Catalyst 6500/6000 スイッチでの NetFlow 設定とトラブルシューティング

ダウンロードオプション

PDF (324.3 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (145.6 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (238.5 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2012 年 1 月 20 日

Document ID:70974

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

概要

前提条件

要件

使用するコンポーネント

表記法

背景説明

設定

ネットワーク図

Native IOS での設定

NetFlow の有効化

NDE の設定

オプションの設定

ハイブリッド OS での設定

NetFlow の有効化

NDE の設定

オプションの設定

確認

トラブルシュート

無効化された MLS エージング

NetFlow が片方向でのトラフィックを表示する

NetFlow がスイッチまたはブリッジされたトラフィックを表示しない

送信元 IP アドレスと宛先 IP アドレスが IP フローに表示されない

VLAN 上のブリッジドフロー統計情報のサポート

NetFlow での不正確な BGP_NEXTHOP

概要

このドキュメントでは、Native IOS あるいは Hybrid OS が稼働する Catalyst 6500/6000 スイッチでの NetFlow 設定例について説明します。ネットワークのコアデバイスとして機能する場合は、Catalyst 6500/6000 を通過するトラフィックをモニタリングする必要がある場合があります。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

スーパーバイザエンジン 32、MSFC2A、および PFC3 を搭載する Catalyst 6500
Cisco IOS?ソフトウェアリリース12.2(18)SXF4

注：NetFlowの設定は、Route Switch Processor 720、Supervisor Engine 720でもサポートされています。NetFlowに関する限り、Supervisor Engine 720とRoute Switch Processor 720には違いはありません。そのため、Supervisor Engine 720 と Route Switch Processor 720 の両方に同じ設定が適用されます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。

背景説明

NetFlow は Cisco IOS のアプリケーションの 1 つであり、ルータを通過するパケットに関する統計情報を提供します。NetFlow は、スイッチを通過するトラフィックから統計情報をグローバルに収集し、その統計情報を NetFlow テーブルに保存します。コマンドラインを使用して NetFlow テーブルにアクセスできます。NetFlow の統計情報は、NetFlow コレクタと呼ばれるレポーティングサーバへのエクスポートも可能です。NetFlow の統計情報を NetFlow コレクタにエクスポートするには、スイッチで NetFlow Data Export（NDE; NetFlow データエクスポート）を設定する必要があります。NetFlow は、CEF/ファストスイッチドのトラフィックのみをモニタします。ファストスイッチングを有効化するには、モニタする必要のあるインターフェイスに ip route-cache コマンドを入力します。

Netflow を設定する前に、知っておく必要のあるポイントがいくつかあります。

Multilayer Switch Feature Card（MSFC; マルチレイヤスイッチフィーチャカード）上の NetFlow キャッシュは、ソフトウェアでルーティングされるフローの統計情報をキャプチャします。
Policy Feature Card（PFC; ポリシーフィーチャカード）上の NetFlow キャッシュは、ハードウェアでルーティングされるフローの統計情報をキャプチャします。
NetFlow キャッシュテーブル内のキャッシュエントリのフォーマットは、フローマスクで定義されます。PFC でサポートされるフローマスクはいくつかありますが、NetFlow は統計情報全体に対してフローマスクを 1 つだけ使用します。フローマスクタイプは要件に応じて設定できます。PFC で利用可能なフローマスクを次に示します。
- source-only：それほど限定的ではないフローマスク。PFC は、各発信元 IP アドレスに対してエントリを 1 つ維持します。特定の発信元 IP アドレスからのすべてのフローがこのエントリを使用します。
- destination：それほど限定的ではないフローマスク。PFC は、各宛先 IP アドレスに対してエントリを 1 つ維持します。特定の宛先 IP アドレスへのすべてのフローがこのエントリを使用します。
- destination-source：より限定的なフローマスク。PFC は、発信元と宛先の IP アドレスの各ペアに対してエントリを 1 つ維持します。このエントリは、同じ発信元 IP アドレスと宛先 IP アドレス間のすべてのフローで使用されます。
- destination-source-interface：より限定的なフローマスク。destination-source フローマスク内の情報に、ソース VLAN の Simple Network Management Protocol（SNMP; 簡易ネットワーク管理プロトコル）ifIndex が追加されます。
- full：より限定的なフローマスク。PFC は、各 IP フローごとに個別のキャッシュエントリを作成し、維持します。フルエントリには、発信元 IP アドレス、宛先 IP アドレス、プロトコル、およびプロトコルインターフェイスが含まれます。
- full-interface：最も限定的なフローマスク。full フローマスク内の情報に、ソース VLAN の SNMP ifIndex を追加します。
PFC 上の NDE は、PFC でキャプチャされた統計情報用に NDE バージョン 5 および 7 をサポートしています。

