SD-Routing デバイスでの Flexible NetFlow アプリケーションの可視性

この章では、SD-Routing デバイスで Flexible NetFlow アプリケーションの可視性を設定する方法について説明します。ここで説明する内容は、次のとおりです。

Flexible NetFlow アプリケーションの可視性に関する情報

Flexible NetFlow(FNF)は、デバイスを通過するパケットの統計情報を提供します。WAN または LAN インターフェイス上の FNF は、アプリケーション インテリジェンス エンジン(SAIE)を使用して、Cisco SD-Routing デバイスの WAN または LAN インターフェイスに到達するすべてのトラフィック(入力と出力の両方)を可視化します。アプリケーション インテリジェンス エンジン フローは、基本ヘッダー情報を超えてパケットを調べる機能を提供します。SAIE フローは、特定のパケットの内容を判別し、その情報を統計目的で記録するか、パケットに対してアクションを実行します。


Note

FNF は、WAN または LAN インターフェイスにのみ適用できます。WAN インターフェイスと LAN インターフェイスの両方に適用しないでください。

デバイスで Flexible NetFlow アプリケーションの可視性を有効にするには、次の方法で Cisco SD-WAN Manager を使用してフローデータ集約を有効にする必要があります。

  • パフォーマンス モニター コンテキスト プロファイル(推奨される方法)

  • フローエクスポータをローカルコントローラへ


Note

既存の FNF モニターがある場合は、新しいパフォーマンスモニターを追加することによるパフォーマンスへの影響を回避するために、既存の FNF モニターのフローエクスポータとしてフローエクスポータをローカルコントローラに追加します。それ以外の場合は、パフォーマンス モニター コンテキスト プロファイルを使用できます。

SAIE フローを使用した Flexible NetFlow アプリケーションの可視性の前提条件

前提条件は次のとおりです。

  • デバイスが Cisco IOS XE 17.13.1a イメージを実行していることを確認します。

  • Cisco SD-WAN Manager でフローデータ集約が有効になっていることを確認します。

制限事項

制限事項は次のとおりです。

  • Cisco SD-WAN Application Intelligence Engine(SAIE)による集約統計のみがサポートされます。

  • オンデマンドのトラブルシューティングはサポートされません。

  • コンテキストプロファイルと FNF エクスポータが同じ名前を使用している場合、show flow exporter name コマンドはそのうちの 1 つだけを表示します。

  • パフォーマンス モニター コンテキスト プロファイルおよびローカルコントローラへのフローエクスポータは、コンテキストプロファイルまたはローカルコントローラへのフローエクスポータのいずれかのみを使用できます。そうでない場合は、パケットをダブルカウントします。

  • CLI ベースの設定グループのみがサポートされています。

Flexible NetFlow アプリケーションの可視性の有効化

デバイスのコンテキストプロファイルまたはフローエクスポータを使用して、FNF アプリケーションの可視性を有効にできます。

コンテキスト プロファイル オプション 1 の設定

このオプションを使用することをお勧めします。次に、デバイスでコンテキストプロファイルを使用してフローデータ集約を有効にする例を示します。 

performance monitor context FNF profile app-visibility
 exporter destination local-controller source Null0
 traffic-monitor app-visibility-stats

interface GigabitEthernet5
 performance monitor context FNF

デバイスは、インターフェイスに接続されると、このプロファイルを FNF フローモニターに適用します。

フロー エクスポータ オプション 2 の設定

次に、デバイスでフローエクスポータを使用してフローデータ集約を有効にする例を示します。 

flow exporter fnf-1
 destination local controller
 export-protocol ipfix
 template data timeout 300
 option interface-table timeout 300 
 option vrf-table timeout 300
 option application-table timeout 300 
 option application-attributes timeout 300 

flow record fnf-app-visiblility
 match routing vrf input
 match interface input
 match interface output
 match application name
 collect counter bytes long
 collect counter packets long

flow monitor fnf-app-visiblility
 exporter fnf-1
 cache timeout inactive 10
 cache timeout active 60
 cache entries 5000
 record fnf-app-visiblility

interface GigabitEthernet5
 ip flow monitor fnf-app-visiblility input
 ip flow monitor fnf-app-visiblility output
 ipv6 flow monitor fnf-app-visiblility input
 ipv6 flow monitor fnf-app-visiblility output

Flexible NetFlow アプリケーションの可視性の設定

SD-Routing デバイスで FNF アプリケーションの可視性を設定するには、次の手順を実行します。

Procedure

Step 1

[Cisco IOS XE Catalyst SD-WAN Manager] のメニューから、[Configuration] > [Configuration Groups] > [Add CLI based Configuration Group] の順に選択します。

Step 2

[Add CLI configuration Group] ポップアップ ダイアログ ボックスで、設定グループ名を入力します。

Step 3

[Solution Type] ドロップダウンリストをクリックし、SD-Routing デバイスのソリューションタイプとして [sd-routing] を選択します。

Step 4

[Description] フィールドに機能の説明を入力します

Step 5

[Next] をクリックします。

[Feature Profiles] タブと [Associated Device] タブを含む新しい設定グループページが表示されます。

Step 6

[Feature Profiles] セクションで、対応する設定を追加します。

Step 7

[Save] をクリックして、コンフィギュレーションを保存します。

Step 8

設定グループ名の横にある [(…)] をクリックし、[Edit] を選択します

Step 9

[Associated Devices] をクリックします。

Step 10

1 つ以上のデバイスを選択し、[Deploy] をクリックします

Note

 

