シスコ装置を使い倒す！組込み機能による可視化からセキュリティ強化

生田和正 kikuta@cisco.com
テクニカルソリューションズアーキテクト
シスコシステムズ合同会社
シスコ装置を使い倒す！
組込み機能による可視化からセキュリティ強化
2018年9月7日

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• シスコ装置には、NetFlowをはじめとした豊富な管理機能がサポートされています。
• 特にNetFlowやIP-SLAとした可視化機能は、簡単に始めることができ、ネットワーク
基盤の可視化やセキュリティ強化など、昨今のインフラ要件にも低価格で応えられ、
急激に利用が増えています。
• 本セッションでは、機能概要から最新のトレンド、最初のコマンド、すぐに使えるGUI
～ManageEngineの使いどころまでご紹介します。
本日の内容

• シスコ装置には、NetFlowをはじめとした豊富な管理機能がサポートされています。
• 特にNetFlowやIP-SLAとした可視化機能は、簡単に始めることができ、ネットワーク
基盤の可視化やセキュリティ強化など、昨今のインフラ要件にも低価格で応えられ、
急激に利用が増えています。
• 本セッションでは、機能概要から最新のトレンド、最初のコマンド、すぐに使えるGUI
～ManageEngineの使いどころまでご紹介します。
本日の内容
Note: 装置種別やバージョンによって、サポートされている細かな違いやコマンドについて
は、この資料ではカバーされません。別途、設定ガイドやマニュアルを参照ください。

1. ネットワーク監視のトレンドと手軽に始めるアプローチ
• ManageEngine & Cisco
• ネットワーク可視化のトレンド
2. Cisco IOS IP-SLAによるアクティブモニタリング
• クラウドやウェブなどのHTTP通信
• 音声やビデオなどのUDP通信
3. Cisco IOS NetFlow/AVCによるパッシブモニタリング
• LAN/WANの可視化
• セキュリティへの活用
4. まとめ
本日のアジェンダ

ネットワーク監視のトレンドと
手軽に始めるアプローチ

昨今のネットワーク
本社
パブリッククラウド、SaaS
支社
支社
WAN
インターネット
在宅勤務
モバイルユーザ
在宅勤務
プライベート・パブリッククラウド基盤
プライベートクラウド
ますます運用、維持管理が大変に！

• 利用者
• 快適なこともあれば、快適でないこともある
• 応答時間が予想できない
• 問題の申告先がわからない…
• IT管理者
• 複雑で場当たり的な障害切り分け
• 管理対象や機器が増加する中で、責任範囲を拡大できるか？
• 容量計画・投資計画が難しい
• ネットワーク管理者とアプリケーション管理者の役割分担が難しい…
利用者と管理者の悩みの一例と本日のアプローチ
• ITサービス基盤の見える化、可視化
• 事前のトラブル回避、投資の最適化
• セキュリティ対策
• シンプル化、アジリティ（柔軟な変更）…
まずは
安く！
手軽に！

Why Cisco && ManageEngine？
&&
https://gblogs.cisco.com/jp/category/cisco-ios/ https://www.manageengine.jp/products/NetFlow_Analyzer/
Cisco IOS/IOS-XEの管理機能をフル活用リーズナブルな可視化ツール

身近になった高度な管理手法
• サポート機器の高機能化・低価格化 • NetFlow収集・分析ソフトウェアの普及
10年前
通信事業者、企業・組織向けルータ：
Cisco 7200企業・組織向けコアスイッチ：
Catalyst 6500シリーズ
オープンソースや数十万円の汎用ソフトウェアも普及、利用拡大
現在
企業・組織向けフロアスイッチ：
Catalyst2960X, Catalyst9300
Catalyst3850/3560
小規模拠点向け
無線LANコントローラ：
Cisco 2500 WLC
家庭、小規模拠点向けルータ：
Cisco841、Cisco 1100
企業・組織向けルータ：
ISR4331
小規模ルータやスイッチ、無線LANへ
もNetFlow利用が拡大
主な用途 NetFlow収集・分析ソフトウェア
流量課金
利用傾向分析・投
資計画
サービス品質管
理
事実証明
セキュリティ強化
pmacc
t
pmacct

ManageEngine = Cisco Technology Solutions Partner
ソース：ガートナー 2018/3https://marketplace.cisco.com/catalog/solution/142336?pid=148011