注：Cisco IOSソフトウェアリリース12.2(18)SXE以降が稼働するPFC3BまたはPFC3BXLモードでは、ルーテッドおよびブリッジドトラフィックの両方の統計情報を収集するためにNDEを設定できます。PFC3A モード、あるいは、Cisco IOS ソフトウェアリリース 12.2(18)SXE よりも前のリリースでは、NDE はルーティングされるトラフィックに関してのみ統計情報を収集します。

設定

この項の設定例では、NetFlow キャッシュを NetFlow コレクタにエクスポートするための、スイッチでの NetFlow の設定方法および NDE の設定方法を示しています。さらに、NetFlow をお客様のネットワークに合わせて調整するために使用できる、オプションのパラメータも説明しています。この例では、Catalyst 6500 スイッチはネットワーク内に、2 つの VLAN、10 と 20 があります。インターフェイス fa3/1 は、このネットワークの外に接続されています。

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注：Netflowの設定では、トラフィックが中断されたり、設定されたインターフェイスが無効にされたりすることはありません。

ネットワーク図

このドキュメントでは、次のネットワークセットアップを使用します。

Native IOS での設定

このドキュメントでは、次の構成を使用します。

NetFlow の有効化
NDE の設定
オプションの設定

NetFlow の有効化

ネットワークで NetFlow を設定する最初のステップは、MSFC と PFC の両方で NetFlow を有効にすることです。次の例は、NetFlow を有効にする方法について手順を追って説明しています。

PFC で Netflow を有効にする。
PFC でフローマスクを設定する。
MSFC で Netflow を有効にする。
PFC 上でレイヤ 2 でスイッチングされるトラフィック用に NetFlow を有効にする。

最大 300 のアクセスポイントグループ
Switch(config)#interface Vlan10 Switch(config-if)#ip address 10.10.10.1 255.255.255.0 Switch(config-if)#exit Switch(config)#interface Vlan20 Switch(config-if)#ip address 10.10.20.1 255.255.255.0 Switch(config-if)#exit Switch(config)#interface loopback 0 Switch(config-if)#ip address 10.10.1.1 255.255.255.255 Switch(config-if)#exit Switch(config)#interface fastEthernet 3/1 Switch(config-if)#no switchport Switch(config-if)#ip address 10.10.200.1 255.255.255.0 Switch(config-if)#exit !--- This configuration shows that !--- the VLANs are configured with IP addresses. ! Switch(config)#mls netflow !--- Enables NetFlow on the PFC. ! Switch(config)#mls flow ip full !--- Configures flow mask on the PFC. !--- In this example, flow mask is configured as full. ! Switch(config)#interface Vlan10 Switch(config-if)#ip route-cache flow Switch(config-if)#exit Switch(config)#interface Vlan20 Switch(config-if)#ip route-cache flow Switch(config-if)#exit Switch(config)#interface fastEthernet 3/1 Switch(config-if)#ip route-cache flow Switch(config-if)#exit !--- Enables NetFlow on the MSFC. Switch(config)#ip flow ingress layer2-switched vlan 10,20 !--- Enables NetFlow for Layer 2-switched traffic on the PFC. !--- It also enables the NDE for Layer 2-switched traffic on the PFC.

最大 300 のアクセスポイントグループ

Switch(config)#interface Vlan10
 Switch(config-if)#ip address 10.10.10.1 255.255.255.0
 Switch(config-if)#exit

Switch(config)#interface Vlan20
 Switch(config-if)#ip address 10.10.20.1 255.255.255.0
 Switch(config-if)#exit

Switch(config)#interface loopback 0
 Switch(config-if)#ip address 10.10.1.1 255.255.255.255
 Switch(config-if)#exit

Switch(config)#interface fastEthernet 3/1
 Switch(config-if)#no switchport
 Switch(config-if)#ip address 10.10.200.1 255.255.255.0
 Switch(config-if)#exit

!--- This configuration shows that !--- the VLANs are configured with IP addresses.



!
Switch(config)#mls netflow


!--- Enables NetFlow on the PFC.

!
Switch(config)#mls flow ip full
 

!--- Configures flow mask on the PFC. !--- In this example, flow mask is configured as full.

!
Switch(config)#interface Vlan10
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit

Switch(config)#interface Vlan20
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit

Switch(config)#interface fastEthernet 3/1
Switch(config-if)#ip route-cache flow
Switch(config-if)#exit


!--- Enables NetFlow on the MSFC.


