NetFlow の構成:入力および出力
Cisco NX-OS リリース 10.4(1)F 以降、NetFlow は次の手順で構成されます。
-
入力 NetFlow の構成
-
出力 NetFlow の構成(Cisco NX-OS リリース 10.4(1)F 以降でサポートされています)。
入力 NetFlow の構成
入力 NetFlow について
入力 NetFlow は入力 IP パケットについてパケット フローを識別し、各パケット フローに基づいて統計情報を提供します。NetFlow のためにパケットやネットワーキング デバイスを変更する必要はありません。
入力 NetFlow ではフローを使用して、アカウンティング、ネットワーク モニタリング、およびネットワーク プランニングに関連する統計情報を提供します。フローは送信元インターフェイス(VLAN 向け)に届く単方向のパケット ストリームで、キーの値は同じです。キーは、パケット内のフィールドを識別する値です。フローを作成するには、フロー レコードを使用して、フロー固有のキーを定義します。
Cisco NX-OS は、ネットワーク異常とセキュリティ問題の高度な検出を有効にする Flexible NetFlow 機能をサポートします。フレクシブル NetFlow 機能を使用すると、大量の定義済みフィールドの集合からキーを選択することで、そのアプリケーションに最適なフロー レコードを定義できます。
1 つのフローと見なされるパケットでは、すべてのキー値が一致している必要があります。フローは、設定したエクスポート レコード バージョンに基づいて、関係のある他のフィールドを集めることもあります。フローは NetFlow キャッシュに格納されます。
フロー用に NetFlow が収集したデータをエクスポートするには、フロー エクスポータを使用し、このデータを Cisco Stealthwatch などのリモート NetFlow コレクタにエクスポートします。Cisco NX-OS は次の状況で、NetFlow エクスポート用のユーザ データグラム プロトコル(UDP)データグラムの一部としてフローをエクスポートします。
-
フローはフロー タイムアウト値に従って定期的にエクスポートされます。設定されていない場合、デフォルトは 10 秒です。
-
ユーザがフローの強制的エクスポートを行った。
フロー レコードによってフロー用に収集するデータのサイズが決まります。フロー モニタで、フロー レコードおよびフロー エクスポータを NetFlow キャッシュ情報と結合します。
Cisco NX-OS は NetFlow 統計を集計し、インターフェイスまたはサブインターフェイス上のすべてのパケットを分析します。
デュアルレイヤ NetFlow の実装
他の Cisco Nexus プラットフォームとは異なり、Cisco Nexus 9000 シリーズ スイッチは、NetFlow 処理を次の 2 つのレイヤに分離します。
-
第 1 レイヤは、ラインレート トラフィックのパケット単位の可視性をサポートします。パケットをサンプリングして統計的に分析する必要はありません。代わりに、パケットをライン レートで処理および集約できます。
-
2 番目のレイヤは、大規模なフローの収集を可能にします。フローを失うことなく何十万ものフローを維持でき、定期的に外部コレクタにエクスポートします。
フロー レコード
フロー レコードでは、パケットを識別するために NetFlow で使用するキーとともに、NetFlow がフローについて収集する関連フィールドを定義します。キーと関連フィールドを任意の組み合わせで指定して、フローレコードを定義できます。Cisco NX-OS は、様々なキー セットをサポートしています。フローレコードでは、フロー単位で収集するカウンタのタイプも定義します。32 ビットまたは 64 ビットのパケット カウンタまたはバイト カウンタを設定できます。
キー フィールドは、match キーワードで指定されます。対象フィールドとカウンタは collect キーワードで指定されます。
Cisco NX-OS では、フロー レコードの作成時に次の match フィールドをデフォルトとして使用できます。
-
match interface input
-
match flow direction
フロー エクスポータ
フロー エクスポータでは、NetFlow エクスポート パケットに関して、ネットワーク層およびトランスポート層の詳細を指定します。フロー エクスポータで設定できる情報は次のとおりです。
-
エクスポート宛先 IP アドレス
-
送信元インターフェイス
-
UDP ポート番号(NetFlow コレクタが NetFlow パケットをリスニングするところ):デフォルト値は 9995 です。
 (注) |
NetFlow エクスポート パケットでは、送信元インターフェイスに割り当てられた IP アドレスを使用します。送信元インターフェイスを設定しない場合、フロー エクスポータはエクスポートする予定のフローをドロップします。[Netflow エクスポータの送信元インターフェイスと接続先 IP は、同じ VRF を使用する必要があります。(The Netflow Exporter source interface and destination IP must use the same VRF.)] |
Cisco NX-OS は、タイムアウトが発生するたびにデータを NetFlow コレクタへエクスポートします。キャッシュをフラッシュし、フローを強制的にエクスポートするには、フラッシュ キャッシュ タイムアウトを設定できます(flow timeout コマンドを使用)。
エクスポート形式
Cisco NX-OS は、バージョン 9 のエクスポート形式をサポートします。この形式は、古いバージョン 5 のエクスポート形式よりも効率的なネットワーク使用率をサポートし、IPv6 およびレイヤ 2 フィールドをサポートします。さらに、バージョン 9 エクスポート形式は、NetFlow コレクタで完全な 32 ビット SNMP ifIndex 値をサポートします。
レイヤ 2 NetFlow キー
フレクシブル NetFlow レコード内でレイヤ 2 キーを定義できます。このレコードを使用して、レイヤ 2 インターフェイスのフローをキャプチャできます。レイヤ 2 のキーは次のとおりです。
-
送信元および宛先 MAC アドレス
-
送信元 VLAN ID
-
イーサネット フレームのイーサネット タイプ
受信方向については、次のインターフェイスに対してレイヤ 2 NetFlow を適用できます。
-
アクセス モードのスイッチ ポート
-
トランク モードのスイッチ ポート
-
レイヤ 2 のポート チャネル
(注) |
Layer 2 NetFlow を VLAN、送信インターフェイス、またはレイヤ 3 インターフェイス(VLAN インターフェイスなど)に適用できます。 |
フロー モニタ
フロー モニタは、フロー レコードおよびフロー エクスポータを参照します。フロー モニタはインターフェイスに適用します。
NetFlow 出力インターフェイス
スイッチの NetFlow 出力インターフェイスには、次の機能があります。
-
show flow cache コマンドの NetFlow は
output_if_idを表示し、出力インターフェイスを コレクタにエクスポートします。 -
Cisco Nexus プラットフォーム スイッチの NetFlow 出力インターフェイスは、IPv4 と IPv6 の両方のトラフィック フローをサポートします。ただし、Cisco Nexus 9500 プラットフォーム スイッチの NetFlow 出力インターフェイスは、IPv4 トラフィック フローでのみサポートされ、IPv6 トラフィック フローではサポートされません。
-
show flow cache コマンドは、
output_if_idを0x0として表示します。ただし、Cisco NX-OS リリース 10.3(3)F 以降では、宛先 IP アドレスが解決できない、またはルーティング テーブルに登録されていない、または受信したパケットが制御パケットであった場合に限り、show flow cache コマンドはoutput_if_idを0x0として表示します。 -
NetFlow は、宛先インターフェイスとしてネクストホップを持つ IPv4/IPv6 着信トラフィック フローのコレクタへの出力インターフェイスのエクスポートをサポートします。
InputIntおよびOutputIntの NetFlow エクスポート形式は、NetFlow コレクタで完全な 32 ビットSNMPifIndex値をサポートします。 -
