Switch(config)#ip nbar custom MYDOMAIN composite server-name *mydomain.com id 13
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、NetFlow、Application Visibility and Control(AVC)、および暗号化トラフィック分析(ETA)を設定および検証する方法について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、Cisco IOS® XEソフトウェア16.12.4が稼働するCatalyst 9300スイッチに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
このドキュメントは、次のバージョンのハードウェアとソフトウェアにも使用できます。
注:プラットフォーム(fed)コマンドは異なる場合があります。コマンドはshow platform fed <active|standby>と対
show platform fed switch <active|standby>に使用できます。例に示す構文が解析できない場合は、バリアント型を試してください。
ネットワーク図
設定
コンポーネント
NetFlowの設定は3つの主要コンポーネントで構成されており、これらを組み合わせて使用することで、トラフィック分析とデータエクスポートを実行できます。
フローレコード
- レコードは、キーフィールドと非キーフィールドの組み合わせです。Flexible NetFlowレコードはFlexible NetFlowフローモニタに割り当てられ、フローデータの保存に使用されるキャッシュを定義します。
- Flexible NetFlowには、トラフィックの監視に使用できる複数の定義済みレコードが含まれています。
- また、Flexible NetFlowでは、キーフィールドと非キーフィールドを指定してFlexible NetFlowフローモニタキャッシュにカスタムレコードを定義し、特定の要件に合わせてデータ収集をカスタマイズできます。
例に示すように、フローレコード設定の詳細は次のとおりです。
flow record TAC-RECORD-IN
match flow direction
match ipv4 source address
match interface input
match ipv4 destination address
match ipv4 protocol
collect counter packets long
collect counter bytes long
collect timestamp absolute last
collect transport tcp flags
flow record TAC-RECORD-OUT
match flow direction
match interface output
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
collect counter packets long
collect counter bytes long
collect timestamp absolute last
collect transport tcp flags
フローエクスポータ
- フローエクスポータは、フローモニタのキャッシュ内のデータをリモートシステム(NetFlowコレクタとして機能するサーバ)にエクスポートして、分析と保存に使用します。
- フローモニタにデータエクスポート機能を提供するために、フローエクスポータがフローモニタに割り当てられます。
例に示すように、フローエクスポータの設定の詳細は次のとおりです。
flow exporter TAC-EXPORT
destination 192.168.69.2
source Vlan69
フローモニタ
- フローモニタは、ネットワークトラフィックのモニタリングを実行するためにインターフェイスに適用されるFlexible NetFlowコンポーネントです。
- フローデータはネットワークトラフィックから収集され、プロセスの実行中にフローモニタのキャッシュに追加されます。このプロセスは、フローレコードのkeyフィールドとnonkeyフィールドに基づいています。
例に示すように、フローモニタの設定の詳細は次のとおりです。
flow monitor TAC-MONITOR-IN
exporter TAC-EXPORT
record TAC-RECORD-IN
flow monitor TAC-MONITOR-OUT
exporter TAC-EXPORT
record TAC-RECORD-OUT
Switch#show run int g1/0/1
Building configuration...
Current configuration : 185 bytes
!
interface GigabitEthernet1/0/1
switchport access vlan 42
switchport mode access
ip flow monitor TAC-MONITOR-IN input
ip flow monitor TAC-MONITOR-OUT output
load-interval 30
end
フローサンプラ(オプション)
- フローサンプラは、ルータの設定で個別のコンポーネントとして作成されます。
- フローサンプラは、Flexible NetFlowを使用するデバイスの負荷を軽減するために、分析対象として選択するパケットの数を制限します。
- フローサンプラは、分析対象として選択されるパケット数の制限によって実現されるFlexible NetFlowを使用するデバイスの負荷を軽減するために使用されます。
- フローサンプラは、ルータのパフォーマンスに対する精度を交換します。フローモニタで分析されるパケットの数が減少すると、フローモニタキャッシュに保存される情報の精度に影響を与える可能性があります。
例に示すように、フローサンプラの設定例は次のとおりです。
sampler SAMPLE-TAC
description Sample at 50%
mode random 1 out-of 2
Switch(config)#interface GigabitEthernet1/0/1
Switch(config-if)#ip flow monitor TAC-MONITOR-IN sampler SAMPLE-TAC input
Switch(config-if)#end
制約事項
- フルFlexible NetFlowにはDNAアドオンライセンスが必要です。それ以外の場合は、Sampled NetFlowのみを使用できます。
- フローエクスポータは、送信元として管理ポートを使用できません。
これは包括的なリストではありません。適切なプラットフォームとコードの設定ガイドを参照してください。
確認
プラットフォームに依存しない検証
設定を確認し、必要なNetFlowコンポーネントが存在することを確認します。
- フローレコード
- フローエクスポータ
- フローモニタ
- フローサンプラ(オプション)
ヒント:フローレコード、フローエクスポータ、およびフローモニタの出力を1つのコマンドで表示するには、を実行します
show running-config flow monitor <flow monitor name> expand。
例に示すように、フローモニタは入力方向とその関連コンポーネントに関連付けられています。
Switch#show running-config flow monitor TAC-MONITOR-IN expand Current configuration: ! flow record TAC-RECORD-IN match ipv4 protocol match ipv4 source address match ipv4 destination address match interface input match flow direction collect transport tcp flags collect counter bytes long collect counter packets long collect timestamp absolute last ! flow exporter TAC-EXPORT destination 192.168.69.2 source Vlan69 ! flow monitor TAC-MONITOR-IN exporter TAC-EXPORT record TAC-RECORD-IN !
この例に示すように、フローモニタは出力方向とそれに関連付けられたコンポーネントに関連付けられています。
Switch#show run flow monitor TAC-MONITOR-OUT expand Current configuration: ! flow record TAC-RECORD-OUT match ipv4 protocol match ipv4 source address match ipv4 destination address match interface output match flow direction collect transport tcp flags collect counter bytes long collect counter packets long collect timestamp absolute last ! flow exporter TAC-EXPORT destination 192.168.69.2 source Vlan69 ! flow monitor TAC-MONITOR-OUT exporter TAC-EXPORT record TAC-RECORD-OUT !