Switch(config)#ip flow ingress layer2-switched vlan 10,20

!--- Enables NetFlow for Layer 2-switched traffic on the PFC. !--- It also enables the NDE for Layer 2-switched traffic on the PFC.

NDE の設定

NetFlow では、NetFlow キャッシュテーブルでアクティブな NetFlow を維持します。スイッチでのアクティブな NetFlow キャッシュを表示するために、show mls netflow ip コマンドを発行できます。NetFlow キャッシュが期限切れになると、コマンドラインを使用した NetFlow トラフィックの表示ができなくなります。期限切れになった NetFlow キャッシュは、NetFlow データコレクタにエクスポートできます。NetFlow トラフィックの履歴保存に NetFlow データコレクタを使用する場合は、Catalyst 6500 スイッチで NDE を設定する必要があります。利用可能な NetFlow コレクタは多数あります。これには Cisco NetFlow Collector と Cisco CS-Mars が含まれます。NDE送信者はレイヤ2トラフィックに関するもので、ip route-cache flowはレイヤ3トラフィックに関するものなので、NDE送信者のバージョンがip-flowエクスポートバージョンと同じである必要はありません。Cisco IOS NetFlowの概要 – 技術概要この項では、Catalyst 6500 スイッチでの NDE 設定について説明しています。

PFC で NDE を設定する。
MSFC で NDE を設定する。
PFC 上でレイヤ 2 でスイッチングされるトラフィック用に NDE を有効にする。

最大 300 のアクセスポイントグループ
Switch(config)#mls nde sender version 5 !--- Configures NDE in the PFC. This example configures NDE version 5. !--- You need to configure the version based on your NetFlow collector. !--- The mls nde sender* command configures !--- the NDE with default version 7. If your NetFlow collector supports !--- version 7 NDE format, you need to issue the !--- mls nde sender command.* ! Switch(config)#ip flow-export source loopback 0 Switch(config)#ip flow-export destination 10.10.100.2 9996 !--- Configures NDE on the MSFC with the NetFlow collector IP address !--- and the application port number 9996. This port number varies !--- depending on the NetFlow collector you use. Switch(config)#ip flow export layer2-switched vlan 10,20 !--- Enabling ip flow ingress* as in the Enable NetFlow Section !--- automatically enables ip flow export. !--- If you disabled ip flow export earlier, you can enable it as mentioned.* !--- Show run does not show the ip flow export* command.*

最大 300 のアクセスポイントグループ

Switch(config)#mls nde sender version 5

!--- Configures NDE in the PFC. This example configures NDE version 5. !--- You need to configure the version based on your NetFlow collector.


!--- The mls nde sender command configures !--- the NDE with default version 7. If your NetFlow collector supports !--- version 7 NDE format, you need to issue the !--- mls nde sender command.





!

Switch(config)#ip flow-export source loopback 0

Switch(config)#ip flow-export destination 10.10.100.2 9996

!--- Configures NDE on the MSFC with the NetFlow collector IP address !--- and the application port number 9996. This port number varies !--- depending on the NetFlow collector you use.





Switch(config)#ip flow export layer2-switched vlan 10,20

!--- Enabling ip flow ingress as in the Enable NetFlow Section !--- automatically enables ip flow export. !--- If you disabled ip flow export earlier, you can enable it as mentioned.





!--- Show run does not show the ip flow export command.

オプションの設定

NetFlow にはいくつかのオプション設定があります。これは、お客様のネットワーク設計、ネットワークを通過するトラフィック量、および、NetFlow データの要件によって決まります。オプション設定について簡単に説明します。

