2014年3月28日 / 最終更新日 : 2014年3月28日 Gene Cisco(シスコ)

Netflowの概要

Netflowの概要

Netflowによって、ルータを通過するトラフィックをフロー単位で計測して集計することができます。フローの分類は、以下の情報に基づいて行っています。

  • 送信先/送信元IPアドレス
  • 送信先/送信元ポート番号
  • レイヤ3プロトコルタイプ
  • ToS(Type of Service)
  • 入力論理インタフェース

また、集計したトラフィックの情報をNetflowコレクタへと送信して、一元管理することも可能です。

netflow01.png
図 Netflowの概要

Netflowの設定

NetflowはCEF(Cisco Express Forwarding)が有効になっていることが前提です。現在のIOSでは、CEFはデフォルトで有効になっています。もし、CEFが無効であれば、グローバルコンフィグレーションモードで次のコマンドでCEFを有効にします。

(config)#ip cef

そして、Netflowでフローの情報を収集したいインタフェースのインタフェースコンフィグレーションモードで次のコマンドを入力します。

(config-if)#ip flow { ingress | egress }

ingressの指定で該当のインタフェースで受信したフローを収集します。egressの指定で該当のインタフェースから送信したフローを収集します。また、Netflowで収集したフロー情報をNetflowコレクタへ転送するためには、グローバルコンフィグレーションモードで次のコマンドを入力します。

Export先の指定
(config)#ip flow-export destination <ip-address> <udp-port>

<ip-address> : NetflowコレクタのIPアドレス
<udp-port> : UDPポート番号

送信元インタフェースの指定
(config)#ip flow-export source <interface>

<interface-name> : インタフェース名

バージョンの指定
(config)#ip flow-export version 9

そして、Netflowの確認には、次のshowコマンドを利用します。

  • show ip flow interface
    Netflowが有効になっているインタフェースを確認します。
  • show ip cache flow
    Netflowで収集したフローの統計情報を確認します。
  • show ip flow export
    Netflowコレクタへ送信するフロー情報を確認します。

show ip flow interfaceの出力例は、次のようになります。 

----------------------------------------------------------------------
R1#show ip flow interface
FastEthernet0/0
ip flow ingress
ip flow egress
----------------------------------------------------------------------

Fa0/0でingressとegressの方向でNetflowが有効になっています。また、show ip cache flowコマンドの出力例は次のようになります。

----------------------------------------------------------------------
R1#show ip cache flow
IP packet size distribution (4182 total packets):
1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
.000 .000 .043 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .956 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 278544 bytes
3 active, 4093 inactive, 5 added
694 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 21640 bytes
0 active, 1024 inactive, 0 added, 0 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
ICMP                 2      0.0      1000  1000      0.0      24.4      15.4
Total:               2      0.0      1000  1000      0.0      24.4      15.4
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/0         192.168.1.101   Fa1/0         192.168.3.3     01 0000 0800  1000
Fa0/0         192.168.1.2     Null          224.0.0.102     11 0C96 0C96   182
Fa1/0         192.168.3.3     Fa0/0*        192.168.1.101   01 0000 0000  1000
----------------------------------------------------------------------

show ip cache flowコマンドによって、Netflowで収集したフローの平均のパケットサイズやヘッダのアドレス情報などの詳細を確認できます。続いてshow ip flow exportの出力例は、次のようになります。 

----------------------------------------------------------------------
R1#show ip flow export
Flow export v9 is enabled for main cache
Exporting flows to 192.168.3.3 (9999)
Exporting using source IP address 192.168.2.1
Version 9 flow records
6 flows exported in 2 udp datagrams
0 flows failed due to lack of export packet
0 export packets were sent up to process level
0 export packets were dropped due to no fib
0 export packets were dropped due to adjacency issues
0 export packets were dropped due to fragmentation failures
0 export packets were dropped due to encapsulation fixup failures
----------------------------------------------------------------------

カテゴリー
Cisco(シスコ)