_xflow_kikuta_final.pptx

Size: px

Start display at page:

Download "_xflow_kikuta_final.pptx"

かずきたかはし
5 years ago
Views:

1 JANOG36 Meeting in KITAKYUSHU xflow Tutorial 前半パート Kazumasa Ikuta

2 xflow チュートリアル xflow(netflow や sflow, IPFIX) はトラヒックの監視技術としては長い歴史があり通信事業者に加え今では企業や組織の LAN/WAN でも一般的に利用されるようになっています一方でメーカーや機器毎リリース時期の実装によって差異があるなど導入に踏み切れないまた導入しても使いこなせていないという声が少なからずありますまた実は xflow は枯れた存在でありつつも今だに進化しているのです本チュートリアルでは xflow を運用に活用する上で必要な基礎知識実際に使う上での FAQ や導入時のハマりどころを紹介していきます単なるプロトコル説明にとどまらずに実践で使える知識とワザをお伝えします Cisco Public 2

3 フローって? 引用元 A flow is defined as a unidirectional sequence of packets with some common properties that pass through a network device. These collected flows are exported to an external device, the NetFlow collector. Network flows are highly granular; for example, flow records include details such as IP addresses, packet and byte counts, timestamps, Type of Service (ToS), application ports, input and output interfaces, etc. フローとはネットワーク装置を通過する共通の属性をもった一方通行の連続したパケットのことであるフロー記録は IP アドレスやパケットカウントやバイトカウントタイムスタンプ ToS アプリケーションポート入出力インターフェースなどを含むことがある Exported NetFlow data is used for a variety of purposes, including enterprise accounting and departmental chargebacks, ISP billing, data warehousing, network monitoring, capacity planning, application monitoring and profiling, user monitoring and profiling, security analysis, and data mining for marketing purposes. 出力された NetFlow データは多様な用途に使われ例えば以下のような例がある企業でのアカウンティング部門チャージ ISP による課金データウェアハウジングネットワーク監視容量計画アプリケーション監視アプリケーションプロファイリングユーザ監視ユーザプロファイリングセキュリティ分析マーケティング目的のデータマイニングなど Cisco Public 3

4 チュートリアルの流れ : フローの世界へようこそ! はじめに NetFlow Tips 前半パート : 生田 sflow コレクター FAQとTips まとめ後半パート : 田島 Cisco Public 4

5 免責条項メーカー固有の情報はなるべく出てこないように心がけていますが机上論にならないように設定例などは登場します個別のコレクターに偏らないように心がけていますがあらゆるコレクターに詳しいわけではないので多少偏るかもしれません技術的な仕様を包括的に網羅するものではなくなるべく現実的な利用に役立てて頂けるように心がけています心がけ大事! 念のためですが OpenFlow は含みません Cisco Public 5

6 はじめに Cisco Public 6

$登場人物 \(^^)/ Push Protocol$ 対応ネットワーク装置 ( エクスポーター )

7 登場人物 \(^^)/ Push Protocol ペイロード ( 複数のフロー情報 ) ヘッダ xflow 対応ネットワーク装置 ( エクスポーター ) xflow 対応サーバ ( コレクター ) Cisco Public 7

8 xflow ユースケース某社では LAN/WAN インターネット回線の監視を SNMP 中心に行っていた SNMP では利用量は把握できるが利用内訳が不明でありビジネスへの貢献度という意味でトラフィックをカテゴリー分けした説明ができなかったネットワーク基盤の使われ方についてより細かな情報を調査し理解する必要に迫られた NetFlow を採用ワームやDDoS 攻撃検出の仕組み強化になった輻輳の原因に関わるアプリケーションを識別し投資価値の判断材料を得た適切なQoSパラメータの根拠を得て設定を有効化 VPNトラフィックおよびテレワーカーのトラフィックパターン分析に利用 Cisco Public 8