Multilayer Switching（MLS）エージング：NetFlow トラフィックがアクティブの場合、NetFlow キャッシュが期限切れになることはありません。NetFlow キャッシュが期限切れにならなければ、NetFlow データコレクタにエクスポートされることはありません。継続的なアクティブフローを定期的にレポートするために、mls aging long コマンドで設定されたインターバルの終了時に、継続的なアクティブフローのエントリは期限切れになります（デフォルトは 32 分）。 この出力は、デフォルトの MLS キャッシュのエージング間隔を示しています。
```
asnml-c6509-01#show mls netflow aging
             enable timeout  packet threshold
             ------ -------  ----------------
normal aging true       300        N/A
fast aging   false      32         100
long aging   true       1920       N/A
```
NetFlow サンプリング：デフォルトでは、NetFlow はフロー内の全パケットをキャプチャします。NetFlow サンプリングを使用する場合は、パケットのサブセットをキャプチャできます。NetFlow サンプリングは、時間ベースあるいはパケットベースのいずれでも有効にできます。
NetFlow 集約：集約キャッシュは、スイッチの追加の NetFlow キャッシュテーブルで、NetFlow トラフィックの集約フロー統計情報があります。Catalyst 6500 には、発信元プレフィクス、宛先プレフィクス、およびプロトコルポートなどの、NetFlow 集約のための異なった方式があります。スイッチには複数の方式の設定が可能で、統計情報を NetFlow コレクタにエクスポートするために NDE を使用できます。NetFlow の集約キャッシュにより、スイッチと NetFlow コレクタ間に必要な帯域幅が削減されます。
NDE フローフィルタ：NDE フローフィルタを設定して、対象の NetFlow キャッシュだけをエクスポートできます。フィルタを設定すると、指定されたフィルタの条件に合致する期限切れフローと削除済みのフローだけがエクスポートされます。発信元アドレス、宛先アドレス、発信元ポート、および宛先ポートに基づいて、NetFlow キャッシュエントリにフィルタをかけることができます。
NetFlow キャッシュエントリ：NetFlow キャッシュで NetFlow エントリの数を増減できます。

この項では、オプション設定について説明します。この設定は、お客様の要件によって変わります。

MLS エージングの設定
NetFlow サンプリングの設定
NetFlow 集約の設定
NDE フローフィルタの設定
NetFlow キャッシュエントリの設定

最大 300 のアクセスポイントグループ
Switch(config)#mls aging long 300 !--- Configures the switch to delete the active NetFlow !--- cache entries after 5 minutes. The default value is 32 minutes. ! Switch(config)#mls aging normal 120 !--- Configures the switch to delete the inactive NetFlow !--- cache entries after 2 minutes. The default value is 5 minutes. ! Switch(config)#mls sampling time-based 64 !--- 1 out of 64 packets is sampled for the NetFlow cache. By default, !--- sampling is disabled and every packet is captured into the NetFlow cache. ! Switch(config)#ip flow-aggregation cache protocol-port Switch(config-flow-cache)#cache entries 1024 Switch(config-flow-cache)#cache timeout active 30 Switch(config-flow-cache)#cache timeout inactive 300 Switch(config-flow-cache)#export destination 10.10.100.2 9996 Switch(config-flow-cache)#enabled Switch(config-flow-cache)#exit !--- Configures protocol and port aggregation scheme. ! Switch(config)#mls nde flow exclude protocol tcp dest-port 23 !--- Configures the NDE not to export the traffic with destination port tcp 23. ! Switch(config)#ip flow-cache entries 128000 !--- The change in number of entries take effect after either the next reboot or !--- when netflow is turned off on all interfaces.

最大 300 のアクセスポイントグループ

Switch(config)#mls aging long 300

!--- Configures the switch to delete the active NetFlow !--- cache entries after 5 minutes. The default value is 32 minutes.



!

Switch(config)#mls aging normal 120

!--- Configures the switch to delete the inactive NetFlow !--- cache entries after 2 minutes. The default value is 5 minutes.



!

Switch(config)#mls sampling time-based 64

!--- 1 out of 64 packets is sampled for the NetFlow cache. By default, !--- sampling is disabled and every packet is captured into the NetFlow cache.



!

Switch(config)#ip flow-aggregation cache protocol-port
Switch(config-flow-cache)#cache entries 1024
Switch(config-flow-cache)#cache timeout active 30
Switch(config-flow-cache)#cache timeout inactive 300
Switch(config-flow-cache)#export destination 10.10.100.2 9996
Switch(config-flow-cache)#enabled
Switch(config-flow-cache)#exit


!--- Configures protocol and port aggregation scheme.

!

Switch(config)#mls nde flow exclude protocol tcp dest-port 23


!--- Configures the NDE not to export the traffic with destination port tcp 23.

!

Switch(config)#ip flow-cache entries 128000


!--- The change in number of entries take effect after either the next reboot or !--- when netflow is turned off on all interfaces.