NetFlow 出力インターフェイスは、MPLS、VXLAN、GRE などのトンネル トラフィック フローではサポートされません。
-
NetFlow 出力インターフェイスの例の詳細については、入力 NetFlow の表示例 を参照してください。
高可用性
Cisco NX-OS は NetFlow のステートフル リスタートをサポートします。リブート後、Cisco NX-OS は実行コンフィギュレーションを適用します。
フロー キャッシュは再起動で保持されず、再起動中にソフトウェアに送信されるパケットは処理されません。
入力 NetFlow の前提条件
入力 NetFlow の前提条件は、次のとおりです。
-
使用しているデバイスで必要とされるリソースを正しく理解していること。NetFlow はメモリと CPU リソースを消費するからです。
入力 NetFlow に関する注意事項および制約事項
(注) |
スケールの情報については、リリース特定の『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。 |
入力 NetFlow に関する設定時の注意事項および制約事項は、次のとおりです。
-
Cisco Nexus 9300-FX プラットフォーム スイッチに対して、レイヤ 2 NetFlow に対してすでに設定されているポート チャネルにメンバを追加すると、NetFlow の設定が削除され、ポート チャネルのレイヤ 2 設定が追加されます。
-
NetFlow はトンネル インターフェイスではサポートされていません。
-
NetFlowは、CPU で送信されるパケットではサポートされません。
-
入力 NetFlow のみがサポートされます。出力 NetFlow はサポートされていません。
-
フロー キャッシュは、レイヤ 2、IPv4、IPv6 などのフロー タイプごとにクリアできます。フロー モニタごとにクリアすることはできません。
-
フロー収集は ARP トラフィックに対して実行されません。
-
NetFlow データ エクスポート(NDE)では、送信元インターフェイスを設定する必要があります。送信元インターフェイスを設定しない場合、フロー エクスポータはエクスポートする予定のフローをドロップします。
-
レイヤ 2 スイッチド フロー モニタは、レイヤ 2 インターフェイスにのみ適用されます。IP および IPv6 フロー モニタは、VLAN、SVI、レイヤ 3 ルーテッド インターフェイス、またはサブインターフェイスに適用できます。
-
レイヤ 2 インターフェイスをレイヤ 3 インターフェイスへ変更するか、レイヤ 3 インターフェイスをレイヤ 2 インターフェイスへ変更すると、ソフトウェアで、インターフェイスからレイヤ 2 の NetFlow 設定が削除されます。
-
同じフロー モニタを VLAN およびレイヤ 3 インターフェイス(物理レイヤ 3 インターフェイス、SVI インターフェイス、またはレイヤ 3 サブインターフェイスなど)と共有することはできません。ACL は異なるため共有できないため、VLAN とレイヤ 3 インターフェイスを区別する必要があります。これらは 2 つの異なるプロファイルとして扱う必要があります。
-
ロールバック中、ハードウェアでプログラムされているレコードを変更しようとすると、ロールバックは失敗します。
-
入力 NetFlow 機能の制限は次のとおりです。
-
MPLS データパスの NetFlow はサポートされていません
-
OIF(出力インターフェイス)を含む VXLAN トラフィックの NetFlow がサポートされています。内部フローの詳細をキャプチャするには、VXLAN トランジット ノードで feature nv overlay コマンドを有効にする必要があります。そうしない場合、NetFlow は外部ヘッダー情報のみをキャプチャします。
-
VXLAN カプセル化ノードの OIF は 0x0 と表示されます。
-
NetFlow は、ループバックおよびスイッチ管理インターフェイスではサポートされません。
-
-
VXLAN 環境の NetFlow には、次の注意事項および制約事項が適用されます。
-
NetFlow は、VXLAN VTEP の SVI および非アップリンク L3 インターフェイスでサポートされます。これには L3VNI SVI は含まれません。
-
NetFlow は、VXLAN VTEP のアップリンク インターフェイスではサポートされません。
-
マルチサイト境界ゲートウェイでの NetFlow はサポートされていません。
-
VXLAN ファブリックを介して到達可能な NetFlow コレクタがサポートされています。
-
-
Cisco NX-OS リリース 9.2(1) 以降:
-
FEX レイヤ 3 ポートの NetFlow は Cisco Nexus 9300 EX と 9300 FX プラットフォーム スイッチでサポートされています。
-
Cisco Nexus 9300-EX プラットフォーム スイッチで NetFlow CE がサポートされています。
(注)
すべての EX タイプのプラットフォームス イッチ(Cisco Nexus 9700-EX ライン カードを含む)では、CE NetFlow は非 IPv4 および IPv6 トラフィック フローの CE フローレコードのみをキャプチャします。FX および FX2 タイプのプラットフォーム スイッチとライン カードでは、 mac packet-classify がインターフェイスに適用されている限り、IP フローの CE フロー データをキャプチャできます。
-
-
Cisco NX-OS リリース 9.2(2) 以降、Cisco Nexus 9300-FX スイッチは NetFlow データ エクスポート(NDE)の OUTPUT_SNMP フィールドの収集をサポートしています。他の Cisco Nexus 9000 プラットフォーム スイッチまたは Cisco Nexus ライン カードは、OUTPUT_SNMP フィールドの収集をサポートしていません。
-
Cisco NX-OS リリース9.2(2) 以降では、NetFlow はCisco Nexus 9700-EX ライン カードとFM-E モジュールを搭載した Cisco Nexus 9500 プラットフォーム スイッチでサポートされます。
-
入力 NetFlow は、Cisco Nexus 92348GC-X プラットフォーム スイッチではサポートされていません。
-
Cisco Nexus 9300-EX プラットフォーム スイッチの場合、VLAN または SVI に適用されたフロー モニタは、スイッチド トラフィックとルーテッド トラフィックの両方のフローを収集できます。Cisco Nexus 9300-FX プラットフォーム スイッチの場合、NetFlow VLAN はスイッチド トラフィックに対してのみサポートされ、NetFlow SVI はルーテッド トラフィックに対してのみサポートされます。
-
Cisco Nexus 9300-EX プラットフォーム スイッチは、同じインターフェイスで NetFlow と SPAN を同時にサポートします。この機能は、SPAN および sFlow の代わりに使用できます。
-
Cisco Nexus 9300-EX/FX プラットフォーム スイッチ、および EX/FX モジュールを搭載した Cisco Nexus 9500 プラットフォーム スイッチでは、SPAN と sFlow の両方を同時に有効にすることはできません。一方がアクティブな場合、もう一方は有効にできません。ただし、Cisco Nexus 9300-EX/FX/FX2 および EX モジュールを搭載した Cisco Nexus 9500 プラットフォーム スイッチでは、NetFlow と SPAN の両方を同時に有効にすることができ、sFlow と SPAN を使用する代わりに実行可能です。
(注)
Cisco Nexus 9300-FX2 プラットフォーム スイッチは、sFlow と SPAN の共存をサポートします。
-
Cisco Nexus 9300-EX プラットフォーム スイッチでは、同じフロー モニタを VLAN と SVI に同時に接続することはできません。
-
Cisco Nexus 9300-EX プラットフォーム スイッチには専用の TCAM があり、カービングは必要ありません。
-
ing-netflow リージョンの TCAM カービング設定は、FX ライン カードでは実行できます。EX ライン カードでは、デフォルトの ing-netflow リージョン TCAM カービングが 1024 であり、それ以外の場合は設定できません。EX および FX ライン カードのポートの場合、ing-netflow リージョンの推奨最大値は 1024 です。
