- Cisco IOS XE ソフトウェア マニュアルにつ いて
- Cisco IOS ソフトウェアのコマンドライン イ ンターフェイスの使用
- Cisco IOS XE Flexible NetFlow の概要
- Cisco IOS XE Flexible NetFlow の設定の 開始
- 事前定義済みレコードによる Cisco IOS XE Flexible NetFlow の設定
- フロー エクスポータによる Cisco IOS XE Flexible NetFlow のデータ エクスポートの 設定
- Cisco IOS XE Flexible NetFlow のフロー レ コードおよびフロー モニタのカスタマイズ
- Cisco IOS XE Flexible NetFlow フロー サン プリングを使用したトラフィック分析の CPU オーバーヘッドの軽減
Flexible NetFlow コンフィギュレーション ガイド、 Cisco IOS XE Release 3S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: Cisco IOS XE Flexible NetFlow のフロー レ コードおよびフロー モニタのカスタマイズ
Cisco IOS XE Flexible NetFlow のフロー レコードおよびフロー モニタのカスタマイズ
このドキュメントには、Flexible NetFlow のフロー レコードおよびフロー モニタのカスタマイズについて、およびその方法に関する説明が記載されています。「 Getting Started with Configuring Cisco IOS XE Flexible NetFlow 」モジュールおよび「 Configuring Cisco IOS XE Flexible NetFlow with Predefined Records 」モジュールのタスクおよび設定例がトラフィック分析要件に適していない場合は、このドキュメント内の情報および指示を使用して、トラフィック分析要件を満たすように Flexible NetFlow をカスタマイズできます。
NetFlow は、ルータを通過するパケットの統計情報が得られる Cisco IOS テクノロジーです。NetFlow は、IP ネットワークから IP 運用データを取得するための規格です。NetFlow は、ネットワークとセキュリティの監視、ネットワーク計画、トラフィック分析、および IP アカウンティングをサポートするためのデータを提供します。
Flexible NetFlow は、実際の要件に合わせてトラフィック分析パラメータをカスタマイズする機能を追加することで、以前の NetFlow よりも改善されています。Flexible NetFlow では、トラフィック分析のための非常に複雑な構成を作成したり、再利用可能な構成コンポーネントを使用してデータをエクスポートすることが容易になります。
機能情報の検索
ご使用のソフトウェア リリースによっては、このモジュールに記載されている機能の中に、一部サポートされていないものがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「Flexible NetFlow の機能情報」を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
•
「Flexible NetFlow のフロー レコードおよびフロー モニタをカスタマイズするための前提条件」
• 「Flexible NetFlow のフロー レコードおよびフロー モニタのカスタマイズについて」
• 「Flexible NetFlow のフロー レコードおよびフロー モニタのカスタマイズ方法」
• 「Flexible NetFlow のフロー レコードおよびフロー モニタをカスタマイズする設定例」
• 「関連情報」
• 「参考資料」
Flexible NetFlow のフロー レコードおよびフロー モニタをカスタマイズするための前提条件
Flexible NetFlow を設定する前に、次の前提条件を満たしておく必要があります。
• 「 Cisco IOS XE Flexible NetFlow Overview 」モジュールに記載された内容をよく理解していること。
• Flexible NetFlow の key フィールドについて、『 Cisco IOS Flexible NetFlow Command Reference 』で次のコマンドに定義されている内容をよく理解していること。
• Flexible NetFlow の nonkey フィールドについて、『 Cisco IOS Flexible NetFlow Command Reference 』で次のコマンドに定義されている内容をよく理解していること。
– collect timestamp sys-uptime
• ネットワーク デバイスで、Flexible NetFlow がサポートされた Cisco IOS XE リリースが稼動していること。Flexible NetFlow をサポートした Cisco IOS ソフトウェア リリースのリストについては、「 Cisco IOS Flexible NetFlow Features Roadmap 」を参照してください。
Flexible NetFlow のフロー レコードおよびフロー モニタのカスタマイズについて
Flexible NetFlow フロー レコードおよびフロー モニタをカスタマイズする前に、次の概念を理解しておく必要があります。
• 「Flexible NetFlow の分析に使用されるトラフィックの識別基準」
Flexible NetFlow の分析に使用されるトラフィックの識別基準
