Cisco CSR1000V(仮想ルータ)でNetFlowの設定をする。
ASA5505でもNetFlowが使えるが、NetFlow v9を元にしたNSELという別フォーマットのため、NetFlow Collectorによっては対応していない場合がある。
一例としてOpmantek opFlowではNSELをサポートしていない。
opFlowはCisco ASA NetFlow(NSEL)を未サポート - designetwork
CSR1000Vのインストール
VMware ESXiへのCSR1000Vインストールはこちらを参照。
OVAウィザードで通常通りインストールできる。
http://www.cisco.com/cisco/web/support/JP/docs/RT/CloudRT/CloudServsRT1000V/CG/002/swinstallcsr.html?bid=0900e4b18354cb27
NetFlowの設定
CSR1000VでNetFlowの設定をしていく。(CSRのベース設定は通常のCiscoルータと同様のため割愛)
設定はASR(IOS-XR)向けのものを参考にした。
FlowRecord作成
FlowRecord(フローレコード)を作成し、キーとするフィールドを指定する。
flow record opFlowRecord description opFlow match ipv4 source address match ipv4 destination address match ipv4 protocol match transport source-port match transport destination-port collect counter bytes long collect counter packets long
FlowExporter作成
FlowExporter(フローエクスポータ)を作成し、FlowRecordの送信先を指定する。
opFlowのデフォルトに合わせてポート番号は12345とする。
flow exporter opFlowExporter destination 192.168.1.65 transport udp 12345
FlowMonitor作成
FlowMonitor(フローモニタ)を作成し、FlowRecordとFlowExportorを紐付ける。
flow monitor opFlowMonitor exporter opFlowExporter record opFlowRecord
インタフェース適用
FlowMonitorをインタフェースに適用する。
私の環境では、同セグにデフォルトゲートウェイがあるが一部通信をCSR経由にしたいため、リダイレクトされないようにしている。
interface GigabitEthernet1 ip address 192.168.1.15 255.255.255.0 no ip redirects ip flow monitor opFlowMonitor input negotiation auto
動作状態確認
以下の通り、FlowRecordを送信していることが確認できる。
CSR1000v-15#show flow exporter opFlowExporter statistics
Flow Exporter opFlowExporter:
Packet send statistics (last cleared 00:44:21 ago):
Successfully sent: 622 (83060 bytes)
Reason not given: 4 (404 bytes)
Client send statistics:
Client: Flow Monitor opFlowMonitor
Records added: 2744
- sent: 2731
- failed to send: 13
Bytes added: 79576
- sent: 79199
- failed to send: 377