ハイブリッド OS での設定

この項では、Hybrid OS が稼働する Catalyst 6500 スイッチのための設定例を紹介します。設定では、IOS のセクションと同じダイアグラムを使用しています。このドキュメントでは、次の設定を使用します。

NetFlow の有効化
NDE の設定
オプションの設定

NetFlow の有効化

VLAN はすでにスーパーバイザモジュールで作成済で、MSFC に VLAN インターフェイスの IP が割り当てられていると仮定します。ここでは、NetFlow がスーパーバイザモジュールと MSFC の両方で有効にされています。NetFlow はレイヤ 3 インターフェイス上だけで有効化できます。

最大 300 のアクセスポイントグループ
Catos(enable)set mls flow full !--- Enables NetFlow and configures flow mask on the supervisor module. !--- In this example, flow mask is configured as full. ! MSFC(config)#interface Vlan10 MSFC(config-if)#ip route-cache flow MSFC(config-if)#exit MSFC(config)#interface Vlan20 MSFC(config-if)#ip route-cache flow MSFC(config-if)#exit MSFC(config)#interface fastEthernet 3/1 MSFC(config-if)#ip route-cache flow MSFC(config-if)#exit !--- Enables NetFlow on the MSFC.

最大 300 のアクセスポイントグループ

Catos(enable)set mls flow full
 

!--- Enables NetFlow and configures flow mask on the supervisor module. !--- In this example, flow mask is configured as full.

!
MSFC(config)#interface Vlan10
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit

MSFC(config)#interface Vlan20
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit

MSFC(config)#interface fastEthernet 3/1
MSFC(config-if)#ip route-cache flow
MSFC(config-if)#exit


!--- Enables NetFlow on the MSFC.

NDE の設定

この項では、スーパーバイザモジュールと MSFC の両方での NDE の設定を示しています。この例では、ループバック 0 ではなく、VLAN 1 が使用されています。

最大 300 のアクセスポイントグループ
Catos(enable)set mls nde enable Catos(enable)set mls nde version 7 Catos(enable)set mls nde 10.10.100.2 9996 !--- Configures NDE in the supervisor. This example configures NDE version 7. ! MSFC(config)#ip flow-export version 5 MSFC(config)#ip flow-export source vlan 1 MSFC(config)#ip flow-export destination 10.10.100.2 9996 !--- Configures NDE on the MSFC with the NetFlow collector IP address !--- and the application port number 9996. This port number varies !--- depending on the NetFlow collector you use.

最大 300 のアクセスポイントグループ

Catos(enable)set mls nde enable
Catos(enable)set mls nde version 7
Catos(enable)set mls nde 10.10.100.2 9996

!--- Configures NDE in the supervisor. This example configures NDE version 7.
!
MSFC(config)#ip flow-export version 5
MSFC(config)#ip flow-export source vlan 1
MSFC(config)#ip flow-export destination 10.10.100.2 9996

!--- Configures NDE on the MSFC with the NetFlow collector IP address !--- and the application port number 9996. This port number varies !--- depending on the NetFlow collector you use.

オプションの設定

この例では、スーパーバイザモジュールでの NetFlow エージングタイムの設定を示しています。

最大 300 のアクセスポイントグループ
Catos(enable)set mls agingtime long-duration 300 !--- Configures the switch to delete the active NetFlow !--- cache entries after 5 minutes. The default value is 32 minutes. ! Switch(config)#set mls agingtime 120 !--- Configures the switch to delete the inactive NetFlow !--- cache entries after 2 minutes. The default value is 5 minutes.

最大 300 のアクセスポイントグループ

Catos(enable)set mls agingtime long-duration 300

!--- Configures the switch to delete the active NetFlow !--- cache entries after 5 minutes. The default value is 32 minutes.

!
Switch(config)#set mls agingtime 120

!--- Configures the switch to delete the inactive NetFlow !--- cache entries after 2 minutes. The default value is 5 minutes.

確認

この項では、NetFlow キャッシュテーブルと NDE の検証方法を示しています。さらに、NetFlow コレクタの出力例も紹介しています。

アウトプットインタープリタツール（登録ユーザ専用）（OIT）は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。

show mls netflow ip コマンドにより、スーパーバイザモジュールでの NetFlow キャッシュエントリが表示されます。次に、出力例を示します。

Switch#show mls netflow ip
Displaying Netflow entries in Supervisor Earl
DstIP           SrcIP           Prot:SrcPort:DstPort  Src i/f          :AdjPtr
-----------------------------------------------------------------------------
Pkts         Bytes         Age   LastSeen  Attributes
---------------------------------------------------
10.10.10.100   10.10.10.1     tcp :telnet :2960     --               :0x0

26           1223          101   20:35:41   L2 - Dynamic
10.10.20.2     10.10.20.1     tcp :11837  :179      --               :0x0

6            315           174   20:35:29   L2 - Dynamic
10.10.200.1     10.10.200.2     tcp :21124  :179      --               :0x0

0            0             176   20:35:28   L3 - Dynamic
10.10.20.1     10.10.20.2     tcp :179    :11837    --               :0x0