コマンドを実行し
show flow monitor <flow monitor name> statisticsます。次の出力は、データが記録されていることを確認するのに役立ちます。
Switch#show flow monitor TAC-MONITOR-IN statistics Cache type: Normal (Platform cache) Cache size: 10000 Current entries: 1 Flows added: 1 Flows aged: 0
次のコマンドを実行
show flow monitor <flow monitor name> cacheして、NetFlowキャッシュに出力があることを確認します。
Switch#show flow monitor TAC-MONITOR-IN cache Cache type: Normal (Platform cache) Cache size: 10000 Current entries: 1 Flows added: 1 Flows aged: 0 IPV4 SOURCE ADDRESS: 192.168.200.100 IPV4 DESTINATION ADDRESS: 192.168.100.100 INTERFACE INPUT: Gi1/0/1 FLOW DIRECTION: Input IP PROTOCOL: 17 tcp flags: 0x00 counter bytes long: 4606617470 counter packets long: 25311085 timestamp abs last: 22:44:48.579
次のコマンドを実行し
show flow exporter <exporter name> statisticsて、エクスポータがパケットを送信したことを確認します。
Switch#show flow exporter TAC-EXPORT statistics Flow Exporter TAC-EXPORT: Packet send statistics (last cleared 00:08:38 ago): Successfully sent: 2 (24 bytes) Client send statistics: Client: Flow Monitor TAC-MONITOR-IN Records added: 0 Bytes added: 12 - sent: 12 Client: Flow Monitor TAC-MONITOR-OUT Records added: 0 Bytes added: 12 - sent: 12
プラットフォーム依存の検証
NetFlow初期化:NFLパーティションテーブル
- NetFlowパーティションは、各方向(入力と出力)に16個のパーティションを持つ異なる機能に対して初期化されます。
- NetFlowパーティションテーブルの設定はグローバルバンクの割り当てに分割され、さらに入力と出力のフローバンクに分割されます。
キーフィールド
- パーティションの数
- パーティションの有効ステータス
- パーティション制限
- 現在のパーティションの使用状況
NetFlowパーティションテーブルを表示するには、コマンド
show platform software fed switch active|standby|member| fnf sw-table-sizes asic <asic number> shadow 0を実行します。
注:作成されるフローは、作成時にスイッチとASICコアに固有です。スイッチ番号(アクティブ、スタンバイなど)を適宜指定する必要があります。入力されたASIC番号は、対応するインターフェイスに結び付けられています。この番号を使用
show platform software fed switch active|standby|member ifm mappings して、そのインターフェイスに対応するASICが決定されます。シャドウオプションには、常に「0」を使用してください。
Switch#show platform software fed switch active fnf sw-table-sizes asic 0 shadow 0 --------------------------------- Global Bank Allocation --------------------------------- Ingress Banks : Bank 0 Bank 1 Egress Banks : Bank 2 Bank 3 --------------------------------- Global flow table Info <--- Provides the number of entries used per direction INGRESS usedBankEntry 0 usedOvfTcamEntry 0 EGRESS usedBankEntry 0 usedOvfTcamEntry 0 --------------------------------- Flows Statistics INGRESS TotalSeen=0 MaxEntries=0 MaxOverflow=0 EGRESS TotalSeen=0 MaxEntries=0 MaxOverflow=0 --------------------------------- Partition Table --------------------------------- ## Dir Limit CurrFlowCount OverFlowCount MonitoringEnabled 0 ING 0 0 0 0 1 ING 16640 0 0 1 <-- Current flow count in hardware 2 ING 0 0 0 0 3 ING 16640 0 0 0 4 ING 0 0 0 0 5 ING 8192 0 0 1 6 ING 0 0 0 0 7 ING 0 0 0 0 8 ING 0 0 0 0 9 ING 0 0 0 0 10 ING 0 0 0 0 11 ING 0 0 0 0 12 ING 0 0 0 0 13 ING 0 0 0 0 14 ING 0 0 0 0 15 ING 0 0 0 0 0 EGR 0 0 0 0 1 EGR 16640 0 0 1 <-- Current flow count in hardware 2 EGR 0 0 0 0 3 EGR 16640 0 0 0 4 EGR 0 0 0 0 5 EGR 8192 0 0 1 6 EGR 0 0 0 0 7 EGR 0 0 0 0 8 EGR 0 0 0 0 9 EGR 0 0 0 0 10 EGR 0 0 0 0 11 EGR 0 0 0 0 12 EGR 0 0 0 0 13 EGR 0 0 0 0 14 EGR 0 0 0 0 15 EGR 0 0 0 0
フローモニタ
フローモニタの設定には、次のものが含まれます。
1. NetFlow ACLの設定。これにより、ACL TCAMテーブル内にエントリが作成されます。
ACL TCAMエントリは次の要素で構成されます。
- 一致するキーの検索
- NetFlowルックアップに使用される結果パラメータ。次のものが含まれます。
- プロファイルID
- NetFlow ID
2.フローマスク設定。これにより、NflLookupTableおよびNflFlowMaskTableにエントリが作成されます。
- NetFlow ACLの結果パラメータによってインデックスが作成され、NetFlowルックアップのフローマスクを検索します。
NetFlow ACL
NetFlow ACLの設定を表示するには、コマンド
show platform hardware fed switch active fwd-asic resource tcam table nfl_acl asic <asic number>を実行します。
ヒント:ポートACL(PACL)がある場合、インターフェイスがマッピングされているASIC上にエントリが作成されます。ルータACL(RACL)の場合、エントリはすべてのASICに存在します。
- この出力には、4ビット値のNFCMD0とNFCMD1があります。プロファイルIDを計算するには、値を2進数に変換します。
- この出力では、NFCMD0は1、NFCMD1は2です。2進数に変換すると、000100010になります。
- Cisco IOS XE 16.12以降では、合計8ビットのうち最初の4ビットがプロファイルIDで、7番目のビットがルックアップが有効であることを示します。したがって、例00010010では、プロファイルIDは1です。
- Cisco IOS XE 16.11以前のバージョンのコードでは、合計8ビットのうち最初の6ビットがプロファイルIDで、7番目のビットがルックアップが有効であることを示します。したがって、この例(00010010)では、プロファイルIDは4です。
Switch#show platform hardware fed switch active fwd-asic resource tcam table nfl_acl asic 0 Printing entries for region INGRESS_NFL_ACL_CONTROL (308) type 6 asic 0 ======================================================== Printing entries for region INGRESS_NFL_ACL_GACL (309) type 6 asic 0 ======================================================== Printing entries for region INGRESS_NFL_ACL_PACL (310) type 6 asic 0 ======================================================== TAQ-2 Index-32 (A:0,C:0) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Input IPv4 NFL PACL Labels Port Vlan L3If Group M: 00ff 0000 0000 0000 V: 0001 0000 0000 0000 vcuResults l3Len l3Pro l3Tos SrcAddr DstAddr mtrid vrfid SH M: 00000000 0000 00 00 00000000 00000000 00 0000 0000 V: 00000000 0000 00 00 00000000 00000000 00 0000 0000 RMAC RA MEn IPOPT MF NFF DF SO DPT TM DSEn l3m M: 0 0 0 0 0 0 0 0 0 0 0 0 V: 0 0 0 0 0 0 0 0 0 0 0 0 SrcPort DstPortIITypeCode TCPFlags TTL ISBM QosLabel ReQOS S_P2P D_P2P M: 0000 0000 00 00 0000 00 0 0 0 V: 0000 0000 00 00 0000 00 0 0 0 SgEn SgLabel AuthBehaviorTag l2srcMiss l2dstMiss ipTtl SgaclDeny M: 0 000000 0 0 0 0 0 V: 0 000000 0 0 0 0 0 NFCMD0 NFCMD1 SMPLR LKP1 LKP2 PID QOSPRI MQLBL MPLPRO LUT0PRI CPUCOPY 1 2 0 1 0 0 0 0 0 0x0000f 0 Start/Skip Word: 0x00000003 Start Feature, Terminate ----------------------------------------- Printing entries for region INGRESS_NFL_ACL_VACL (311) type 6 asic 0 ======================================================== Printing entries for region INGRESS_NFL_ACL_RACL (312) type 6 asic 0 ======================================================== Printing entries for region INGRESS_NFL_ACL_SSID (313) type 6 asic 0 ======================================================== Printing entries for region INGRESS_NFL_CATCHALL (314) type 6 asic 0 ======================================================== TAQ-2 Index-224 (A:0,C:0) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Input IPv4 NFL RACL Labels Port Vlan L3If Group M: 0000 0000 0000 0000 V: 0000 0000 0000 0000 vcuResults l3Len l3Pro l3Tos SrcAddr DstAddr mtrid vrfid SH M: 00000000 0000 00 00 00000000 00000000 00 0000 0000 V: 00000000 0000 00 00 00000000 00000000 00 0000 0000 RMAC RA MEn IPOPT MF NFF DF SO DPT TM DSEn l3m M: 0 0 0 0 0 0 0 0 0 0 0 0 V: 0 0 0 0 0 0 0 0 0 0 0 0 SrcPort DstPortIITypeCode TCPFlags TTL ISBM QosLabel ReQOS S_P2P D_P2P M: 0000 0000 