設定に関するよくある質問(FAQ)

NetFlow・sFlow対応 フローコレクター

設定に関するよくある質問(FAQ)

ルーター設定について  | NBARについて | Netflow v9について |  その他の技術情報

よくある質問(FAQ)トップ

ルーター設定について

Q:NetFlowAnalyzer にルーターを追加できないのですが、なぜですか?

A: NetFlow Analyzer では、どのルーターあるいはインターフェースを監視するかを選択しません。 機器を自動的に検出します。 NetFlow Analyzer 上でNetFlow データを指定したポートに送信するようにインターフェースを設定するだけです。 NetFlow Analyzer が NetFlow データを受信し始めると、ダッシュボード上に機器とインターフェースが一覧表示されます。

Q:NetFlow データをエクスポートするように設定したのですがダッシュボード上で表示されま せん。

A: いくつかの確認事項があります。

  • 機器上でNetFlow が有効にされていること、およびフローを送信していることを確認します。
  • 使用中の機器が、NetFlow Analyzer がリッスンしているポートに対してNetFlowデータをエクスポートしていることを確認します。
  • ルーターがNetFlow v5 データをエクスポートしていることを確認します。それ以外のバージョンのフローは破棄されます。

Q:ライセンス管理ページで、ルーターとその全インターフェースを削除しましたが、ダッシ ュボード上に表示されたままです。

A: これは、NetFlow パケットを当該ルーターから受信しているために起こります。 NetFlow Analyzer へのNetFlow データのエク スポートを 停止するようにルーターを設定しなければ、ダッシュボード上に再び表示されます。

Q:インタフェースの非管理と削除の違いは何ですか?

A:ルーター/インターフェースの監視を一時的に停止する必要がある場合には、ライセンス管理から非管理にします。 この場合、ルーター/インターフェースはライセンス管理ページに表示されたままです。 ルーター/インターフェースを恒久的に監視しない場合は、ルーター/インターフェースからのNetFlow エクスポートを無効化してから、ライセンス管理より削除します。この場合、ルーター/インターフェースは、そこから新しいフローを送信しなければ、どのクライ アント画面にも表示されません。

Q:ルーターにてSNMP コミュニティを設定するには、どうすればよいですか?

A:SNMP 設定に関しては、次の手順に従います。
1. ルーターにログインします。
2. グローバル設定モードにします。
3. (Read-Only コミュニティとしてpublicを設定するために) コマンド 'snmp-server community public RO' を入力します。
4. ctrl および Z キーを押します。
5. コマンド 'write mem' を入力します。

Q:Netflow Analyzer サーバーと、ルーター時間を同期させるには、どのように設定しますか?

A:NetFlow Analyzer サーバーとルーターとの時間差が約10分を超えると、警告アイコンがホームのページに表示されます。 この場合、フローデータの時刻はNetFlow Analyzer サーバーのシステム時間に基づきます。 こうなった場合には、ルーター上で次のことを確認してください。:

1. +時刻ゾーンおよびその時刻ゾーンに関する(時間や分での)補正値が適切に設定されていることを確認します(例:PST に関してPST -8 00、あるいはEST に関してEST -5 00)。 これは、ルーターにログインして設定ターミナルを表示し、'show running-config' と入力することで確認できます。
2. タイムゾーンを確認後、お使いのルーターが正しい時刻に設定されているかを確認してください。これは、ルーターにログインして、'show clock' と入力することで確認できます。 コマンド clock set hh:mm:ss month date yearを使って、クロック時間を設定できます。 [ 例 - clock set 17:00:00 27 March 2007] 機器の負荷が低いときに実行してください。

NBAR(Network Based Application Recognition)について

Q:NBARによってサポートされないのは、どのような状況ですか?

A:NBAR によってサポートされない状況は次になります:

  • 同時アクセス数24以上のURL、ホストあるいは MIME タイプマッチ
  • 1つのURL で400[bytes]を超えるマッチング
  • IP をもたないトラフィック
  • マルチキャストとその他のCEFをもたない スイッチングモード
  • 断片化されたパケット
  • パイプライン型 HTTP リクエスト
  • セキュアHTTP での URL/ホスト/MIME/ 分類
  • ステートフルプロトコルを持つフロー
  • NBAR が動作するルーターから発生した、あるいはそこに向かうパケット
Q:NBARを設定するに際して、何か制約はありますか?

