Flexible NetFlow は、特定の要件に合わせてトラフィック分析パラメータをカスタマイズする機能を追加する、元の NetFlow の拡張機能です。Flexible NetFlow では、トラフィック分析のための非常に複雑な構成を作成したり、再利用可能な構成コンポーネントを使用してデータをエクスポートすることが容易になります。

Security Unified Logging（SUL）プロファイルは、アプリケーションレベルおよびフローレベルのプロファイルに存在するすべての情報を含むスーパーセットとして機能します。

詳細なフローレベルの統計が必要ない場合は、FNF モニターにアプリケーションの可視性を使用できます。または、フローレベルの FNF モニターを有効にして、アプリケーションレベルの統計を含むキャプチャされたすべてのデータを表示することもできます。

LAN インターフェイスまたは WAN インターフェイスのいずれかでフローレベルの可視性モニターを有効にすることで、パケットの二重カウントを回避できます。これにより、LAN から WAN への入力および出力データトラフィックフローが原因のデータの冗長性が回避されます。

IPv4 および IPv6 プロトコルは、パフォーマンス モニター コンテキストがインターフェイスに適用された後、デフォルトで有効になります。ただし、パフォーマンス モニタリング コンテキストを設定することで、IPv4 プロトコルまたは IPv6 プロトコルのいずれかを有効にすることができます。

SD-Routing は、次の 3 種類の FNF モニタリング方式をサポートしています。

• 集約 NetFlow アプリケーションの可視性

• フローレベル FNF

• Security Unified Logging（SUL）

フローレベル FNF を有効にすると、次の利点があります。

• フローレベル FNF は、詳細なレベルの統計情報を提供します。

• フローレベル FNF 統計は、オンデマンドの障害対応のために Cisco Catalyst SD-WAN 分析および SD-WAN モニタリングで使用されます。

Flexible NetFlow は、いくつかのバリエーションで一緒に使用して、データエクスポートおよびトラフィック分析を実行できるコンポーネントで構成されます。Flexible NetFlow のユーザー定義のフローレコードおよびコンポーネントの構成によって、最小限の数のコンフィギュレーション コマンドを使用して、ネットワーキングデバイスでのデータエクスポートおよびトラフィック分析のためのさまざまな設定の作成が容易になります。

各フロー モニターに、フロー レコード、フロー エクスポータ、およびキャッシュ タイプの固有の組み合わせを設定できます。フロー エクスポータの宛先 IP アドレスなどのパラメータを変更する場合、フロー エクスポータを使用するすべてのフロー モニターに対して自動的に変更されます。ここでは、Flexible NetFlow コンポーネントのその他の情報を提供します。

• フロー レコード

  Flexible NetFlow では、キー フィールドと非キー フィールドの組み合わせをレコードと呼びます。Flexible NetFlow のレコードは Flexible NetFlow フロー モニターに割り当てられ、フロー データの格納に使用されるキャッシュが定義されます。

• フローエクスポータ

  フローエクスポータでは、フロー モニタ キャッシュ内のデータをリモートシステム（たとえば、分析および保管のために NetFlow コレクタを実行するサーバ）にエクスポートします。フローエクスポータは、コンフィギュレーションで別のエンティティとして作成されます。フローエクスポータは、フローモニタにデータエクスポート機能を提供するためにフローモニタに割り当てられます。複数のフローエクスポータを作成して、1 つまたは複数のフローモニタに適用すると、いくつかのエクスポート先を指定することができます。1 つのフローエクスポータを作成し、いくつかのフローモニタに適用することができます。

• フローモニター

  フローモニターは Flexible NetFlow のコンポーネントであり、ネットワークトラフィックのモニタリングを実行するために、インターフェイスに適用されます。

  フロー モニターは、ユーザー定義のレコード、オプションのフロー エクスポータ、およびフロー モニターが最初のインターフェイスに適用されるときに自動的に作成されるキャッシュで構成されます。

  フロー データはネットワーク トラフィックから収集され、フロー レコードの key フィールドおよび nonkey フィールドに基づいて監視プロセス中にフロー モニター キャッシュに追加されます。

フローレベル FNF を有効にするには、次の 2 つの方法があります。

• EzPM プロファイルの使用：これは、既存のプロファイルを使用してフローレコードを設定できるシンプルな推奨方法です。EzPM プロファイルを使用すると、アプリケーションの可視性、フローレベルの可視性、および SUL モニターを設定できます。

• フローモニターの使用：これは、手動プロセスです。フローレコードを作成し、アプリケーションの可視性、フローレベルの可視性、および SUL のローカルエクスポータにエクスポートします。

Cisco ルータで license boot-level advantage を有効にする必要があります。これにより、EzPM プロファイル CLI サポートを使用するための Network Advantage が得られます。

次に、フローレベル FNF 設定に関する制限事項を示します。

• Cisco SD-WAN Manager では、CLI ベースの設定グループ、CLI テンプレート、または CLI アドオンプロファイルを使用して、SD-Routing デバイスのフローレベル設定が可能です。

• アプリケーションレベルおよびフローレベルの可視性によって、ターゲットインターフェイスの入力データと出力データの両方をモニターします。サービスインターフェイスとトランスポート インターフェイスの両方で設定されている場合、同じフローのパケットは 2 回カウントされます。

• 部分的にフローレベル レコード フィールドを使用してフローモニターをカスタマイズすることはできません。部分的なフローレベル レコード フィールドがモニターに追加された場合、PSV データは生成されません。

• 1 つのインターフェイスにアプリケーションの可視性、フローレベルの可視性、または SUL プロファイルのいずれかを設定できます。インターフェイスに適用できる EzPM プロファイルは 1 種類だけです。

Security Unified Logging を使用すると、ゾーンベースのファイアウォールと、IPS、URL-F、AMP などの統合脅威防御機能のログデータを可視性化できます。これらの機能は、ブロックされたトラフィック、脅威、サイト、またはマルウェアの理解や、関連付けられたポート、プロトコル、またはアプリケーションでのトラフィックまたはセッションをブロックしたルールを理解するのに役立ちます。

SUL プロファイルにはすべてのフローレベルフィールドが含まれているため、SUL プロファイルがすでに適用されている場合は、フローレベルの可視性をインターフェイスに適用する必要はありません。SUL は、IPv4 と IPv6 の両方のプロトコルをサポートします。

デバイスで SUL を設定する場合の制限事項は次のとおりです。

• アプリケーションの可視性（集約 FNF）やフローの可視性など、他の FNF プロファイルが設定されている場合は、SUL プロファイルを設定しないでください。これらの 3 つのプロファイルは、データの冗長性を回避するために相互に排他的である必要があります。

• 部分的に SUL レコードフィールドを使用してフローモニターをカスタマイズすることはできません。部分的な SUL レコードフィールドがモニターに追加された場合、PSV データは生成されません。

• 設計上の制限により、SUL モニターは出力方向のみを収集するため、デフォルトでは SUL を LAN および WAN インターフェイスの両方に適用する必要があります。

Cisco SD-WAN Manager を使用してフローレベル FNF を有効にするには、まず設定グループを作成し、次に示す手順を実行します。