9 なぜ今改めて xflow か? ニーズ高まりと敷居の低下 pmacct ネットワーク利用可視化要件と説明責任容量計画とコスト削減異常検出とセキュリティ対策 NFDUMP, NfSen FlowViewer サポート装置の拡大性能向上サポートアプリケーションの普及初期設備投資の低下サポート機能の強化通信事業者に加えて企業 WAN LAN も普及 Cisco Public 9

10 NetFlow 関連の様々な実装 Citrix NetScaler AppFlow reports including Application, Connections, Request URL, Request host, and User Agent reporting Dell SonicWALL DPI, Intrusions, Spyware, URLs, User reporting, VoIP monitoring, and more Juniper Src/Dst IPv4/IPv6, Port, Vlan, AS.. Open vswitch Palo Alto Networks Firewall event reporting, NAT reporting, DPI, and User reporting Riverbed Steelhead numerous RTT reports, WAN Optimization reporting VMWare VM (ESX hosts) information, dvswitch VyOS (Vyatta) Cisco ASA specialized reporting for VPN users, ACL flow volumes, Network Address Translation reports Cisco Wireless Controllers DPI (Application) reports, wireless hosts reporting, SSID lists Cisco Application Visibility and Control (AVC) numerous custom reports for DPI, Application Performance, Performance Monitoring 参考 : Cisco Public 10

11 フローコレクター例 Plixer International 社 Scrutinizer Cisco Public 11

12 フローコレクター例 LiveAction 社 Cisco Public 12

13 NetFlow Cisco Public 13

NetFlow シスコシステムズが開発 1996 年にパテント取得トラフィック情報収集のデファクトスタンダード (version 5) 現在は NetFlow version 5 と NetFlow version 9 が主流 RFC 3954 Cisco Systems NetFlow Services Export Version 9 (Informational) 2013 年に

14 NetFlow シスコシステムズが開発 1996 年にパテント取得トラフィック情報収集のデファクトスタンダード (version 5) 現在は NetFlow version 5 と NetFlow version 9 が主流 RFC 3954 Cisco Systems NetFlow Services Export Version 9 (Informational) 2013 年に RFC として標準化 (IPFIX) RFC 7011 Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information (Standards Track) 他 RFC7012, 7013, 7014, 7015 など (NetFlow version 10) 基本的には 1:1 のキャッシュ技術でありパケットサンプリング (1:1000 など ) はオプション設定一部機種はハードウェア制約によりサンプリングのみサポートのものもあるネットワークトラフィック監視セキュリティ監視ネットワークプランニングトラフィック解析 IP レベルの課金などに利用される全フロー情報を出力する特性を活かしてセキュリティ用途やイベントログとしての応用が注目されている Cisco Public 14

パケット数 Bytes/Packet Address, ports, 11000 1528

15 NetFlow アーキテクチャ 1. 測定 (Metering) トラフィックパケット識別送信元 IPアドレス宛先 IPアドレス送信元ポート宛先ポートレイヤ3プロトコル TOSバイト (DSCP) 入力インターフェース 7 つのフローキー NetFlow キャッシュフロー情報パケット数 Bytes/Packet Address, ports, パケット属性からフローエントリ作成 2. 出力 (Export) NetFlow パケット出力 (NDE) コレクタ : レポート用途など Cisco Public 15

Version 5 フローフォーマットフローキー : フローが識別される条件ノンキー : フローごとに収集される情報フローキーとノンキーフィールド From/to 利用量時間パケットカウントバイトカウント開始 sysuptime 終了 sysuptime 送信元 IP アドレス宛先 IP アドレス送信元 TCP/UDP

16 Version 5 フローフォーマットフローキー : フローが識別される条件ノンキー : フローごとに収集される情報フローキーとノンキーフィールド From/to 利用量時間パケットカウントバイトカウント開始 sysuptime 終了 sysuptime 送信元 IP アドレス宛先 IP アドレス送信元 TCP/UDP ポート番号宛先 TCP/UDP ポート番号ポート QoS 入力 ifindex 出力 ifindex Type of Service TCP フラグプロトコル番号ネクストホップアドレス送信元 AS 番号宛先 AS 番号送信元プレフィックスマスク宛先プレフィックスマスク L4 アプリケーションルーティングとピアリング Cisco Public 16