00 00 0000 00 0 0 0 V: 0000 0000 00 00 0000 00 0 0 0 SgEn SgLabel AuthBehaviorTag l2srcMiss l2dstMiss ipTtl SgaclDeny M: 0 000000 0 0 0 0 0 V: 0 000000 0 0 0 0 0 NFCMD0 NFCMD1 SMPLR LKP1 LKP2 PID QOSPRI MQLBL MPLPRO LUT0PRI CPUCOPY 0 0 0 0 0 0 0 0 0 0x00000 0 Start/Skip Word: 0x00000003 Start Feature, Terminate ----------------------------------------- TAQ-2 Index-225 (A:0,C:0) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Input IPv4 NFL PACL Labels Port Vlan L3If Group M: 0000 0000 0000 0000 V: 0000 0000 0000 0000 vcuResults l3Len l3Pro l3Tos SrcAddr DstAddr mtrid vrfid SH M: 00000000 0000 00 00 00000000 00000000 00 0000 0000 V: 00000000 0000 00 00 00000000 00000000 00 0000 0000 RMAC RA MEn IPOPT MF NFF DF SO DPT TM DSEn l3m M: 0 0 0 0 0 0 0 0 0 0 0 0 V: 0 0 0 0 0 0 0 0 0 0 0 0 SrcPort DstPortIITypeCode TCPFlags TTL ISBM QosLabel ReQOS S_P2P D_P2P M: 0000 0000 00 00 0000 00 0 0 0 V: 0000 0000 00 00 0000 00 0 0 0 SgEn SgLabel AuthBehaviorTag l2srcMiss l2dstMiss ipTtl SgaclDeny M: 0 000000 0 0 0 0 0 V: 0 000000 0 0 0 0 0 NFCMD0 NFCMD1 SMPLR LKP1 LKP2 PID QOSPRI MQLBL MPLPRO LUT0PRI CPUCOPY 0 0 0 0 0 0 0 0 0 0x00000 0 Start/Skip Word: 0x00000000 No Start, Terminate ----------------------------------------- TAQ-2 Index-226 (A:0,C:0) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Input IPv6 NFL PACL Labels Port Vlan L3If Group Mask 0x0000 0x0000 0x0000 0x0000 Value 0x0000 0x0000 0x0000 0x0000 vcuResult dstAddr0 dstAddr1 dstAddr2 dstAddr3 srcAddr0 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 srcAddr1 srcAddr2 srcAddr3 TC HL l3Len fLabel vrfId toUs 00000000 00000000 00000000 00 00 0000 00000 000 0 00000000 00000000 00000000 00 00 0000 00000 000 0 l3Pro mtrId AE FE RE HE MF NFF SO IPOPT RA MEn RMAC DPT TMP l3m 00 00 0 0 0 0 0 0 0 0 0 0 0 0 0 0 00 00 0 0 0 0 0 0 0 0 0 0 0 0 0 0 DSE srcPort dstPortIITypeCode tcpFlags IIPresent cZId dstZId 0 0000 0000 00 00 00 00 0 0000 0000 00 00 00 00 v6RT AH ESP mREn ReQOS QosLabel PRole VRole AuthBehaviorTag M: 0 0 0 0 0 00 0 0 0 V: 0 0 0 0 0 00 0 0 0 SgEn SgLabel M: 0 000000 V: 0 000000 NFCMD0 NFCMD1 SMPLR LKP1 LKP2 PID QOSPRI MQLBL MPLPRO LUT0PRI CPUCOPY 0 0 0 0 0 0 0 0 0 0x00000 0 Start/Skip Word: 0x00000000 No Start, Terminate ----------------------------------------- TAQ-2 Index-228 (A:0,C:0) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 conversion to string vmr l2p not supported ----------------------------------------- TAQ-2 Index-230 (A:0,C:0) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Input MAC NFL PACL Labels Port Vlan L3If Group M: 0000 0000 0000 0000 V: 0000 0000 0000 0000 arpSrcHwAddr arpDestHwAddr arpSrcIpAddr arpTargetIp arpOperation M: 000000000000 000000000000 00000000 00000000 0000 V: 000000000000 000000000000 00000000 00000000 0000 TRUST SNOOP SVALID DVALID M: 0 0 0 0 V: 0 0 0 0 arpHardwareLength arpHardwareType arpProtocolLength arpProtocolType M: 00000000 00000000 00000000 00000000 V: 00000000 00000000 00000000 00000000 VlanId l2Encap l2Protocol cosCFI srcMAC dstMAC ISBM QosLabel M: 000 0 0000 0 000000000000 000000000000 00 00 V: 000 0 0000 0 000000000000 000000000000 00 00 ReQOS isSnap isLLC AuthBehaviorTag M: 0 0 0 0 V: 0 0 0 0 NFCMD0 NFCMD1 SMPLR LKP1 LKP2 PID QOSPRI MQLBL MPLPRO LUT0PRI CPUCOPY 0 0 0 0 0 0 0 0 0 0x00000 0 Start/Skip Word: 0x00000000 No Start, Terminate -----------------------------------------
フローマスク
フローマスクがハードウェア
show platform software fed switch active|standby|member fnf fmask-entry asic <asic number> entry 1 にインストールされていることを確認するには、コマンドを実行します。キーフィールドのリストの数は、こちらでも確認できます。
Switch#show platform software fed switch active fnf fmask-entry asic 1 entry 1 --------------------------------- mask0_valid : 1 Mask hdl0 : 1 Profile ID : 0 Feature 0 : 148 Fmsk0 RefCnt: 1 Mask M1 : [511:256] => :00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 [255:000] => :FFFFFFFF 00000000 FFFFFFFF 03FF0000 00000000 00FF0000 00000000 C00000FF Mask M2 : Key Map : Source Field-Id Size NumPFields Pfields 002 090 04 01 (0 1 1 1) 002 091 04 01 (0 1 1 0) 002 000 01 01 (0 1 0 7) 000 056 08 01 (0 0 2 4) 001 011 11 04 (0 0 0 1) (0 0 0 0) (0 1 0 6) (0 0 2 0) 000 067 32 01 (0 1 12 0) 000 068 32 01 (0 1 12 2)
フロー統計とタイムスタンプオフロードデータ
NetFlowの統計情報とタイムスタンプを表示するには
show platform software fed switch active fnf flow-record asic <asic number> start-index <index number> num-flows <number of flows> 、コマンドを実行します
Switch#show platform software fed switch active fnf flow-record asic 1 start-index 1 num-flows 1
1 flows starting at 1 for asic 1:-------------------------------------------------
Idx 996 :
{90, ALR_INGRESS_NET_FLOW_ACL_LOOKUP_TYPE1 = 0x01}
{91, ALR_INGRESS_NET_FLOW_ACL_LOOKUP_TYPE2 = 0x01}
{0, ALR_INGRESS_NFL_SPECIAL1 = 0x00}
{56, PHF_INGRESS_L3_PROTOCOL = 0x11}
{11 PAD-UNK = 0x0000}
{67, PHF_INGRESS_IPV4_DEST_ADDRESS = 0xc0a86464}
{68, PHF_INGRESS_IPV4_SRC_ADDRESS = 0xc0a8c864}
FirstSeen = 0x4b2f, LastSeen = 0x4c59, sysUptime = 0x4c9d
PKT Count = 0x000000000102d5df, L2ByteCount = 0x00000000ca371638
Switch#show platform software fed switch active fnf flow-record asic 1 start-index 1 num-flows 1
1 flows starting at 1 for asic 1:-------------------------------------------------
Idx 996 :
{90, ALR_INGRESS_NET_FLOW_ACL_LOOKUP_TYPE1 = 0x01}
{91, ALR_INGRESS_NET_FLOW_ACL_LOOKUP_TYPE2 = 0x01}
{0, ALR_INGRESS_NFL_SPECIAL1 = 0x00}
{56, PHF_INGRESS_L3_PROTOCOL = 0x11}
{11 PAD-UNK = 0x0000}
{67, PHF_INGRESS_IPV4_DEST_ADDRESS = 0xc0a86464}
{68, PHF_INGRESS_IPV4_SRC_ADDRESS = 0xc0a8c864}
FirstSeen = 0x4b2f, LastSeen = 0x4c5b, sysUptime = 0x4c9f
PKT Count = 0x0000000001050682, L2ByteCount = 0x00000000cbed1590
アプリケーションの可視性と制御(AVC)
背景説明
- Application Visibility and Control(AVC)は、Network-Based Recognition Version 2(NBAR2)、NetFlow V9、および各種のレポートと管理ツール(Cisco Prime)を利用して、ディープパケットインスペクション(DPI)によってアプリケーションを分類するソリューションです。
- AVCは、スタンドアロンスイッチまたはスイッチスタックの有線アクセスポートで設定できます。
- AVCは、シスコのワイヤレスコントローラで使用して、DPIに基づいてアプリケーションを識別し、特定のDSCP値でマーキングすることもできます。また、アプリケーションやクライアントに関する帯域幅の使用状況など、さまざまなワイヤレスパフォーマンスメトリックを収集できます。
パフォーマンスと拡張性
パフォーマンス:各スイッチメンバは、500 CPU使用率50 %未満で500接続/秒(CPS)を処理できます。このレートを超えると、AVCサービスは保証されません。
拡張性:24個のアクセスポートあたり最大5,000の双方向フローを処理できます(アクセスポートあたり約200フロー)。
有線AVCの制限
- AVCとEncrypted Traffic Analytics(ETA)を同じインターフェイスで同時に設定することはできません。
- パケット分類は、ユニキャストIPv4(TCP/UDP)トラフィックに対してのみサポートされます。
- NBARベースのQoSポリシー設定は、有線物理ポートでのみサポートされます。これには、レイヤ2のアクセスポートとトランクポート、およびレイヤ3のルーテッドポートが含まれます。
