NetFlow Export

はじめに

NetFlow は、トラフィック監視の業界標準です。Ciscoは、ネットワーク トラフィック パターンとボリュームを収集するために、このネットワーク プロトコルを開発しました。

あるホスト(NetFlow エクスポーター)は、そのネットワーク フローに関する情報を別のホスト(NetFlow コレクタ)に送信します。

ネットワーク フローは、同じ特性セットを含むパケットの単方向ストリームです。

セキュリティゲートウェイとクラスタメンバは、通過するすべてのトラフィックのNetFlowレコードのエクスポータとして設定できます。

- セキュリティ ゲートウェイ上の SecureXL の状態は、NetFlow エクスポートとは無関係です。

NetFlow コレクタは別の外部サーバであり、個別に設定します。

NetFlow エクスポートの設定は、サービスがレコードを送信するコレクタのリストです。

  • NetFlow を有効にするには、少なくとも 1 つの NetFlow コレクタを設定します。

  • NetFlow を無効にするには、Gaia 設定からすべての NetFlow コレクタを削除します。

最大で 3 つの NetFlow コレクタを設定できます。Gaia は NetFlow レコードをすべての設定済み NetFlow コレクタに送信します。3 つの NetFlow コレクタを設定すると、Gaia は各 NetFlow レコードを 3 回送信します。

設定するNetFlowエクスポート形式に関係なく、Gaiaは値をフィールドのセットとしてエクスポートします。

  • 送信元 IP アドレス。

  • 宛先 IP アドレス。

  • 送信元ポート。

  • 宛先ポート。

  • 入力物理インタフェース インデックス(SNMP によって定義されます)。

  • 出力物理インタフェース インデックス(SNMP によって定義されます)。

  • このフローのパケット数。

  • このフローのバイト数。

  • フローの開始タイムスタンプ (FIRST_SWITCHED)。

  • フローの終了タイムスタンプ (LAST_SWITCHED)。

  • IP プロトコル番号。

  • フローからの TCP フラグ (TCP のみ)。

  • VSX VSID。

注:

  • NetFlow が報告する IP アドレスと TCP/UDP ポートは、NetFlow がトラフィックを受信することを想定しているポートです。

    したがって、NAT 接続の場合、NetFlow はフローの 2 つの方向のいずれかを NAT アドレスで報告します。

  • NetFlow は、接続の終了後に接続レコードを送信します。

    接続が長時間開いている場合、NetFlow がレコードを送信するのに時間がかかることがあります。

詳細については、sk102041を参照してください。

設定手順

重要 - クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  1. これらの設定は、Gaia PortalまたはGaia Clishで設定できます。

    1. 左側のナビゲーション ツリーで、

    2. Collectorsセクションで、Addをクリックします。

    3. 各コレクタに必要なデータを入力します。

      パラメータ

      説明

      IP Address

      Gaia が NetFlow パケットを送信する宛先 IPv4 アドレス。

      このパラメータは必須です。

      UDP Port Number

      コレクタがリッスンする宛先 UDP ポート番号。

      このパラメータは必須です。

      NetFlow のデフォルトまたは標準ポート番号はありません。

      Export Format

      使用する NetFlow プロトコルのバージョン:

      • Netflow_V5 - Protocol NetFlow v5

      • Netflow_V9 - Protocol NetFlow v9

      • IPFIX - プロトコル "NetFlow v10" として知られている

      各プロトコルバージョンには、異なるパケット形式があります。

      デフォルトはNetflow_V9です。

      Source IP address

      オプション:NetFlow パケットの送信元 IPv4 アドレス。

      これは、ローカルホストの IPv4 アドレスでなければなりません。

      デフォルトはネットワークインタフェースのIPv4アドレスで、そこからGaiaはNetFlowパケットを送信します。

      デフォルトをお勧めします。

      Enable

      このオプションを選択して、設定された NetFlow コレクタを有効にします。

    4. OKをクリックします。。

    5. このセクションでは、 Advanced Options このオプションは NetFlow Fw rule 、NetFlow エクスポートを有効にするトラフィックを制御します。