ネットワーク可視化の利用目的と普及の歴史
普及の歴史主な利用目的
目的の変化 - 管理者から利用者へ技術革新 – より安価な実装、豊富なオプション
【従来】
• 流量課金組織やグループ企業ごと
• 利用傾向分析時間帯、アプリ、利用者
• 投資計画帯域増設可否
• サービス品質管理優先制御確認
• 事実証明事故発生時のログ
【1990年代後半～】
• 通信事業者や大規模な企業・組織の基幹ネットワークに
おける監視
【2005年頃～】
• 一般企業・組織のWANへの利用拡大
主に通信事業者での投資判断のため正確なトラフィック流量把握が求められた → トラフィック流量に応じた正確なコスト配分
ネットワークセキュリティ分野での活用
ネットワーク利用内容/サービスレベル可視化
広範な音声やビデオトラフィックへの対応
クラウド普及によるトラフィックへの対応
【近年】 ※上記に加えて
• セキュリティ強化内部犯行、不正通信
【2015年頃～】 ※WANに加えて
• 企業・組織のLANとクラウドへの利用拡大
DEMO1

Cisco ルータ/スイッチで使える主な管理機能
IP-SLA NetFlow/AVC/NBAR/ART EEM
• アクティブモニタリング（能動
的な監視）
• HTTP、DNS、DHCP、UDP
ジッタ、パケットロスなど様々
なサービス測定
• TOS値や周期、パケット間隔
など細かな設定
• ルーティング連携などの実績
が豊富
• パッシブモニタリング（受動的な監視）
• 元々L3-L4、現在はL2-L7まで幅広く可視化
=> AVC (Application Visibility & Control）
• NetFlow version9、IPFIXとして標準化
=> NetFlow version 9（RFC3954）
=> IPFIX（RFC7011など）
• NBAR（NetworkBased Application
Recognition）と組合わせたシグネチャーベース
のアプリケーション識別
• サーバ応答時間や接続URL、ネットワーク遅延
とアプリケーション遅延など、高度な計測
• 全パケットメタデータ収集（1:1非サンプリング）
• Embedded Event
Manager
• 装置内で発生する“イベ
ント”を元に、“アクショ
ン”を発行
• IP-SLAやNetFlowと連
動した機能の作り込み
• ログ自動取得や状況に
応じた経路切り替えなど、
さまざまな自動化
ルータースイッチルータースイッチルータースイッチ無線AP/WLC

Cisco ルータ/スイッチで使える主な管理機能
的な監視）
が豊富
• NBAR（NetworkBased Application
Recognition）と組合わせたシグネチャーベース
のアプリケーション識別
• Embedded Event
Manager
ン”を発行
ネットワークサービスレベル可視化
広範な音声トラフィックへの対応
ネットワーク利用内容可視化

IP SLAによるアクティブモニタリング

IOS IP SLA
IP Service Level Agreement
IPSLA
Sender
IPSLA
Responder
IP ホスト
IP-SLA対応
監視ツール（例：ManageEngine）
ルータ
ターゲット
IPSLA-テスト
例：RTT遅延表示（Max, Min, Ave)
任意のシスコルータ、スイッチで起動し、ポイント間の
ネットワークサービスレベルを常時測定

IP SLA設定と確認コマンド例
ip sla 101
http get http://www.webex.com
ip sla schedule 101 life forever start-time now
Router#show ip sla statistics 101
IPSLAs Latest Operation Statistics
IPSLA operation id: 101
Latest RTT: 672 milliseconds
Latest operation start time: *15:36:28.260 JST
Wed May 19 2010
Latest operation return code: OK
Latest DNS RTT: 50 ms
Latest TCP Connection RTT: 134 ms
Latest HTTP Transaction RTT: 488 ms
Number of successes: 24
Number of failures: 0
Operation time to live: Forever
Router(config-ip-sla)#?
IP SLAs entry configuration commands:
dhcp DHCP Operation
dns DNS Query Operation
ethernet Ethernet Operations
exit Exit Operation Configuration
ftp FTP Operation
http HTTP Operation
icmp-echo ICMP Echo Operation
icmp-jitter ICMP Jitter Operation
mpls MPLS Operation
path-echo Path Discovered ICMP Echo Operation
path-jitter Path Discovered ICMP Jitter Operation
tcp-connect TCP Connect Operation
udp-echo UDP Echo Operation
udp-jitter UDP Jitter Operation
よく使われている！

ip sla 100
http get http://ec2-<sample>.ap-northeast-1.compute.amazonaws.com name-server <ipaddr> cache disable
ip sla 101
http get http://www.zoho.co.jp/ name-server <ipaddr> cache disable
HTTP/RTT 可視化例
シスコ仮想ルータ
CSR1000V
ウェブサーバ
(EC2）
ウェブサーバ
(EC2）
CSR1000V
HTTP GET
HTTP GET
AWS EC2
東京リージョン
AWS EC2
サンパウロ
リージョン
ゾーホージャパン
ウェブサイト
HTTP GET
ip sla 103
http get http://ec2-<sample>.sa-east-1.compute.amazonaws.com name-server <ipadd> cache disable
IP SLA Sender
DEMO2