17 Version 5 NDE NetFlow Data Export NDE のヘッダ個々のフロー情報 ( フローレコード ) Cisco Public 17

18 NetFlow キャッシュの生成出力 1.NetFlow cache の生成更新 Srclf SrclPadd Dstlf DstlPadd Protocol TOS Flgs Pkts Src Port Src Msk Src AS Dst Port Dst Msk Dst AS NextHop Bytes/ Pkt Active Idle Fa1/ Fa0/ A 2 / A2 / Fa1/ Fa0/ / / Fa1/ Fa0/ A 1 / A1 / Fa1/ Fa0/ / / 期限切れ ( タイマー ) Inactive Timer 終了 ( デフォルト 15 秒 ) Active Timer 終了 ( デフォルト 30 分 ) NetFlow キャッシュが一杯 ( 古いフローから期限切れ ) RST または FIN TCP フラグ Srclf SrclPadd Dstlf DstlPadd Protocol TOS Flgs Pkts Src Port Src Msk Src AS Dst Port Dst Msk Dst AS NextHop Bytes/ Pkt Active Idle Fa1/ Fa0/ A2 / A2 / 集約の有無 4.出力バージョン集約なしフロー出力バージョン : version 5 or 9 5.転送プロトコル出力パケットヘッダペイロード ( フロー ) Protocol-Port 集約の例 Protocol Pkts SrcPort DstPort Bytes/Pkt A2 00A 集約フロー出力バージョン :Version 8 or 9 Cisco Public 18

19 参考参照用 NetFlow v5 コンフィグレーション例 Router(config)# interface <slot/port/subinterface> Router(config-if)# ip flow ingress Router(config-if)# ip flow egress Router(config)# ip flow-cache entries <number> Router(config)# ip flow-cache timeout active <minutes> Router(config)# ip flow-cache timeout inactive <seconds> Router(config)# ip flow-export version 5 peer-as Router(config)# ip flow-export destination Router(config)# ip flow-export source loopback 0 Cisco Public 19

参考参照用 NetFlow キャッシュ : IOS show コマンド例 1812W-AG-K05-01#sh ip cache flow IP packet size distribution (106188864 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480.000.

000.000.888.000.000.000.000.000.000.000.000 パケット長ごと割合 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608.000.000.000.000.000.000.000.000.000.000.000 IP Flow Switching Cache, 278544 bytes 30 active,

20 参考参照用 NetFlow キャッシュ : IOS show コマンド例 1812W-AG-K05-01#sh ip cache flow IP packet size distribution ( total packets): パケット長ごと割合 IP Flow Switching Cache, bytes 30 active, 4066 inactive, added ager polls, 0 flow alloc failures フロー数 Active flows timeout in 1 minutes Inactive flows timeout in 10 seconds IP Sub Flow Cache, bytes 60 active, 964 inactive, added, added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-WWW UDP-other ICMP IP-other Total: アプリケーション流量 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Vl Fa0* AF DAC4 1 Fa Vl DAC4 07AF 1 Fa Vl DAC Vl Fa0* DAC4 10 Fa Vl F F5B Fa Vl DB Vl Fa0* DB72 10 Fa Vl F D5F7 297 Vl Fa0* AF DB72 1 Fa Vl DB72 07AF 1 Fa Vl AF D5F7 1 <snip> カンバセーション Cisco Public 20

A A Collector B 18 固定送信元宛先 IP 送信元宛先番入力 TOS 出力測定

21 NetFlow version 9/IPFIX 固定出力 Netflow Version 5 動的張性出力 Netflow v9 / IPFIX A B Exporter Collector Exporter A A Collector B 18 固定送信元宛先 IP 送信元宛先番入力 TOS 出力測定容自由形式別伝達 ( ) 既存仕組中出力以外連情報伝達 Cisco Public 21

