Scrutinizer
Plixer InternationalCEOの Michael Patterson は、NBARエクスポートのためのCiscoフレキシブルネットフロー上で、以下の"How-to"チュートリアルをまとめました。
2009年10月にCiscoは、NBAR (Network Based Application Recognition)でCiscoのネットフローテクノロジーを駆使した新しい機能をリリースしました。アプリケーションが使用されているかを特定するために、NBARは、より深くフローの検査を行ないます。「例えば、H.323、Telnet、RTP、Exchange やSkypeは、全て認識され、ネットフローでエクスポートされています。
伝統的に、ネットフローNetFlow v5 と v9では、ソースと送信先ポートのみをエクスポート(例えば、TCP ポート80)していました。フレキシブルネットフロー(FNF)は、ネットフローv9上でNBARエクスポートができるように改良されていますが、ルータでIOS(Ciscoのソフトウェアアップグレード手順をご参照ください)をバージョン15にアップグレードする必要があります。「ネットフローでのNBAR統合は、伝統的なネットフローではなく、Ciscoのフレキシブルネットフロー・テクノロジーによって、行なわれます。コンフィグレーションに関わりますので、以下のコマンドに注釈をつけました。
NBAR NetFlow Commands
「以下のNBARネットフローコマンドで打ち込んでください。ただし、Ciscoルータ上では、コンフィグモードにすることをご注意ください」
Command |
説明 |
flow record nbar |
「nbar-mon」と名づけた記録の作成 |
description NBAR flow monitor |
特性の定義。「NBARフローモニター」の詳細 (Ciscoは、これをエクスポートするべきです。). |
|
以下の「一致する」命令文は、キーフィールドです。以下の非キーフィールドでは、一致する必要はありません。
Command |
説明 |
match ipv4 tos |
ToSフィールドを検索 |
match ipv4 protocol |
Etc. などがフローの中の全ての一致アイテムを確認 |
match ipv4 source address |
|
match ipv4 destination address |
|
match transport source-port |
|
match transport destination-port |
|
match interface input |
|
match application name |
NBARアプリケーションIDをエクスポート |
|
以下では、必要なモニターが上記で「一致する」フローからエクスポートしたことを確認できます。
Command |
説明 |
collect routing destination as |
|
collect routing next-hop address ipv4 |
|
collect ipv4 dscp |
|
collect ipv4 id |
以下は、エクスポートされたネットフローフィールドです。NBARに必要不可欠のものもあります。 |
collect ipv4 source prefix |
|
collect ipv4 source mask |
|
collect ipv4 destination mask |
|
collect transport tcp source-port |
|
collect transport tcp destination-port |
|
collect transport tcp flags |
|
collect transport udp source-port |
|
collect transport udp destination-port |
|
collect interface output |
|
collect counter bytes |
|
collect counter packets |
|
collect timestamp sys-uptime first |
|
collect timestamp sys-uptime last |
|
collect datalink mac source address input |
ソースMACアドレスの集合設定(アウトプットでは、ルータを離れるとき MACアドレスが表示可能となり、インプットでは、ルータに入るとき,MACアドレスを表示します。) |
collect datalink mac destination address input |
ソースMACアドレス集合設定 |
collect flow direction |
フローの送信先エクスポート |
collect flow sampler |
サンプラーIDエクスポート「サンプラーテーブル」オプションテンプレートに
関連して使用可能。 |
|
上記ではこの情報でフローを行ないたいと単に言っていますが、現在フローエクスポータの作成が必要です。
Command |
説明 |
flow exporter export-to-andrew |
新しいエクスポーター「andrew へエクスポート」作成 |
description flexible NF v9 |
エクスポータ「フレキシブル NF v9」詳細 |
destination 66.186.184.206 |
エクスポート詳細⇒願わくば、Scrutinizer. |
source FastEthernet0/1 |
エクスポートソース。伝統的なネットフローに類似 |
transport udp 2055 |
エクスポートポート。伝統的なネットフローに類似 |
template data timeout 60 |
一秒間でどのくらいv9テンプレートがエクスポートされるか。 |
|
上記を複数フローモニタに適用することができ、すばらしいです。また、単一フローモニタには、同一フローレコードと異なる(複数の)エクスポーターと複数のフローモニタがあります。次の3つのテンプレートは追加のものですが、最初のテンプレートはNBARマップにとってなくてはならないものです。
Command |
説明 |
option application-table |
アプリケーション名でNBARを並べたNBARテーブル、これは名前によってNBARアプリケーションを特定するコレクターに必要不可欠 |
|
次のコマンドはオプションテンプレートですが、とてもすばらしいと思います。
Command |
説明 |
option interface-table |
インタフェースインスタンス、名前と説明(SNMP経由のような)のエクスポート |
option exporter-stats |
エクスポートされているものの情報 (例60秒に500フローエクスポートなど) |
|
ルータのインタフェースに上記情報を結びつけている時間
Command |
説明 |
flow monitor andrew-mon |
"Andrew-mon" はインタフェースに適用するモニタ |
cache active timeout 60 |
1分ごとの長期継続TCP接続を要約 |
description app traffic analysis |
"andrew-mon"の説明は "app traffic analysis" |
record nbar-mon |
"andrew-mon"が使用するマップ レコード "nbar-mon" |
exporter export-to-andrew |
フローエクスポーター "export-to-andrewへのマップ "andrew-mon"." これはフローを取得する。
重要: 制限ない"flow exporters"を指定できます。
(すなわち 複数のネットフローコレクターに送信します。昔からのネットフローは二つの送信先に制限されます。 |
|
"andrew-mon"フローモニターにインタフェースをマッピング
Command |
説明 |
interface fa0/0 |
収集したいインタフェース |
ip flow monitor andrew-mon input |
フローモニタ"andrew-mon"をこのインタフェースにマッピングし、"input"はingressフローを表しています。 |
interface fa0/1 |
収集したいインタフェース |
ip flow monitor andrew-mon input |
フローモニタ"andrew-mon"をこのインタフェースにマッピングし、"input"はingressフローを表しています。インプットとアウトプットが設定できます。私のScrutinizerソフトウェアが両方をサポートしています。全てのインタフェースに上記の設定を繰り返して下さい。egress フローのために最後には"input"の代わりに"output"という単語を使用。注意: 4つのフローモニタのみがインタフェースに認識されます。 |
|
注意: "インタフェースを監視する最大数は4です。従って、希望のエクスポーターを作成できます。
「"Now for Reporting"市場に出ているほとんどのネットフローレポートツールはネットフローNBARをサポートしていません。
例外的に、NBARをサポートしていると主張するベンダーには、「実際のフローを見るNBARアプリケーションにドリルダウンできるかどうか?」をベンダーに確認して下さい。
トータルバイトをアプリケーションごとに並べるだけのベンダーもありドリルダウンできません。
「トラフィックタイプかフローボリュームのしきい値を設定する」ことも重要です。
I Love SNMP ページの先頭へ