      シナリオ

      手順

      R81.10のクリーンインストールを実行した

      • デフォルトでは(このオプションはオフ)、NetFlow エクスポートは、すべてのアクセスコントロールルールで許可されるトラフィックに対して有効になっています。

      • このオプションを選択すると、SmartConsoleで設定したTrackオプションにLogAccountingを持つアクセスコントロール ルールで許可されたトラフィックのみに、NetFlowエクスポートが有効になります。

        重要 - このオプションを選択した場合は、SmartConsole で該当するアクセスコントロールルールを設定する必要があります。

      R80.40以前のバージョンからR81.10にアップグレードした

      以下を実行する必要があります:

      1. Gaia Portalでこのオプションを選択し、Applyをクリックします。

      2. TrackオプションにLogAccountingを持つ、該当するアクセスコントロールルールをSmartConsoleで設定します。

    1. 新しい NetFlow コレクタを設定します。

      add netflow collector ip <IPv4 Address of Collector> port <Destination Port on Collector> [srcaddr <Source IPv4 Address>] export-format {Netflow_V5 | Netflow_V9 | IPFIX} enable {yes | no}

    2. NetFlow エクスポートを有効にするトラフィックを設定します。

      set netflow fwrule {1 | 0}

      シナリオ

      手順

      R81.10のクリーンインストールを実行した

      • デフォルト(値 1)では、NetFlow エクスポートは、すべてのアクセスコントロールルール許可されるトラフィックに対して有効になっています。

      • 値 0 を設定して、 SmartConsoleで設定したTrackオプションにLogAccountingを持つアクセスコントロールルールで許可されたトラフィックのみにNetFlowエクスポートを有効にできます。

        重要 - 値 0 を設定する場合は、SmartConsole で該当するアクセスコントロールルールを設定する必要があります。

      R80.40以前のバージョンからR81.10にアップグレードした

      以下を実行する必要があります:

      1. Gaia Clishで値0を設定します。

      2. TrackオプションにLogAccountingを持つ、該当するアクセスコントロールルールをSmartConsoleで設定します。

    重要 - 機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

  2. 重要 - この手順は、次の場合にのみ必要です。

    • Gaia Portalでオプション "NetFlow Fw rule"を選択した場合

    • Gaia Clishでコマンド "set netflow fwrule 0"を実行した場合

    1. 左側のナビゲーションパネルからSecurity Policiesをクリックします。

    2. 該当するポリシーを開きます。

    3. 左上隅から、Access Control > Policyをクリックします。

    4. NetFlow でエクスポートするトラフィックの明示的なルールを追加します。

      重要 - Trackカラムで、LogAccountingを選択する必要があります。

      発信元

      宛先

      VPN

      サービス&アプリケーション

      内容

      アクション

      追跡

      発信元
      ホストまたは
      Network
      オブジェクト

      宛先
      ホストまたは
      Network
      オブジェクト

      *Any

      適切な
      サービス
      オブジェクト

      * Any

      Accept

      Log

      Accounting

    5. SmartConsoleセッションを公開する。

    6. Security Gatewayまたはクラスタオブジェクトにアクセスコントロールポリシーをインストールします。

Gaia Clishで利用可能なコマンド

  • 新しい NetFlow コレクタを設定するには:

    add netflow collector ip <IPv4 Address of Collector> port <Destination Port on Collector> [srcaddr <Source IPv4 Address>] export-format {Netflow_V5 | Netflow_V9 | IPFIX} enable {yes | no}

  • 既存の NetFlow コレクタの設定を変更するには:

    set netflow collector
      ip <IPv4 Address of Collector> port <Destination Port on Collector> export-format {Netflow_V5 | Netflow_V9 | IPFIX} [srcaddr <Source IPv4 Address>] enable {yes | no}
      for-ip <IPv4 Address of Collector>
            ip <IPv4 Address of Collector> port <Destination Port on Collector> export-format {Netflow_V5 | Netflow_V9 | IPFIX} [srcaddr <Source IPv4 Address>] enable {yes | no}
            for-port <Destination Port on Collector> ip <IPv4 Address of Collector> port <Destination Port on Collector> export-format {Netflow_V5 | Netflow_V9 | IPFIX} [srcaddr <Source IPv4 Address>] enable {yes | no}

