ルータのセットアップ
以下の手順を完了することにより、各ルータ上の NetFlow を有効にします。 以下のフロー プロトコルのいずれかをエクスポートするようにルータを設定できます。
nfa1000
以下の手順を完了することにより、各
Network Flow Analysis
ルータ上の NetFlow を有効にします。 以下のフロー プロトコルのいずれかをエクスポートするようにルータを設定できます。- NetFlow v5、v7、v9、および Random Sampled NetFlow
- sFlow バージョン 5
- NetFlow v5、v7、または v9 の標準に準拠した IPFIX、J-Flow、cFlow、および NetStream フロー
注:
- 各ソースからのフローが単一の Harvester にエクスポートされるように設定します。 1 つのソースからのフローが複数の Harvester にエクスポートされると、さまざまな問題が発生します。 この問題が発生した場合は、CA サポートにお問い合わせください。
- NetFlow では、すべてのパケットのフロー レコードを作成することにより、ネットワーク パケット ストリームの広範なビューを提供します。 これらのフロー レコードからのデータは、すべてのパケットを表します。 Sampled NetFlow/IPFIX および sFlow は、パケット ストリームからサンプルを取ることで、作成するフロー レコードを少なくし、コレクタへの影響度を減らします。 サンプリング レートが低いほど、データの精度は低くなる傾向にあります。
- Cisco ドキュメントでは、「Sampled NetFlow ではランダム サンプリングが許可されていないため、トラフィックが固定のパターンで到着した場合、統計情報が不正確になる場合があります」と示されています。 したがって、NetFlow v9 Sampling を選択する場合は、Random Sampled NetFlow を使用する必要があります。 詳細については、ご使用のハードウェアおよび IOS バージョンの Cisco ドキュメントを参照してください。
CA Network Flow Analysis 10.0.2 では、サンプリング レート用に、オプション テンプレートで SAMPLING_INTERVAL (34)および SAMPLING_ALGORITHM (35)の追加の NetFlow フィールドがサポートされています。 SAMPLING_ALGORITHM (35)については、ランダム サンプリング アルゴリズム(0x02)のみがサポートされています。 SourceId からの NetFlow には、以下のいずれかのフィールド セットが必要です。
- FLOW_SAMPLER_ID (48)、FLOW_SAMPLER_MODE (49)、FLOW_SAMPLER_RANDOM_INTERVAL (50)フィールド、または
- SAMPLING_INTERVAL (34)および SAMPLING_ALGORITHM (35)
サンプルされないフローのデータを 15 分(履歴)データのレポートに表示するには、以下の最小フィールドが必要です。
- 以下のいずれかです。
- 1 - IN_BYTES
- 85 - IN_PERMANENT_BYTES
- 231 - FW_INITIATOR_OCTETS
- 232 - FW_RESPONDER_OCTETS
- 4 - PROTOCOL
- 7 - L4_SRC_PORT
- 8 - IPV4_SRC_ADDR/ 27 - IPV6_SRC_ADDR
- 10 - INPUT_SNMP
- 11 - L4_DST_PORT
- 12 - IPV4_DST_ADDR/ 28 - IPV6_DST_ADDR
- 14 - OUTPUT_SNMP
以下の手順に従います。
- 現在のルータ設定をバックアップします。
- 各インターフェースの NetFlow エクスポートを個別に設定します。
- フロー エクスポート バージョンを設定します。
- フロー ソース IP アドレスを設定します。 Cisco は、ループバック ソース インターフェースを設定することを推奨しています。 非ループバック インターフェースの IP アドレスは変更される場合があります。
- フロー宛先 IP アドレスを設定し、宛先ポートを 9995 に設定します。 Harvester のリスニング ポートに対するカスタム値を使用している場合は、その値を宛先ポートに使用します。 これらのポート値が一致しない場合、Harvester はフロー データを受信できません。
- フロー終了タイムアウトを 1 分に設定します。
- 各インターフェースのフローを有効にします。
- NetFlow v5 または v5 互換のフロー:
- ルータ上の複数のインターフェースの監視: すべての入口またはすべての出口のいずれかを使用します。 インターフェースのすべてに対して同じオプションを使用します。 入口と出口の値は、パケットをドロップし、インターフェース間のトラフィック伝送として ToS 値を変更するルータによって、わずかに異なる場合があります。
- ルータ上の一つの既知のインターフェースの監視: 入口と出口を使用します。 このオプションにより、ルータから Harvester への合計フローが少なくなり、ネットワークおよび Harvester の上の負荷を削減します。
- NetFlow v9 または v9 互換のフロー:Harvester は、単一のルータ上に複数のフローを識別しデデュプリケーションを実行するため、複数のインターフェース上で入口と出口を使用することができます。 2 つまたは 3 つのインターフェースに対してこのオプションを使用することは、最も効率的であるかもしれません。 すべてのインターフェースで入口と出口を有効にするオプションがありますが、この設定は、Harvester 上に不要な負担をもたらす場合があります。
- この機能をサポートする各ルータ上の SNMP インデックス永続性を設定します。