22 NetFlow version 9/IPFIX RFC3954 Cisco Systems NetFlow Services Export Version 9 (Informational) バージョン 9 のエクスポートフォーマットはテンプレートを使用しており IP パケットのフローを柔軟性が高く拡張性に富んだ方法で観測することができるようになっている (RFC3954) テンプレートとはその構造と意味について記述されたフィールドの並びである (RFC3954) テンプレートテンプレートデータレコードの構造をコレクタに伝える ( テンプレートID Type Length) オプションテンプレートデータレコード以外の情報をコレクタに伝えるデータレコードフローデータテンプレートIDとデータ値オプションフローデータテンプレートベースのメリット新フィールドのサポートが容易出力フォーマット構造の変更不要コレクタ側では新フィールドを理解せずにフローレコードの解釈が可能 NetFlow version9 をもとに IPFIX として標準化 (NetFlow version 10) RFC 7011, 7012, 7013, 7014, 7015などセキュリティ輻輳回避データ整合性など様々な拡張 Cisco Public 22

23 NetFlow version 9 テンプレートとデータ例 Template Flowset Data Flowset Option Template 利用例 )Template の Application ID に NBAR で認識した Application ID が記録される Application Cisco and/or IDits とaffiliates. Application All rights reserved. 名のマッピングはOption Templateにより通知される Cisco Public 23

オプションテンプレートの実装例 C1941(config-flow-exporter)#option?! application-attributes Application Attributes Table Option! application-table Application Table Option! c3pl-class-table C3PL class cce-id table!

sampler-table Export Sampler Option! vrf-table VRF ID-to-name Table Option Cat3850(config-flow-exporter)#option?! application-table Application Table Option! exporter-stats Exporter Statistics Option!

24 オプションテンプレートの実装例 C1941(config-flow-exporter)#option?! application-attributes Application Attributes Table Option! application-table Application Table Option! c3pl-class-table C3PL class cce-id table! c3pl-policy-table C3PL policy cce-id table! exporter-stats Exporter Statistics Option! interface-table Interface SNMP-index-to-name Table Option! metadata-version-table Metadata Version Table Option! sampler-table Export Sampler Option! vrf-table VRF ID-to-name Table Option Cat3850(config-flow-exporter)#option?! application-table Application Table Option! exporter-stats Exporter Statistics Option! interface-table Interface SNMP-index-to-name Table Option! metadata-version-table Metadata Version Table Option! sampler-table Export Sampler Option! usermac-table Wireless usermac-to-username Table Option Cisco Public 24

25 NetFlow version9/ipfix 測定と出力の分離測定 metering 固定フィールドによるフロー識別フロー識別の拡張 (L2, L7, FW, NAT..) 設定可能なフロー識別子ベンダーごとのの拡張 ( 例 :FNF) 出力 export NetFlow Version 5 NetFlow Version 9 NetFlow v9 IPFIX (v10) Cisco Public 25

フロー識別の拡張 (L2, L7, FW, NAT..) 設定可能なフロー識別子ベンダーごとのの拡張 ( 例 :FNF) 1998 年頃?

26 NetFlow version9/ipfix cont. 測定と出力の分離コンフィグはメータリング実装に依存固定的な NetFlow v9 実装は包含様々な情報をデータフローセットとして送信特殊な情報ほどコレクター対応は要確認測定 metering 固定フィールドによるフロー識別フロー識別の拡張 (L2, L7, FW, NAT..) 設定可能なフロー識別子ベンダーごとのの拡張 ( 例 :FNF) 1998 年頃? 2004 年頃 2010 年頃 NetFlow は進化している一方様々な実装やコンフィグが混在しているため混乱しやすい出力 export NetFlow Version 5 NetFlow Version 9 NetFlow v9 IPFIX (v10) コンフィグは決め打ち NetFlow は L3 以上 IPv4 のみコンフィグは決め打ち ( 拡張コマンド ) MAC アドレスや Vlan MPLS IPv6 など拡張 NetFlow v9 対応コレクタを選べば大丈夫 Cisco Public 26