-
ToS フィールドは、Cisco Nexus 9300-EX プラットフォーム スイッチではエクスポートされません。
-
IP ToS に基づくレコード一致は、IPv6 フロー モニタではサポートされません。ToS 値は、トラフィックが保持する値に関係なく、コレクタで 0x0 として収集されます。
この制限は、次のプラットフォーム スイッチ ファミリに適用されます。
-
Cisco Nexus 9300-EX
-
Cisco Nexus 9300-FX
-
Cisco Nexus 9300-FX2
-
Cisco Nexus 9300-FX3
-
Cisco Nexus 9300-GX
-
EX または FX ライン カード搭載の Cisco Nexus 9500
-
-
次の注意事項は、EX および FX ライン カード搭載のすべての Cisco Nexus 9500 プラットフォーム スイッチに適用されます。
FX ポートがすでに適用されている NetFlow 設定のトランクである場合、EX ポートをトランクとして設定しても、サポートされていない EX NetFlow 設定は FX ポート トランクから削除されません。たとえば、3 つ以上の異なる IPv4 フロー モニタを FX ポート トランクに適用し、EX ポートが同じトランクに追加された場合、EX ポートの制限のみであるため、2 つのモニタを超えるトランクの設定は自動的に削除されません。この設定では、EX トランク ポートの 2 つのモニタを超えるフローはレポートされないため、 EX ポートとFX ポートの両方が同じトランクに存在する可能性があるモジュラ スイッチでは、プロトコルごとに 2 つのモニタ(v4/v6/CE)のみを使用することを推奨します。
-
record netflow ipv4 original-input 、record netflow ipv4 original-output 、および record netflow layer2-switched input コマンドは、Cisco NX-OS リリース 9.3(1) ではサポートされていません。
-
Cisco NX-OS リリース 9.3(3) 以降、NetFlow に関する次の無停止インサービス ソフトウェア アップグレード(ND ISSU)の制限がすべての Cisco Nexus 9000 シリーズ スイッチに適用されます。
-
ND ISSU の実行中、2 分間のエクスポート損失が予想されます。
-
ND ISSU 中は、管理インターフェイスの送信元ポートを持つエクスポータはサポートされません。エクスポート損失は、管理インターフェイスが起動するまで予想されます。
-
-
Cisco NX-OSリリース9.3(4)以降では、次のRTP / NetFlowモニタリング制限が存在します。
RTP モニタリング機能は、スイッチのすべてのインターフェイスで RTP フローのモニタをイネーブルにし、show flow rtp detail コマンド出力で報告します。RTP フローは、16384〜32767 の範囲内の送信元ポートを持つ UDP フローです。RTP モニタリングがイネーブルになっているスイッチ インターフェイスに NetFlow モニタが接続されている場合、そのインターフェイス上のすべてのトラフィック/フロー(RTP フローを含む)が show flow cache コマンドの出力で報告されます。RTP フローは、show flow rtp detail コマンドの出力に表示されなくなります。接続されたモニタが削除されると、RTP フローが show flow rtp detail コマンド出力で再度報告されます。
この制限は、次のスイッチに影響します。
-
Cisco Nexus 9336C-FX2
-
Cisco Nexus 93240YC-FX2
-
Cisco Nexus 9348GC-FXP
-
Cisco Nexus 93180YC-FX
-
Cisco Nexus 93108TC-FX
-
Cisco Nexus 9316D-GX
-
Cisco Nexus 93600CD-GX
-
Cisco Nexus 9364C-GX
-
9636C-RX ライン カードを搭載した Cisco Nexus 9504、9508 および 9516 スイッチ
-
-
FM-E、FM-E2、および FM-E3 モジュールを搭載した Cisco Nexus 9500 プラットフォーム スイッチおよび Cisco Nexus 9300-FX/FX3 スイッチは、NetFlow 出力インターフェイスには機能をサポートします。ただし、9300-EX および 9500-EX プラットフォーム スイッチの出力インターフェイスはサポートされません。
-
入力 NetFlow は、EX、FX、および GX 混合シャーシの Cisco Nexus 9500 プラットフォーム スイッチでサポートされます。EX、FX、および GX 混合シャーシの Cisco Nexus 9500 プラットフォーム スイッチでは、SPAN を NetFlow と同時に使用できます。Cisco Nexus 9500-GX プラットフォーム スイッチは、sFlow 機能を組み合わせた SPAN をサポートしていません。
-
Cisco Nexus 3232C および 3264Q スイッチは、NetFlow をサポートしていません。
-
Cisco NX-OS リリース 10.1(2) 以降、Netflow は N9K-X9716D-GX ライン カードでサポートされます。
-
この機能をサポートするプラットフォームでのみ NetFlow を有効にします。
-
match ip tos コマンドはフロー レコード設定オプションにありますが、機能はサポートされていません。
-
Cisco NX-OS リリース 10.2(1)F 以降、レイヤ 2 インターフェイス上のレイヤ 3 NetFlow は、Cisco Nexus 9300-EX、9300-FX、9300-FX2、9300-FX3、9300-GX、および 9300-GX2 プラットフォーム、9500-EX LC および 9500-FX LC でサポートされます。注意事項と制約事項は次のとおりです。
-
レイヤ 3 フロー モニタまたはレイヤ 2 フロー モニタのいずれかをレイヤ 2 インターフェイスに接続できます(両方は接続できません)。
-
フロー モニタがすでにレイヤ 3 インターフェイスに接続されている場合、同じフロー モニタをレイヤ 2 インターフェイスに接続することはできません。
-
レイヤ 3 フロー モニタがレイヤ 2 インターフェイスに適用されている場合、mac-packet-classify コマンドはサポートされません。
-
-
Cisco NX-OS Release 10.3(3)F 以降では、NetFlow Output_if_id は Cisco 9300-FX2、9300-GX、および 9300-GX2 スイッチおよび 9500-GX ライン カードでサポートされます。
-
output_if_id が 0x0 と表示されている場合は、宛先 IP が解決されていないか、ルーティングテーブルまたは ARP テーブルで使用できないことを意味します。
-
output_if_id は、入力インターフェイスで受信した制御パケット(受信した BGP/PIM/OSPF/Ping パケットなど)の場合、0x0 と表示されます。
-
Cisco Nexus 9500 ライン カードの IPv6 フローの場合、output_if_id はハードウェアの制限によりサポート対象外と表示されます。
-
-
Cisco NX-OS リリース 10.4(1)F 以降、入力 NetFlow は N9K-C9332D-H2R スイッチでサポートされます。次の制限が適用されます。
-
ドロップフローは、デフォルトではサポートされていません。ドロップフローを有効にするには、hardware flow-table collect-drop-reason コマンドを構成します。
-
(注) |
確認済みの NetFlow のスケール数については、『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。 |
入力 NetFlow の構成
NetFlow を設定する手順は、次のとおりです。
手順
|
ステップ 1 |
入力 NetFlow 機能を有効化します。 |
|
ステップ 2 |
フローにキーおよびフィールドを指定することによって、フロー レコードを定義します。 |
|
ステップ 3 |
エクスポート フォーマット、プロトコル、宛先、およびその他のパラメータを指定することによって、任意でフロー エクスポータを定義します。 |
|
ステップ 4 |
