NetFlow Analyzer ナレッジベース

以下はFlexible NetFlowのコンフィグサンプルです。
ネットワーク機器での対応状況や詳細に関しては、機器ベンダー様にご確認ください。

概要

Flexible NetFlow (FNF) は、以下３項目の設定が必要

1. "flow exporter"
2. "flow record"
3. "flow monitor"

1. flow exporter
フローデータの"送付先","UDPポート","送付元インターフェース"を定義づけ

2.flow record
生成フローに関連する"key"と"non key"を定義づけ

3.flow monitor
"flow exporter","flow record"両方の結び付けた後、
"flow monitor"と監視対象機器の全L3インターフェースを関連付け

特定のIPアドレスに向け、装置からNetFlowデータが送付

設定例

[グローバル コンフィギュレーション モードを開始]

configure terminal

[Flow Exporter 設定]

flow exporter エクスポータ名

destination エクスポート先IPアドレス

transport udp 9996

template data timeout 60 (60秒)

option interface-table timeout 60

option application-table timeout 60

[Flow Record 設定]

flow record レコード名

match ipv4 tos

match ipv4 protocol

match ipv4 source address

match ipv4 destination address

match transport source-port

match transport destination-port

match interface input

match interface output

match flow sampler

collect routing source as

collect routing destination as

collect routing next-hop address ipv4

collect ipv4 source mask

collect ipv4 destination mask

collect transport tcp flags

collect counter bytes

collect counter packets

collect timestamp sys-uptime first

collect timestamp sys-uptime last

[Flow Monitor 設定]

flow monitor モニタ名

record レコード名

exporter エクスポータ名

cache timeout active 60(60秒)

cache timeout inactive 15(15秒)

[NetFlow アカウンティングについてFlow Monitor のインターフェースへの関連付け]

1. 当該装置上で、1つの物理ポートのみ監視する場合

interface GigabitEthernet1/1/1

ip flow monitor モニタ名 input
ip flow monitor モニタ名 output

exit
(inputとoutputの両方必要)

2. 当該装置上で、すべての物理ポートを監視する場合

interface GigabitEthernet1/1/1

ip flow monitor モニタ名 input

exit

interface GigabitEthernet1/1/2

ip flow monitor モニタ名 input

exit

interface GigabitEthernet1/1/3

ip flow monitor モニタ名 input

exit
(inputに統一)

3. 単一のVLANを監視する例

Interface Vlan100

ip flow monitor モニタ名 input
ip flow monitor モニタ名 output

exit

※ip flow monitor の設定は、各インターフェースや各VLAN に対して必要となります
※通信が存在するすべてのインターフェースでフローモニターを有効化します