0            0             174   20:35:29   L3 - Dynamic
171.68.222.140  10.10.10.100   udp :3046   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   64.101.128.56   udp :dns    :2955     --               :0x0

6            944           178   20:34:29   L3 - Dynamic
10.10.200.2     10.10.200.1     tcp :179    :21124    --               :0x0

5            269           133   20:35:28   L2 - Dynamic
0.0.0.0         0.0.0.0         0   :0      :0        --               :0x0

87           10488         133   20:35:29   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3047   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   171.70.144.201  icmp:0      :0        --               :0x0

1            60            71    20:34:30   L3 - Dynamic
171.68.222.140  10.10.10.100   udp :3045   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   64.101.128.92   tcp :3128   :2993     --               :0x0

20           13256         102   20:34:00   L3 - Dynamic
10.10.10.100   171.68.222.140  udp :1029   :3045     --               :0x0

1            368           2     20:35:39   L3 - Dynamic
171.68.222.140  10.10.10.100   icmp:771    :0        --               :0x0

1            176           2     20:35:39   L3 - Dynamic
10.10.10.100   10.16.151.97    udp :1029   :3048     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
10.16.151.97    10.10.10.100   udp :3045   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3049   :1029     --               :0x0

2            152           2     20:35:39   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3045   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
64.101.128.56   10.10.10.100   udp :2955   :dns      --               :0x0

6            389           178   20:34:29   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3045     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3050   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.16.151.97    10.10.10.100   udp :3048   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   64.101.128.92   tcp :3128   :2991     --               :0x0

15           4889          106   20:34:00   L3 - Dynamic
10.10.10.100   10.16.151.97    udp :1029   :3045     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
171.68.222.140  10.10.10.100   udp :3051   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.16.151.97    10.10.10.100   icmp:771    :0        --               :0x0

1            176           2     20:35:39   L3 - Dynamic
10.10.10.100   64.101.128.92   tcp :3128   :2992     --               :0x0

16           7019          106   20:34:00   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3047     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
10.16.151.97    10.10.10.100   udp :3052   :1029     --               :0x0

1            46            2     20:35:39   L3 - Dynamic
10.10.10.100   171.68.222.140  udp :1029   :3046     --               :0x0

1            368           2     20:35:39   L3 - Dynamic
10.10.10.1     10.10.10.100   tcp :2960   :telnet   --               :0x0

0            0             101   20:35:41   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3049     --               :0x0

2            961           2     20:35:39   L3 - Dynamic
171.68.222.136  10.10.10.100   udp :3053   :1029     --               :0x0

2            152           2     20:35:40   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3050     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
10.10.10.100   171.68.222.136  udp :1029   :3053     --               :0x0

2            961           1     20:35:40   L3 - Dynamic
10.10.10.100   171.68.222.140  udp :1029   :3051     --               :0x0

1            368           2     20:35:39   L3 - Dynamic
10.10.10.100   10.16.151.97    udp :1029   :3052     --               :0x0

1            366           2     20:35:39   L3 - Dynamic
172.22.1.110    10.10.200.1     udp :52039  :9996     --               :0x0

9            876           209   20:35:12   L2 - Dynamic
10.175.52.255   10.10.10.100   udp :137    :137      --               :0x0

3            234           72    20:34:31   L2 - Dynamic
171.70.144.201  10.10.10.100   icmp:8      :0        --               :0x0

1            60            72    20:34:29   L3 - Dynamic

実稼働環境では、この出力は膨大な量になります。show mls netflow ip コマンドには、対象のトラフィックだけを表示するオプションがあります。次の出力には、オプションのリストが示されています。

Switch#show mls netflow ip ?
  count         total number of mls entries
  destination   show entries with destination ip address
  detail        display additional per-flow detail
  dynamic       hardware created netflow statistics entries
  flow          flow
  module        Show for module
  nowrap        no text wrap
  qos           qos statistics
  source        show entries with source ip address
  sw-installed  s/w installed netflow entries
  |             Output modifiers
  <cr>

show mls nde コマンドでは、NetFlow のエクスポート情報を表示します。この情報には、エクスポート先の NetFlow コレクタ、および、エクスポートするパケット数が示されます。次に、出力例を示します。