フロー レコードおよびフロー エクスポータに基づいて、フロー モニタを定義します。 |
|
ステップ 5 |
送信元インターフェイス、サブインターフェイス、または VLAN インターフェイスにフロー モニタを適用します。 |
入力 NetFlow 機能の有効化
フローを設定するには、先に NetFlow をグローバルで有効しておく必要があります。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル設定モードを開始します。 |
||
|
ステップ 2 |
[no] feature netflow 例: |
NetFlow 機能を有効にします。デフォルトではディセーブルになっています。
|
||
|
ステップ 3 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
フロー レコードの作成
フロー レコードを作成し、照合するためのキー、および収集するための非キー フィールドをフロー内に追加します。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
flow record name 例: |
フロー レコードを作成し、フロー レコード コンフィギュレーション モードを開始します。フロー レコード名には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 3 |
(任意) description string 例: |
(任意)
最大 63 文字で、フロー レコードの説明を示します。 |
||
|
ステップ 4 |
(任意) match type 例: |
(任意)
一致キーを指定します。詳細については、match パラメータの指定を参照してください。
|
||
|
ステップ 5 |
(任意) collect type 例: |
(任意)
コレクション フィールドを指定します。詳細については、collect パラメータの指定を参照してください。 |
||
|
ステップ 6 |
(任意) show flow record [name] [record-name] {netflow-original | netflow protocol-port | netflow {ipv4 | ipv6} {original-input | original-output}} 例: |
(任意)
NetFlow のフロー レコード情報を表示します。フロー レコード名には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 7 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
match パラメータの指定
フロー レコードごとに、次の match パラメータを 1 つ以上設定する必要があります。
|
コマンド |
目的 |
||
|---|---|---|---|
|
match datalink {mac source-address | mac destination-address | ethertype | vlan} 例: |
レイヤ 2 属性をキーとして指定します。 |
||
|
match ip {protocol | tos} 例: |
IP プロトコルまたは ToS フィールドをキーとして指定します。
|
||
|
match ipv4 {destination address | source address} 例: |
IPv4 送信元または宛先アドレスをキーとして指定します。 |
||
|
match ipv6 {destination address | source address | flow-label | options} 例: |
IPv6 キーを指定します。 |
||
|
match transport {destination-port | source-port} 例: |
トランスポート送信元または宛先ポートをキーとして指定します。
|
collect パラメータの指定
フロー レコードごとに、次の collect パラメータを 1 つ以上設定する必要があります。
|
コマンド |
目的 |
|---|---|
|
collect counter {bytes | packets} [long] 例: |
フローからパケットベースまたはバイト カウンタを収集します。任意で、64 ビット カウンタを使用することを指定できます。 |
|
collect ip version 例: |
フローの IP バージョンを収集します。 |
|
collect timestamp sys-uptime {first | last} 例: |
フローの先頭または最終パケットに関するシステム稼働時間を収集します。 |
|
collect transport tcp flags 例: |
フローのパケットに対応する TCP トランスポート層フラグを収集します。 |
フロー エクスポータの作成
フロー エクスポータの設定では、フローに対するエクスポート パラメータを定義し、リモート NetFlow Collector への到達可能性情報を指定します。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
flow exporter name 例: |
フロー エクスポータを作成し、フロー エクスポータ コンフィギュレーション モードを開始します。フロー エクスポータ名を最大 63 文字の英数字で入力できます。 |
||
|
ステップ 3 |
destination {ipv4-address | ipv6-address} [use-vrf name] 例: |
このフロー エクスポータの宛先 IPv4 または IPv6 アドレスを設定します。任意で、NetFlow Collector に到達するために使用する VRF を設定できます。VRF 名には最大 32 文字の英数字を入力できます。 |
||
|
ステップ 4 |
source interface-type name/port 例: |
設定された宛先で NetFlow Collector に到達するために使用するインターフェイスを指定します。 |
||
|
ステップ 5 |
(任意) description string 例: |
(任意)
このフロー エクスポータについて説明します。説明には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 6 |
(任意) dscp value 例: |
(任意)
DSCP(DiffServ コードポイント)値を指定します。範囲は 0 ~ 63 です。 |
||
|
ステップ 7 |
(任意) transport udp port 例: |
(任意)
NetFlow Collector に到達するために使用する UDP ポートを指定します。範囲は 0 ~ 65535 です。
|
||
|
ステップ 8 |
version 9 例: |
NetFlow エクスポート バージョンを指定します。フロー エクスポータのバージョン 9 コンフィギュレーション サブモードを開始するには、バージョン 9 を選択します。 |
||
|
ステップ 9 |
(任意) option {exporter-stats | interface-table} timeout seconds 例: |
(任意)
フロー エクスポータの統計情報再送信タイマーを設定します。値の範囲は 1 ~ 86400 秒です。 |
||
|
ステップ 10 |
(任意) template data timeout seconds 例: |
(任意)
テンプレート データ再送信タイマーを設定します。値の範囲は 1 ~ 86400 秒です。 |
||
|
ステップ 11 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
フロー モニタの作成
フロー モニタを作成して、フロー レコードおよびフロー エクスポータと関連付けることができます。1 つのモニタに属しているすべてのフローは、様々なフィールド上で照合するために関連するフロー レコードを使用します。データは指定されたフロー エクスポータにエクスポートされます。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
flow monitor name 例: |
フロー モニタを作成し、フロー モニタ コンフィギュレーション モードを開始します。フロー モニタ名を最大 63 文字の英数字で入力できます。 |
||
|
ステップ 3 |
(任意) description string 例: |
(任意)