27 参考参照用世代にみる Cisco NetFlow コンフィグレーション 2014 年 collect connection delay response to-server {sum, min, max} collect connection delay response to-server histogram [bucket1... bucket7 late] collect connection delay response client-to-server {sum, min, max}! 2010 年 flow record SampleRecord! match ipv4 tos! match ipv4 protocol! match ipv4 source address! match ipv4 destination address! match transport source-port! match transport destination-port! collect transport tcp flags! collect interface input! collect counter bytes long! collect counter packets long!! flow exporter Collector! description JANOG36! destination ! transport udp 2055! template data timeout 60! option interface-table! option exporter-stats! option sampler-table! ip flow egress! 2006 年 ip flow ingress! ip flow-capture vlan-id! ip flow-capture mac-addresses! ip flow-capture icmp! 2004 年 ip flow-cache mpls label-positions 1 2 no-ip-fields mpls-length! ip route-cache flow sampled input! 2000 年 ip flow-aggregation cache as! mls flow ip interface-full! mls nde sender version 5! tag-switching ip flow! ip multicast netflow ingress! 元々は IPv4 のみを対象としていた L2 MPLS BGP IPv6 など多数の個別実装が誕生 Flexible NetFlow の仕組みに収束 set mls flow full! ip route-cache flow! 1996 年 * これは設定の一部であり網羅したものではありません ** 機種依存の設定 (C12000 や CRS など ) は含まれません *** 同じコマンドでも装置によってサポート時期が前後する場合が多々あります Cisco Public 27

参考参照用世代にみるCisco NetFlow コンフィグレーションえっ NBARやCBQoS-MIB 2000 年 2004 年 set mls flow full!

!? ip flow-aggregation cache as! mls flow ip interface-full! mls nde sender version 5!

ip flow ingress! ip flow-capture vlan-id! ip flow-capture mac-addresses! ip flow-capture icmp!

物にならなかったなぁ ip route-cache flow sampled input! ip multicast netflow ingress!

collect connection delay response to-server {sum, min, max} collect connection delay response

.. bucket7 late] collect connection delay response client-to-server {sum, min, max}!

match ipv4 destination address! match transport source-port! match transport destination-port!

collect counter packets long!! egress に設定するとかなんかキモい Catalyst はインターフェースごとに設定書けないよね?

template data timeout 60! option interface-table! option exporter-stats! option sampler-table!

28 参考参照用世代にみるCisco NetFlow コンフィグレーションえっ NBARやCBQoS-MIB 2000 年 2004 年 set mls flow full! まだ ip flow ingress ってコマンドは納得しないなぁ Catalyst は Vlan 取れるけど TCP フラグはまだですか?!? ip flow-aggregation cache as! mls flow ip interface-full! mls nde sender version 5! tag-switching ip flow! Record, Exporter, Monitor の仕組みめっちゃ綺麗やん 2006 年 2010 年 ip flow egress! ip flow ingress! ip flow-capture vlan-id! ip flow-capture mac-addresses! ip flow-capture icmp! 小規模ルータでは使い ip flow-cache mpls label-positions 1 2 no-ip-fields mpls-length! 物にならなかったなぁ ip route-cache flow sampled input! ip multicast netflow ingress! set コマンドあったなぁ 2014 年までフローで代替するの? collect connection delay response to-server {sum, min, max} collect connection delay response to-server histogram [bucket1... bucket7 late] collect connection delay response client-to-server {sum, min, max}! flow record SampleRecord! match ipv4 tos! match ipv4 protocol! match ipv4 source address! match ipv4 destination address! match transport source-port! match transport destination-port! collect transport tcp flags! collect interface input! collect counter bytes long! collect counter packets long!! egress に設定するとかなんかキモい Catalyst はインターフェースごとに設定書けないよね? flow exporter Collector! description JANOG36! destination ! transport udp 2055! template data timeout 60! option interface-table! option exporter-stats! option sampler-table! 12.2SX とか混迷の時代だったなぁインターフェースごとじゃなくて計測対象をクラスマップで絞れるようになったんだよまだIPFIXより NetFlow v9の方が多いかな? NATロギングやDPIロギングにも使われているんだよ元々はIPv4のみを対象としていた L2 MPLS BGP IPv6など多数の個別実装が誕生 Flexible NetFlowの仕組みに収束 ip route-cache 古くはルーティングのキャッシュ flow! だったんだよ 1996 年 * これは設定の一部であり網羅したものではありません ** 機種依存の設定 (C12000 や CRS など ) は含まれません *** 同じコマンドでも装置によってサポート時期が前後する場合が多々あります Cisco Public 28