- NBARベースのQoSポリシー設定は、ポートチャネルメンバー、スイッチ仮想インターフェイス(SVI)、またはサブインターフェイスではサポートされません。
- NBAR2ベースの分類子(match protocol)は、マーキングとポリシングのQoSアクションのみをサポートします。
- 「match protocol」は、すべてのポリシーで255の異なるプロトコルに制限されています(8ビットハードウェアの制限)
注:これはすべての制限事項の完全なリストではありません。ご使用のプラットフォームおよびコードのバージョンに該当するAVC設定ガイドを参照してください。
ネットワーク図
コンポーネント
AVCの設定は、ソリューションを構成する3つの主要コンポーネントで構成されます。
可視性:プロトコル検出
- プロトコル検出はNBARによって実現され、インターフェイス単位、方向、およびアプリケーションのバイト/パケットの統計情報が提供されます。
- 特定のインターフェイスに対して、インターフェイス設定でプロトコル検出が有効になっている
ip nbar protocol-discovery。
出力に示されているように、プロトコルディスカバリを有効にする方法は次のとおりです。
Switch(config)#interface fi4/0/5
Switch(config-if)#ip nbar protocol-discovery
Switch(config-if)#exit
Switch#show run int fi4/0/5
Building configuration...
Current configuration : 70 bytes
!
interface FiveGigabitEthernet4/0/5
ip nbar protocol-discovery
end
制御:アプリケーションベースのQoS
IPアドレスとUDP/TCPポートで一致する従来のQoSと比較して、AVCはアプリケーションベースのQoSを使用してより細かい制御を実現します。これにより、アプリケーションで一致し、マーキングやポリシングなどのQoSアクションを使用してより細かい制御を行うことができます。
- アクションは、集約されたトラフィックに対して実行されます(フローごとではありません)。
- アプリケーションベースのQoSは、クラスマップの作成、プロトコルの照合、ポリシーマップの作成によって実現されます。
- アプリケーションベースのQoSポリシーはインターフェイスに適用されます。
出力に示されているように、アプリケーションベースのQoSの設定例は次のとおりです。
Switch(config)#class-map WEBEX
Switch(config-cmap)#match protocol webex-media
Switch(config)#end
Switch(config)#policy-map WEBEX
Switch(config-pmap)#class WEBEX
Switch(config-pmap-c)#set dscp af41
Switch(config)#end
Switch(config)#interface fi4/0/5
Switch(config-if)#service-policy input WEBEX
Switch(config)#end
Switch#show run int fi4/0/5
Building configuration...
Current configuration : 98 bytes
!
interface FiveGigabitEthernet4/0/5
service-policy input WEBEX
ip nbar protocol-discovery
end
アプリケーションベースのFlexible NetFlow
有線AVC FNFは、従来の双方向フローレコードと新しい方向フローレコードの2種類の定義済みフローレコードをサポートします。
双方向のフローレコードにより、クライアント/サーバアプリケーションの統計情報を追跡します。
出力に示されているように、双方向フローレコードの設定例を参照してください。
Switch(config)#flow record BIDIR-1
Switch(config-flow-record)#match ipv4 version
Switch(config-flow-record)#match ipv4 protocol
Switch(config-flow-record)#match application name
Switch(config-flow-record)#match connection client ipv4 address
Switch(config-flow-record)#match connection server ipv4 address
Switch(config-flow-record)#match connection server transport port
Switch(config-flow-record)#match flow observation point
Switch(config-flow-record)#collect flow direction
Switch(config-flow-record)#collect connection initiator
Switch(config-flow-record)#collect connection new-connections
Switch(config-flow-record)#collect connection client counter packets long
Switch(config-flow-record)#connection client counter bytes network long
Switch(config-flow-record)#collect connection server counter packets long
Switch(config-flow-record)#connection server counter bytes network long
Switch(config-flow-record)#collect timestamp absolute first
Switch(config-flow-record)#collect timestamp absolute last
Switch(config-flow-record)#end
Switch#show flow record BIDIR-1
flow record BIDIR-1:
Description: User defined
No. of users: 0
Total field space: 78 bytes
Fields:
match ipv4 version
match ipv4 protocol
match application name
match connection client ipv4 address
match connection server ipv4 address
match connection server transport port
match flow observation point
collect flow direction
collect timestamp absolute first
collect timestamp absolute last
collect connection initiator
collect connection new-connections
collect connection server counter packets long
collect connection client counter packets long
collect connection server counter bytes network long
collect connection client counter bytes network long
ディレクショナルレコードは、入出力に関するアプリケーション統計です。
出力に示されているように、入力方向レコードと出力方向レコードの設定例は次のとおりです。
注:コマンドは入力インターフェイスへの一致を指定しますmatch interface input。コマンドはmatch interface output、出力インターフェイスに一致するものを指定します。このコマンドはmatch application name、AVCのサポートに必須です。
Switch(config)#flow record APP-IN
Switch(config-flow-record)#match ipv4 version
Switch(config-flow-record)#match ipv4 protocol
Switch(config-flow-record)#match ipv4 source address
Switch(config-flow-record)#match ipv4 destination address
Switch(config-flow-record)#match transport source-port
Switch(config-flow-record)#match transport destination-port
Switch(config-flow-record)#match interface input
Switch(config-flow-record)#match application name
Switch(config-flow-record)#collect interface output
Switch(config-flow-record)#collect counter bytes long
Switch(config-flow-record)#collect counter packets long
Switch(config-flow-record)#collect timestamp absolute first
Switch(config-flow-record)#collect timestamp absolute last
Switch(config-flow-record)#end
Switch#show flow record APP-IN
flow record APP-IN:
Description: User defined
No. of users: 0
Total field space: 58 bytes
Fields:
match ipv4 version
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match application name
collect interface output
collect counter bytes long
collect counter packets long
collect timestamp absolute first
collect timestamp absolute last
Switch(config)#flow record APP-OUT
Switch(config-flow-record)#match ipv4 version
Switch(config-flow-record)#match ipv4 protocol
Switch(config-flow-record)#match ipv4 source address
Switch(config-flow-record)#match ipv4 destination address
Switch(config-flow-record)#match transport source-port
Switch(config-flow-record)#match transport destination-port
Switch(config-flow-record)#match interface output
Switch(config-flow-record)#match application name
Switch(config-flow-record)#collect interface input
Switch(config-flow-record)#collect counter bytes long
Switch(config-flow-record)#collect counter packets long
Switch(config-flow-record)#collect timestamp absolute first
Switch(config-flow-record)#collect timestamp absolute last
Switch(config-flow-record)#end
Switch#show flow record APP-OUT
flow record APP-OUT:
Description: User defined
No. of users: 0
Total field space: 58 bytes
Fields:
match ipv4 version
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface output
match application name
collect interface input
collect counter bytes long
collect counter packets long
collect timestamp absolute first
collect timestamp absolute last
フローエクスポータ
エクスポートパラメータを定義するフローエクスポータを作成します。
出力に示されているように、フローエクスポータの設定例は次のとおりです。
Switch(config)#flow exporter AVC
Switch(config-flow-exporter)#destination 192.168.69.2
Switch(config-flow-exporter)#source vlan69
Switch(config-flow-exporter)#end
Switch#show run flow exporter AVC
Current configuration:
!
