概要

本記事ではACIにおけるNetflowの設定方法についてご紹介します。
Fabric NetflowとTenant Netlowの2つの設定方法がありますが、本記事ではFabric Netflowの設定方法について記載します。

ACIにおけるNetflow設定はレガシーネットワークにおけるNetFlow設定と同様の構造になっています。以下の通り複数のPolicyで構成されていますので、それぞれ順に設定していきます。


Record Policy：このポリシーではフローを定義し、フローごとにどのような統計情報を収集するかを指定できます。
Exporter Policy：このポリシーは、収集されたデータをどこに送信するかを指定します。
Monitor Policy：Record Policy および Exporter Policyを関連付けるコンテナとして機能します。
Node Policy：フローレコードを外部のフローコレクターに送信する間隔を指定するいくつかのタイマーを設定します。

1. Fabric Node Control の設定

まず、Fabric Node Control設定でNetFlow Prioityを選択します。defaultポリシーでNetFlow Priorityに設定することもできますが、今回は新しく Fabric Node Contrtol Policyを作成します。

Fabric > Fabric Policies > Policies > Monitoring > Fabric Node Controls を右クリックし"Fabric Create Node Control"を選択します。任意のポリシー名を入力し、"NetFlow Priority"を選択して[Submit]を押下します。

Analytics Priority：Tetration と組み合わせて使用するときに選択
NetFlow Priority：フローコレクタと組み合わせて使用するときに選択
Telemetory Priority：Nexus Dashboard Insights と組み合わせて使用するときに選択

 

次に、作成したFabric Node ControlポリシーをSwitch Policy Groupに紐づけます。対象のPolicy Groupを開き、"Node Control Policy"でプルダウンから先ほど作成したFabric Node Controlを選択し[Submit]を押下します。

2. Record Policy の作成

Fabric > Access Policies > Policies > Interface > NetFlow > NetFlow Records を右クリックし、"Create Flow Record"を選択します。任意のポリシー名を設定し、Match Parameters と Collect Parameters をプルダウンから選択して[Submit]を押下します。

注：
version 6.0(3d) 以降のバージョンでは、"Collect Parameters" の項目と一部の "Match Parameters" が削除されています。
Collect Parameters として"すべてのパラメータ"が収集されます。

collect parameters 及び match parameters として何が適用されているかは、
Leaf のCLIにアクセスしていただき show flow record を実行いただくことでご確認いただくことが可能です。

(出力例)
Leaf201# show flow record
Flow record default:
No. of users: 1
Fields:
match ip protocol
match transport source-port
match transport destination-port
match ipv4/v6 source address
match ipv4/v6 destination address
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect flow sampler id

Feature Prio: Telemetry

Leaf201#

3. Exporter Policy の作成

続いて、Exporter Policy を作成しフローデータの送出に関する設定を行います。Fabric > Access Policies > Policies > Interface > NetFlow > NetFlow Exporters を右クリックし"Create External Collector Reachability"を選択します。下図を参考に必要な値を入力し、[Submit]を押下します。Destination IP Address にはフローコレクタのIPアドレスを、EPG は フローコレクタが所属するEPGを指定します。

4. Monitor Policy の作成

Fabric > Access Policies > Policies > Interface > NetFlow > NetFlow Monitors を右クリックし"Create NetFlow Monitor"を選択します。任意のポリシー名を入力し、Associated Flow Record のプルダウンから「2. Record Policy の作成」で作成した Record Policy を選択します。

Associated Flow Exporters の"+"ボタンを押し、 「3. Exporter Policyの作成」で作成したExporter Policyを選択します。[Submit]ボタンを押下します。

5. Node Policy 設定

NetFlowに関連するタイマー値の設定は Fabric > Access Policies > Policies > Switch > NetFlow Node > default で確認できます。必要に応じて変更してください。

5. Interface Policy Group への Monitor Policy 適用

最後に、モニター対象のIFに紐づけられている Interface Policy Group に Monitor Policy を適用します。
Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups から対象の I/F Policy Group を開き、NetFlow Monitor Policies の"+"ボタンを押して「4. Monitor Policyの作成」で作成した Monitor Policy を選択し[Submit]ボタンを押下します。

 

以上で NetFlow の設定は完了です。

参考：
Cisco APIC and NetFlow
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/kb/b_KB_Cisco_APIC_and_NetFlow.html#id_42862

Part 1.

APICのFabric PolicyおよびAccess PolicyにおいてNetFlow関連の構成を行う手順を説明しています。

Part 2.

Tenant側でのNetFlowの構成とBD単位および外部L3outへの適用、Part 1 では解説していなかったAccess PolicyにおけるNetFlow関連のInterval値の指定、APICを通じたvSphere分散仮想スイッチに対するNetFlowの構成とEPG毎のVMM Domainへの適用、NetFlow Collector側での確認などについて説明しています。

Cisco Customer SuccessではCisco Communityを通じて様々なベストプラクティス情報の提供を進めています。