29 IPFIX テンプレート例 Cisco Public 29

$cnn.com/us http://www.cnn.com/us http://www.cnn.com/world application http host 45003 www.cnn.com application http uri statistics 42125 US\02 WORLD\01* art count new connections 42050 3 *\0 はデリミタ NetFlow コレクターが Parse Cisco Public 30$

30 IPFIX 利用例 URL ホストとヒットカウントアクセス頻度の高い Web サイトは? m サイト内の URL は? フィールド名 ( 設定例 ) フィールド ID 値 application http host application http uri statistics US\02 WORLD\01* art count new connections *\0 はデリミタ NetFlow コレクターが Parse Cisco Public 30

31 可変長のため IPFIX が必須 (NetFlow v9 は不可 ) Cisco Public 31

32 Tips 時間があれば Cisco Public 32

33 ! Tips. 今風なやり方で Vlan ごとのトラフィック量を測る設定バリエーション例 Catalyst3850 (config-flow-record)#match?! application Application fields! datalink Datalink (layer2) fields! flow Flow identifying fields! interface Interface fields! ipv4 IPv4 fields! ipv6 IPv6 fields! transport Transport layer fields! wireless Wireless fields! Cat (config-flow-record)#match datalink?! dot1q dot1q field! ethertype The Ethertype of the packet! mac MAC fields! vlan The VLAN the packet is on 設定例 flow record vlanrec! match datalink dot1q vlan input! match interface input! collect counter bytes! collect counter packets! collect timestamp sys-uptime first! collect timestamp sys-uptime last!!! flow monitor JANOG36! record vlanrec!!! interface GigabitEthernet1/10! switchport mode trunk! vlan-range ! datalink flow monitor JANOG36 input exporter は設定していません出力例 4503E#sh flow mon JANOG36 cache format table! Cache type: Permanent! Cache size: 4096! Current entries: 2! High Watermark: 2! Flows added: 2! Updates sent ( 1800 secs) 0! DATALINK DOT1Q VLAN INPUT INTF INPUT time first time last bytes long perm pkts long perm! ========================= ==================== ============ ============ ==================== ====================! 10 Gi2/3 15:54: :24: ! 1 Gi2/3 16:04: :23: Cisco Public 33

Tips. 用途に応じて複数の宛先に NDE を出力する (1/3) QoS モニタリング flow record QOS_Rec! match ipv4 tos!

collect counter packets IPv6 フロー ipv6 cef!!! flow record IPv6_Rec!

match ipv6 source address! match ipv6 protocol! match transport source-port!

collect timestamp sys-uptime first! collect timestamp sys-uptime last!

match ipv4 destination address! match transport tcp flags! match ipv4 ttl! collect counter bytes!

match ipv4 destination address! collect interface input! collect interface output! collect counter bytes!

match ipv4 source address! match ipv4 destination address! match transport source-port!