Switch#show mls nde
 Netflow Data Export enabled 
 Exporting flows to  10.10.100.2 (9996)
 Exporting flows from 10.10.1.1 (52039)
 Version: 5
 Layer2 flow creation is enabled on vlan 10,20
 Layer2 flow export is enabled on vlan 10,20
 Include Filter not configured 
 Exclude Filter not configured 
 Total Netflow Data Export Packets are:
    337 packets, 0 no packets, 3304 records
 Total Netflow Data Export Send Errors:
	IPWRITE_NO_FIB = 0
	IPWRITE_ADJ_FAILED = 0
	IPWRITE_PROCESS = 0
	IPWRITE_ENQUEUE_FAILED = 0
	IPWRITE_IPC_FAILED = 0
	IPWRITE_OUTPUT_FAILED = 0
	IPWRITE_MTU_FAILED = 0
	IPWRITE_ENCAPFIX_FAILED = 0
 Netflow Aggregation Disabled

NDE の統計情報をクリアするには、clear mls nde flow counters コマンドを発行します。

次のダイアグラムは、NetFlow コレクタからの出力例を示しています。

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

設定が動作することを確認するためには、知っておく必要のあるポイントがいくつかあります。

PFC 上の NDE、および MSFC 上の NDE をサポートするには、MSFC のレイヤ 3 インターフェイスで NetFlow を有効にしておく必要があります。NetFlow の有効化セクションに従って、スイッチを設定する必要があります。レイヤ 2 ブリッジされたトラフィックを有効にする必要がない場合は、no ip flow ingress layer2-switched コマンドを使用して、ip flow ingress layer2-switched コマンドを取り消します。
full および interface-full フローマスクを設定してある場合は、ネットワークアドレス変換（NAT）が有効になっているインターフェイスで NetFlow を有効にはできません。つまり、ip nat inside コマンドまたは ip nat outside コマンドでインターフェイスを設定していて、さらに full および interface-full フローマスクが設定してある場合は、そのインターフェイスでは NetFlow を有効にできません。次のエラーメッセージが表示されます。
```
%FM_EARL7-4-FEAT_FLOWMASK_REQ_CONFLICT: Feature NDE requested flowmask Int
f Full Flow Least conflicts with other features on interface Vlan52, flowmask re
quest Unsuccessful for the feature
```
Policy Feature Card 3（PFC3）と Policy Feature Card 2（PFC2）では、ハードウェアでのレイヤ 3 スイッチングに NetFlow テーブルを使用しません。
NetFlow集約ではNDEバージョン8が使用されます。NetFlowコレクタがバージョン8形式をサポートしていることを確認する必要があります。

注： 現行の Cisco Catalyst 6500 Supervisor 720 ファミリーの NetFlow は、入力インターフェイス機能のみです。.Cisco IOS ソフトウェアリリース 12.2(33)SXH 以降では、インターフェイス単位で PFC NetFlow データ収集を有効化するインターフェイス単位の NDE をサポートしています。Cisco IOS ソフトウェアリリース 12.2(33)SXH よりも前のリリースでは、PFC の NetFlow はグローバルに限り有効化および無効化できます。
レイヤ 2 の分析を実行するには、NetFlow をローカルルータで有効化する必要があります。

無効化された MLS エージング

Native IOS で稼働する Cisco Catalyst 6500 スイッチでは、Server Load Balancing（SLB）が有効になっていると、MLS 長期エージングは NetFlow キャッシュエントリのエージングに失敗します。この問題は、Cisco Bug ID CSCea83612 （登録ユーザ専用）に記述されています。この不具合の影響を受けない、最新の Cisco IOS にアップグレードしてください。

NetFlow が片方向でのトラフィックを表示する

NetFlow を有効にしてあると、show mls netflow ip コマンドでは片方向のトラフィックだけが表示されます。デフォルトでは、NetFlow は入トラフィックだけをキャッシュします。着信および発信トラフィックの両方をキャッシュするには、着信および発信インターフェイスの両方で ip route-cache flow コマンドを発行します。

NetFlow がスイッチまたはブリッジされたトラフィックを表示しない

デフォルトでは、NetFlow は同じ VLAN 上を行き交うトラフィックの統計情報は表示せず、いずれかの VLAN から入ってきて別の VLAN へ出て行くトラフィックのみを表示します。たとえば、そのインターフェイスに ip route-cache flow コマンドが個別に設定されている場合の VLAN インターフェイスです。

注：同じVLANを通過するトラフィックの統計情報を表示するには、ソフトウェアスイッチドNetFlowを無効にします。つまり、レイヤ3インターフェイスでip route-cache flowを設定しない。

特定の VLAN のスイッチドフロー、ブリッジドフロー、およびレイヤ 2 IP フローの作成を有効化するには、ip flow layer2-switched コマンドを発行します。

レイヤ 2 のスイッチドフロー、ブリッジドフロー、および IP フローの収集を有効化するには、ip flow ingress layer2-switched vlan {num | vlanlist}コマンド。レイヤ 2 のスイッチドフロー、ブリッジドフロー、および IP フローのエクスポートを有効化するには、ip flow export layer2-switched vlan {num | vlanlist}コマンド。