flow exporter AVC
destination 192.168.69.2
source Vlan69
!
フローモニタ
フローモニタを作成して、フローレコードに関連付けます。
出力に示されているように、フローモニタの設定例は次のとおりです。
Switch(config)#flow monitor AVC-MONITOR
Switch(config-flow-monitor)#record APP-OUT
Switch(config-flow-monitor)#exporter AVC
Switch(config-flow-monitor)#end
Switch#show run flow monitor AVC-MONITOR
Current configuration:
!
flow monitor AVC-MONITOR
exporter AVC
record APP-OUT
フローモニタのインターフェイスへの関連付け
1つのインターフェイスに同時に、事前定義されたレコードが異なる最大2つの異なるAVCモニタを接続できます。
出力に示されているように、フローモニタの設定例は次のとおりです。
Switch(config)#interface fi4/0/5
Switch(config-if)#ip flow monitor AVC-MONITOR out
Switch(config-if)#end
Switch#show run interface fi4/0/5
Building configuration...
Current configuration : 134 bytes
!
interface FiveGigabitEthernet4/0/5
ip flow monitor AVC-MONITOR output
service-policy input WEBEX
ip nbar protocol-discovery
end
NBAR2
NBAR2 Dynamic Hitless Protocol Packアップグレード
プロトコルパックは、デバイスのシスコソフトウェアを交換することなく、デバイスのNBAR2プロトコルサポートを更新するソフトウェアパッケージです。プロトコルパックには、NBAR2によって正式にサポートされているアプリケーションに関する情報が含まれています。これらのアプリケーションはコンパイルされ、まとめてパックされます。 各アプリケーションのプロトコルパックには、アプリケーションシグニチャとアプリケーション属性に関する情報が含まれています。各ソフトウェアリリースには、組み込みのプロトコルパックがバンドルされています。
- NBAR2は、トラフィックやサービスを中断することなく、またデバイスのソフトウェアイメージを変更することなく、プロトコルパケットを更新する方法を提供します。
- NBAR2プロトコルパケットは、Cisco Software Center(NBAR2 Protocol Pack Library)からダウンロードできます。
NBAR2プロトコルパックアップグレード
新しいプロトコルパックをインストールする前に、プロトコルパケットをすべてのスイッチのフラッシュにコピーする必要があります。新しいProtocol Packをロードするには、コマンドip nbar protocol-pack flash:<Pack Name>を使用します。
NBAR2のアップグレードを行うためにスイッチをリロードする必要はありません。
出力に示すように、NBAR2プロトコルパックのロード方法の設定例:
Switch(config)#ip nbar protocol-pack flash:newProtocolPack
組み込みProtocol Packに戻すには、コマンドdefault ip nbar protocol-pack(組み込みユーザ専用)を使用します。
出力に示されているように、組み込みプロトコルパックに戻す方法の設定例は次のとおりです。
Switch(config)#default ip nbar protocol-pack
NBAR2プロトコルパック情報の表示
プロトコルパック情報を表示するには、次に示すコマンドを使用します。
show ip nbar version
show ip nbar protocol-pack active detail
これらのコマンドの出力例を次に示します。
Switch#show ip nbar version
NBAR software version: 37
NBAR minimum backward compatible version: 37
NBAR change ID: 293126
Loaded Protocol Pack(s):
Name: Advanced Protocol Pack
Version: 43.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 37
State: Active
Switch#show ip nbar protocol-pack active detail
Active Protocol Pack:
Name: Advanced Protocol Pack
Version: 43.0
Publisher: Cisco Systems Inc.
NBAR Engine Version: 37
State: Active
NBAR2カスタムアプリケーション
NBAR2は、カスタムプロトコルを使用したカスタムアプリケーションの識別をサポートしています。カスタムプロトコルは、NBAR2が現在サポートしていないプロトコルとアプリケーションをサポートします。
これには次のものが含まれます。
- 組織への特定の適用
- 地域に固有のアプリケーション
NBAR2では、コマンドを使用してアプリケーションを手動でカスタマイズできip nbar custom <myappname>ます。
注:カスタムアプリケーションは、組み込みプロトコルよりも優先されます
アプリケーションのカスタマイズには、さまざまなタイプがあります。
汎用プロトコルカスタマイズ
- HTTP
- SSL
- DNS
複合:複数のプロトコルserver-nameに基づくカスタマイズ。
レイヤ3/レイヤ4のカスタマイズ
-
IPv4 アドレス
-
DSCP値
-
TCP/UDPポート
-
フローの送信元または宛先の方向
バイトオフセット:ペイロードの特定のバイト値に基づくカスタマイズ
HTTPのカスタマイズ
HTTPのカスタマイズは、次のHTTPフィールドの組み合わせに基づいて行うことができます。
-
cookie:HTTPクッキー
-
host:リソースを含む発信元サーバのホスト名
-
method:HTTPメソッド
-
referrer:リソース要求が取得されたアドレス
-
url:Uniform Resource Locator(URL)パス
-
user-agent:要求を送信するエージェントによって使用されるソフトウェア
-
version:HTTPバージョン
-
via:HTTP viaフィールド
HTTPホスト*mydomain.comとセレクタID 10を使用するMYHTTPという名前のカスタムアプリケーションの例。
Switch(config)#ip nbar custom MYHTTP http host *mydomain.com id 10
SSLのカスタマイズ
SSLサーバ名表示(SNI)または共通名(CN)から抽出された情報を使用して、SSL暗号化トラフィックのカスタマイズを行うことができます。
SSLの一意の名前であるmydomain.comとセレクタID 11を使用するMYSLという名前のカスタムアプリケーションの例。
Switch(config)#ip nbar custom MYSSL ssl unique-name *mydomain.com id 11
DNSのカスタマイズ
NBAR2はDNS要求および応答トラフィックを調べ、DNS応答をアプリケーションに関連付けることができます。DNS応答から返されたIPアドレスはキャッシュされ、その特定のアプリケーションに関連付けられた後のパケットフローに使用されます。
コマンドip nbar customapplication-namedns domain-nameidapplication-id はDNSのカスタマイズに使用されます。アプリケーションを拡張するには、コマンドを使用ip nbar custom application-name dns domain-name domain-name extends existing-applicationします。
DNSドメイン名「mydomain.com」、セレクタID 12を使用するMYDNSという名前のカスタムアプリケーションの例。
Switch(config)#ip nbar custom MYDNS dns domain-name *mydomain.com id 12
複合カスタマイズ
NBAR2は、HTTP、SSL、またはDNSに表示されるドメイン名に基づいてアプリケーションをカスタマイズする方法を提供します。
HTTP、SSL、またはDNSドメイン名mydomain.com、セレクタID 13を使用するMYDOMAINという名前のカスタムアプリケーションの例。
Switch(config)#ip nbar custom MYDOMAIN composite server-name *mydomain.com id 13
L3/L4のカスタマイズ
レイヤ3/レイヤ4のカスタマイズはパケットタプルに基づいており、フローの最初のパケットで常に照合されます。
IPアドレス10.56.1.10および10.56.1.11、セレクタID 14のTCPおよびDSCP efに一致するカスタムアプリケーションLAYER4CUSTOMの例
Switch(config)#ip nbar custom LAYER4CUSTOM transport tcp id 14
Switch(config-custom)#ip address 10.56.1.10 10.56.1.11
Switch(config-custom)#dscp ef
Switch(config-custom)#end
カスタムアプリケーションの監視
カスタムアプリケーションを監視するには、次に示すshowコマンドを使用します。
show ip nbar protocol-id(IPバープロトコルIDの表示) | incカスタム
Switch#show ip nbar protocol-id | inc Custom
LAYER4CUSTOM 14 Custom
MYDNS 12 Custom
MYDOMAIN 13 Custom
MYHTTP 10 Custom
MYSSL 11 Custom
show ip nbar protocol-id CUSTOM_APP
Switch#show ip nbar protocol-id MYSSL
Protocol Name id type
----------------------------------------------
MYSSL 11 Custom
AVCの確認
AVCの機能を検証する手順は複数あります。このセクションでは、コマンドと出力例を示します。
NBARがアクティブであることを確認するには、コマンドshow ip nbar control-planeを実行します。
主な分野:
- NBAR状態は正しいシナリオでアクティブ化する必要があります