このフロー モニタについて説明します。説明には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 4 |
(任意) exporter name 例: |
(任意)
フロー エクスポータとこのフロー モニタを関連付けます。エクスポータ名には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 5 |
record name [netflow-original | netflow protocol-port | netflow {ipv4 | ipv6} {original-input | original-output}] 例: |
フロー レコードを指定したフロー モニタと関連付けます。レコード名には最大 63 文字の英数字を入力できます。
|
||
|
ステップ 6 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
インターフェイスへのフロー モニタの適用
フロー モニタは入力インターフェイスに適用できます。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
interface vlan vlan-id 例: |
VLAN インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
ip flow monitor {ipv4 | ipv6 | layer-2-switched} input 例: |
入力パケットのインターフェイスに、IPv4、IPv&、またはレイヤ 2 スイッチ フロー モニタを関連付けます。 |
|
ステップ 4 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
VLAN 上でのブリッジ型 NetFlow の設定
VLAN のレイヤ 2 スイッチド パケットでレイヤ 3 データを収集するために、VLAN にフロー モニタを適用できます。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
||
|
ステップ 2 |
vlan configuration vlan-id 例: |
VLAN コンフィギュレーション モードを開始します。VLAN ID の範囲は 1 ~ 3967 または 4048 ~ 4093 です。
|
||
|
ステップ 3 |
{ip | ipv6} flow monitor name 例: |
入力パケットのフロー モニタを VLAN に関連付けます。フロー モニタ名を最大 63 文字の英数字で入力できます。 |
||
|
ステップ 4 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
レイヤ 2 NetFlow キーの設定
フレクシブル NetFlow レコード内でレイヤ 2 キーを定義できます。このレコードを使用して、レイヤ 2 インターフェイスのフローをキャプチャできます。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
flow record name 例: |
フロー レコード コンフィギュレーション モードを開始します。フロー レコードの設定の詳細については、フロー レコードの作成 を参照してください。 |
||
|
ステップ 3 |
match datalink {mac source-address | mac destination-address | ethertype | vlan} 例: |
レイヤ 2 属性をキーとして指定します。 |
||
|
ステップ 4 |
exit 例: |
フロー レコード コンフィギュレーション モードを終了します。 |
||
|
ステップ 5 |
interface {ethernet slot/port | port-channel number} 例: |
インターフェイス設定モードを開始します。インターフェイス タイプは、物理的なイーサネット ポートまたはポート チャネルを指定できます。 |
||
|
ステップ 6 |
switchport 例: |
インターフェイスをレイヤ 2 の物理インターフェイスに変更します。スイッチ ポートの設定に関する詳細については、「Cisco Nexus 9000 シリーズ NX-OS レイヤ 2 スイッチング設定ガイド」を参照してください。 |
||
|
ステップ 7 |
mac packet-classify 例: |
パケットの MAC 分類を強制します。 このコマンドの使用に関する詳細については、「Cisco Nexus 9000 シリーズ NX-OS セキュリティ設定ガイド」を参照してください)。
|
||
|
ステップ 8 |
layer2-switched flow monitor flow-name input 例: |
フロー モニタをスイッチ ポートの入力パケットに関連付けます。フロー モニタ名を最大 63 文字の英数字で入力できます。 |
||
|
ステップ 9 |
(任意) show flow record netflow layer2-switched input 例: |
(任意)
レイヤ 2 NetFlow のデフォルト レコードの情報を表示します。 |
||
|
ステップ 10 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
レイヤ 2 インターフェイスでのレイヤ 3 NetFlow の設定
レイヤ 2 インターフェイスでレイヤ 3 フロー情報をキャプチャするために、レイヤ 2 インターフェイスでレイヤ 3 フロー モニタを定義できます。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
|
ステップ 2 |
flow record name 例: |
フロー レコード コンフィギュレーション モードを開始します。フロー レコードの設定の詳細については、フロー レコードの作成 を参照してください。 |
|
ステップ 3 |
interface {ethernet slot/port | port-channel number} 例: |
インターフェイス設定モードを開始します。インターフェイス タイプは、物理的なイーサネット ポートまたはポート チャネルを指定できます。 |
|
ステップ 4 |
switchport 例: |
インターフェイスをレイヤ 2 モードに変更します。スイッチ ポートの設定に関する詳細については、「Cisco Nexus 9000 シリーズ NX-OS レイヤ 2 スイッチング設定ガイド」を参照してください。 |
|
ステップ 5 |
ip flow monitor flow-name input 例: |
フロー モニタをスイッチ ポートの入力パケットに関連付けます。フロー モニタ名を最大 63 文字の英数字で入力できます。 |
|
ステップ 6 |
ipv6 flow monitor flow-name input 例: |
IPv6 フロー モニタをスイッチ ポートの入力パケットに関連付けます。フロー モニタ名を最大 63 文字の英数字で入力できます。 |
|
ステップ 7 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
NetFlow タイムアウトの設定
任意で、システム内のすべてのフローに適用されるグローバルな NetFlow タイムアウトを設定できます。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
flow timeout seconds 例: |
フラッシュ タイムアウト値を秒単位で設定します。範囲は 5 ~ 60 秒です。デフォルト値は 10 秒です。 |
|
ステップ 3 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
入力 NetFlow 構成の確認
入力 NetFlow 構成を表示するには、次のタスクのうちのいずれかを実行します。
|
コマンド |
目的 |
|---|---|
|
show flow cache [ipv4 | ipv6 | ce] |
入力 NetFlow IP フローに関する情報を表示します。 |
|
show flow exporter [name] |
入力 NetFlow のフロー エクスポータ情報と統計情報を表示します。フロー エクスポータ名を最大 63 文字の英数字で入力できます。 |
|
show flow interface [interface-type slot/port] |
入力 NetFlow インターフェイスに関する情報を表示します。 |
|
show flow record [name] |