A:次の論理的なインターフェースでは、NBAR を設定することができません:

  • Fast EtherChannel
  • トンネリングあるいは暗号化を用いるインターフェース
  • VLAN
  • ダイアラーインターフェース
  • マルチリンク PPP

メモ: NBAR は Cisco IOSリリース12.1(13)E について VLAN 上で設定可能ですが、ソフトウェアスイッチングパスのみにてサポートされます。

Q:NBARのパフォーマンスは何に影響を受けますか?

A:ソフトウェアベースの実行での NBAR のパフォーマンスは、次の要因により影響を受ける可能性があります。

A. ルーター設定
1. NBAR に対してマッチングするプロトコル
2. 正規表現
3. パケット検査ロジックの複雑さ

B. トラフィックプロファイル (パケットプロトコルシーケンス)
1. フロー数
2. 長時間遅延フロー
3. ステートフルプロトコルのマッチング

Q:パフォーマンスは、NBAR が有効にされているインターフェースの数に依存しますか? NBARが有効 にされているインターフェースのリンク速度は、パフォーマンスに影響しますか?

A:いいえ。NBAR のパフォーマンスは、NBAR が有効にされているインターフェース数とそれらのインターフェースのリンク速度 には依存しません。 パフォーマンスは、NBARエンジンが検査する必要のあるパケット数、および正規検査を実行するためにそれが参照する必要のあるパケット内部の深さに依存します。

Q:ルーター上でコマンド ip nbar protocol-discovery を発行して、その結 果を見ることができます。 しかし、Netflow Analyzerはそのルーターが NBAR をサポートしていないと表示します。これは、なぜですか?

A:古いIOSバージョンは、ルーター上でのみ NBAR ディスカバリをサポートしていますので、ルーター上でコマンド ip nbar protocol-discovery を実行して、その結果を見ることができます。 しかし、NBAR プロトコルディスカバリ MIB(CISCO-NBAR-PROTOCOL-DISCOVERY-MIB) は、最近のリリースでサポートされました。SNMPを介したデータ収集に必要です。 使用中のルーター IOS が CISCO-NBAR-PROTOCOL-DISCOVERY-MIBをサポートしているか確認してください。

Q:ルーターが CISCO-NBAR-PROTOCOL-DISCOVERY-MIB をサポートしていることをどのように確認すればよ いですか?

A: a) CISCO-NBAR-PROTOCOL-DISCOVERY-MIB をサポートするプラットフォームおよび IOSは、 こちら(英文)から確認できます。

b) 他の方法として、ルーターに実装されたMIB オブジェクトを知るために、'show snmp mib | include cnpd'コマンドを実行できます。 使用中のルーターが CISCO-NBAR-PROTOCOL- DISCOVERY-MIB をサポートしている場合は、このコマンドを実行して次のオブジェクトが取得できます。

cnpdStatusEntry.1
cnpdStatusEntry.2
cnpdAllStatsEntry.2
cnpdAllStatsEntry.3
cnpdAllStatsEntry.4
cnpdAllStatsEntry.5
cnpdAllStatsEntry.6
cnpdAllStatsEntry.7
cnpdAllStatsEntry.8
cnpdAllStatsEntry.9
cnpdAllStatsEntry.10
cnpdAllStatsEntry.11
cnpdAllStatsEntry.12
cnpdTopNConfigEntry.2
cnpdTopNConfigEntry.3
cnpdTopNConfigEntry.4
cnpdTopNConfigEntry.5
cnpdTopNConfigEntry.6
cnpdTopNConfigEntry.7
cnpdTopNConfigEntry.8
cnpdTopNStatsEntry.2
cnpdTopNStatsEntry.3
cnpdTopNStatsEntry.4
cnpdThresholdConfigEntry.2
cnpdThresholdConfigEntry.3
cnpdThresholdConfigEntry.4
cnpdThresholdConfigEntry.5
cnpdThresholdConfigEntry.6
cnpdThresholdConfigEntry.7
cnpdThresholdConfigEntry.8
cnpdThresholdConfigEntry.9
cnpdThresholdConfigEntry.10
cnpdThresholdConfigEntry.12
cnpdThresholdHistoryEntry.2
cnpdThresholdHistoryEntry.3
cnpdThresholdHistoryEntry.4
cnpdThresholdHistoryEntry.5
cnpdThresholdHistoryEntry.6
cnpdThresholdHistoryEntry.7
cnpdNotificationsConfig.1
cnpdSupportedProtocolsEntry.2

Netflow v9について

Q:NetFlow v9 とは何ですか?

A:NetFlow v9は柔軟で拡張性があり、新しいフィールドおよびレコードタイプをサポートするのに必要な多様性を備えています 。 NetFlow v9は、NAT、MPLS、BGB の next hop およびマルチキャストのようなNetFlow をサポートする技術に対応します。Netflow v9エクスポート形式の主な特徴は、テンプレートベ ースであることです。

Q:Netflow v9によるルーター上のメモリーインパクトはありますか?