事前定義されている Flexible NetFlow レコードがトラフィック要件に適していない場合は、Flexible NetFlow collect コマンドおよび match コマンドを使用してユーザ定義(カスタム)レコードを作成できます。カスタマイズしたレコードを作成する前に、key フィールドおよび nonkey フィールドに対して使用する基準を決定する必要があります。
ネットワーク攻撃検出用のカスタム レコードを作成する場合は、適切な key および nonkey フィールドをレコードに含めることで、ルータが攻撃の分析と対処に必要なフローを作成し、データをキャプチャする必要があります。たとえば、一般的な Denial of Service(DoS; サービス拒否)攻撃である SYN フラッド攻撃では、宛先ホストに対するオープン TCP 要求をフラッディングするために TCP フラグが使用されます。通常の TCP 接続が開始されると、宛先ホストは送信元ホストからの SYN(同期/開始)パケットを受信し、SYN ACK(同期応答確認)を返信します。宛先ホストは、接続を確立する前に、SYN ACK への ACK(応答確認)を受信する必要があります。これは、「TCP スリーウェイ ハンドシェイク」と呼ばれます。宛先ホストが SYN ACK への ACK を待機している間、宛先ホスト上のサイズが制限された接続キューは、完了するまで待機しながら、接続を記録します。ACK は SYN ACK の数ミリ秒後に到着すると予想されるため、このキューは通常、すぐに空になります。TCP SYN 攻撃ではこの設計を悪用し、攻撃元ホストでランダムな送信元アドレスを使用して被害ホストに対する TCP SYN パケットを生成します。被害を受けた宛先ホストは SYN ACK をランダムな送信元アドレスに返信し、接続キューにエントリが追加されます。SYN ACK は適切でないか、または存在していないホストを宛先にするため、TCP スリーウェイ ハンドシェイクの最後の部分が完了せず、エントリはタイマーが期限切れになるまで、通常は約 1 分間、接続キューに残ります。送信元ホストがランダムな IP アドレスから TCP SYN パケットを迅速に生成する場合、接続キューがいっぱいになる可能性があり、正当なユーザに対する TCP サービス(電子メール、ファイル転送、WWW など)が拒否されるおそれがあります。
このタイプの DoS 攻撃に対するセキュリティ監視レコードに必要な情報には、次の key フィールドおよび nonkey フィールドが含まれることがあります。
ヒント ユーザの多くは、これらの key フィールドおよび nonkey フィールドを使用して、DoS 攻撃の詳細な Flexible NetFlow ビューをトリガーする一般的な Flexible NetFlow モニタを設定します。
Flexible NetFlow のフロー レコードおよびフロー モニタのカスタマイズ方法
• Flexible NetFlow フロー レコードをカスタマイズする。
• Flexible NetFlow フロー モニタをカスタマイズする。
(注) 次の作業では、これらのタスクで使用される Flexible NetFlow コマンドに必要なキーワードおよび引数のみについて説明します。これらの Flexible NetFlow コマンドで使用可能なその他のキーワードと引数については、『Cisco IOS Flexible NetFlow Command Reference』を参照してください。
Flexible NetFlow のフロー レコードおよびフロー モニタをカスタマイズして、Flexible NetFlow をイネーブルにするには、次の作業を実行します。
• 「カスタマイズしたフロー レコードの設定」(必須)
• 「フロー レコードの現在のステータスの表示」(任意)
• 「フロー レコード設定の確認」(任意)
• 「カスタマイズしたフロー モニタの作成」(必須)
• 「フロー モニタの現在のステータスの表示」(任意)
• 「フロー モニタ設定の確認」(任意)
• 「インターフェイスへのフロー モニタの適用」(必須)
• 「インターフェイスで Flexible NetFlow がイネーブル化されていることの確認」(任意)
• 「フロー モニタ キャッシュ内のデータの表示」(任意)
カスタマイズしたフロー レコードの設定
カスタマイズしたフロー レコードは、特定の目的でトラフィック データを分析するために使用します。カスタマイズしたフロー レコードには、key フィールドとして使用する 1 つ以上の match 基準が必須で、通常は nonkey フィールドとして使用する 1 つ以上の collect 基準があります。
カスタマイズしたフロー レコードの順列は、数百もの可能性があります。このタスクでは、可能性のある順列の 1 つを作成するための手順について説明します。必要に応じてこれらのタスクの手順を変更し、要件に合わせてカスタマイズしたフロー レコードを作成します。
IPv4 トラフィックのカスタマイズしたフロー レコードの設定
このタスクでは、IPv4 トラフィックのカスタマイズしたフロー レコードを作成するために使用される手順を説明します。これは、IPv4 トラフィックから特定のデータを収集するために使用されます。
手順の概要
5. match ipv4 destination { address | { mask | prefix } [ minimum-mask mask ]}
6. 必要に応じてステップ 5 を繰り返し、レコードの追加 key フィールドを設定します。
7. collect ipv4 source { address | { mask | prefix } [ minimum-mask mask ]}
手順の詳細
フロー レコードの現在のステータスの表示
手順の概要
手順の詳細