- NBARの設定状態が正しいシナリオでreadyである必要があります
show platform software fed switch active|standby|member wdavc function wdavc_stile_cp_show_info_ui
Switch#show ip nbar control-plane
NGCP Status:
============
graph sender info:
NBAR state is ACTIVATED
NBAR config send mode is ASYNC
NBAR config state is READY
NBAR update ID 3
NBAR batch ID ACK 3
NBAR last batch ID ACK clients 1 (ID: 4)
Active clients 1 (ID: 4)
NBAR max protocol ID ever 1935
NBAR Control-Plane Version: 37
<snip>
次のコマンドを使用して、各スイッチメンバにアクティブなデータプレーンがあることを確認します。
DPが有効化されているか、正しいシナリオではTRUEである必要があります。
Switch#show platform software fed switch active wdavc function wdavc_stile_cp_show_info_ui
Is DP activated : TRUE
MSG ID : 3
Maximum number of flows: 262144
Current number of graphs: 1
Requests queue state : WDAVC_STILE_REQ_QUEUE_STATE_UP
Number of requests in queue : 0
Max number of requests in queue (TBD): 1
Counters:
activate_msgs_rcvd : 1
graph_download_begin_msgs_rcvd : 3
stile_config_msgs_rcvd : 1584
graph_download_end_msgs_rcvd : 3
deactivate_msgs_rcvd : 0
intf_proto_disc_msgs_rcvd : 1
intf_attach_msgs_rcvd : 2
cfg_response_msgs_sent : 1593
num_of_handle_msg_from_fmanfp_events : 1594
num_of_handle_request_from_queue : 1594
num_of_handle_process_requests_events : 1594
次のコマンドを使用show platform software fed switch active|standby|member wdavc flowsして、重要な情報を表示します。
Switch#show platform software fed switch active wdavc flows
CurrFlows=1, Watermark=1
IX |IP1 |IP2 |PORT1|PORT2|L3 |L4 |VRF |TIMEOUT|APP |TUPLE|FLOW |IS FIF |BYPASS|FINAL |#PKTS |BYPASS
| | | | |PROTO|PROTO|VLAN|SEC |NAME |TYPE |TYPE |SWAPPED | | | |PKT
--------------------------------------------------------------------------------------
1 |192.168.100.2 |192.168.200.2 |68 |67 |1 |17 |0 |360 |unknown |Full |Real Flow|Yes |True |True |40 |40
キーフィールド:
CurrFlows:AVCによって追跡されるアクティブフローの数を示します。
ウォーターマーク:AVCによって履歴管理されたフローの最大数を示します。
TIMEOUT SEC:指定されたアプリケーションに基づく非アクティブタイムアウト
アプリケーション名:特定されたアプリケーション
FLOW TYPE:実際のフローは、着信データの結果として作成されたことを示します。Pre Flowは、このフローがインバウンドデータの結果として作成されることを示します。プレフローは、予想されるメディアフローに使用されます
TUPLE TYPE:実際のフローは常に完全なタプルです。プレフローは完全なタプルまたは半分のタプルです
BYPASS:TRUEに設定すると、このフローを識別するためにソフトウェアでこれ以上パケットが必要ないことを示します
FINAL:TRUEに設定すると、アプリケーションはこのフローに対してこれ以上変更されません
BYPASS PKT:最終的な分類に到達するために必要なパケット数
#PKTS:このフローでソフトウェアに実際にパントされたパケット数
現在のフローに関するその他の詳細を表示するには、コマンドを使用し show platform software fed switch active wdavc function wdavc_ft_show_all_flows_seg_uiます。
Switch#show platform software fed switch active wdavc function wdavc_ft_show_all_flows_seg_ui
CurrFlows=1, Watermark=1
IX |IP1 |IP2 |PORT1|PORT2|L3 |L4 |VRF |TIMEOUT|APP |TUPLE |FLOW |IS FIF |BYPASS|FINAL |#PKTS |BYPASS
| | | | |PROTO|PROTO|VLAN|SEC |NAME |TYPE |TYPE |SWAPPED | | | |PKT
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 |192.168.100.2 |192.168.200.2|68 |67 |1 |17 |0 |360 |unknown |Full |Real Flow|Yes |True |True |40 |40
SEG IDX |I/F ID |OPST I/F |SEG DIR |FIF DIR |Is SET |DOP ID |NFL HDL |BPS PND |APP PND |FRST TS |LAST TS |BYTES |PKTS |TCP FLGS
------------------------------------------------------------------------------------------------------------------------------------
0 |9 |---- |Ingress |True |True |0 |50331823 |0 |0 |177403000|191422000|24252524|70094 |0
キーフィールド
I/F ID:インターフェイスIDを指定します。
SEG DIR:出力方向の入力を指定します。
FIF DIR:これがフローイニシエータの方向かどうかを決定します
NFL HDL:ハードウェアのフローID
ハードウェアのエントリを表示するには、コマンドを実行show platform software fed switch active fnf flow-record asic <number> start-index <number> num-flows <number of flows>します。
注:ASICを選択するには、ポートがマッピングされているASICインスタンスを選択します。ASICを識別するには、コマンドshow platform software fed switch active|standby|member ifmのマッピングを使用します。 特定のフローを使用しない場合は、start-indexを0に設定できます。それ以外の場合は、start-indexを指定する必要があります。num-flowsに対して、表示可能なフローの数を指定します(最大10)。
Switch#show platform software fed switch active fnf flow-record asic 3 start-index 0 num-flows 1
1 flows starting at 0 for asic 3:-------------------------------------------------
Idx 175 :
{90, ALR_INGRESS_NET_FLOW_ACL_LOOKUP_TYPE1 = 0x01}
{91, ALR_INGRESS_NET_FLOW_ACL_LOOKUP_TYPE2 = 0x01}
{0, ALR_INGRESS_NFL_SPECIAL1 = 0x00}
{11 PAD-UNK = 0x0000}
{94, PHF_INGRESS_DEST_PORT_OR_ICMP_OR_IGMP_OR_PIM_FIRST16B = 0x0043}
{93, PHF_INGRESS_SRC_PORT = 0x0044}
{67, PHF_INGRESS_IPV4_DEST_ADDRESS = 0xc0a8c802}
{68, PHF_INGRESS_IPV4_SRC_ADDRESS = 0xc0a86402}
{56, PHF_INGRESS_L3_PROTOCOL = 0x11}
FirstSeen = 0x2b4fb, LastSeen = 0x2eede, sysUptime = 0x2ef1c
PKT Count = 0x000000000001216f, L2ByteCount = 0x0000000001873006
データパス内のさまざまなエラーと警告を探す
潜在的なフローテーブルのエラーshow platform software fed switch active|standby|member wdavc function wdavc_ft_show_stats_ui | inc err|warn|fail を表示するには、次のコマンドを使用します。
Switch#show platform software fed switch active wdavc function wdavc_ft_show_stats_ui | inc err|warn|fail
Bucket linked exceed max error : 0
extract_tuple_non_first_fragment_warn : 0
ft_client_err_alloc_fail : 0
ft_client_err_detach_fail : 0
ft_client_err_detach_fail_intf_attach : 0
ft_inst_nfl_clock_sync_err : 0
ft_ager_err_invalid_timeout : 0
ft_intf_err_alloc_fail : 0
ft_intf_err_detach_fail : 0
ft_inst_err_unreg_client_all : 0
ft_inst_err_inst_del_fail : 0
ft_flow_seg_sync_nfl_resp_pend_del_warn : 0
ager_sm_cb_bad_status_err : 0
ager_sm_cb_received_err : 0
ft_ager_to_time_no_mask_err : 0
ft_ager_to_time_latest_zero_ts_warn : 0
ft_ager_to_time_seg_zero_ts_warn : 0
ft_ager_to_time_ts_bigger_curr_warn : 0
ft_ager_to_ad_nfl_resp_error : 0
ft_ager_to_ad_req_all_recv_error : 0
ft_ager_to_ad_req_error : 0
ft_ager_to_ad_resp_error : 0
ft_ager_to_ad_req_restart_timer_due_err : 0
ft_ager_to_flow_del_nfl_resp_error : 0
ft_ager_to_flow_del_all_recv_error : 0
ft_ager_to_flow_del_req_error : 0
ft_ager_to_flow_del_resp_error : 0
ft_consumer_timer_start_error : 0
ft_consumer_tw_stop_error : 0
ft_consumer_memory_error : 0
ft_consumer_ad_resp_error : 0
ft_consumer_ad_resp_fc_error : 0
ft_consumer_cb_err : 0
ft_consumer_ad_resp_zero_ts_warn : 0
ft_consumer_ad_resp_zero_pkts_bytes_warn : 0
ft_consumer_remove_on_count_zero_err : 0
ft_ext_field_ref_cnt_zero_warn : 0
ft_ext_gen_ref_cnt_zero_warn : 0
潜在的なNBARエラーを表示するにはshow platform software fed switch active wdavc function wdavc_stile_stats_show_ui | inc err 、次のコマンドを使用します。
Switch#show platform software fed switch active wdavc function wdavc_stile_stats_show_ui | inc err
find_flow_error : 0
add_flow_error : 0
remove_flow_error : 0
detach_fo_error : 0
is_forward_direction_error : 0
set_flow_aging_error : 0
ft_process_packet_error : 0
sys_meminfo_get_error : 0
パケットがCPUに複製されていることの確認
NBAR処理のためにパケットがCPUに複製されていることを確認するには、次のコマンドを使用しますshow platform software fed switch active punt cpuq 21 | inc received。
注:ラボでは、この数値は増加しませんでした。
Switch#show platform software fed switch active punt cpuq 21 | inc received
Packets received from ASIC : 63
CPU輻輳の特定
輻輳時には、パケットはWDAVCプロセスに送信される前にドロップされる可能性があります。次のコマンドを使用 show platform software fed switch active wdavc function fed_wdavc_show_ots_stats_uiして検証します。
Switch#show platform software fed switch active wdavc function fed_wdavc_show_ots_stats_ui
OTS Limits
----------------------------------------------
ots_queue_max : 20000
emer_bypass_ots_queue_stress : 4000
emer_bypass_ots_queue_normal : 200
OTS Statistics
----------------------------------------------
total_requests : 40
total_non_wdavc_requests : 0
request_empty_field_data_error : 0
request_invalid_di_error : 0
request_buf_coalesce_error : 0
request_invalid_format_error : 0
request_ip_version_error : 0
request_empty_packet_error : 0
memory_allocation_error : 0
emergency_bypass_requests_warn : 0
dropped_requests : 0
enqueued_requests : 40
max_ots_queue : 0
ヒント:パントドロップカウンタをクリアするには、コマンドを使用show platform software fed switch active wdavc function fed_wdavc_clear_ots_stats_uiします。
スケールの問題の特定
ハードウェアに空きFNFエントリがない場合、トラフィックはNBAR2分類の対象になりません。次のコマンドを使用show platform software fed switch active fnf sw-table-sizes asic <number> shadow 0 して確認します。
注:作成されるフローは、作成時にスイッチとASICコアに固有です。スイッチ番号(アクティブ、スタンバイなど)を適宜指定する必要があります。入力されたASIC番号は、対応するインターフェイスに結び付けられています。この番号を使用show platform software fed switch active|standby|member ifm mappings して、そのインターフェイスに対応するASICが決定されます。shadowオプションの場合は、常に0を使用します。
Switch#show platform software fed switch active fnf sw-table-sizes asic 3 shadow 0
---------------------------------
Global Bank Allocation
---------------------------------
Ingress Banks : Bank 0
Egress Banks : Bank 1
---------------------------------
Global flow table Info
INGRESS usedBankEntry 1 usedOvfTcamEntry 0
EGRESS usedBankEntry 0 usedOvfTcamEntry 0 <-- 256 means TCAM entries are full
---------------------------------
Flows Statistics
INGRESS TotalSeen=1 MaxEntries=1 MaxOverflow=0
EGRESS TotalSeen=0 MaxEntries=0 MaxOverflow=0
---------------------------------
Partition Table
---------------------------------
## Dir Limit CurrFlowCount OverFlowCount MonitoringEnabled
0 ING 0 0 0 0
1 ING 16640 1 0 1
2 ING 0 0 0 0
3 ING 16640 0 0 0
4 ING 0 0 0 0
5 ING 8192 0 0 1
6 ING 0 0 0 0
7 ING 0 0 0 0
8 ING 0 0 0 0
9 ING 0 0 0 0
10 ING 0 0 0 0
11 ING 0 0 0 0
12 ING 0 0 0 0
13 ING 0 0 0 0
14 ING 0 0 0 0
15 ING 0 0 0 0
0 EGR 0 0 0 0
1 EGR 16640 0 0 1
2 EGR 0 0 0 0
3 EGR 16640 0 0 0
4 EGR 0 0 0 0
5 EGR 8192 0 0 1
6 EGR 0 0 0 0
7 EGR 0 0 0 0
8 EGR 0 0 0 0
9 EGR 0 0 0 0
10 EGR 0 0 0 0
11 EGR 0 0 0 0
12 EGR 0 0 0 0
13 EGR 0 0 0 0
14 EGR 0 0 0 0
15 EGR 0 0 0 0
暗号化トラフィック分析(ETA)
背景説明
- ETAでは、パッシブモニタリング、関連データ要素の抽出、および行動モデリングと機械学習とクラウドベースのグローバルセキュリティの組み合わせによる、暗号化されたトラフィック内のマルウェア通信の特定に重点を置いています。
- ETAは、NetFlowのテレメトリに加え、暗号化されたマルウェア検出と暗号化コンプライアンスを活用し、このデータをCisco Stealthwatchに送信します。
- ETAは、初期データパケット(IDP)とパケット長と時間のシーケンス(SPLT)の2つの主要なデータ要素を抽出します。
ネットワーク図
コンポーネント
ETAは、ETAソリューションの作成に使用される複数の異なるコンポーネントで構成されています。
- NetFlow:ネットワークデバイスによってエクスポートされるデータ要素を定義し、ネットワーク上のフローを記述する標準。
- Cisco StealthWatch:NetFlow、IPFIX、プロキシログ、rawパケットのディープパケットインスペクションなど、ネットワークテレメトリの機能を活用して、高度なネットワークの可視性、セキュリティインテリジェンス、分析を提供します。
- Cisco Cognitive Intelligence:セキュリティ制御をバイパスした、または監視されていないチャネルを通じて組織環境内に侵入した悪意のあるアクティビティを検出します。
- 暗号化トラフィック分析:高度な動作アルゴリズムを使用して、暗号化トラフィックのインフラストラクチャメタデータの分析により悪意のあるトラフィックパターンを特定するCisco IOS XE機能は、暗号化トラフィックに潜む潜在的な脅威を検出します。
注:このセクションでは、Catalyst 9000シリーズスイッチでのETAおよびNetFlowの設定と検証のみを扱います。Cognitive Intelligence CloudへのStealthWatch Management Console(SMC)およびFlow Collector(FC)の導入については扱いません。
制約事項
- ETAの導入にはDNAアドバンテージが必要
- ETAと送信(TX)スイッチドポートアナライザ(SPAN)は、同じインターフェイスではサポートされていません。
これは包括的なリストではありません。すべての制限事項については、スイッチとコードのバージョンに対応するコンフィギュレーションガイドを参照してください。
コンフィギュレーション
出力に示されているように、スイッチでETAをグローバルに有効にし、フローエクスポートの宛先を定義します。
C9300(config)#et-analytics
C9300(config-et-analytics)#ip flow-export destination 172.16.18.1 2055
ヒント:ポート2055を使用する必要があります。他のポート番号は使用しないでください。
次に、出力に示すようにFlexible NetFlowを設定します。
フローレコードの設定
C9300(config)#flow record FNF-RECORD
C9300(config-flow-record)#match ipv4 protocol
C9300(config-flow-record)#match ipv4 source address
C9300(config-flow-record)#match ipv4 destination address
C9300(config-flow-record)#match transport source-port
C9300(config-flow-record)#match transport destination-port
C9300(config-flow-record)#collect counter bytes long
C9300(config-flow-record)#collect counter packets long
C9300(config-flow-record)#collect timestamp absolute first
C9300(config-flow-record)#collect timestamp absolute last
フローモニタの設定
C9300(config)#flow exporter FNF-EXPORTER
C9300(config-flow-exporter)#destination 172.16.18.1
C9300(config-flow-exporter)#transport udp 2055
C9300(config-flow-exporter)#template data timeout 30
C9300(config-flow-exporter)#option interface-table
C9300(config-flow-exporter)#option application-table timeout 10
C9300(config-flow-exporter)#exit
フローレコードの設定
C9300(config)#flow monitor FNF-MONITOR
C9300(config-flow-monitor)#exporter FNF-EXPORTER
C9300(config-flow-monitor)#record FNF-RECORD
C9300(config-flow-monitor)#end
フローモニタの適用
C9300(config)#int range g1/0/3-4
C9300(config-if-range)#ip flow mon FNF-MONITOR in
C9300(config-if-range)#ip flow mon FNF-MONITOR out
C9300(config-if-range)#end
スイッチインターフェイスでETAを有効にする
C9300(config)#interface range g1/0/3-4
C9300(config-if-range)#et-analytics enable
確認
ETAモニタ(eta-mon)がアクティブであることを確認します。コマンドshow flow monitor eta-monを使用して、ステータスが割り当てられていることを確認します。
C9300#show flow monitor eta-mon
Flow Monitor eta-mon:
Description: User defined
Flow Record: eta-rec
Flow Exporter: eta-exp
Cache:
Type: normal (Platform cache)
Status: allocated
Size: 10000 entries
Inactive Timeout: 15 secs
Active Timeout: 1800 secs
ETAキャッシュにデータが入力されていることを確認します。NetFlowとETAが同じインターフェイス上で設定されている場合は、show flow monitor eta-mon cache の出力が空であるた show flow monitor <monitor name> cache め、を使用show flow monitor eta-mon cache します。
C9300#show flow monitor FNF-MONITOR cache
Cache type: Normal (Platform cache)
Cache size: 10000
Current entries: 4
Flows added: 8
Flows aged: 4
- Inactive timeout ( 15 secs) 4
IPV4 SOURCE ADDRESS: 192.168.10.2
IPV4 DESTINATION ADDRESS: 192.168.20.2
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
IP PROTOCOL: 1
counter bytes long: 500
counter packets long: 5
timestamp abs first: 21:53:23.390
timestamp abs last: 21:53:23.390
IPV4 SOURCE ADDRESS: 192.168.20.2
IPV4 DESTINATION ADDRESS: 192.168.10.2
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
IP PROTOCOL: 1
counter bytes long: 500
counter packets long: 5
timestamp abs first: 21:53:23.390
timestamp abs last: 21:53:23.390
IPV4 SOURCE ADDRESS: 192.168.20.2
IPV4 DESTINATION ADDRESS: 192.168.10.2
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
IP PROTOCOL: 1
counter bytes long: 500
counter packets long: 5
timestamp abs first: 21:53:23.390
timestamp abs last: 21:53:23.390
IPV4 SOURCE ADDRESS: 192.168.10.2
IPV4 DESTINATION ADDRESS: 192.168.20.2
TRNS SOURCE PORT: 0
TRNS DESTINATION PORT: 0
IP PROTOCOL: 1
counter bytes long: 500
counter packets long: 5
timestamp abs first: 21:53:23.390
timestamp abs last: 21:53:23.390
フローがSMCおよびFCにエクスポートされていることをコマンドshow flow exporter eta-exp statistics(SMCの場合)で検証します。
C9300#show flow exporter eta-exp statistics
Flow Exporter eta-exp:
Packet send statistics (last cleared 03:05:32 ago):
Successfully sent: 3 (3266 bytes)
Client send statistics:
Client: Flow Monitor eta-mon
Records added: 4
- sent: 4
Bytes added: 3266
- sent: 3266
コマンドshow platform software fed switch active fnf et-analytics-flowsを使用して、SPLTとIDPがFCにエクスポートされていることを確認します。
C9300#show platform software fed switch active fnf et-analytics-flows
ET Analytics Flow dump
=================
Total packets received : 20
Excess packets received : 0
Excess syn received : 0
Total eta records added : 4
Current eta records : 0
Total eta splt exported : 2
Total eta IDP exported : 2
どのインターフェイスがet-analytics用に設定されているかを、show platform software et-analytics interfacesコマンドを使用して検証します。
C9300#show platform software et-analytics interfaces
ET-Analytics interfaces
GigabitEthernet1/0/3
GigabitEthernet1/0/4
ET-Analytics VLANs
ETAのグローバル状態を表示するにはshow platform software et-analytics global、コマンドを使用します。
C9300#show plat soft et-analytics global
ET-Analytics Global state
=========================
All Interfaces : Off
IP Flow-record Destination : 10.31.126.233 : 2055
Inactive timer : 15
ET-Analytics interfaces
GigabitEthernet1/0/3
GigabitEthernet1/0/4
ET-Analytics VLANs
改定 | 発行日 | コメント |
---|---|---|
2.0 |
19-Dec-2023 |
再認定 |
1.0 |
07-Oct-2022 |
初版 |