34 Tips. 用途に応じて複数の宛先に NDE を出力する (1/3) QoS モニタリング flow record QOS_Rec! match ipv4 tos! match interface input! match interface output! collect counter bytes! collect counter packets IPv6 フロー ipv6 cef!!! flow record IPv6_Rec! description Used for basic IPv6 traffic analysis! match ipv6 destination address! match ipv6 source address! match ipv6 protocol! match transport source-port! match transport destination-port! collect counter bytes! collect counter packets! collect timestamp sys-uptime first! collect timestamp sys-uptime last! TCP フラグ &TTL モニター flow record TCP_Rec! match ipv4 protocol! match ipv4 source address! match ipv4 destination address! match transport tcp flags! match ipv4 ttl! collect counter bytes! collect counter packets! collect timestamp sys-uptime first! collect timestamp sys-uptime last! VRF ごと flow record VRF_Rec! match routing vrf input! match ipv4 source address! match ipv4 destination address! collect interface input! collect interface output! collect counter bytes! collect counter packets! collect timestamp sys-uptime first! collect timestamp sys-uptime last! 従来の 7 タプル flow record TNF_Rec! match ipv4 tos! match ipv4 protocol! match ipv4 source address! match ipv4 destination address! match transport source-port! match transport destination-port! match interface input! collect counter bytes! collect counter bytes! collect counter packets! collect timestamp sys-uptime first! collect timestamp sys-uptime last! Cisco Public 34

Tips. 用途に応じて複数の宛先に NDE を出力する (2/3) コレクター 1 flow exporter my-exporter1!

transport udp 2055! コレクター 2 flow exporter my-exporter2! description SecurityCollector!

コレクター 3 flow exporter my-exporter3! description IPv6_Collector! destination 10.101.41.26!

option application-table! コレクター 4 flow exporter my-exporter4! description TestCollector!

option exporter-stats! option application-table! 各レコードとエクスポーターを紐づけたモニターを作成 flow monitor TNF_Mon!

!! interface GigabitEthernet0/1! ip address 10.0.0.254 255.255.255.0! ip flow monitor TNF_Mon input!

!! interface GigabitEthernet0/24! ip address 10.71.15.254 255.255.255.0! ip flow monitor Security_Mon input!

35 Tips. 用途に応じて複数の宛先に NDE を出力する (2/3) コレクター 1 flow exporter my-exporter1! description GeneralCollector! destination ! source GigabitEthernet0/1! transport udp 2055! コレクター 2 flow exporter my-exporter2! description SecurityCollector! destination ! source GigabitEthernet0/1! transport udp 9996! option interface-table! コレクター 3 flow exporter my-exporter3! description IPv6_Collector! destination ! source GigabitEthernet0/1! transport udp 3000! option interface-table! option exporter-stats! option application-table! コレクター 4 flow exporter my-exporter4! description TestCollector! destination ! source GigabitEthernet0/1! transport udp 2055! option interface-table! option exporter-stats! option application-table! 各レコードとエクスポーターを紐づけたモニターを作成 flow monitor TNF_Mon! record TNF_Rec! exporter my-exporter1! exporter my-exporter4! cache timeout active 1!!! interface GigabitEthernet0/1! ip address ! ip flow monitor TNF_Mon input! flow monitor Security_Mon! record TCP_Rec! exporter my-exporter2! cache timeout active 1!!! interface GigabitEthernet0/24! ip address ! ip flow monitor Security_Mon input! flow monitor IPv6_Mon! record IPv6_Rec! exporter my-exporter3! cache timeout active 1!!! interface GigabitEthernet0/24! ip address ! ip flow monitor Security_Mon input! Cisco Public 35

Tips. 用途に応じて複数の宛先に NDE を出力する (3/3) 装置内でいろいろなモニタリングが楽しめる! ToS モニター INTF INPUT INTF OUTPUT IP TOS bytes long perm pkts long perm!

Gi0/2 Gi0/2 0x00 19145460 246939! Gi0/2 Gi0/2 0xC0 9348 123! Gi0/1 Gi0/1 0x00 383384 5279! TCP フラグモニター IPV4 SRC ADDR IPV4 DST ADDR TCP FLAGS IP PROT bytes pkts time first time last!