  • NetFlow がレコードをエクスポートするトラフィックを設定するには:

    set netflow fwrule {1 | 0}

  • 設定された NetFlow コレクタを表示するには:

    show netflow
      all
      collector
            enable
            export-format
            ip
            port
            srcaddr
            for-ip <IPv4 Address of Collector>
                  enable
                  export-format
                  port
                  srcaddr
                  for-port <Destination Port on Collector>
                        enable
                        export-format
                        srcaddr

  • NetFlow がレコードをエクスポートするトラフィックを表示するには:

    show netflow fwrule

  • 設定された NetFlow コレクタを削除するには:

    delete netflow collector for-ip <IPv4 Address of Collector> [for-port <Destination Port on Collector>

パラメータ

説明

ip <IPv4 Address of Collector>

Gaia が NetFlow パケットを送信する NetFlow コレクタの宛先 IPv4 アドレスを指定します。

このパラメータは必須です。

port <Destination Port on Collector>

コレクタがリッスンする NetFlow コレクタの宛先 UDP ポート番号を指定します。

このパラメータは必須です。

NetFlow のデフォルトまたは標準ポート番号はありません。

srcaddr <Source IPv4 Address>

オプション:NetFlow パケットの送信元 IPv4 アドレスを指定します。

これは、ローカルホストの IPv4 アドレスでなければなりません。

デフォルトはネットワークインタフェースのIPv4アドレスで、そこからGaiaはNetFlowパケットを送信します。

デフォルトをお勧めします。

export-format {Netflow_V5 | Netflow_V9 | IPFIX}

使用する NetFlow プロトコルのバージョン:

  • Netflow_V5 - Protocol NetFlow v5

  • Netflow_V9 - Protocol NetFlow v9 (デフォルト)

  • IPFIX - プロトコル "NetFlow v10" として知られている

各 NetFlow プロトコル バージョンには、異なるパケット形式があります。

for-ip <IPv4 Address of Collector>

for-port <Destination Port on Collector>

これらのパラメータは、設定された NetFlow コレクタを指定します。

注:

  • コレクタを 1 つだけ設定した場合は、これらのパラメータを使用する必要はありません。

  • 異なる IP アドレスを持つ 2 つまたは 3 つのコレクタを設定した場合は、"for-ip"パラメータを使用します。

  • 同じ IP アドレスと異なる UDP ポートを持つ 2 つまたは 3 つのコレクタを設定した場合は、"for-ip" パラメータと "for-port"パラメータを使用してコレクタを識別する必要があります。

set netflow fwrule {1 | 0}

NetFlow エクスポートを有効にするトラフィックを指定します。

シナリオ

手順

R81.10のクリーンインストールを実行した

  • デフォルト(値 1)では、NetFlow エクスポートは、すべてのアクセスコントロールルール許可されるトラフィックに対して有効になっています。

  • 値 0 を設定して、 SmartConsoleで設定したTrackオプションにLogAccountingを持つアクセスコントロールルールで許可されたトラフィックのみにNetFlowエクスポートを有効にできます。

    重要 - 値 0 を設定する場合は、SmartConsole で該当するアクセスコントロールルールを設定する必要があります。

R80.40以前のバージョンからR81.10にアップグレードした

以下を実行する必要があります:

  1. Gaia Clishで値0を設定します。

  2. TrackオプションにLogAccountingを持つ、該当するアクセスコントロールルールをSmartConsoleで設定します。

show netflow fwrule

NetFlow がレコードをエクスポートするトラフィックを示します。

  • Yes

    NetFlow エクスポートは、すべてのアクセスコントロールルールで許可されるトラフィックに対して有効になります。

  • No

    NetFlow エクスポートは、SmartConsoleで設定したTrackオプションにLogAccountingを持つアクセスコントロールルールで許可されるトラフィックに対してのみ 有効になります。