Cisco CSR1000V(仮想ルータ)でNetFlowの設定をする。
ASA5505でもNetFlowが使えるが、NetFlow v9を元にしたNSELという別フォーマットのため、NetFlow Collectorによっては対応していない場合がある。
一例としてOpmantek opFlowではNSELをサポートしていない。
opFlowはCisco ASA NetFlow(NSEL)を未サポート - designetwork
CSR1000Vのインストール
VMware ESXiへのCSR1000Vインストールはこちらを参照。
OVAウィザードで通常通りインストールできる。
http://www.cisco.com/cisco/web/support/JP/docs/RT/CloudRT/CloudServsRT1000V/CG/002/swinstallcsr.html?bid=0900e4b18354cb27
NetFlowの設定
CSR1000VでNetFlowの設定をしていく。(CSRのベース設定は通常のCiscoルータと同様のため割愛)
設定はASR(IOS-XR)向けのものを参考にした。
FlowRecord作成
FlowRecord(フローレコード)を作成し、キーとするフィールドを指定する。
flow record opFlowRecord description opFlow match ipv4 source address match ipv4 destination address match ipv4 protocol match transport source-port match transport destination-port collect counter bytes long collect counter packets long
FlowExporter作成
FlowExporter(フローエクスポータ)を作成し、FlowRecordの送信先を指定する。
opFlowのデフォルトに合わせてポート番号は12345とする。
flow exporter opFlowExporter destination 192.168.1.65 transport udp 12345
FlowMonitor作成
FlowMonitor(フローモニタ)を作成し、FlowRecordとFlowExportorを紐付ける。
flow monitor opFlowMonitor exporter opFlowExporter record opFlowRecord
インタフェース適用
FlowMonitorをインタフェースに適用する。
私の環境では、同セグにデフォルトゲートウェイがあるが一部通信をCSR経由にしたいため、リダイレクトされないようにしている。
interface GigabitEthernet1 ip address 192.168.1.15 255.255.255.0 no ip redirects ip flow monitor opFlowMonitor input negotiation auto
動作状態確認
以下の通り、FlowRecordを送信していることが確認できる。
CSR1000v-15#show flow exporter opFlowExporter statistics Flow Exporter opFlowExporter: Packet send statistics (last cleared 00:44:21 ago): Successfully sent: 622 (83060 bytes) Reason not given: 4 (404 bytes) Client send statistics: Client: Flow Monitor opFlowMonitor Records added: 2744 - sent: 2731 - failed to send: 13 Bytes added: 79576 - sent: 79199 - failed to send: 377