HTTP/RTT 可視化例
CSR1K_AWS_TKY#sh ip sla statistics
IPSLAs Latest Operation Statistics
Latest operation start time: 08:33:18 UTC Mon Sep 3 2018
東京リージョン内
東京からサンパウロEC2
東京からzoho.co.jp
• AWS東京リージョンから、サンパウロリージョンへ
のTCPコネクションは、273ミリ秒程度遠かった
• AWS東京リージョンから、zoho.co.jpへのTCPコネ
クションは、79ミリ秒程度遠かった

UDP Jitter/Latency/Loss 可視化例
東京 – サンパウロ間
CSR1000V
ウェブサーバ
(EC2）
ウェブサーバ
(EC2）
CSR1000V
UDP Jitter
AWS EC2
AWS EC2
サンパウロ
リージョン
ip sla 200
udp-jitter <ipaddr_br> 55555 codec g711ulaw
tos 160
IP SLA Sender
IP SLA Responder
DEMO3

UDP Jitter/Latency/Loss 可視化例
東京 – サンパウロ間
Type of operation: udp-jitter
RTT Values:
Number Of RTT: 1000 RTT Min/Avg/Max: 269/269/272 milliseconds
Latency one-way time:
Number of Latency one-way Samples: 1000
Source to Destination Latency one way Min/Avg/Max: 146/146/148 milliseconds
Destination to Source Latency one way Min/Avg/Max: 123/123/126 milliseconds
Jitter Time:
Number of SD Jitter Samples: 999
Number of DS Jitter Samples: 999
Source to Destination Jitter Min/Avg/Max: 0/1/2 milliseconds
Destination to Source Jitter Min/Avg/Max: 0/1/3 milliseconds
Over Threshold:
Number Of RTT Over Threshold: 0 (0%)
Packet Loss Values:
Loss Source to Destination: 0
Source to Destination Loss Periods Number: 0
Source to Destination Loss Period Length Min/Max: 0/0
Source to Destination Inter Loss Period Length Min/Max: 0/0
Loss Destination to Source: 0
Destination to Source Loss Periods Number: 0
Destination to Source Loss Period Length Min/Max: 0/0
Destination to Source Inter Loss Period Length Min/Max: 0/0
Out Of Sequence: 0 Tail Drop: 0
Packet Late Arrival: 0 Packet Skipped: 0
Voice Score Values:
Calculated Planning Impairment Factor (ICPIF): 4
MOS score: 4.27
• 対向はIOS IP SLA Responderが機能
するため、行きと戻りのUDPストリーム
それぞれの性能測定が可能
• G711ulawの疑似UDPストリーム測定に
て、行きと戻りの合計は269ミリ秒程度
観測された
• パケットロスは、観測されなかった

GUIで分かりやすく
見たいんだけど？
履歴も確認したいし
手軽で、リーズナブルな
方がいいなぁ…

ManageEngine NetFlowAnalyzer
WAN RTTダッシュボード
ManageEngine NetFlowAnalyzer
VOIPモニターダッシュボード
ぜひゾーホー様にご相談ください！

参考：IP-SLAの測定結果に基づくアクションの設定
ip sla enable reaction-alerts
event manager applet ipsla-101-react
event ipsla operation-id 101 reaction-type rtt
action 1.0 syslog msg "IPSLA reaction detected."
action 2.0 if $_ipsla_measured_threshold_value gt $_ipsla_threshold_rising
action 3.0 puts "Rising threshold"
action 4.0 else
action 5.0 puts "Falling threshold"
action 6.0 end
IOSが提供する
システム変数
IPSLAからEEMへの通知
を有効化
上限以上
下限以下
IPSLA測定結果の上限・下限超過をトリガーに
EEMのアクションを起動できる

NetFlowによるパッシブモニタリング

• “A flow is defined as a unidirectional sequence of packets with some common properties that pass through a network
device. These collected flows are exported to an external device, the NetFlow collector. Network flows are highly granular;
for example, flow records include details such as IP addresses, packet and byte counts, timestamps, Type of Service (ToS),
application ports, input and output interfaces, etc. “
• フローとは、ネットワーク装置を通過する、共通の属性をもった一方通行の連続したパケットのことである
• フロー記録は、IPアドレスやパケットカウントやバイトカウント、タイムスタンプ、ToS、アプリケーションポート、入出力インター
フェースなどを含むことがある
• “Exported NetFlow data is used for a variety of purposes, including enterprise accounting and departmental chargebacks,
ISP billing, data warehousing, network monitoring, capacity planning, application monitoring and profiling, user monitoring and
profiling, security analysis, and data mining for marketing purposes.”
• 出力されたNetFlowデータは、多様な用途に使われ、例えば以下のような例がある
• 企業でのアカウンティング、部門チャージ、ISPによる課金、データウェアハウジング、ネットワーク監視、容量計画、アプリ
ケーション監視、アプリケーションプロファイリング、ユーザ監視、ユーザプロファイリング、セキュリティ分析、マーケティング
目的のデータマイニングなど
“フロー”とは
引用元 https://www.ietf.org/rfc/rfc3954.txt

