概要
本記事ではACIにおけるNetflowの設定方法についてご紹介します。
Fabric NetflowとTenant Netlowの2つの設定方法がありますが、本記事ではFabric Netflowの設定方法について記載します。
ACIにおけるNetflow設定はレガシーネットワークにおけるNetFlow設定と同様の構造になっています。以下の通り複数のPolicyで構成されていますので、それぞれ順に設定していきます。
Record Policy:このポリシーではフローを定義し、フローごとにどのような統計情報を収集するかを指定できます。
Exporter Policy:このポリシーは、収集されたデータをどこに送信するかを指定します。
Monitor Policy:Record Policy および Exporter Policyを関連付けるコンテナとして機能します。
Node Policy:フローレコードを外部のフローコレクターに送信する間隔を指定するいくつかのタイマーを設定します。
1. Fabric Node Control の設定
まず、Fabric Node Control設定でNetFlow Prioityを選択します。defaultポリシーでNetFlow Priorityに設定することもできますが、今回は新しく Fabric Node Contrtol Policyを作成します。
Fabric > Fabric Policies > Policies > Monitoring > Fabric Node Controls を右クリックし"Fabric Create Node Control"を選択します。任意のポリシー名を入力し、"NetFlow Priority"を選択して[Submit]を押下します。
Analytics Priority:Tetration と組み合わせて使用するときに選択
NetFlow Priority:フローコレクタと組み合わせて使用するときに選択
Telemetory Priority:Nexus Dashboard Insights と組み合わせて使用するときに選択
次に、作成したFabric Node ControlポリシーをSwitch Policy Groupに紐づけます。対象のPolicy Groupを開き、"Node Control Policy"でプルダウンから先ほど作成したFabric Node Controlを選択し[Submit]を押下します。
2. Record Policy の作成
Fabric > Access Policies > Policies > Interface > NetFlow > NetFlow Records を右クリックし、"Create Flow Record"を選択します。任意のポリシー名を設定し、Match Parameters と Collect Parameters をプルダウンから選択して[Submit]を押下します。
注:
version 6.0(3d) 以降のバージョンでは、"Collect Parameters" の項目と一部の "Match Parameters" が削除されています。
Collect Parameters として"すべてのパラメータ"が収集されます。
collect parameters 及び match parameters として何が適用されているかは、
Leaf のCLIにアクセスしていただき show flow record を実行いただくことでご確認いただくことが可能です。
(出力例)
Leaf201# show flow record
Flow record default:
No. of users: 1
Fields:
match ip protocol
match transport source-port
match transport destination-port
match ipv4/v6 source address
match ipv4/v6 destination address
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect flow sampler id
Feature Prio: Telemetry
Leaf201#
3. Exporter Policy の作成
続いて、Exporter Policy を作成しフローデータの送出に関する設定を行います。Fabric > Access Policies > Policies > Interface > NetFlow > NetFlow Exporters を右クリックし"Create External Collector Reachability"を選択します。下図を参考に必要な値を入力し、[Submit]を押下します。Destination IP Address にはフローコレクタのIPアドレスを、EPG は フローコレクタが所属するEPGを指定します。
4. Monitor Policy の作成
Fabric > Access Policies > Policies > Interface > NetFlow > NetFlow Monitors を右クリックし"Create NetFlow Monitor"を選択します。任意のポリシー名を入力し、Associated Flow Record のプルダウンから「2. Record Policy の作成」で作成した Record Policy を選択します。
Associated Flow Exporters の"+"ボタンを押し、 「3. Exporter Policyの作成」で作成したExporter Policyを選択します。[Submit]ボタンを押下します。
5. Node Policy 設定
NetFlowに関連するタイマー値の設定は Fabric > Access Policies > Policies > Switch > NetFlow Node > default で確認できます。必要に応じて変更してください。
5. Interface Policy Group への Monitor Policy 適用
最後に、モニター対象のIFに紐づけられている Interface Policy Group に Monitor Policy を適用します。
Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups から対象の I/F Policy Group を開き、NetFlow Monitor Policies の"+"ボタンを押して「4. Monitor Policyの作成」で作成した Monitor Policy を選択し[Submit]ボタンを押下します。
以上で NetFlow の設定は完了です。
参考:
Cisco APIC and NetFlow
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/kb/b_KB_Cisco_APIC_and_NetFlow.html#id_42862
Part 1.
APICのFabric PolicyおよびAccess PolicyにおいてNetFlow関連の構成を行う手順を説明しています。
Part 2.
Tenant側でのNetFlowの構成とBD単位および外部L3outへの適用、Part 1 では解説していなかったAccess PolicyにおけるNetFlow関連のInterval値の指定、APICを通じたvSphere分散仮想スイッチに対するNetFlowの構成とEPG毎のVMM Domainへの適用、NetFlow Collector側での確認などについて説明しています。
Cisco Customer SuccessではCisco Communityを通じて様々なベストプラクティス情報の提供を進めています。