このコマンドは、Supervisor Engine 720（PFC3B および PFC3BXL モードのみ）および PFC2 を搭載した Supervisor Engine 2 でサポートされます。

Supervisor Engine 720 が搭載された Catalyst 6500 シリーズスイッチでこのコマンドを使用する前に、対応する VLAN インターフェイスが使用可能であり、有効な IP アドレスが含まれていることを確認してください。このガイドラインは、Supervisor Engine 2が設定されたCatalyst 6500シリーズスイッチには適用されません。NetFlow情報がスーパーバイザ720エンジンによって分析のためにコレクタにエクスポートされると、tcpフラグはZEROに設定されます。これは、Supervisor 720 が EARL7 ASIC を使用するためのハードウェア制限によるものです。TCP フラグのサポートは EARL8 ASIC に統合されます。

送信元 IP アドレスと宛先 IP アドレスが IP フローに表示されない

IP フローが送信元と宛先の IP アドレスに表示されない理由は次のとおりです。

パケットが ACL によってブロックされている。
パケットがプロセススイッチされている。
マルチキャストトラフィック
ルータが宛先になっているパケット
トンネル（IPIP、GRE、IPSec、L2TP）および WCCP
NULL0 へのスタティックルート
トラフィックが CAR により低下した場合の DstIf が NULL。

この問題を回避するには、ip flow ingress infer-fields コマンドを使用して、予測される入出力インターフェイスおよび送信元/宛先情報を搭載した NetFlow を有効化します。

サブインターフェイスのフローのチェックが必要な場合、2 つのオプションがあります。

メインインターフェイスで ip route-cache flow を設定する。これにより、すべてのサブインターフェイスからフローを送信します。
サブインターフェイスで ip flow ingress を設定する。この場合、メインインターフェイスには NetFlow 設定はなく、フローは ip flow ingress コマンドが有効化された各サブインターフェイスから送信されます。

VLAN 上のブリッジドフロー統計情報のサポート

この機能は Supervisor Engine 1 または 1A/PFC、Supervisor Engine 2/PFC2 でサポートされていて、MSFC/MSFC2 は不要です。この機能は、Cisco Catalyst OS 8.5(1) 以降のリリースから、機能の限定された Supervisor 720/PFC3BXL でサポートされます。

特定の VLAN のブリッジドフロー統計情報を有効化または無効化するには、set mls bridged-flow-statistics コマンドを使用します。1 つ以上の VLAN を入力できます。NetFlow テーブルエントリ作成は VLAN 単位で有効化できます。ただし、ブリッジドフロー統計および VLAN 単位エントリ作成は同じメカニズムを使用して統計情報を収集するため、VLAN エントリが重複することがあります。

NetFlow での不正確な BGP_NEXTHOP

アカウンティングと分析をサポートするために NetFlow BGP ネクストホップが設定されている場合、BGP ネクストホップは通常のネクストホップとは異なります。

BGP ネクストホップへのルートが複数の内部ゲートウェイプロトコル（IGP）リンクを介して再帰的にロードシェアリングされるとき、NetFlow キャッシュでは BGP ネクストホップはキャプチャされません。代わりに NetFlow キャッシュには、BGP ルートが再帰するランダム選択のロードシェアリングルートから、有効で単純なネクストホップがキャプチャされます。したがって、再帰的なロードシェアリングのリンクがある場合、NetFlow BGP ネクストホップはサポートされません。

Catalyst 6500/6000 スイッチでの NetFlow 設定とトラブルシューティング

ダウンロードオプション

偏向のない言語

翻訳について

内容

概要

前提条件

要件

使用するコンポーネント

表記法

背景説明

設定

ネットワーク図

Native IOS での設定

NetFlow の有効化

NDE の設定

オプションの設定

ハイブリッド OS での設定

NetFlow の有効化

NDE の設定

オプションの設定

確認

トラブルシュート

無効化された MLS エージング

NetFlow が片方向でのトラフィックを表示する

NetFlow がスイッチまたはブリッジされたトラフィックを表示しない

送信元 IP アドレスと宛先 IP アドレスが IP フローに表示されない

VLAN 上のブリッジドフロー統計情報のサポート

NetFlow での不正確な BGP_NEXTHOP

関連情報

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

Catalyst 6500/6000 スイッチでの NetFlow 設定とトラブルシューティング

ダウンロード オプション

偏向のない言語

翻訳について

内容

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション