- はじめに
- 製品概要
- ルータの初期設定
- Supervisor Engine 720 の設定
- Route Switch Processor 720 の設定
- NSF with SSO スーパーバイザ エンジンの冗長構成の設定
- Cisco 7600 シリーズ ルータでの ISSU および eFSU
- RPR および RPR+ スーパーバイザ エンジンの冗長設定
- インターフェイスの設定
- Supervisor Engine 32 の設定
- レイヤ 2 スイッチング用 LAN ポートの設定
- Flex Link の設定
- EtherChannel の設定
- VTP の設定
- VLAN の設定
- プライベート VLAN の設定
- Cisco IP Phone サポートの設定
- IEEE 802.1Q トンネリングの設定
- レイヤ 2 プロトコル トンネリングの設定
- L2TPv3 の設定
- STP および MST の設定
- オプションの STP 機能の設定
- レイヤ 3 インターフェイスの設定
- GTP-SLB IPV6 サポートの設定
- IP Subscriber Awareness over Ethernet
- UDE および UDLR の設定
- PFC のマルチプロトコル ラベル スイッチングの設定
- IPv4 マルチキャスト VPN サポートの設定
- マルチキャスト VPN エクストラネット サポートの設定
- IP ユニキャスト レイヤ 3 スイッチングの設定
- IPv6 マルチキャスト PFC3 および DFC3 レイヤ 3 スイッチングの設定
- IPv4 マルチキャスト レイヤ 3 スイッチングの設定
- IPv6 マルチキャスト トラフィック用 MLDv2 スヌーピングの設定
- IPv4 マルチキャスト トラフィック用 IGMP スヌーピングの設定
- PIM スヌーピングの設定
- ネットワーク セキュリティの設定
- Cisco IOS ACL サポートの概要
- VACL の設定
- Private Hosts(PACL の使用)
- オンライン診断の設定
- サービス拒絶保護の設定
- DHCP スヌーピングの設定
- ダイナミック ARP インスペクションの設定
- トラフィック ストーム制御の設定
- 不明なユニキャスト フラッディングのブロック
- PFC QoS の設定
- PFC QoS 統計データ エクスポートの設定
- Label Switched Multicast(LSM)Multicast Label Distribution Protocol(MLDP)based Multicast VPN(MVPN)サポート
- PFC の MPLS QoS の設定
- IEEE 802.1x ポートベースの認証の設定
- ポート セキュリティの設定
- UDLD の設定
- NetFlow および NDE の設定
- ローカル SPAN、RSPAN、および ERSPAN の設定
- SNMP ifIndex パーシステンスの設定
- 電源管理および環境モニタリング
- WCCP による Web キャッシュ サービスの設定
- Top N ユーティリティの使用
- スイッチ仮想インターフェイス上の双方向フォワーディングおよび検出の設定
- レイヤ 2 Traceroute ユーティリティの使用
- Call Home の設定
- IPv6 ポリシーベース ルーティングの設定
- Mini Protocol Analyzer の使用
- Resilient Ethernet Protocol の設定
- 同期イーサネットと 1588V2 の設定
- リンク ステート トラッキングの設定
- IP および MPLS 向け BGP PIC エッジおよびコアの設定
- IPv4 トランスポートを介した VRF 対応 IPv6 トンネルの設定
- ISIS IPv4 Loop Free Alternate Fast Reroute(LFA FRR)
- Y.1731 パフォーマンス モニタリング
- マルチキャスト サービス リフレクション
- オンライン診断テスト
- 略語
- Cisco IOS Release 15.S ソフトウェア イメージ
- 索引
Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 15.0S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月20日
章のタイトル: NetFlow および NDE の設定
NetFlow および NDE の設定
この章では、Cisco 7600 シリーズ ルータで NetFlow 統計情報収集および NetFlow Data Export(NDE; NetFlow データ エクスポート)を設定する手順について説明します。
(注) • この章で使用しているコマンドの構文および使用方法の詳細については、次の URL にある『Cisco IOS NetFlow Command Reference』を参照してください。
http://www.cisco.com/en/US/docs/ios/netflow/command/reference/nf_book.html
•
NetFlow バージョン 9 がサポートされます。次の資料を参照してください。
『Cisco IOS NetFlow Configuration Guide』
• NetFlow v9 エクスポート形式による NetFlow マルチキャストがサポートされます。次の資料を参照してください。
『Cisco IOS NetFlow Configuration Guide』
マルチキャスト高速スイッチングまたは Multicast Distributed Fast Switching(MDFS; マルチキャスト ディストリビューティッド ファスト スイッチング)は設定する必要はありません。マルチキャスト CEF スイッチングがサポートされます。
• 「インターフェイス単位の NetFlow および NDE」
NetFlow および NDE の機能概要
ここでは、NetFlow および NDE の機能について説明します。
NetFlow および NDE の概要
NetFlow は、ルータを通過するトラフィックに関する統計情報を収集します。NetFlow Data Export(NDE; NetFlow データ エクスポート)を使用すると、この統計情報を外部データ コレクタにエクスポートして分析できます。
NetFlow および NDE は、使用しているソフトウェア リリースによって、グローバルにイネーブル化されるか、個々の LAN インターフェイス上でイネーブル化されます。
• Cisco IOS Release 12.2SRA 以前のリリースでは、NetFlow はグローバルにイネーブル化されていました。つまり、ルータのすべてのインターフェイスに対して統計情報が収集されていました。
• Cisco IOS Release 12.2SRB では、レイヤ 3 インターフェイス上の IPv4 トラフィックに対して、個々のインターフェイス上で NetFlow をイネーブル化できます。IPv6 トラフィックに対する NetFlow は、引き続きグローバル モードで動作します。この機能の詳細については、「インターフェイス単位の NetFlow および NDE」を参照してください。
(注) Release 12.2SRB 以降、IPv4 トラフィックのグローバル モード NetFlow はデフォルトではありません。これまでと同様のグローバル モード機能を実現するには、IPv4 トラフィック フローの統計情報をキャプチャする各レイヤ 3 インターフェイス上で、手動で NetFlow をイネーブルにする必要があります。
ルーテッド トラフィックとブリッジド トラフィックの両方に対して統計情報を収集できます。ただし、PFC3A では、ルーテッド トラフィックだけの統計情報が収集されます。
2 つの外部データ コレクタ アドレスを設定できます。このように PFC3 による冗長データ ストリームを用意することで、完全な NetFlow データを受信する確率が高くなります。
MSFC 上の NetFlow および NDE
MSFC の NetFlow キャッシュは、ソフトウェアでルーティングされるフローの統計情報をキャプチャします。MSFC では、ソフトウェアでルーティングされるトラフィックに対し、NetFlow アグリゲーションをサポートします。詳細については、『Cisco IOS NetFlow Configuration Guide』を参照してください。
MSFC では、ToS ベースのルータ アグリゲーションをサポートします。詳細については、『Cisco IOS NetFlow Configuration Guide』を参照してください。
PFC 上の NetFlow および NDE
PFC の NetFlow キャッシュは、ハードウェアでルーティングされるフローの統計情報をキャプチャします。PFC では、ハードウェアでルーティングされるトラフィックに対し、サンプリングされた NetFlow および NetFlow アグリゲーションをサポートします。PFC では、NetFlow ToS ベースのルータ アグリゲーションをサポートしません。
フロー マスク
ここでは、NetFlow エントリを作成するために使用されるフロー マスクについて説明します。Release 12.2SRA 用と Release 12.2SRB 用の 2 種類のフロー マスクが用意されています。NetFlow では、選択したフロー マスクが、ルータ上で収集されるすべての統計情報に適用されます。
Cisco IOS Release 12.2SRA では、NetFlow エントリを作成するために次のフロー マスクが使用されます。
• source-only:より固有性の低いフロー マスク。PFC は送信元 IP アドレスごとにエントリを 1 つ維持します。指定された送信元 IP アドレスからのすべてのフローは、このエントリを使用します。
• destination:より固有性の低いフロー マスク。PFC は宛先 IP アドレスごとにエントリを 1 つ維持します。指定された宛先 IP アドレスへ向かうすべてのフローは、このエントリを使用します。
• destination-source:より固有性の高いフロー マスク。PFC は送信元および宛先 IP アドレスのペアごとにエントリを 1 つ維持します。同じ送信元と宛先 IP アドレス間のすべてのフローは、このエントリを使用します。
• destination-source-interface:より固有性の高いフロー マスク。送信元 VLAN SNMP ifIndex を destination-source フロー マスク中の情報に追加します。
• full:より固有性の高いフロー マスク。PFC は IP フローごとにキャッシュ エントリを個別に作成し、維持します。full エントリには送信元 IP アドレス、宛先 IP アドレス、プロトコル、およびプロトコル インターフェイスが格納されます。
• full-interface:最も固有性の高いフロー マスクです。送信元 VLAN SNMP ifIndex を full フロー マスク中の情報に追加します。
Cisco IOS Release 12.2SRB では、次のフロー マスクが使用されます。
• destination-source-interface:より固有性の高いフロー マスク。送信元 VLAN SNMP ifIndex を destination-source フロー マスク中の情報に追加します。
• full-interface:最も固有性の高いフロー マスクです。送信元 VLAN SNMP ifIndex を full フロー マスク中の情報に追加します。
IPv4 トラフィックのインターフェイス単位モードに対応するため、その他のフロー マスクは次のように処理されます。
• source-only、destination、destination-source の各フロー マスクは、destination-source-interface として処理されます。
NDE のバージョン
PFC 上の NDE は、PFC でキャプチャされた統計情報用に NDE バージョン 5、7、および 9 をサポートします。NetFlow バージョン 9 の詳細については、次の URL にあるマニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123_1/nfv9expf.htm
• 表 52-1 :バージョン 5 ヘッダー形式
• 表 52-2 :バージョン 7 ヘッダー形式
• 表 52-3 :バージョン 5 フロー レコード形式
• 表 52-4 :バージョン 7 フロー レコード形式
|
|
|
|
|---|---|---|
|
|
|
|
|---|---|---|
(注) 現行のフロー マスクによっては、フロー レコードの一部のフィールドに値が入らない場合があります。サポートされないフィールドには、ゼロ(0)が充填されます。
|
|
|
|
|
|||||
|---|---|---|---|---|---|---|---|---|
|
|
|
Source |
Source Interface |
|
Interface |
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
ネクスト ホップ ルータの IP アドレス1 |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|||
出力インターフェイス SNMP ifIndex3 |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
TCP フラグの累積 OR5 |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|||||
|---|---|---|---|---|---|---|---|---|
|
|
|
Source |
Source Interface |
|
Interface |
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
ネクスト ホップ ルータの IP アドレス6 |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|||
出力インターフェイス SNMP ifIndex8 |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
TCP フラグの累積 OR10 |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
MLS キャッシュ エントリ
NetFlow は、PFC の NetFlow キャッシュからトラフィック統計情報をキャプチャします。
NetFlow は、NetFlow キャッシュ内のアクティブ フローごとにトラフィック統計情報を維持し、各フロー内のパケットがスイッチングされると統計情報を更新します。NDE はすべての期限切れフローに関するサマリー トラフィック統計情報を定期的にエクスポートします。これを外部データ コレクタで受信して処理することができます。
エクスポートされる NetFlow データには、最後のエクスポート以降に期限切れになった NetFlow キャッシュ中のフロー エントリの統計情報が含まれます。NetFlow キャッシュ中のフロー エントリが期限切れになり、次のいずれかの状況が発生した時点で NetFlow キャッシュから消去されます。
継続的なアクティブ フローを定期的にレポートするには、 mls aging long コマンドで設定されたインターバルの終了時に、継続的なアクティブ フローのエントリを期限切れにします(デフォルトは 1920 秒(32 分))。
NDE パケットは、期限切れして間もないフロー数が所定の最大数に到達したとき、または所定時間の経過後に外部データ コレクタに到達します。
デフォルトでは、フィルタリングされない限り、すべての期限切れフローはエクスポートされます。フィルタが設定されていれば、NDE は、フィルタ基準に合致する期限切れで消去されたフローだけをエクスポートします。NDE フロー フィルタは NVRAM に保存され、NDE をディセーブルにしても削除されません。NDE フィルタの設定手順については、「NDE フロー フィルタの設定」を参照してください。
NetFlow サンプリング
NetFlow サンプリングは、ネットワークを通過しているトラフィック フローのサブセットに対する統計情報をレポートする場合に使用します。詳細な分析を行う場合は、NetFlow 統計情報を外部コレクタにエクスポートできます。
NetFlow サンプリングには、NetFlow トラフィック サンプリングと NetFlow フロー サンプリングの 2 種類があります。ソフトウェア パス内でスイッチングされるトラフィックに対する MSFC ベースの NetFlow トラフィック サンプリングと Cisco 7600 シリーズ スイッチのハードウェア パス内でスイッチングされるトラフィックに対する PFC ベースまたは DFC ベースの NetFlow フロー サンプリングは相互に独立した機能であるため、それぞれの設定手順で使用するコマンドは異なります。
ここでは、Cisco 7600 シリーズ ルータでサポートされている、この 2 種類の NetFlow サンプリングについて詳しく説明します。
NetFlow トラフィック サンプリング
NetFlow トラフィック サンプリングでは、ルータによって処理されるトラフィック中の連続する n 個のパケット(n はユーザが設定可能なパラメータ)からランダムに選択された 1 つのパケットだけを分析することにより、Cisco ルータよって転送されるトラフィックのサブセットに対する NetFlow データが提供されます。NetFlow トラフィック サンプリングは、ソフトウェア ベースの NetFlow アカウンティングを実行する Cisco 7200 シリーズ ルータや Cisco 7600 シリーズ MSFC などのプラットフォーム上で NetFlow の実行による CPU のオーバーヘッドを低減するために使用されますが、これは NetFlow で分析(サンプリング)されるパケットの数を減らすことによって行われます。ソフトウェア ベースの NetFlow アカウンティングを実行するプラットフォーム上で NetFLow によるパケットのサンプリング数を抑制すると、外部コレクタにエクスポートする必要のあるパケットの数も削減されます。分析するパケットの数を減らすことによって外部コレクタにエクスポートする必要があるパケットの数を減らす方法は、すべてのパケットを分析することで発生するエクスポート トラフィックによってコレクタの容量が圧迫されたり、アウトバウンド インターフェイスがオーバーサブスクリプション状態になったりする場合に有効です。
ソフトウェアベースの NetFlow アカウンティングでの NetFlow トラフィック サンプリングおよびエクスポートは、次のように動作します。
• ルータによって認識されているトラフィックのサブセットからの統計情報がフローに読み込まれます。
Cisco 7600 シリーズ ルータでは、NetFlow トラフィック サンプリングは、ソフトウェアでスイッチングされたパケットに対して MSFC 上でのみサポートされます。NetFlow トラフィック サンプリングの設定の詳細については、『 Cisco IOS NetFlow Configuration Guide 』を参照してください。
NetFlow フロー サンプリング
NetFlow フロー サンプリングでは、NetFlow で分析するパケットの数に制限はありません。NetFlow フロー サンプリングは、エクスポートのためにルータで処理されるフローのサブセットを選択するために使用します。NetFlow フロー サンプリングは、オーバーサブスクライブ状態の CPU の数を減らしたり、オーバーサブスクライブ状態のハードウェア NetFlow テーブルの使用率を低減したりするための解決策ではありません。NetFlow フロー サンプリングは、エクスポートされるデータの量を減らすことによって CPU の使用率を低減します。NetFlow フロー サンプリングを使用してフローのサブセットだけに対する統計情報をレポートすることによって外部コレクタにエクスポートする必要があるパケットの数を減らす方法は、すべてのフローに対する統計情報をレポートすることで発生するエクスポート トラフィックによってコレクタの容量が圧迫されたり、アウトバウンド インターフェイスがオーバーサブスクリプション状態になったりする場合に有効です。
NetFlow フロー サンプリングは、ルータに取り付けられた PFC および DFC 上でハードウェアベースの NetFlow アカウンティングを実行する場合に Cisco 7600 シリーズ ルータ上で使用できます。
ハードウェアベースの NetFlow アカウンティングでの NetFlow フロー サンプリングおよびエクスポートは、次のように動作します。
• パケットがスイッチに着信し、認識されたトラフィックを反映するフローが作成または更新されます。
• エクスポートするフローのサブセットを選択するために、フローがサンプリングされます。
• NetFlow フロー サンプラによって選択されたフローのサブセットに対する統計情報がエクスポートされます。
(注) NetFlow フロー サンプリングをイネーブルにすると、fast、normal、long などのエージング方式はディセーブルになります。
NetFlow フロー サンプリングを設定して、時間ベースのサンプリングやパケットベースのサンプリングを使用できます。full-interface または destination-source-interface フロー マスクでは、各レイヤ 3 インターフェイスで NetFlow フロー サンプリングをイネーブルまたはディセーブルにできます。
パケットベースの NetFlow フロー サンプリングでは、パケット単位のサンプリング レートとミリ秒単位のインターバルに基づいて、ルータで処理されたフローの総数から一定数のフローのサブセット(サンプル)が選択されます。サンプリング レートの値は、64、128、256、512、1024、2048、4096、および 8192 です。インターバルの値は 8000 ~ 16000 ミリ秒の範囲内でユーザが設定できます。インターバルのデフォルトは 16000 ミリ秒です。設定したインターバルの値は、キャッシュからの期限切れのフローに対するエージング方式(fast、normal、long など)を上書きします。パケットベースの NetFlow フロー サンプリングを設定するためのコマンド構文は、 mls sampling packet-based rate [ interval ] です。
パケットベースの NetFlow フロー サンプリングでは、次のいずれかの方法により、サンプリングおよびエクスポートのフローが選択されます。
• 期限切れフローのパケット数がサンプリング レートを超える場合 :インターバル X(X は 8000 ~ 16000 の範囲の値)において、フローのパケット数がサンプリング レートに設定した値を超える場合は、フローがサンプリング(選択)され、エクスポートされます。
• 期限切れフローのパケット数がサンプリング レートに満たない場合 :インターバル X(X は 8000 ~ 16000 の範囲の値)において、フローのパケット数がサンプリング レートに設定した値に満たない場合は、フローのパケット数に基づいて、フローのパケット カウントが 8 つのバケットのいずれかに加算されます。この 8 つのバケットのサイズは、サンプリング レートの 1/8 単位の増分です。フローに含まれるパケットの量がサンプリング レートの 0 ~ 1/8 である場合、パケット カウントは最初のバケットに割り当てられます。フローに含まれるパケットの量がサンプリング レートの 1/8 ~ 2/8 である場合、パケット カウントは 2 つめのバケットに割り当てられます。同様に、パケットの量に応じてパケット カウントが割り当てられます。フローのパケット カウントをバケットに追加した結果、バケットのカウンタがサンプリング レートを超えた場合は、バケットにカウンタが追加された最後のフローがサンプリングされ、エクスポートされます。バケット カウンタが 0 に変更され、積算処理が再び開始されます。この方法により、パケット カウントがサンプリング レートを超えることのないフローをサンプリングおよびエクスポート用に選択できます。
時間ベースの NetFlow フロー サンプリングでは、エクスポート インターバル(ミリ秒単位)の最初のサンプリング時間(ミリ秒単位)内に作成されたフローがサンプリングされます。 mls sampling time-based rate コマンドで設定できる各サンプリング レートは、時間ベースの NetFlow フロー サンプリングで使用されるサンプル時間とエクスポート インターバルの固定値を持ちます。次に例を示します。
• サンプリング レートとして 64 を設定した場合は、4096 ミリ秒のエクスポート インターバルごとの最初の 64 ミリ秒(サンプリング時間)以内に作成されたフローが選択されます。
• サンプリング レートとして 2048 を設定した場合は、8192 ミリ秒のエクスポート インターバルごとの最初の 4 ミリ秒(サンプリング時間)以内に作成されたフローが選択されます。
表 52-5 に、時間ベースの NetFlow フロー サンプリングのサンプリング レートとエクスポート インターバルを示します。
|
|
|
|
|---|---|---|
NetFlow アグリゲーション
PFC および DFC 上での NetFlow アグリゲーション サポートの詳細については、次の URL にあるマニュアルの「NetFlow Aggregation」の項を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fswtch_c/swprt2/xcfnfov.htm
(注) • Release 12.2SRB では、ハードウェア フロー キャッシュにデータが読み込まれるように、個々のインターフェイス上で NetFlow をイネーブルにする必要があります。これにより、NetFlow がイネーブルになっているインターフェイスからのみ、キャッシュにフローが読み込まれます。
• Release 12.2SRA では、アグリゲーション スキームを設定することによってハードウェア フロー キャッシュにデータを読み込むことができます。このキャッシュには、すべてのレイヤ 3 インターフェイスに対する情報がグローバルに読み込まれます。
• MSFC の NetFlow アグリゲーションを設定すると、PFC および DFC の NetFlow アグリゲーションも設定されます (設定方法のリンクについては、「MSFC 上のフローに対する NetFlow アグリゲーションの設定」を参照してください)。
• NetFlow アグリゲーションは、NDE バージョン 8 を使用します。
インターフェイス単位の NetFlow および NDE
Cisco IOS Release 12.2SRB 以降のリリースでは、インターフェイス単位の NetFlow および NDE 機能により、個々のインターフェイス上で NetFlow をイネーブル化して、それらのインターフェイス上で IPv4 トラフィック フローの統計情報の収集とエクスポートを実行できます。以前は、NetFlow をイネーブルにすると、ルータのすべてのインターフェイスに対して統計情報が収集されていました(グローバル モード)。
以前のリリース(グローバル モード)から Release 12.2SRB(インターフェイス単位モード)にアップグレードする場合、NetFlow をアクティブにするには、個々のインターフェイス上で ip flow ingress コマンドを実行する必要があります。アップグレード プロセスでは、既存のグローバル モード フローマスクが対応するインターフェイス単位の種類に自動的に変換されます(source、destination、および destination-source は destination-source-interface になり、full は full-interface になります)。
Release 12.2SRB から以前のリリースにダウングレードすると、(すべてのルータ インターフェイスに対して統計情報を収集する)グローバル モード動作が再開されますが、12.2SRB フローマスクは有効になったままです。
インターフェイス単位 NetFlow 機能により、NetFlow テーブルの使用率とパフォーマンスが次のように向上します。
• 重要なフローに対して、NetFlow テーブルのより多くの領域を提供できる。インターフェイス単位 NetFlow を使用すると、NetFlow がイネーブルになっているインターフェイスに対してだけ、テーブル エントリが作成されます。これにより、テーブル内の不要なエントリの数が減少し、重要なフローに対して、より多くの領域を提供できるようになります。以前は、ルータのすべてのインターフェイスに対してテーブルが作成されていました。
NetFlow がイネーブルになっているインターフェイスに対してのみ、テーブル エントリを作成すると、次の理由によってパフォーマンスが向上します。
• フローベースのすべての機能(NetFlow、QoS、マルチキャストなど)で NetFlow テーブルが共有される。
• NetFlow テーブルがいっぱいになると、NetFlow ショートカットがインストールされず、フロー統計情報(およびアカウンティング情報)が失われる可能性がある。
• NDE レコードを Netflow Data Collector(NFC)に高速にエクスポートすることによって NFC に負荷がかかり、重要なアカウンティング データが失われないようにする。統計情報の収集とエクスポートは、特定のインターフェイスに対してだけ行われるため、NFC に送信される NDE レコードの数を管理しやすくなります。
• NDE とその他の機能の間で発生する意図しない競合が減少する。
ここでは、インターフェイス単位の NetFlow と NDE、および Release 12.2SRB で導入された NetFlow と NDE に関連するその他の機能について説明します。
• 「インターフェイス単位の NetFlow と NDE の使用上の注意事項および制限事項」
• 「インターフェイス単位の NetFlow および NDE の設定」
• 「インターフェイス単位の NetFlow および NDE の確認」
インターフェイス単位の NetFlow と NDE の使用上の注意事項および制限事項
Cisco 7600 ルータでインターフェイス単位の NetFlow および NDE を設定する際には、次の使用上の注意事項および制限事項に従ってください。
• Cisco IOS Release 12.2SRB 以降のリリースでサポートされる。
• RSP720、Sup720、および Sup32 でサポートされる。
• レイヤ 3 インターフェイス上の IPv4 ユニキャストおよびマルチキャスト トラフィックに対してサポートされる。
IPv6 フローに対しては、NetFlow および NDE は、インターフェイス単位モードではなく、グローバル モードで動作する。
• (ブリッジされた)レイヤ 2 フローに対して NetFlow および NDE をイネーブルにすると、インターフェイス上の(ルーティングされた)レイヤ 3 フローに対しても自動的に機能がイネーブルになる。インターフェイスに対して NetFlow および NDE をディセーブルにする場合は、レイヤ 2 フローおよびレイヤ 3 フローの機能もディセーブルにする必要がある。L2 フローをディセーブルにするには、 no ip flow ingress layer2-switched を使用する。L3 フローをディセーブルにするには、 no ip flow ingress を使用する。
• インターフェイスでインターフェイス単位の NetFlow および QoS マイクロポリシングを設定できる。ただし、インターフェイス上で異なるフロー マスクのタイプを設定しないようにすること。1 つのフロー マスクのタイプだけを、インターフェイス単位の NetFlow およびマイクロフロー ポリシーに設定する必要がある。
• Release 12.2SRB 以降のルータでは NDE フロー マスクと QoS フロー マスクがサポートされるが、同じインターフェイス上で両方のフロー マスクを設定することはできない。
• NDE とマルチキャスト非 RPF の両方をイネーブルにすると、NDE で統計情報が失われる可能性がある。この潜在的な損失の可能性は、マルチキャスト フローに対して NetFlow と NDE がグローバルにイネーブル化されるために発生する。これは、NetFlow テーブルがオーバーフローする可能性があることを意味する。
• インターフェイスで platform ip features sequential コマンドを使用する場合、インターフェイスフル フローマスク機能を設定する必要があります。この機能によって、NDE が正しい統計情報をエクスポートできるようになり、ダブル アカウンティングを回避します。
• 次の制限事項は、インターフェイス単位モードのフロー マスクに適用される。
• 個々のインターフェイスに異なる種類のフロー マスクを設定できない。インターフェイス単位の NetFlow または NDE に設定されたすべてのインターフェイスに対して、1 種類のフロー マスクだけがサポートされる。
• NDE の場合は、ルーティングされた(L3)NetFlow エントリとブリッジされた(L2)NetFlow エントリの両方に同じフロー マスクが使用される。
• 送信元フロー マスクと宛先フロー マスクはすべて destination-source-interface として処理され、フル マスクはどちらも full-interface として処理される。フロー マスクの種類については、「フロー マスク」を参照。
• 「NetFlow および NDE 設定時の注意事項および制約事項」に記載されているすべての注意事項および制限事項が適用される。
インターフェイス単位の NetFlow および NDE の設定
次に、Cisco 7600 ルータでインターフェイス単位の NetFlow および NDE を設定するために従う必要があるステップをまとめます。ステップごとの詳細な手順については、この章の後の項を参照してください。
1. NetFlow 統計情報をエクスポートする場合は、次のコマンドを実行することにより、ルータで NDE をグローバルにイネーブル化します。
2. 次のコマンドを実行して、個々のインターフェイス上で NetFlow をイネーブル化します。
3. (任意)NetFlow サンプリングを設定するには、次の手順に従います。
a. サンプリングされた NetFlow をルータ上でグローバルにイネーブルにします( 「NetFlow フロー サンプリングの設定」を参照)。
b. 個々のインターフェイスで、サンプリングされた NetFlow をイネーブルにする( mls netflow sampling )。
c. インターフェイスにコンフィギュレーションを適用します( ip flow ingress )。
4. NDE の設定が他の機能(QoS やマルチキャストなど)と競合していないことを確認します。設定を確認するには、 show ip interface コマンドを使用します(「インターフェイス単位の NetFlow および NDE の確認」を参照)。
インターフェイス単位の NetFlow および NDE の確認
インスタンス単位の NetFlow および NDE が適切に設定されていることを確認するには、 show ip interface コマンドを次のように使用します。次のコマンド出力では、NetFlow および NDE の設定情報を示すフィールドは太字で示されています。
IPv6 用 NetFlow バージョン 9
Cisco IOS Release 12.2SRB では、IPv6 用に NetFlow バージョン 9 のサポートが導入されています。この機能をCisco 7600 ルータで設定する方法の詳細については、次の URL にある Release 12.2SRB の新しい機能に関するマニュアル(機能ガイド)でフィーチャ モジュールの説明を参照してください。
http://www.cisco.com/en/US/products/ps6922/products_feature_guides_list.html
VRF インターフェイス上の NDE
Cisco IOS Release 12.2SRB には、VRF インターフェイス上の NDE のサポートが導入されています。この新機能により、Cisco 7600 ルータは MPLS バーチャル プライベート ネットワーク(VPN)上で IPv4 パケットの NetFlow 統計情報をキャプチャしてエクスポートできます。この場合、ルータは、MPLS ネットワークのエッジでプロバイダー エッジ(PE)ルータとして動作します。
VRF インターフェイス上の NDE の詳細については、次の URL にある Release 12.2SRB の新しい機能に関するマニュアル(機能ガイド)でフィーチャ モジュールの説明を参照してください。
http://www.cisco.com/en/US/products/ps6922/products_feature_guides_list.html
NetFlow および NDE のデフォルト設定
表 52-6 に、NetFlow および NDE のデフォルト設定を示します。
|
|
|
|---|---|
| 12.2SRB:IPv4 ユニキャストの場合はインターフェイス単位モード(その他はすべてグローバル モード) |
|
NetFlow および NDE 設定時の注意事項および制約事項
NetFlow および NDE を設定する際には、次の注意事項および制約事項に従ってください。
NetFlow および NDE は、NetFlow バージョン 9 でのみ IP マルチキャスト トラフィックをサポートします。それ以外の NetFlow バージョンでは、 show mls ip multicast コマンドを使用することで、IP マルチキャスト トラフィック用の NetFlow 統計情報を表示できます。
• Cisco 7600 ルータは、ユニキャスト IP パケットの出力方向の NetFlow をサポートしていません。
• すべての PFC(PFC3A を除く)では、ブリッジド IP トラフィックに対する NetFlow および NDE はサポートされません。
• NDE は、Internetwork Packet Exchange(IPX)トラフィックをサポートしません。
• Policy Feature Card 3(PFC3; ポリシー フィーチャ カード 3)は、ハードウェアでのレイヤ 3 スイッチングに NetFlow テーブルを使用しません。
• NetFlow テーブルの使用率が、次の表に示す推奨レベルの使用率を超過すると、統計情報を保管するための十分な領域が不足する確率が高くなります。
|
|
|
|
|---|---|---|
• 統計情報は、NetFlow テーブルが満杯になるとスイッチングされるフローには使用できません。
• Cisco 7600 シリーズ ルータ は、NetFlow テーブルを使用してフローベースの機能に関する情報を保持します。通常、Feature Manager は、フローが着信するラインカード
上でのみ、フローベースの機能用に Netflow テーブル エントリを作成します。しかし、TCP インターセプトはグローバルな機能であるため、ルータは、入力 PFC および DFC だけでなく、取り付けられているすべての PFC および DFC で各 TCP インターセプト フローのエントリを作成します。これは、TCP インターセプト フローが着信する PFC または DFC ではゼロでないパケット カウントが表示され、その他の PFC および DFC ではパケットカウントがゼロになることを意味します (CSCek47971)。
• 次の IPv4 NetFlow オプションおよび NDE オプションは、IPv6 フローには使用できません(CSCek55571)。
• アグリゲーションのサポート( ip flow-aggregation cache コマンド)
• レイヤ 2 でスイッチングされた IPv6 フローのエクスポート
Cisco 7600でマルチキャスト NDE を設定する際には、次の注意事項に従ってください。
• Release 12.2SRB 以降のリリースでは、マルチキャスト NDE と QoS マイクロフロー ポリシングの両方を同じインターフェイス上で設定できません。ただし、異なるインターフェイス上では、これらの機能を設定できます。
• マルチキャスト NDE を設定するには、 ip flow ingress コマンドと ip multicast netflow ingress コマンドの両方を実行します。 ip multicast netflow ingress コマンドは、デフォルトでイネーブルに設定されています。
Release 12.2SRB 以降のルータは、IPv4 トラフィックに対して、インターフェイス単位モードの NetFlow および NDE だけをサポートしています。IPv6 フローに対しては、NetFlow および NDE は引き続きグローバル モードで動作します。
インターフェイス単位の NetFlow と NDE、およびその注意事項と制限事項の詳細については、「インターフェイス単位の NetFlow および NDE」を参照してください。
NetFlow と NDE の設定
ここでは、NetFlow および NDE の設定手順について説明します。
• 「PFC 上のフローに対する NetFlow および NDE の設定」
• 「MSFC 上のフローに対する NetFlow および NDE の設定」
• 「入力ブリッジド IP トラフィックに対する NetFlow および NDE のイネーブル化」
(注) • PFC 上の NDE および MSFC 上の NDE をサポートするには、MSFC レイヤ 3 インターフェイスで NetFlow をイネーブルにする必要があります。
• PFC で NDE をサポートするには、MSFC 上の NDE をイネーブルにする必要があります。
• インターフェイスで Network Address Translation(NAT; ネットワーク アドレス変換)および NDE を設定する場合、PFC はフラグメント化されたパケット内のトラフィックをすべて MSFC に送信して、ソフトウェアで処理させます (CSCdz51590)。
(注) 同じインターフェイス上で NDE と NAT を設定することはサポートされません。NDE では、統計情報をエクスポートするためにフローが定期的に期限切れになる必要があります。NAT は、期限切れにならないハードウェア ショートカットをインストールします。したがって、NAT されたフローの NDE は正しく動作しません。
PFC 上のフローに対する NetFlow および NDE の設定
PFC 上のフローに対する NetFlow の設定
ここでは、PFC 上のフローに対して NetFlow 統計情報収集を設定する手順について説明します。
• 「PFC での NetFlow のイネーブル化(Release 12.2SRA)」
• 「インターフェイス単位の NetFlow のイネーブル化(Release 12.2SRB 以降)」
• 「PFC 上のフローに対する NetFlow アグリゲーションの設定」
PFC での NetFlow のイネーブル化(Release 12.2SRA)
Release 12.2SRA で PFC 上のフローに対して NetFlow 統計情報収集をイネーブルにするには、次の作業を行います。
Release 12.2SRB 以降のリリースでの NetFlow のイネーブル化の詳細については、次の項を参照してください。
|
|
|
|---|---|
次に、NetFlow 統計情報収集をイネーブルにする例を示します。
インターフェイス単位の NetFlow のイネーブル化(Release 12.2SRB 以降)
Release 12.2SRA 以降のリリースで PFC 上のフローに対して NetFlow 統計情報収集をイネーブルにするには、次の作業を行います。NetFlow および NDE のインターフェイス単位モードでのルータの動作の詳細については、「インターフェイス単位の NetFlow および NDE」を参照してください。コマンド構文の詳細については、この章の最初に記載されているコマンド リファレンスを参照してください。
|
|
|
|---|---|
レイヤ 3 インターフェイス上で NetFlow をイネーブルにします。機能をイネーブルにする各インターフェイス上でコマンドを実行します。 |
|
Router(config)# mls nde sender Router(config)# ip flow-export destination { hostname | ip-address } udp-port |
|
Router(config)# ip flow-export destination { hostname | ip-address } udp-port |
(任意)NetFlow 統計情報のエクスポート先の外部ホストのホスト名または IP アドレスと、統計情報の送信先のポートを指定します。 |
指定したインターフェイスの設定を表示します。設定を調べ、NDE の設定が他の機能(QoS やマルチキャストなど)と競合していないことを確認します(「インターフェイス単位の NetFlow および NDE の確認」を参照)。 |
NetFlow フロー サンプリングの設定
ここでは、PFC でサンプリングされた NetFlow を設定する手順について説明します。
• 「NetFlow フロー サンプリングのグローバルな設定(Release 12.2SRB および Release 12.2SRA)」
• 「インターフェイス単位モードの NetFlow フロー サンプリングの設定(Release 12.2SRB)」
• 「レイヤ 3 インターフェイス上での NetFlow フロー サンプリングの設定(Release 12.2SRA)」
(注) MSFC 上の NDE は、NetFlow フロー サンプリングをサポートしません。
NetFlow フロー サンプリングのグローバルな設定(Release 12.2SRB および Release 12.2SRA)
Release 12.2SRB および Release 12.2SRA で、サンプリングされた NetFlow フローをグローバルに設定するには、次の作業を行います。
|
|
|
|
|---|---|---|
Router(config)# mls sampling { time-based rate | packet-based rate [ interval ]} |
サンプリングされた NetFlow をイネーブルにし、レートを設定します。パケットベースのサンプリングについては、任意でエクスポート インターバルを設定します。 |
|
グローバルにサンプリングされた NetFlow を設定する場合、次の点に注意してください。
• rate に対する有効な値は、64、128、256、512、1024、2048、4096、および 8192 です。
• パケットベースのエクスポート interval の有効値は 8,000 ~ 16,000 です。
• Release 12.2SRA の任意のデータをエクスポートするには、レイヤ 3 インターフェイス上でサンプリングされた NetFlow を設定する必要もあります。
詳細については、「NetFlow サンプリング」を参照してください。
インターフェイス単位モードの NetFlow フロー サンプリングの設定(Release 12.2SRB)
Release 12.2SRB 以降のリリースでは、次の例のように、サンプリングされた NetFlow をグローバルにイネーブルにするか、個々のインターフェイス上でイネーブルにする必要があります。
この例では、 mls sampling は、サンプリングされた NetFlow をグローバルにイネーブルにします。また、 mls netflow sampling は、サンプリングされた NetFlow をインターフェイス(この例では、ファスト イーサネット ポート 5/12)上でイネーブルにします。
レイヤ 3 インターフェイス上での NetFlow フロー サンプリングの設定(Release 12.2SRA)
Release 12.2SRA では、full-interface フロー マスクまたは destination-source-interface フロー マスクを使用して、個々のレイヤ 3 インターフェイスでサンプリングされた NetFlow をイネーブルまたはディセーブルにできます。その他すべてのフロー マスクでは、サンプリングされた NetFlow はグローバルにイネーブルまたはディセーブルになります。
Release 12.2SRA で、レイヤ 3 インターフェイス上でサンプリングされた NetFlow を設定するには、サンプリングされた NetFlow がグローバルにイネーブルになっていることを確認してから、次の作業を行います。
|
|
|
|
|---|---|---|
| (注) レイヤ 3 インターフェイスは IP アドレスで設定する必要があります。 | ||
次に、ファスト イーサネット ポート 5/12 でサンプリングされた NetFlow をイネーブルにする例を示します。
PFC 上のフローに対する NetFlow アグリゲーションの設定
MSFC に対して NetFlow アグリゲーションを設定すると、PFC および DFC 上のフローに対して NetFlow アグリゲーションが自動的に設定されます(「MSFC 上のフローに対する NetFlow アグリゲーションの設定」を参照)。
PFC または DFC の NetFlow アグリゲーション キャッシュ情報を表示するには、次の作業を行います。
(注) PFC および DFC では、NetFlow ToS ベースのルータ アグリゲーションをサポートしません。
次に、NetFlow アグリゲーション キャッシュ情報を表示する例を示します。
次に、NetFlow アグリゲーション フロー マスク情報を表示する例を示します(Release 12.2SRA のみ)。
最小 IP MLS フロー マスクの設定(Release 12.2SRA のみ)
PFC の NetFlow キャッシュに対するフロー マスクの最小特性を設定できます(「フロー マスク」を参照)。使用する実際のフロー マスクには、 mls flow ip コマンドで設定された最小の特性が備わっています。
(注) この作業は、interface-destination-source フロー マスクと interface-full flow フロー マスクだけがサポートされる Release 12.2SRB には適用できません。
最小 IP フロー マスクを設定するには、次の作業を行います。
|
|
|
|---|---|
Router(config)# mls flow ip { source | destination | destination-source | interface-destination-source | full | interface-full } |
|
IP フロー マスクの設定を表示するには、次の作業を行います。
|
|
|
|---|---|
MLS エージング タイムの設定
MLS エージング タイム(デフォルトは 300 秒)は、すべての NetFlow キャッシュ エントリに適用されます。normal エージング タイムは、32 ~ 4092 秒の範囲で設定できます。フローは、設定されたインターバルより 4 秒早く、または 4 秒遅く経過する場合があります。フローは、平均して設定値の 2 秒以内に経過します。
ルーティングの変更またはリンク ステートの変化など、エージング以外のイベントによって MLS エントリが削除される場合があります。
(注) MLS エントリの数が推奨使用率(「NetFlow および NDE 設定時の注意事項および制約事項」を参照)を超えると、一部のフローで隣接統計情報しか使用できなくなる場合があります。
NetFlow キャッシュ サイズが推奨使用率を超えないように維持するには、mls aging コマンドを使用する際、次のパラメータをイネーブルにします。
• normal:期限切れとなり、fast エージングまたは long エージングの対象外のエントリが削除されるまでの待機時間を設定します。
• fast aging:わずかな数のパケットしかスイッチングせず、そのあと再び使用されることのないフローに対して作成されるエントリを、効率的に期限切れにするためのプロセスを設定します。fast aging パラメータは、time キーワード値を使用して、各フローについて最低でも threshold キーワード値で指定される数のパケットがスイッチングされているかどうかを調べます。time で指定される時間内に threshold で指定される数のパケットをスイッチングしていないフローについては、このエントリが期限切れになります。
• long:常時使用されているエントリを削除するためのエージング タイムを設定します。long エージングは、不正確な統計情報の原因となるカウンタ ラップアラウンドを防止するために使用します。
削除される一般的なキャッシュ エントリは、ドメイン ネーム サーバ(DNS)または TFTP サーバとやりとりするフローに対するエントリです。このエントリは作成後に再び使用されることはありません。PFC は、これらのエントリを検出し期限切れにする場合、他のデータ用に NetFlow キャッシュのスペースを節約します。
MLS fast エージング タイムをイネーブルにすることが必要な場合は、最初は 128 秒に設定してください。NetFlow キャッシュ サイズが増え続け、推奨使用率を超えた場合は、キャッシュ サイズが推奨使用率未満になるまで設定値を下げます。キャッシュが増え続け、推奨使用率を超えた場合は、normal MLS エージング タイムを短くします。
MLS エージング タイムを設定するには、次の作業を行います。
|
|
|
|---|---|
Router(config)# mls aging {fast [threshold { 1-128 } | time { 1-128 }] | long 64-1920 | normal 32-4092 } |
|
MLS エージング タイムの設定を表示するには、次の作業を行います。
|
|
|
|---|---|
次に、MLS エージング タイムの設定を表示する例を示します。
NDE のイネーブル化
Release 12.2SRA および Release 12.2 SRB では、次の操作を実行して NDE をグローバルにイネーブル化できます。
|
|
|
|---|---|
PFC 上のフローに対して NDE をイネーブルにし、(任意で)NDE バージョンを設定します。データのエクスポート先の NetFlow コレクタと一致する NDE バージョンを指定します。 |
|
Router(config)# ip flow-export destination { hostname | ip-address } udp-port |
|
(注) • PFC の NDE では、MSFC 用に設定された送信元インターフェイスを使用します(「MSFC NDE 送信元レイヤ 3 インターフェイスの設定」を参照)。
• NetFlow バージョン 9 がサポートされます。次の資料を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123_1/nfv9expf.htm
次に、PFC 上のフローに対して NDE をグローバルにイネーブルにする例を示します。
次に、PFC に対して NDE をグローバルにイネーブルにし、NDE バージョン 5 を設定する例を示します。
MSFC 上のフローに対する NetFlow および NDE の設定
ここでは、次の URL に記載されている NetFlow 手順について補足します。
http://www.cisco.com/en/US/docs/ios/12_2/switch/configuration/guide/xcfnfc.html
ここでは、MSFC 上で NDE を設定する手順について説明します。
• 「MSFC 上のフローに対する NetFlow のイネーブル化」
• 「MSFC 上のフローに対する NetFlow アグリゲーションの設定」
MSFC 上のフローに対する NetFlow のイネーブル化
Release 12.2SRB 以降のリリースでは、インターフェイス上で NetFlow をイネーブルにすると( ip flow ingress )、そのインターフェイス上で NDE が自動的にイネーブルになります。ただし、NDE が動作するためには、NDE をグローバルにイネーブルにして、統計情報のエクスポート先を指定する必要があります( mls nde sender および ip flow-export destination )。
Release 12.2SRA では、NDE をイネーブルにする各レイヤ 3 インターフェイスに対して次の作業を行うことにより、MSFC 上の NetFlow をイネーブルにします。
|
|
|
|
|---|---|---|
Router(config)# interface { vlan vlan_ID } | { type slot/port } | { port-channel port_channel_number } |
||
MSFC 上のフローに対する NetFlow アグリゲーションの設定
MSFC 上のフローに対して NetFlow アグリゲーションを設定するには、次の URL の項「Configuring an Aggregation Cache」の手順を実行します。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fswtch_c/swprt2/xcfnfc.htm#wp1001058
(注) • MSFC の NetFlow アグリゲーションを設定すると、PFC および DFC の NetFlow アグリゲーションが自動的に設定されます
• Release 12.2SRB では、ハードウェア フロー キャッシュにデータが読み込まれるように、個々のインターフェイス上で NetFlow をイネーブルにする必要があります。これにより、NetFlow がイネーブルになっているインターフェイスからのみ、キャッシュにフローが読み込まれます。
• Release 12.2SRA では、アグリゲーション スキームを設定することによってハードウェア フロー キャッシュにデータを読み込むことができます。このキャッシュには、すべての L3 インターフェイスに対する情報がグローバルに読み込まれます。
MSFC に対して NetFlow ToS ベースのルータ アグリゲーションを設定するには、次の URL の手順を実行します。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s15/dtnfltos.htm
(注) PFC および DFC では、NetFlow ToS ベースのルータ アグリゲーションをサポートしません。
MSFC NDE 送信元レイヤ 3 インターフェイスの設定
MSFC からの統計情報を含む NDE パケットの送信元として使用されるレイヤ 3 インターフェイスを設定するには、次の作業を行います。
|
|
|
|---|---|
Router(config)# ip flow-export source {{ vlan vlan_ID } | { type slot/port } | { port-channel number } | { loopback number }} |