Flexible Netflow は、パフォーマンス モニター コンテキスト プロファイルおよびフローモニターがインターフェイスに接続されている場合、パフォーマンス モニター コンテキスト プロファイルおよびフローモニターの変更をサポートしません。

Step 11

[Configuration] > [Configuration Groups] > [Deploy] をクリックします

Step 12

設定グループ名の横にある [(…)] をクリックし、[Edit] を選択してパフォーマンス モニター コンテキスト プロファイルとフローモニターを変更し、インターフェイスに再接続します。

Step 13

[Deploy] をクリックします。

Step 14

[Save] をクリックします。

Cisco SD-WAN Manager を使用した Flexible NetFlow アプリケーションの可視性の確認

FNF アプリケーションの可視性を確認するには、次の手順を実行します。

Procedure

Step 1

Cisco SD-WAN Manager のメニューから [Monitor] > [Devices] の順に選択し、リストから SD-Routing デバイスを選択します。

Step 2

左側のペインで、[SAIE Applications] > [Filter] の順に選択します。

Step 3

[Filter By] ダイアログボックスで、VPN を選択します。

Step 4

[Traffic Source] で、[LAN] または [Remote Access] チェックボックスをオンにします。

Step 5

[Search] をクリックして、選択したフィルタに基づいてフローレコードを検索します。

フローレコードが表示されます。

Step 6

[Export] をクリックして、フローレコードをローカルシステムにエクスポートします。

Step 7

[Reset All] をクリックして、すべての検索フィルタをリセットします。

Flexible NetFlow アプリケーションの可視性の確認

SD-Routing FNF アプリケーションの可視性を計算するために使用される基本的なネットワークメトリックを確認するには、show performance monitor context [profile name] configurationshow platform sofware td-l database content dta fnf-statistics、および show performance monitor context fnf traffic monitoring app-visibility-stats cache コマンドを使用します。 

Device #show performance monitor context fnf configuration
!===============================================================================
! Equivalent Configuration of Context fnf !
!===============================================================================
!Exporters
!==========
!
flow exporter fnf-1
description performance monitor context fnf exporter
destination local controller
export-protocol ipfix
template data timeout 300
option interface-table timeout 300 export-spread 0
option vrf-table timeout 300 export-spread 0
option application-table timeout 300 export-spread 0
option application-attributes timeout 300 export-spread 0
!
!Access Lists
!=============
!Class-maps
!===========
!Samplers
!=========
!Records and Monitors
!=====================
!
flow record fnf-app-visiblility-v4
description ezPM record
match routing vrf input
match interface input
match interface output
match application name
collect counter bytes long
collect counter packets long
!
!
flow monitor fnf-app-visiblility-v4
description ezPM monitor
exporter fnf-1
cache timeout inactive 10
cache timeout active 60
cache entries 5000
record fnf-app-visiblility-v4
!
!
flow record fnf-app-visiblility-v6
description ezPM record
match routing vrf input
match interface input
match interface output
match application name
collect counter bytes long
collect counter packets long
!
!
flow monitor fnf-app-visiblility-v6
description ezPM monitor
exporter fnf-1
cache timeout inactive 10
cache timeout active 60
cache entries 5000
record fnf-app-visiblility-v6
!
!Interface Attachments
!======================
interface GigabitEthernet5
ip flow monitor fnf-app-visiblility-v4 input
ip flow monitor fnf-app-visiblility-v4 output
ipv6 flow monitor fnf-app-visiblility-v6 input
ipv6 flow monitor fnf-app-visiblility-v6 output
Device# show performance context fnf traffic-monitor app-visibility stats cache  
Monitor fnf-app-visibility-v4 

Cache  type:                           Normal (platform cache)
Cache  size :                                10000
Current entries:                              2
High Watermark:                               4

Flows added:                                  6
Flows aged:                                   4
 - Inactive timeout           (10sec)         4

IP VRF  ID INPUT  INFE INPUT  INTF OUTPUT  APP Name           bytese long   pkts long 
======  =======   =========   ===========  ===============    ===========  ========== 
1         (1)       Gi3         Gi5        layer7 share-point  1517476       3277
1         (1)       Gi5         Gi3       layer7 share-point  1306568       3463

SD-Routing デバイスでの Flexible NetFlow アプリケーションの可視性の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com/に進みます。Cisco.com のアカウントは必要ありません。

Table 1. SD-Routing デバイスでの Flexible NetFlow アプリケーションの可視性の機能情報

機能名

リリース

機能情報

SD-Routing デバイスでの Flexible NetFlow アプリケーションの可視性

Cisco IOS XE リリース 17.13.1a

Flexible NetFlow(FNF)の機能は、デバイスを通過するパケットの統計情報を提供し、トンネルまたはサービス VPN の識別に役立ちます。また、SD-Routing Application Intelligence Engine(SAIE)を使用して、Cisco SD-Routing デバイスの VPN0 を通過するすべてのトラフィックを可視化します。