enable コマンドによって、特権 EXEC モードを開始します(プロンプトが表示されたらパスワードを入力します)。
show flow record コマンドでは、指定するフロー モニタの現在のステータスを表示します。
フロー レコード設定の確認
手順の概要
手順の詳細
enable コマンドによって、特権 EXEC モードを開始します(プロンプトが表示されたらパスワードを入力します)。
ステップ 2 show running-config flow record
show running-config flow record コマンドでは、指定するフロー モニタのコンフィギュレーション コマンドを表示します。
カスタマイズしたフロー モニタの作成
フロー モニタ
各フロー モニタには、専用のキャッシュが割り当てられています。フロー モニタごとに、キャッシュ エントリの内容およびレイアウトを定義するレコードが必要です。これらのレコード フォーマットは、事前定義済みのレコード フォーマットのいずれかにすることもできますが、上級のユーザであれば flow record コマンドを使用して、カスタマイズしたフォーマットを作成することもできます。このタスクでは、「カスタマイズしたフロー レコードの設定」で作成したレコードを使用します。
前提条件
Flexible NetFlow の事前定義済みレコードの代わりにカスタマイズしたレコードを使用する場合は、このタスクを実行する前に、カスタマイズしたレコードを作成する必要があります。カスタマイズしたフロー レコードの作成について、およびその方法については、「カスタマイズしたフロー レコードの設定」を参照してください。
データをエクスポートするためにフロー エクスポータをフロー モニタに追加する場合は、このタスクを完了する前にエクスポータを作成する必要があります。フロー エクスポータの作成について、およびその方法については、「 Configuring Data Export for Cisco IOS XE Flexible NetFlow with Flow Exporters 」モジュールを参照してください。
制約事項
フロー モニタで record コマンドのパラメータを変更する前に、 no ip flow monitor コマンドを使用して、すべてのインターフェイスから適用済みのフロー モニタを削除する必要があります。 ip flow monitor コマンドについては、『 Cisco IOS Flexible NetFlow Command Reference 』を参照してください。
手順の概要
5. record { record-name | netflow-original | netflow ipv4 record [ peer ]}
6. cache { entries number | timeout { active | inactive | update } seconds | type { immediate | normal | permanent }}
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
Router(config-flow-monitor)# description Used for basic ipv4 traffic analysis |
||
record { record-name | netflow-original | netflow { ipv4 } record [ peer ]} |
||
cache { entries number | timeout { active | inactive | update } seconds | type { immediate | normal | permanent }} |
(任意)フロー モニタ キャッシュ パラメータ(タイムアウト値、キャッシュ エントリ数、キャッシュ タイプなど)を変更します。 • |
|
|
|
||
|
|
||
|
|
• |
|
|
|
Flexible NetFlow フロー モニタ コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。 |
フロー モニタの現在のステータスの表示
手順の概要
手順の詳細
enable コマンドによって、特権 EXEC モードを開始します(プロンプトが表示されたらパスワードを入力します)。
ステップ 2 show flow monitor monitor-name
show flow monitor コマンドでは、指定するフロー モニタの現在のステータスを表示します。
フロー モニタ設定の確認
手順の概要
手順の詳細
enable コマンドによって、特権 EXEC モードを開始します(プロンプトが表示されたらパスワードを入力します)。
ステップ 2 show running-config flow monitor
show running-config flow monitor コマンドでは、指定したフロー モニタのコンフィギュレーション コマンドを表示します。
インターフェイスへのフロー モニタの適用
フロー モニタをアクティブ化する前に、1 つ以上のインターフェイスに適用する必要があります。フロー モニタをアクティブ化するには、次の必須タスクを実行します。
制約事項
事前定義済みレコード「NetFlow original」、または「NetFlow IPv4 original input」をフロー モニタに指定して、以前の NetFlow をエミュレートする場合は、Flexible NetFlow フロー モニタを入力(受信)トラフィックの分析だけに使用できます。
事前定義済みレコード「NetFlow IPv4 original output」をフロー モニタに指定して、出力 NetFlow アカウンティング機能をエミュレートする場合は、Flexible NetFlow フロー モニタを出力(発信)トラフィックの分析だけに使用できます。
手順の概要
4. ip flow monitor monitor-name { input | output }
5. ステップ 3 および 4 を繰り返して、トラフィックを監視するルータの他のインターフェイスでフロー モニタをアクティブ化します。
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
ip flow monitor monitor-name { input | output } |
作成済みのフロー モニタを、トラフィックの分析対象となるインターフェイスに割り当てることで、そのフロー モニタをアクティブにします。 |
|
ステップ 3 および 4 を繰り返して、トラフィックを監視するルータの他のインターフェイスでフロー モニタをアクティブ化します。 |
||
|
|
インターフェイスで Flexible NetFlow がイネーブル化されていることの確認
インターフェイスで Flexible NetFlow がイネーブルになっていることを確認するには、次のオプション作業を実行します。
手順の概要
手順の詳細
enable コマンドによって、特権 EXEC モードを開始します(プロンプトが表示されたらパスワードを入力します)。
ステップ 2 show flow interface type number
show flow interface コマンドでは、インターフェイスで Flexible NetFlow がイネーブルになっていることを確認します。
フロー モニタ キャッシュ内のデータの表示
前提条件
フロー モニタ キャッシュ内のフローを表示するためには、NetFlow original レコードで定義された基準に適合するトラフィックを受信するインターフェイスに、入力フロー モニタを適用する必要があります。
手順の概要
手順の詳細
enable コマンドによって、特権 EXEC モードを開始します(プロンプトが表示されたらパスワードを入力します)。
ステップ 2 show flow monitor name monitor-name cache format record
show flow monitor name monitor-name cache format record コマンド文字列では、フロー モニタのステータス、統計情報、およびキャッシュ内のフロー データを表示します。
Flexible NetFlow のフロー レコードおよびフロー モニタをカスタマイズする設定例
• 「例:数が制限されたフローで使用する永続的なフロー レコード キャッシュの設定」
• 「例:入力 VRF サポートのための Flexible NetFlow の設定」
• 「例:ネットワークベース アプリケーション認識のための Flexible NetFlow の設定」
例:数が制限されたフローで使用する永続的なフロー レコード キャッシュの設定
次に、ルータのすべてのインターフェイス上の Type of Service(ToS; タイプ オブ サービス)フィールドを監視するための設定例を示します。この例は、 show flow monitor コマンドを使用して、ルータで分析用の追加データを収集することを目的としているため、エクスポータは設定されていません。
このサンプルは、グローバル コンフィギュレーション モードから開始します。
show flow monitor コマンドでは、キャッシュの現在のステータスを表示します。
例:入力 VRF サポートのための Flexible NetFlow の設定
次に、key フィールドとして VRF ID を収集するフロー レコードがある入力フロー モニタを適用して、ルータで着信パケットから Virtual Routing and Forwarding(VRF)ID を収集するための設定例を示しています。
このサンプルは、グローバル コンフィギュレーション モードから開始します。
例:ネットワークベース アプリケーション認識のための Flexible NetFlow の設定
次に、key フィールドとしてアプリケーション名を収集するフロー レコードがあるフロー モニタを適用し、Network-Based Application Recognition(NBAR; ネットワークベース アプリケーション認識)を使用して、2 台の IP ホスト間で表示されるアプリケーションごとに異なるフローを作成する例を示します。
このサンプルは、グローバル コンフィギュレーション モードから開始します。
関連情報
Flexible NetFlow に対してデータ エクスポートを設定する場合は、「 Configuring Data Export for Cisco IOS XE Flexible NetFlow with Flow Exporters 」モジュールを参照してください。
フロー サンプリングを設定して、トラフィック分析による CPU オーバーヘッドを軽減する場合は、「 Using Cisco IOS XE Flexible NetFlow Flow Sampling to Reduce the CPU Overhead of Analyzing Traffic 」モジュールを参照してください。
Flexible NetFlow に対して事前定義済みのレコードを設定する場合は、「 Configuring Cisco IOS XE Flexible NetFlow with Predefined Records 」モジュールを参照してください。
参考資料
関連資料
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに対する MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
