SNAでのテレメトリ取り込み用のNetFlow/IPFIXの設定

ダウンロード オプション

  • PDF     (741.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (491.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (312.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 6 月 15 日
Document ID:220518

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Secure Network Analytics(SNA)がテレメトリ取り込みに必要とするNetflow/IPFIXのベストプラクティスと基本設定について説明します。

    前提条件

    • Cisco SNAの知識
    • NetFlow/IPFIXの知識

    要件

    • 7.2.1以降のSecure Network Analytics
    • 7.2.1以降のフローコレクタ
    • フローコレクタへのルートとしてのCLIアクセス

    使用するコンポーネント

    • これは、ネットワーク設計と、NetFlow/IPFIXをSecure Network Analyticsに送信するために選択したデバイスに完全に依存します。NetFlow/IPFIXの設定は各エクスポータで異なります。詳細な設定については、各エクスポータのサポートチームに問い合わせてください。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    フローコレクタは、Secure Network Analyticsに送信されるフローの収集、処理、および保存を担当するSNAアプライアンスです。NetFlowバージョン9またはIPFIXの場合、ネットワークトラフィックに関連する情報を追加するためにNetFlow/IPFIXテンプレートにいくつかのフィールドを含めることができますが、Flow Collectorがこれらのフローを処理するためにNetFlow/IPFIXテンプレートに含める必要がある特定のフィールドが9つあります。フローコレクタは、無効なテンプレートを含む着信フローを処理しません。そのため、SNAはWeb UIまたはデスクトップクライアントでこれらのエクスポータのフロー情報を表示しません。

    設定

    必須フィールド

    次のフィールドは、テレメトリ取り込み用のNetFlow/IPFIXテンプレートに含める必要があります。Secure Network Analyticsで着信フローを処理するために、これら9つのフィールドがNetFlow/IPFIXテンプレートに含まれていることを確認します。

    • 送信元 IP アドレス
    • 宛先 IP アドレス
    • 送信元ポート
    • 宛先ポート
    • レイヤ3プロトコル
    • バイト数
    • パケット数
    • フロー開始時間
    • フロー終了時間
    note-icon

    :NetFlow/IPFIX設定には他のフィールドを含めることもできますが、前述のフィールドはSecure Network Analytics for Telemetry Ingestの最小要件です。

    推奨フィールド

    インターフェイス情報に関する情報を収集するために、NetFlow/IPFIXテンプレートに次のフィールドを含めることをお勧めします。この設定は、名前や速度などのインターフェイス情報を表示するために必要です。

    • インターフェイス入力
    • インターフェイス出力

    ベスト プラクティス

    また、Secure Network Analyticsを適切に実行するためのベストプラクティスとして、次の設定を推奨します。

    • アクティブタイムアウトを60秒に設定
    • 非アクティブタイムアウトを15秒に設定
    • テンプレートのタイムアウトを30秒に設定する
    note-icon

    :NetFlowのデフォルトポートは2055ですが、別のポートを選択することもできます。フローコレクタでのlc-astプロセスでは、必ず同じポートを使用してください。

    確認

    NetFlow/IPFIXテンプレートの設定を検証するために、エクスポータとフローコレクタ間でパケットキャプチャを実行できます。SSH経由でrootユーザを使用してフローコレクタにログインし、次のコマンドを実行します。

    tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap
    • SCPツールを使用して、フローコレクタ(/lancope/var/tcpdump内にあります)からローカルマシンにパケットキャプチャをエクスポートし、Wiresharkで開きます

    パケットキャプチャ内のテンプレートの識別

    • NetFlow/IPFIXテンプレートが受信されたフレームを特定し、それを開いてテンプレートに含まれるフィールドを検証します

    テンプレート内のフィールドの読み取り

    note-icon

    :表示されるフィールド名はエクスポータごとに異なる場合があります。これは、これらのフィールドを検証する方法を示すだけです。

    更新履歴

    改定 発行日 コメント
    1.0
    15-Jun-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • アントニオヘルナンデスアルマンザ
      CiscoセキュリティTACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています