytes layer2 long Controller(config-flow-record)# collect counter bytes long Controller(config-flow-record)# collect timestamp absolute first Controller(config-flow-record)# collect transport tcp flags |
コレクション フィールドを指定します。 使用できるコレクション フィールドの値については、Flexible NetFlow の collect パラメータ を参照してください。 |
ステップ 6 |
end 例: Controller(config-flow-record)# end |
|
ステップ 7 | show flow record [name record-name] 例:
Controller show flow record test
|
(任意)NetFlow のフロー レコード情報を表示します。 |
ステップ 8 |
copy running-config startup-config 例: Controller# copy running-config startup-config |
エクスポート フォーマット、プロトコル、宛先、およびその他のパラメータを指定することによって、任意でフロー エクスポータを定義します。
2. flow exporter name
3. description string
4. dscp value
5. destination{ipv4-address}
6. source { source type }
7. transport udp number
9. show flow exporter [name record-name]
フロー レコードおよびフロー エクスポータに基づいて、フロー モニタを定義します。
2. flow monitor name
3. description string
4. exporter name
5. record name
6. cache { timeout {active | inactive} seconds | type normal }
8. show flow monitor [name record-name]
レイヤ 2 インターフェイス、レイヤ 3 インターフェイス、または VLAN にフロー モニタを適用します。
2. sampler name
3. description string
4. mode {random}
6. show sampler [name]
送信元インターフェイス、サブインターフェイス、 VLAN インターフェイス、または VLAN にフロー モニタを適用します。
2. interface type
3. {ip flow monitor | ipv6 flow monitor}name [|sampler name] { input}
5. show flow interface [interface-type number]
2. vlan [configuration] vlan-id
3. ip flow monitor name [sampler name] {input |output}
2. flow record name
3. match datalink {dot1q |ethertype | mac | vlan}
5. show flow record [name ]
1. configure terminal
2. wlan wlan-name
3. datalink flow monitor monitor-name {input | output}
4. end
5. show wlan wlan-name
1. configure terminal
2. wlan wlan-id
3. {ip | ipv6} flow monitor monitor-name {input | output}
4. end
5. show wlan wlan-name
コマンド |
目的 |
---|---|
show flow exporter [broker | export-ids | name | name | statistics | templates] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
show flow exporter [ name exporter-name] |
NetFlow のフロー エクスポータ情報と統計情報を表示します。 |
show flow interface |
NetFlow インターフェイスに関する情報を表示します。 |
show flow monitor [ name exporter-name] |
NetFlow のフロー モニタ情報と統計情報を表示します。 |
show flow monitor statistics |
フロー モニタの統計情報を表示します。 |
show flow monitor cache format {table | record | csv} |
指定された形式でフロー モニタのキャッシュの内容を表示します。 |
show flow record [ name record-name] |
NetFlow のフロー レコード情報を表示します。 |
show flow ssid |
WLAN の NetFlow モニタのインストール ステータスを表示します。 |
show sampler [broker | name | name] |
NetFlow サンプラーに関する情報を表示します。 |
show wlan wlan-name |
デバイスで設定された WLAN を表示します。 |
フローを作成し、そのフローをインターフェイスに適用する例を示します。
Controller# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)# flow export export1 Controller(config-flow-exporter)# destination 10.0.101.254 Controller(config-flow-exporter)# transport udp 2055 Controller(config-flow-exporter)# exit Controller(config)# flow record record1 Controller(config-flow-record)# match ipv4 source address Controller(config-flow-record)# match ipv4 destination address Controller(config-flow-record)# match ipv4 protocol Controller(config-flow-record)# match transport source-port Controller(config-flow-record)# match transport destination-port Controller(config-flow-record)# collect counter byte long Controller(config-flow-record)# collect counter packet long Controller(config-flow-record)# collect timestamp absolute first Controller(config-flow-record)# collect timestamp absolute last Controller(config-flow-record)# exit Controller(config)# flow monitor monitor1 Controller(config-flow-monitor)# record record1 Controller(config-flow-monitor)# exporter export1 Controller(config-flow-monitor)# exit Controller(config)# interface tenGigabitEthernet 1/0/1 Controller(config-if)# ip flow monitor monitor1 input Controller(config-if)# end
次に、WLAN 入力方向で IPv4 Flexible NetFlow を設定する例を示します。
Controller# configure terminal Controller(config)# flow record fr_v4 Controller(config-flow-record)# match ipv4 destination address Controller(config-flow-record)# match ipv4 source address Controller(config-flow-record)# match ipv4 protocol Controller(config-flow-record)# match ipv4 tos Controller(config-flow-record)# match ipv4 ttl Controller(config-flow-record)# match ipv4 version Controller(config-flow-record)# match wireless ssid Controller(config-flow-record)# collect wireless ap mac address Controller(config-flow-record)# collect counter packets long Controller(config-flow-record)# collect counter bytes long Controller(config-flow-record)# collect timestamp absolute first Controller(config-flow-record)# collect timestamp absolute last Controller(config-flow-record)# exit Controller(config)# flow monitor fm_v4 Controller(config-flow-monitor)# record fr_v4 Controller(config-flow-record)# exit Controller(config)# wlan wlan_1 Controller(config-wlan)# ip flow monitor fm_v4 in Controller(config-wlan)# end Controller# show flow monitor fm_v4 cache
次に、WLAN 出力方向で IPv6 および転送フラグ Flexible NetFlow を設定する例を示します。
Controller# configure terminal Controller(config)# flow record fr_v6 Controller(config-flow-record)# match ipv6 destination address Controller(config-flow-record)# match ipv6 source address Controller(config-flow-record)# match ipv6 hop-limit Controller(config-flow-record)# match ipv6 protocol Controller(config-flow-record)# match ipv6 traffic Controller(config-flow-record)# match ipv6 version Controller(config-flow-record)# match wireless ssid Controller(config-flow-record)# collect wireless ap mac address Controller(config-flow-record)# collect counter bytes long Controller(config-flow-record)# collect transport tcp flags Controller(config-flow-record)# exit Controller(config)# flow monitor fm_v6 Controller(config-flow-monitor)# record fr_v6 Controller(config-flow-monitor)# exit Controller(config)# wlan wlan_1 Controller(config-wlan)# ipv6 flow monitor fm_v6 out Controller(config-wlan)# end Controller# show flow monitor fm_v6 cache
(注) |
controllerでは、収集する TCP フラグを指定できません。 転送 TCP フラグの収集のみ指定できます。 |
次に、双方向の WLAN 上で IPv6 Flexible NetFlow を設定する例を示します。
Controller# configure terminal Controller (config)# flow record fr_v6 Controller (config-flow-record)# match ipv6 destination address Controller (config-flow-record)# match ipv6 source address Controller (config-flow-record)# match ipv6 hop-limit Controller (config-flow-record)# match ipv6 protocol Controller (config-flow-record)# match ipv6 traffic Controller (config-flow-record)# match ipv6 version Controller (config-flow-record)# match wireless ssid Controller (config-flow-record)# collect wireless ap mac address Controller (config-flow-record)# collect counter packets long Controller (config-flow-record)# exit Controller (config)# flow monitor fm_v6 Controller (config-flow-monitor)# record fr_v6 Controller (config-flow-monitor)# exit Controller (config)# wlan wlan_1 Controller (config-wlan)# ipv6 flow monitor fm_v6 in Controller (config-wlan)# ipv6 flow monitor fm_v6 out Controller (config-wlan)# end Controller# show flow monitor fm_v6 cache
説明 | Link |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |