Zenn
Closed7

CCNP-ENARSI_Netflow

Cisco
ito_110ito_110

NetFlow

トラフィック情報を収集する機能

Netflowには2種類存在する

  • Traditional NetFlow
  • Flexible NetFlow(Traditional NetFlowを改良したもの)
ito_110ito_110

Traditional NetFlow

単純にNetflowとも呼ばれる

7つのKeyフィールドをチェックし、フローを識別する

Keyフィールドが一つでも異なると別のフローと認識する

Keyフィールド

  • 送信元IPアドレス
  • 宛先IPアドレス
  • 送信元ポート番号
  • 宛先ポート番号
  • レイヤ3プロトコル
  • ToS(Type of Service)
  • 入力インターフェース

Non Keyフィールド

Keyフィールドとは別に情報を収集することも可能

  • 送信元IPアドレス
  • 宛先IPアドレス
  • 送信元ポート番号
  • 宛先ポート番号
  • ToS(Type of Service)
  • 入力インターフェース
  • 出力インターフェース
  • フローのバイト数、パケット数
ito_110ito_110

コマンド:Traditional NetFlowの設定

# インターフェースへの適用
(config-if)#ip flow {ingress | egress}
  • ingress:入力インターフェースに指定(指定したインターフェースで受信したトラフィック情報を収集します)
  • egress:出力インターフェースに指定(指定したインターフェースから送信したトラフィック情報を収集します)
# Traditional NetFlowを適用しているインターフェースの表示
#show ip flow interface

# フローエクスポータの設定
## 送信元アドレスとして使用するインターフェースを指定する
(config)#ip flow-export source {インターフェース}

## エクスポートするデータのフォーマット(1、5、9のバージョン番号)を指定する
(config)#ip flow-export version {バージョン}

## エクスポートするデータの宛先アドレス、ポート番号を指定する
(config)#ip flow-export destination {IPアドレス} {UDPポート番号}
ito_110ito_110

Flexible NetFlow

Traditional NetFlowで固定だった Keyフィールドや、Non Keyフィールドを任意に指定できるように改良されている
目的に応じたトラフィック情報の収集が可能

ito_110ito_110

Flexible NetFlowのコンポーネント

Flexible NetFlowは「フローレコード」 「フローエクスポータ」 「フローモニタ」 「フローサンプラ」という4つのコンポーネントで構成される。

フローレコード

  • Keyフィールドの指定
  • Non Keyフィールドの指定

フローエクスポータ

  • 収集したトラフィック情報の出力先を指定

フローモニタ

  • レコードの指定
  • フローエクスポータの指定

フローサンプラ

  • トラフィックの収集レートを指定
ito_110ito_110

コマンド:Flexible NetFlowの設定

フローレコードの設定


(config)#flow record {フローレコード名}
(config-flow-record)#match {Keyフィールド}
(config-flow-record)#collect {Non Keyフィールド}

フローエクスポータの設定

(config)#flow exporter {フローエクスポータ名}
(config-flow-exporter)#source {インターフェイス名}
(config-flow-exporter)#export-protocol {バージョン}
(config-flow-exporter)#destination {IPアドレス}
(config-flow-exporter)#transport udp {ポート番号}
(config-flow-exporter)#option {exporter-stats | interface-table | sampler-table} {timeout[再送時間]}
  • exporter-stats:エクスポーターの統計情報を定期的に送信するオプション
  • interface-table:SNMPインターフェイステーブルを定期的に送信するオプション
  • sampler-table:各サンプラーの詳細な設定情報を含むオプションテーブルを定期的に送信するオプション

フローモニタの設定

(config)#flow monitor {フローモニタ名}
(config-flow-monitor)#record {フローレコード名}
(config-flow-monitor)#exporter {フローエクスポータ名}

フローサンプラの設定

(config)#sampler {フローサンプラ名}
(config-sampler)#mode {random | deterministic} | out-of {レート}
  • random:ランダムサンプリング
  • deterministic:確定的サンプリング

インターフェースへの適用

(config)#interface {インターフェイス}
(config-if)#ip flow monitor {フローモニタ名} {sampler [フローサンプラ名]} {input | output}
ito_110ito_110

コマンド:設定の確認

フローレコードを確認

show flow record

フローエクスポータを確認

show flow exporter

フローサンプラを確認

show sampler

インターフェイスの確認

show flow interface
このスクラップは2024/03/13にクローズされました