NEC IXのsflow(IPFIXの前身)設定

NEC IXルータにsflowの設定をしトラフィックを可視化する方法を説明します。なお、可視化にはsflowコレクタと呼ばれるサーバが必要です。sflowコレクタには様々なソフトウェアがありますが、このページではPRTGを使った動作確認例を示します。

非Cisco製品でのトラフィック収集機能はsflowと呼ばれ、Cisco製品のトラフィック収集機能はnetFlowと呼ばれます。netFlow version 10は別名「IPFIX」とも呼ばれ、最近では非Cisco製品であってもIPFIXに対応している傾向が見られます。

設定まとめ

コマンド一覧

sflowに関連するコマンド一覧は以下の通りです。

Router(config)# sflow agent ip <addr>
Router(config)# sflow agent ipv6 <addr>
Router(config)# sflow collector ip <addr> [ <udp_port> ]
Router(config)# sflow collector ipv6 <addr> [ <udp_port> ]

Router(config)# device GigaEthernet1
Router(config-GigaEthernet1)# sflow polling-interval <sec>
Router(config-GigaEthernet1)# sflow sampling-rate <count> [in|out]

slow agent

以下のコマンドでsflow agentとなるIPアドレスを指定できます。例えば192.168.1.1をsflow agentとして指定するならば、192.168.1.1を経由するトラフィックがsflowの集積対象としてサンプリングされます。

Router(config)# sflow agent ip <addr>
Router(config)# sflow agent ipv6 <addr>

sflow collector

以下コマンドでsflow collectorを指定します。collectorとはsflowによるサンプリング結果を集積するサーバです。有償の製品が多く安価に検証する事が難しい分野ですが、PRTGならばトライアルライセンスがあるので誰でも検証ができます。また、オープンソースに明るい人ならばfluentd pluginを使用する方法もあります。

Router(config)# sflow collector ip <addr> [ <udp_port> ]
Router(config)# sflow collector ipv6 <addr> [ <udp_port> ]

その他 チューニング

その他、ポーリング間隔やサンプリングレートのチューニングもできます。

Router(config)# device GigaEthernet1
Router(config-GigaEthernet1)# sflow polling-interval <sec>
Router(config-GigaEthernet1)# sflow sampling-rate <count> [in|out]

動作確認

動作確認の構成

以下の環境で動作確認を行います。

+-----------------+
|     Internet    |
|    (ISP:Jcom)   |
+-------+---------+
        |
        |
        |
        | 
  Gi0.0 | .dhcp
+-------+---------+ 
|   NEC IX 2015   | 
|       R1        |
+-------+---------+
  Gi1.0 | .1
        |
        | 192.168.1.0/24
        |
 ens192 | .219
+-------+---------+
|  Windows 2022   |
|      host219    |
+-----------------+

初期設定

IX2015の初期設定は以下の通りとします。設定はIPアドレスとインターネットに接続するためのNATしか投入していません。

Using 749 out of 524288 bytes

! NEC Portable Internetwork Core Operating System Software
! IX Series IX2105 (magellan-sec) Software, Version 8.10.11, RELEASE SOFTWARE
! Compiled Aug 02-Fri-2013 13:57:45 JST #2
! Last updated Nov 19-Fri-2021 13:53:31 JST
!
!
hostname Router
timezone +09 00
!
!
!
!
!
!
!
!
!
logging buffered 131072
logging subsystem all warn
logging timestamp datetime
!
!
!
!
!
!
!
!
!
!
!
!
telnet-server ip enable
!
!
!
!
!
!
!
!
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
  ip address dhcp receive-default
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.1.1/24
  no shutdown
!
interface Loopback0.0
  no ip address
!
interface Null0.0
  no ip address

動作確認 (1) sflow設定

sflow agent

NEC IXのsflow agentのIPアドレスを指定します。例えばsflow agentとして192.168.1.1を指定した場合は、192.168.1.1に入力されたパケットをサンプリングして、その結果がsflow collector(監視サーバ)に送信されます。

[R1:IX2015]
sflow agent ip 192.168.1.1

sflow collector

sflow collector(監視サーバ)のIPアドレスとポート番号を指定します。ポート番号を省略した場合は6343が使用されます。

[R1:IX2015]
sflow collector ip 192.168.1.219

その他 チューニング

sflowはサンプル間隔やポーリング間隔を指定できます。グローバルコンフィグレーションモードではなく、デバイスコンフィグレーションモードに対して設定する事に注意ください。

[R1:IX2015]
device GigaEthernet1
  sflow polling-interval 10
  sflow sampling-rate 60 in

showコマンドによる確認

sflowによる情報が取得できているかは”show sflow information”コマンドの実行結果でカウントアップしているかどうかで確認できます。

Router(config)# show sflow information 
sFlow information:
  Collector:
    IP address: 192.168.1.219, port: 6343
  Agent:
    IP address: 192.168.1.1, port: 42428
  Statistics:
    790 outputs, 0 errors
    2878 flow samples, 162 counter samples
Data source information:
  GigaEthernet1
    Flow sampling:
      In:
        172249 inputs, 2878 samples, 0 drops
        2867 single dest packets, 0 multiple dest packets
        11 received packets, 0 discarded packets
        0 unknown packets
      Out:
        0 outputs, 0 samples, 0 drops
        0 single dest packets, 0 multiple dest packets
        0 generated packets
    Counter sampling:
      162 samples
Router(config)# 

動作確認 (2) sflow collectorによるトラフィック可視化

実際にsflow collectorを構築しトラフィックを可視化できるかを確認します。以下スクリーンショットはPRTGを構築し、トラフィックを可視化したものです。