766 08:38:50.062! 202.234.232.6 10.101.9.251 0x00 17 210 2 08:38:50.262 08:38:50.274! 118.243.82.177 10.1.100.33 0x00 17 76 1 08:38:51.274 08:38:51.274! 219.75.253.70 10.1.100.33 0x00 17 76 1 08:38:51.278 08:38:51.

686 08:38:53.686! 192.221.72.51 10.1.100.175 0x00 17 314 1 08:38:53.942 08:38:53.942! アプリケーションモニター 0x02 Syn! 0x10 Ack! 0x11 FIN, Ack! 0x12 Syn, Ack! 0x18 PUSH, Ack!

=============== =============== ==================== ==================== ======= ================================ ========== ========== ============ ============! 125.206.198.59 10.1.100.

36 Tips. 用途に応じて複数の宛先に NDE を出力する (3/3) 装置内でいろいろなモニタリングが楽しめる! ToS モニター INTF INPUT INTF OUTPUT IP TOS bytes long perm pkts long perm! ==================== ==================== ====== ==================== ====================! Gi0/1 Gi0/2 0x ! Gi0/2 Gi0/1 0x ! Gi0/2 Gi0/1 0xC ! Gi0/2 Gi0/2 0x ! Gi0/2 Gi0/2 0xC ! Gi0/1 Gi0/1 0x ! TCP フラグモニター IPV4 SRC ADDR IPV4 DST ADDR TCP FLAGS IP PROT bytes pkts time first time last! =============== =============== ========= ======= ========== ========== ============ ============! x :38: :38:49.278! x :38: :38:50.062! x :38: :38:50.274! x :38: :38:51.274! x :38: :38:51.278! x :38: :38:53.666! x :38: :38:53.670! x :38: :38:53.674! x :38: :38:53.686! x :38: :38:53.942! アプリケーションモニター 0x02 Syn! 0x10 Ack! 0x11 FIN, Ack! 0x12 Syn, Ack! 0x18 PUSH, Ack! IPV4 SRC ADDR IPV4 DST ADDR INTF INPUT INTF OUTPUT IP PROT APP NAME bytes pkts time first time last! =============== =============== ==================== ==================== ======= ================================ ========== ========== ============ ============! Gi0/1 Gi0/2 17 nbar ntp :26: :26:48.206! Gi0/1 Gi0/2 6 nbar xwindows :26: :26:51.938! Gi0/1 Gi0/2 6 nbar unknown :26: :26:54.494! Gi0/1 Gi0/2 6 nbar http :26: :26:54.802! Gi0/1 Gi0/2 6 nbar secure-http :26: :26:54.830! Gi0/1 Gi0/2 6 nbar http :26: :26:53.238! Gi0/1 Gi0/2 6 nbar vdolive :29: :29:02.938! Gi0/1 Gi0/2 6 nbar h :29: :29:03.430! Gi0/1 Gi0/2 6 nbar skinny :29: :29:01.130! Gi0/1 Gi0/2 6 nbar nfs :29: :29:02.970! Gi0/1 Gi0/2 6 nbar corba-iiop :29: :29:02.978! Gi0/1 Gi0/2 6 nbar appleqtc :29: :29:02.994! Cisco Public 36

37 コンフィグを作り込んでみたら面白そうコレクター側はエクスポーターからいろいろ飛んでくるからなかなか大変オープンソースのツールで受信データは自分用に加工したり.. 装置内でカウンター代わりに使ってみたり.. それでは後半パートへ Cisco Public 37

38 Thank you.

F コマンド

F コマンドこの章ではコマンド名が F で始まる Cisco NX-OS システム管理コマンドについて説明します flow exporter Flexible NetFlow フローエクスポータを作成するか既存の Flexible NetFlow フローエクスポータを変更して Flexible NetFlow フローエクスポータコンフィギュレーションモードに入るにはグローバルコンフィギュレーションモードで