入力 NetFlow のフロー レコード情報を表示します。フロー レコード名には最大 63 文字の英数字を入力できます。 |
|
show flow record netflow layer2-switched input |
レイヤ 2 入力 NetFlow 構成の情報を表示します。 |
|
show running-config netflow |
現在デバイスにある NetFlow 設定を表示します。 |
入力 NetFlow のモニタリング
NetFlow の統計情報を表示するには、show flow exporter コマンドを使用します。NetFlow エクスポータの統計情報を消去するには、clear flow exporter コマンドを使用します。
入力 NetFlow の表示例
IPv4 の show flow cache コマンドの出力には、次のように表示されます。
show flow cache
IPV4 Entries
SIP DIP BD ID S-Port D-Port Protocol Byte Count Packet Count TCP FLAGS TOS if_id output_if_id flowStart flowEnd
10.10.30.4 30.33.1.2 1480 30000 17998 17 683751850 471553 0x0 0x0 0x90105c8 0x1a005000 14096494 14153835
30.33.1.2 10.10.39.4 4145 30000 18998 17 43858456 30164 0x0 0x0 0x1a005000 0x1a006600 14096477 14099491
10.10.29.4 30.33.1.2 1479 30000 17998 17 683751850 471553 0x0 0x0 0x90105c7 0x1a005000 14096476 14153817
10.10.7.4 30.33.1.2 1457 30000 17998 17 683753300 471554 0x0 0x0 0x90105b1 0x1a005000 14096481 14153822
30.33.1.2 10.10.42.4 4145 30000 18998 17 95289344 65536 0x0 0x0 0x1a005000 0x1a006600 14112551 14119151
10.10.49.4 30.33.1.2 1499 30000 17998 17 683753300 471554 0x0 0x0 0x90105db 0x1a005000 14096486 14153827
入力 NetFlow の構成例
この例では、IPv4 に対して出力 NetFlow エクスポータを構成する方法を示します。
feature netflow
flow exporter ee
destination 171.70.242.48 use-vrf management
source mgmt0
version 9
template data timeout 20
flow record rr
match ipv4 source address
match ipv4 destination address
collect counter bytes
collect counter packets
flow monitor foo
record rr
exporter ee
interface Ethernet2/45
ip flow monitor foo input
ip address 10.20.1.1/24
no shutdown
出力 NetFlow の構成
出力 NetFlow について
出力 NetFlow は発信 IP パケットとレイヤ 2 フローについてパケット フローを識別し、これらのパケット フローに基づいて統計情報を提供します。Cisco Nexus Cloudscale 9000 スイッチでは、出力 NetFlow は入力パイプラインと入力 TCAM カービング egr-netflow を使用して、スイッチから出力されるフロー情報を記録します。フロー レコード、フロー エクスポータ、フロー モニターなど、通常の NetFlow(入力 NetFlow)のすべてのパラメータは、出力 NetFlow に適用できます。同様に、入力 NetFlow の制限のほとんどは、出力 NetFlow にも適用されます。詳細については、入力 NetFlow についてを参照してください。
出力 NetFlow の前提条件
出力 NetFlow の前提条件は、次のとおりです。
-
出力 NetFlow TCAM リージョンで Nexus 9000 スイッチを構成します。
-
出力 NetFlow TCAM カービング後にスイッチをリロードします。
-
スイッチがオンラインになったら、ip flow monitor <> output or layer2-switched flow monitor <> output コマンドを使用して、インターフェイスの任意の L2 または L3 インターフェイスで出力 NetFlow を有効にします。
出力 NetFlow に関する注意事項および制約事項
(注) |
確認済みの NetFlow のスケール数については、Cisco.com に掲載されている、各リリースの『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。 |
出力 NetFlow に関する設定時の注意事項および制約事項は、次のとおりです。
-
インターフェイスで入力 NetFlow と出力 NetFlow の両方が有効になっている場合、入力 NetFlow が出力 NetFlow よりも優先され、入力方向のフロー情報が生成されます。
-
入力 NetFlow の場合、フローは CFLOW パケットの Ingress(0) フィールドで識別されます。
-
出力 NetFlow の場合、フローは CFLOW パケットの Egress(1) フィールドで識別されます。
-
出力 NetFlow と機能分析は共存できますが、分析フィルタにヒットしたトラフィックフローは、分析で構成されたコレクタにのみエクスポートされます。
-
モジュラ型 Cisco Nexus 9500 シャーシでは、トラフィックは異なるライン カードで送受信されます。出力 NetFlow がトラフィックの発信インターフェイスで有効で、トラフィックの着信インターフェイスで有効になっていない場合、出力フロー情報は入力インターフェイスのラインカードでキャプチャされ、出力インターフェイスではキャプチャされません。
-
L2 インターフェイスに複数の SVI および sub_interface がある場合、出力 NetFlow に対する入力インターフェイス(if_id)の導出が正しくなくてもかまいません。
-
出力 NetFlow は、Cisco Nexus 9300-EX、EX ライン カードを搭載した Nexus 9500 モジュラ スイッチ、N9K-C9364C、および N9K-C9332C スイッチではサポートされません。
-
出力 NetFlow は、IPv4 およびレイヤ 2 トラフィックでのみサポートされます。出力 NetFlow は、IPv6 およびマルチキャスト トラフィックをサポートしません。
-
出力 NetFlow は、次をサポートしていません。
-
vrf-id
-
発信制御プレーントラフィックの記録
-
出力インターフェイス(NetFlow OIF)
-
出力 NetFlow の構成
出力 NetFlow を構成する手順は、次のとおりです。
手順
|
ステップ 1 |
NetFlow 機能を有効にします。 |
|
ステップ 2 |
egr-netflow TCAM カービングを実行し、スイッチをリロードします。 |
|
ステップ 3 |
フローにキーおよびフィールドを指定することによって、フロー レコードを定義します。 |
|
ステップ 4 |
エクスポート フォーマット、プロトコル、宛先、およびその他のパラメータを指定することによって、フロー エクスポータを定義します。 |
|
ステップ 5 |
フロー レコードおよびフロー エクスポータに基づいて、フロー モニタを定義します。 |
|
ステップ 6 |
送信元インターフェイス、サブインターフェイス、または VLAN インターフェイスにフロー モニタを適用します。 |
出力 NetFlow 機能の有効化
フローを構成するには、先に出力 NetFlow をグローバルで有効しておく必要があります。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル設定モードを開始します。 |
||
|
ステップ 2 |
[no] feature netflow 例: |
NetFlow 機能を有効にします。デフォルトではディセーブルになっています。
|
||
|
ステップ 3 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
フロー レコードの作成
フロー レコードを作成し、照合するためのキー、および収集するための非キー フィールドをフロー内に追加します。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
flow record name 例: |
フロー レコードを作成し、フロー レコード コンフィギュレーション モードを開始します。フロー レコード名には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 3 |
(任意) description string 例: |
(任意)
最大 63 文字で、フロー レコードの説明を示します。 |
||
|
ステップ 4 |
(任意) match type 例: |
(任意)
一致キーを指定します。詳細については、match パラメータの指定を参照してください。
|
||
|
ステップ 5 |
(任意) collect type 例: |
(任意)
コレクション フィールドを指定します。詳細については、collect パラメータの指定を参照してください。 |
||
|
ステップ 6 |
(任意) show flow record [name] [record-name] {netflow-original | netflow protocol-port | netflow {ipv4 | ipv6} {original-input | original-output}} 例: |
(任意)
NetFlow のフロー レコード情報を表示します。フロー レコード名には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 7 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
出力 NetFlow TCAM カービングを実行する
出力 NetFlow TCAM カービングの実行後には、構成を保存してスイッチをリロードする必要があります。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
[no] hardware access-list tcam region egr-netflow{0 | 512} 例: |
出力 NetFlow TCAM カービングを有効にします。デフォルトは無効ですegr-netflow TCAM カービングの場合、サポートされている値は 0 と 512 です。 |
|
ステップ 3 |
copy running-config startup-config 例: |
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
|
ステップ 4 |
reload 例: |
スイッチをリロードします。 |
フロー レコードの作成
フロー レコードを作成し、照合するためのキー、および収集するための非キー フィールドをフロー内に追加します。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
flow record name 例: |
フロー レコードを作成し、フロー レコード コンフィギュレーション モードを開始します。フロー レコード名には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 3 |
(任意) description string 例: |
(任意)
最大 63 文字で、フロー レコードの説明を示します。 |
||
|
ステップ 4 |
(任意) match type 例: |
(任意)
一致キーを指定します。詳細については、match パラメータの指定を参照してください。
|
||
|
ステップ 5 |
(任意) collect type 例: |
(任意)
コレクション フィールドを指定します。詳細については、collect パラメータの指定を参照してください。 |
||
|
ステップ 6 |
(任意) show flow record [name] [record-name] {netflow-original | netflow protocol-port | netflow {ipv4 | ipv6} {original-input | original-output}} 例: |
(任意)
NetFlow のフロー レコード情報を表示します。フロー レコード名には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 7 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
match パラメータの指定
フロー レコードごとに、次の match パラメータを 1 つ以上設定する必要があります。
|
コマンド |
目的 |
||
|---|---|---|---|
|
match datalink {mac source-address | mac destination-address | ethertype | vlan} 例: |
レイヤ 2 属性をキーとして指定します。 |
||
|
match ip {protocol | tos} 例: |
IP プロトコルまたは ToS フィールドをキーとして指定します。
|
||
|
match ipv4 {destination address | source address} 例: |
IPv4 送信元または宛先アドレスをキーとして指定します。 |
||
|
match ipv6 {destination address | source address | flow-label | options} 例: |
IPv6 キーを指定します。 |
||
|
match transport {destination-port | source-port} 例: |
トランスポート送信元または宛先ポートをキーとして指定します。
|
collect パラメータの指定
フロー レコードごとに、次の collect パラメータを 1 つ以上設定する必要があります。
|
コマンド |
目的 |
|---|---|
|
collect counter {bytes | packets} [long] 例: |
フローからパケットベースまたはバイト カウンタを収集します。任意で、64 ビット カウンタを使用することを指定できます。 |
|
collect ip version 例: |
フローの IP バージョンを収集します。 |
|
collect timestamp sys-uptime {first | last} 例: |
フローの先頭または最終パケットに関するシステム稼働時間を収集します。 |
|
collect transport tcp flags 例: |
フローのパケットに対応する TCP トランスポート層フラグを収集します。 |
フロー エクスポータの作成
フロー エクスポータの構成では、フローに対するエクスポート パラメータを定義し、リモートの出力 NetFlow Collector への到達可能性情報を指定します。
手順
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
||
|
ステップ 2 |
flow exporter name 例: |
フロー エクスポータを作成し、フロー エクスポータ コンフィギュレーション モードを開始します。フロー エクスポータ名を最大 63 文字の英数字で入力できます。 |
||
|
ステップ 3 |
destination {ipv4-address | ipv6-address} [use-vrf name] 例: |
このフロー エクスポータの宛先 IPv4 または IPv6 アドレスを設定します。任意で、出力 NetFlow Collector に到達するために使用する VRF を構成できます。VRF 名には最大 32 文字の英数字を入力できます。 |
||
|
ステップ 4 |
source interface-type name/port 例: |
構成された宛先で出力 NetFlow Collector に到達するために使用するインターフェイスを指定します。 |
||
|
ステップ 5 |
(任意) description string 例: |
(任意)
このフロー エクスポータについて説明します。説明には最大 63 文字の英数字を入力できます。 |
||
|
ステップ 6 |
(任意) dscp value 例: |
(任意)
DSCP(DiffServ コードポイント)値を指定します。範囲は 0 ~ 63 です。 |
||
|
ステップ 7 |
(任意) transport udp port 例: |
(任意)
NetFlow Collector に到達するために使用する UDP ポートを指定します。範囲は 0 ~ 65535 です。
|
||
|
ステップ 8 |
version 9 例: |
NetFlow エクスポート バージョンを指定します。フロー エクスポータのバージョン 9 コンフィギュレーション サブモードを開始するには、バージョン 9 を選択します。 |
||
|
ステップ 9 |
(任意) option {exporter-stats | interface-table} timeout seconds 例: |
(任意)
フロー エクスポータの統計情報再送信タイマーを設定します。値の範囲は 1 ~ 86400 秒です。 |
||
|
ステップ 10 |
(任意) template data timeout seconds 例: |
(任意)
テンプレート データ再送信タイマーを設定します。値の範囲は 1 ~ 86400 秒です。 |
||
|
ステップ 11 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
フロー モニタの作成
フロー モニタを作成して、フロー レコードおよびフロー エクスポータと関連付けることができます。1 つのモニタに属しているすべてのフローは、様々なフィールド上で照合するために関連するフロー レコードを使用します。データは指定されたフロー エクスポータにエクスポートされます。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
|
ステップ 2 |
flow monitor name 例: |
フロー モニタを作成し、フロー モニタ コンフィギュレーション モードを開始します。フロー モニタ名を最大 63 文字の英数字で入力できます。 |
|
ステップ 3 |
(任意) description string 例: |
(任意)
このフロー モニタについて説明します。説明には最大 63 文字の英数字を入力できます。 |
|
ステップ 4 |
(任意) exporter name 例: |
(任意)
フロー エクスポータとこのフロー モニタを関連付けます。エクスポータ名には最大 63 文字の英数字を入力できます。 |
|
ステップ 5 |
record name [netflow-original | netflow protocol-port | netflow {ipv4 | ipv6} {original-input | original-output}] 例: |
フロー レコードを指定したフロー モニタと関連付けます。レコード名には最大 63 文字の英数字を入力できます。 |
|
ステップ 6 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
インターフェイスへのフロー モニタの適用
output キーワードを使用して、出力方向にフロー モニタを適用できます。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
interface vlan vlan-id 例: |
VLAN インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
ip flow monitor {ipv4 | ipv6 | layer-2-switched} input 例: |
入力パケットのインターフェイスに、IPv4、IPv&、またはレイヤ 2 スイッチ フロー モニタを関連付けます。 |
|
ステップ 4 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
レイヤ 2 インターフェイスでのレイヤ 3 出力 NetFlow の設定
レイヤ 2 インターフェイスでレイヤ 3 フロー情報をキャプチャするために、レイヤ 2 インターフェイスでレイヤ 3 フロー モニタを定義できます。
手順
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル構成モードを開始します。 |
|
ステップ 2 |
flow record name 例: |
フロー レコード コンフィギュレーション モードを開始します。フロー レコードの設定の詳細については、フロー レコードの作成 を参照してください。 |
|
ステップ 3 |
interface {ethernet slot/port | port-channel number} 例: |
インターフェイス設定モードを開始します。インターフェイス タイプは、物理的なイーサネット ポートまたはポート チャネルを指定できます。 |
|
ステップ 4 |
switchport 例: |
インターフェイスをレイヤ 2 モードに変更します。スイッチ ポートの構成に関する詳細については、「Cisco Nexus 9000 シリーズ NX-OS レイヤ 2 スイッチング構成ガイド」を参照してください。 |
|
ステップ 5 |
ip flow monitor flow-name input | output 例: |
または layer2-switched flow monitor flow-name input | output IPv4 フロー モニタをスイッチ ポートの入力または出力パケットに関連付けます。フロー モニタ名を最大 63 文字の英数字で入力できます。 |
|
ステップ 6 |
(任意) copy running-config startup-config 例: |
(任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
出力 NetFlow 構成の確認
出力 NetFlow 構成を表示するには、次のタスクのうちのいずれかを実行します。
|
コマンド |
目的 |
|---|---|
|
show flow cache [ipv4 | ce] [output] |
出力 NetFlow IP フローに関する情報を表示します。 |
|
show running-config netflow |
現在デバイスにある出力 NetFlow 構成を表示します。 |
出力 NetFlow の表示例
IPv4 の show flow cache コマンドの出力には、次のように表示されます。
switch(config-if-range)# show flow cache
NOTE: Only 10k flows are displayed in XML output
Egress IPV4 Entries
SIP DIP BD ID S-Port D-Port Protocol Byte Count Packet Count TCP FLAGS TOS if_id output_if_id flowStart flowEnd Profile Ing-VRF
130.1.1.2 162.1.1.1 4119 60 893 6 161082 171 0x0 0x0 0x1a002600 0x1a002800 716994 732532 4 : NF 21
130.1.1.2 162.1.1.1 4151 60 11013 6 61230 65 0x0 0x0 0x1a006600 0x1a006800 715951 728074 4 : NF 38
130.1.1.2 162.1.1.1 4145 60 3441 6 162966 173 0x0 0x0 0x1a005a00 0x1a005c00 713085 727941 4 : NF 35
NetFlow のコンフィギュレーション例
この例では、IPv4 に対して出力 NetFlow エクスポータを構成する方法を示します。
feature netflow
flow exporter ee
destination 171.70.242.48 use-vrf management
source mgmt0
version 9
template data timeout 20
flow record rr
match ipv4 source address
match ipv4 destination address
collect counter bytes
collect counter packets
flow monitor foo
record rr
exporter ee
interface Ethernet2/45
ip flow monitor foo output
ip address 10.20.1.1/24
no shutdown
フィードバック