Flexible NetFlow の機能情報
表 1 に、このモジュールに記載されている機能および具体的な設定情報へのリンクを示します。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
|
|
|
|
|---|---|---|
| Flexible NetFlow 機能については、次の項で説明します。 • • • • 次のコマンドが導入または変更されました。 cache (Flexible NetFlow) 、 clear flow exporter 、 clear flow monitor 、 clear sampler 、 collect counter 、 collect flow 、 collect interface 、 collect ipv4 、 collect ipv4 destination 、 collect ipv4 fragmentation 、 collect ipv4 section 、 collect ipv4 source 、 collect ipv4 total-length 、 collect ipv4 ttl 、 collect routing 、 collect timestamp sys-uptime 、 collect transport 、 collect transport icmp ipv4 、 collect transport tcp 、 collect transport udp 、 debug flow exporter 、 debug flow monitor 、 debug flow record 、 debug sampler、 description (Flexible NetFlow)、 destination 、 dscp (Flexible NetFlow) 、 exporter 、 flow exporter 、 flow monitor 、 flow record 、 ip flow monitor 、 match flow 、 match interface (Flexible NetFlow) 、 match ipv4 、 match ipv4 destination 、 match ipv4 fragmentation 、 match ipv4 section 、 match ipv4 source 、 match ipv4 total-length 、 match ipv4 ttl 、 match routing 、 match transport 、 match transport icmp ipv4 、 match transport tcp 、 match transport udp、 mode (Flexible NetFlow) 、 option (Flexible NetFlow) 、 record 、 sampler 、 show flow exporter 、 show flow interface 、 show flow monitor 、 show flow record 、 show sampler、 source (Flexible NetFlow) 、 statistics packet 、 template data timeout、 transport (Flexible NetFlow) 。 |
||
Flexible NetFlow での IPv4 トラフィックの監視をイネーブルにします。 Flexible NetFlow:IPv4 ユニキャスト フロー機能については、次の項で説明します。 • 次のコマンドが導入または変更されました。 collect routing、debug flow record、collect ipv4、collect ipv4 destination、collect ipv4 fragmentation、collect ipv4 section、collect ipv4 source、ip flow monitor、match ipv4、match ipv4 destination、match ipv4 fragmentation、match ipv4 section、match ipv4 source、match routing、record、show flow monitor、show flow record 。 |
||
key フィールドまたは nonkey フィールドとして VRF ID を収集するフロー レコードがある入力フロー モニタを適用して、ルータで着信パケットから Virtual Routing and Forwarding(VRF)ID を収集できるようにします。 Flexible NetFlow:入力 VRF サポート機能については、次の項で説明します。 • 次のコマンドが導入または変更されました。 collect routing、match routing、option(Flexible NetFlow)、show flow monitor。 |
||
Network-Based Application Recognition(NBAR; ネットワークベース アプリケーション認識)では、key フィールドまたは nonkey フィールドとしてアプリケーション名を収集するフロー レコードがあるフロー モニタを適用して、Network-Based Application Recognition(NBAR)を使用して、2 台の IP ホスト間で表示されるアプリケーションごとに異なるフローを作成できます。 NBAR アプリケーション認識機能については、次の項で説明します。 • 次のコマンドが導入または変更されました。 collect application name、match application name、option(Flexible NetFlow)、show flow monitor。 |
フィードバック