|
MSFC NDE 送信元レイヤ 3 インターフェイスを設定する場合、次の点に注意してください。
• IP アドレスが設定されているインターフェイスを選択する必要があります。
次に、ループバック インターフェイスを NDE フロー送信元として設定する例を示します。
NDE の宛先の設定
NDE 統計情報を受信するように宛先 IP アドレスおよび UDP ポートを設定するには、次の作業を行います。
|
|
|
|---|---|
Router(config)# ip flow-export destination ip_address udp_port_number |
|
Router(config)# no ip flow-export destination ip_address udp_port_number |
(注) Netflow の複数のエクスポート先:冗長 NDE データ ストリームを設定し、完全な Netflow データが受信される確率を高めるには、ip flow-export destination コマンドを 2 回入力し、それぞれのコマンドで別の宛先 IP アドレスを設定します。Netflow の複数のエクスポート先機能は、次のハードウェアでサポートされます。
次に、NDE フローの宛先 IP アドレスおよび UDP ポートを設定する例を示します。
(注) 宛先アドレスおよび UDP ポート番号は NVRAM に保存され、NDE をディセーブルにして再びイネーブルにした場合、またはルータの電源をオフ/オンした場合にも、削除されずに残ります。データ収集に NetFlow FlowCollector アプリケーションを使用する場合は、設定した UDP ポート番号が、FlowCollector の /opt/csconfc/config/nfconfig.file ファイルに示されているポート番号と同じであることを確認してください。
入力ブリッジド IP トラフィックに対する NetFlow および NDE のイネーブル化
すべての PFC(PFC3A を除く)では、入力ブリッジド IP トラフィックに対する NetFlow および NDE はサポートされません。ここでは、入力ブリッジド IP トラフィックに対して NetFlow および NDE をイネーブルにする手順について説明します。
• 「VLAN 上の入力ブリッジド IP トラフィックに対する NetFlow のイネーブル化」
• 「VLAN 上の入力ブリッジド IP トラフィックに対する NDE のイネーブル化」
(注) • 入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにすると、サンプリングされた NefFlow 機能によってこの統計情報を使用できます(「NetFlow サンプリング」を参照)。
• ブリッジド IP トラフィックに対して NetFlow および NDE をイネーブルにする各 VLAN に対して、対応する VLAN インターフェイスを作成し、IP アドレスを割り当て、 no shutdown コマンドを実行してそのインターフェイスを起動する必要があります。
• NDE がグローバルにイネーブルになっている限り、VLAN 上でブリッジド IP トラフィックに対して NetFlow をイネーブルにすると、ブリッジド トラフィックのエクスポートがデフォルトでイネーブルに設定されます。
VLAN 上の入力ブリッジド IP トラフィックに対する NetFlow のイネーブル化
VLAN 上の入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにするには、次の作業を行います。
次に、VLAN 200 上の入力ブリッジド IP トラフィックに対して NetFlow をイネーブルにする例を示します。
VLAN 上の入力ブリッジド IP トラフィックに対する NDE のイネーブル化
VLAN 上の入力ブリッジド IP トラフィックに対して NDE をイネーブルにするには、次の作業を行います。
次に、VLAN 200 上の入力ブリッジド IP トラフィックに対して NDE をイネーブルにする例を示します。
NDE アドレスおよびポートの設定の表示
NDE アドレスおよびポートの設定を表示するには、次の作業を行います。
|
|
|
|---|---|
NDE エクスポート フローの IP アドレス、UDP ポート、および NDE 送信元インターフェイスの設定を表示します。 |
次に、NDE エクスポート フローの送信元 IP アドレス、および UDP ポートの設定を表示する例を示します。
次に、NDE エクスポート フローの IP アドレス、UDP ポート、および NDE 送信元インターフェイスの設定を表示する例を示します。
NDE フロー フィルタの設定
NDE フロー フィルタの概要
デフォルトでは、フィルタを設定しない限り、すべての期限切れフローがエクスポートされます。フィルタを設定すると、期限切れになって消去されたフローのうち、指定されたフィルタ基準に合うフローだけがエクスポートされます。フィルタ値は NVRAM に保存され、NDE をディセーブルにしても削除されません。
NDE フロー フィルタの設定を表示するには、show mls nde コマンドを使用します(「NDE の設定の表示」を参照)。
ポート フロー フィルタの設定
宛先または送信元のポート フロー フィルタを設定するには、次の作業を行います。
|
|
|
|---|---|
Router(config)# mls nde flow { exclude | include } { dest-port number | src-port number } |
|
次に、宛先ポート 23 への期限切れフローだけがエクスポートされるように、ポート フロー フィルタを設定する例を示します(フロー マスクは full に設定されているものと想定します)。
ホストおよびポート フロー フィルタの設定
ホストおよび TCP/UDP ポート フロー フィルタを設定するには、次の作業を行います。
|
|
|
|---|---|
Router(config)# mls nde flow { exclude | include } { destination ip_address mask | source ip_address mask { dest-port number | src-port number }} |
|
次に、ホスト 171.69.194.140 から宛先ポート 23 への期限切れフローだけがエクスポートされるように、送信元ホストおよび宛先 TCP/UDP ポート フロー フィルタを設定する例を示します(フロー マスクは ip-flow に設定されているものと想定します)。
ホスト フロー フィルタの設定
宛先または送信元のホスト フロー フィルタを設定するには、次の作業を行います。
次に、ホスト 172.20.52.37 へのフローだけが含まれてエクスポートされるように、ホスト フロー フィルタを設定する例を示します。
プロトコル フロー フィルタの設定
プロトコル フロー フィルタを設定するには、次の作業を行います。
|
|
|
|---|---|
Router(config)# mls nde flow { exclude | include } protocol { tcp { dest-port number | src-port number } | udp { dest-port number | src-port number }} |
|
次に、宛先ポート 35 からの期限切れフローだけがエクスポートされるように、TCP プロトコル フロー フィルタを設定する例を示します。
NDE フロー フィルタのステータスを表示するには、show mls nde コマンドを使用します(「NDE の設定の表示」を参照)。
プロトコル フロー フィルタを設定するための使用上のガイドライン
NetFlow データ エクスポート フィルタを設定する場合は、次の制約事項と使用上のガイドラインに従ってください。
• フロー エクスポートを追加または除外するためのフィルタは 1 つしかサポートされません。フロー エクスポート設定は、送信元 IP、宛先 IP、送信元ポート、宛先ポート、およびプロトコルに基づきます。
• 次の例で示すように、フィルタ パラメータを個別に設定すると、最後のフィルタが、設定されたすべてのフィルタ値で構成されます。
• 次の例に示すように、フィルタを新しい値で設定し直すと、古い値が上書きされます。
NDE の設定の表示
|
|
|
|---|---|
フィードバック