A:使用されるメモリーは容量、テンプレートのフローセットを保持するために使用されるデータ構造に依存します。 この実装は NetFlow キャッシュに直接アクセスしないので、使用されるメモリー容量は大きくありません。

Q:「次の装置から、非 V5/V7/V9パケットを受信中です。: 詳細は、こちらをクリック..」 と いうメッセージは何を意味していますか?

A:ユーザーインターフェース上でこのメッセージが表示される場合は、NetFlow Analyzer が 5/7/9 以外のバージョンの NetFlow パケットを受信していることを意味します。ルーター設定を確認して、 NetFlow V5/V7/V9 のみが NetFlow Analyzer に送信されていることを確かめてください。 これは、NetFlow Analyzerが NetFlow V5/V7/V9 のみをサポートしているためです。

Q:Netflow v9 は下位互換性はありますか?

A:Netflow v9 は、Netflow v5 あるいはNetflow v8 と下位互換性がありません。

Q:Netflow v9はパフォーマンスに影響を与えますか?

A:Netflow v9はパフォーマンスを若干下げます。 これは、正当なテンプレートのフローセットを生成して保持するために付加的な処理が必要となるためです。

Q:Netflow v9の制約はありますか?

A:Netflow v9 は様々な技術とインタリーブが可能となります。 このことは、様々な技術(マルチキャスト、IPv6、BGP next hop 等)からデータをエクスポートする必要がある場合は、Netflow v9 を設定すべきであることを意味します。

その他の技術情報

Q:NetFlowAnalyzer データベースでは、トラフィック情報はどのように保持されますか?

A:各レポートに関して、NetFlow Analyzer は異なったやり方でトラフィック情報を保持します。 以下のテーブルは、NetFlow Analyzer によって生成される様々なレポートに関するデータ保持パターンを記述しています。

トラフィックレポート (※ver5.5後からver10.2までの内容)

時間間隔時間粒度
過去26時間未満1分
過去26時間以上、62日間未満1時間
過去8日間以上、32日間未満6時間
過去32日間以上、92日間未満24時間
過去92日間以上1週間

アプリケーショントラフィックレポート(※ver5.5後からver10.2までの内容)

(アプリケーションタブ、アプリケーション 受信側/送信側グラフ、統合レポート)

時間間隔時間粒度
過去2時間未満1分
過去2時間以上、12時間未満10分間
過去12時間以上、15日間未満1時間
過去15日間以上、62日間未満6時間
過去62日間以上、92日間未満24時間
過去92日間以上1週間


送信元、宛先、通信トラフィックレポート(※ver5.5後からver10.2までの内容)

(送信元、宛先、通信タブおよび受信側/送信側グラフ;アプリケーション、送信元、宛先および通信レポート、統合レポート、カスタムレポートからグラフを掘り下げます。)

時間間隔時間粒度
過去2時間未満1分
過去2時間以上、12時間未満10分間
過去12時間以上、15日間未満1時間
過去15日間以上、62日間未満6時間
過去62日間以上、92日間未満24時間
過去92日間以上1週間
Q:管理者 のパスワードはどのように更新するのですか?

A:以下の手順を行う前に、サーバーが稼動中であることを確認します。
(1)コマンドプロンプトを開きます。
(2) \mysql\bin ディレクトリに行きます。
(3) 次を入力してください。: \mysql\bin> mysql -u root --port=13310
(4)タイプ使用 NetFlow
(5) 次のクエリを実行します。:
\mysql\bin> update AaaPassword, AaaLogin,AaaAccount, AaaAccPasswordsetAaaPassword.PASSWORD='Ok6/FqR5WtJY5UCLrnvjQQ==', AaaPassword.SALT='12345678' where AaaLogin.LOGIN_ID= AaaAccount.LOGIN_ID and AaaAccount.ACCOUNT_ID=AaaAccPassword.ACCOUNT_ID and AaaPassword.PASSWORD_ID=AaaAccPassword.PASSWORD_ID and AaaLogin.NAME = 'admin' ;

(6) MySQL を停止するために quitと入力します。
(7) コマンドプロンプトを終了するためにexitと入力します。
(8) admin / admin でログインします。 必要であれば、パスワードを再度変更することができます。

Q:NetFlow Analyzer では、ポートはどのようにアプリケーションとして割り当てられるのですか?

A: NetFlow は、プロトコル、送信元ポートおよび宛先ポートについての情報がはいっています。 フローを受信した場合、NetFlow Analyzer はフロー中のポートおよびプロトコルについて、次の順番でアプリケーションとの関連付けをします。

  • アプリケーション関連付けの各アプリケーションに対して設定されたポート一覧に対する、より小さい送信元および宛先ポート番号
  • アプリケーション関連付けの各アプリケーションに対して設定されたポート一覧に対する、より大きい送信元および宛先ポート番号
  • アプリケーション関連付けの各アプリケーションに対して設定されたポート範囲に対する、より小さい送信元および宛先ポート番号
  • アプリケーション関連付けの各アプリケーションに対して設定されたポート範囲に対する、より大きい送信元および宛先ポート番号

関連付けできるアプリケーションが見つからない場合は、アプリケーションはプロトコルに依存して<protocol>_Appとして一覧表 示されます。 (例) フローが TCP プロトコルとともに受信された場合、TCP_Appと認識され 、送信元および宛先ポートとプロトコルが NetFlow Analyzer によって関連付けできない場合、 アプリケーションは、Unknown_Appとして一覧表示されます。

フロー単位で1つのアプリケーションとして分類されます。競合が生じる場合は、正確に関連付けされたアプリケーションが選択されます。

Q: 同時アクセス可能なユーザーは何人ですか?

A:これは、NetFlow Analyzer がインストールされているサーバーのスペックに依存します。 NetFlow Analyzerライセンスには依存しません。

Q:ログファイルはどのように生成されますか?

A:(1) Netflow Analyzer が起動していることを確認してください。
(2) /Troubleshootingフォルダーへ移動し、DBInfo.sh / DBInfo.batを実行します。
(3) これにより、同フォルダーにてInfo.logファイルが生成されます。

Q:インターフェースが100% の使用率を示すのはなぜですか?

A:使用率100%については、こちら(英文)を参照してください。

Q:問題調査のためには、Netflow Analyzer サポートにどのような情報を送ればよいですか?

A:(1)(トラブルシューティングフォルダーの下で)logziputil.bat / logziputil.shを実行してください。 これにより、サポートフォルダーの下に zip ファイルが生成されます。この zip ファイルを送ってください。
(2) Mysql\data フォルダー下の .err ファイルを送ってください。
(3) また、お使いのマシンの設定も送ってください。

Q:Netflow Analyzerを異なるサーバーに安全に移すにはどうすればよいですか?

A: 以下の手順に従ってください。

(1) 移動したいインストール状態の /mysql フォルダー内のデータフォルダーを、安全な場所にコピーしてください。
(2) 新しい場所に NetFlow Analyzer をインストールし、一度起動してからシャットダウンします。
(3) 新しいインストール状態の /mysql フォルダー内のデータをフォルダーを、古いインストール状態のデータフォルダーで置き換えます。
(4) NetFlow Analyzer を起動します。

Q:Netflow Analyzer サーバーが遅くなった場合には、何をすればよいですか?. また、Netflow Analyzer システムのパフォーマンスを改善するには、どうすればよいですか?

A:データベースチューニングに関しては、こちら(英文)を参照してください。

Q:Netflow Analyzerが「ルーター時間の同期が取れていません」と表示し、データ収集を停止するのはな ぜですか?

A:この問題を解決するには、次の手順に従ってください。

  • お使いのルーター上で正確な時間が設定されているか確認してください。
    ルーターにログインして、show clockと入力することで確認できます。
    コマンド clock set hh:mm:ss month date year を使って、クロック時間を設定できます。 +時刻ゾーンおよびその時刻ゾーンに関する(時間や分での)補正値が適切に設定されていることを確認します(例:PST に関してPST -8 00、あるいはEST に関してEST -5 00)。 これは、ルーターにログインして設定ターミナルを表示し、 show running-config と入力することで確 認できます。 コマンド clock timezone zone hours [minutes] (例 clock timezone PST -8 00)
    を用いて時刻ゾーンと補正値を設定できます。
  • 時間同期は、CPU 負荷率を高くする可能性があります。この場合、IP グループの数を減らすと効果があります。 各 IP アドレス /IP アドレス範囲 / ネットワークアドレスは、時間同期は個別に確認されます。10.10.10.1、10.10.10.2、10.10.10.3 および10.10.10.4 の4つのアドレスは、10.10.10.1 から10.10.10.4 の単一のIPアドレス範囲として生成するより高負荷となります。 インターフェースに関しては、適切に稼動している限り 「All interfaces」を選択した方がよいです。これは、フローにて インターフェースのチェックがされないためです。