フロー情報パケット数 Bytes/Packet
Address, ports, … 11000 1528
NetFlowパケット出力
(NetFlow Data Export)
NetFlowコレクタ：
レポート用途など
パケット属性からフローテーブルを作成
NetFlowキャッシュパケット識別
7つのフローキー（識別）
トラフィック
送信元IPアドレス
宛先IPアドレス
送信元ポート
宛先ポート
レイヤ3プロトコル
TOSバイト (DSCP)*
入力インターフェース*
1. 測定
2. 出力
NetFlowとは
フロー（＝共通の属性をもつ一連の連続したパケット）単位での計測
• 一般的に、フローを7つの要素で識別
• VLAN/MACアドレス、アクセスURLや音声／ビデオストリームに対応する装置も一般的
• （Cisco Flexible NetFlow）
3. 受信・解析

参考：NetFlow version9/IPFIX
フローレコード
フローフォーマットA
フローフォーマットB
フローレコードA
フローレコードA
フローレコードB
Exporter
Collector
Exporter
Collector
• 18の固定フィールド
送信元・宛先IPアドレス、送信元・宛先ポート番号、入力インター
フェース、TOS、出力インターフェース、パケット・バイト数など
NetFlow Version 5 NetFlow v9 / IPFIX
• FNFにより利用者が測定フォーマットを定義
• フローフォーマットはデータとは分けてコレクタに伝達される（テンプレート）
• 既存の仕組みの中であらゆるデータを出力できる
• オプションフローフォーマット、オプションフローレコードによりフロー以外の
関連情報も伝達できる
動的で拡張性があるフロー出力固定されたフロー出力

フロー
1
フロー
2
フロー25…
NetFlowヘッダ
UDPヘッダ
IPヘッダ
可視化専用機とNetFlowの比較
可視化専用機：パケット全てを傍受して蓄積 NetFlow：全パケットの通信フロー情報のみを送信
1. ネットワーク装置内でフロー
情報を測定、テーブル作成
2. 複数フロー情報を一つのパケットにまとめて出力
• パケットすべてを保存するため、保存媒体が膨大、高価
• 生パケット（RAWデータ）として保存されるため、解析負荷が高く、
高度・高価な解析が必要
• 全パケットの通信フロー情報のみを送信するため、保存容
量は小さく、比較的安価
• あらかじめフロー形式で保存されるため、解析負荷が低く、
分析やレポートに最適
3. 受信・解析が
容易・安価

主な
管理技術
Syslog SNMP 可視化専用機
（プローブ）
sFlow
RFC3176 (Informational)
NetFlow
RFC3954, RFC7011(Standards)他
利用用途装置管理通信可視化
具体例ポートup/down、経路情報
の変化、部品障害
CPU、メモリ利用率、温度、
ポート毎通信量
全パケットを傍受・蓄積パケットをサンプリングし
てサーバに出力
通信フローテーブルを装置が作
成してサーバに出力
情報精度〇
イベントごとにテキスト出力
〇
平均値
（1分、5分など）
◎
完全な再現が可能
※すべて保存した場合
△
• 通常は1:1000、1:4000
等のサンプリング
• セキュリティ統計的な
解析用途
• ログ証跡には不十分
◎
全パケットの通信フロー情報のみ
を出力
解析の
しやすさ
△
• イベント発生ごとにテキ
ストで出力
• 1パケットにつき1イベン
ト
• テキスト情報のため解析
負荷が高い
〇
管理対象ごとに都度取得
△
データ量が膨大のため
解析負荷が高い
〇
• サンプリングされたパ
ケットヘッダを定期的に
出力
• ヘッダ情報のみ
◎
• 複数フローデータを定期的に
出力
• 一般的に一つのパケットにつ
き20～30のフロー情報格納
• ヘッダ以外の情報（URL等）も
オプション対応
コスト ◎
• 機器標準サポート
• 汎用管理サーバ
◎
• 機器標準サポート
• 汎用管理サーバ
×
• 高価な専用機の配
置が必要
• ディスク量が膨大・
高価
〇
• 多くの装置でサポート
• 対応サーバ必要
• 安価
〇
• 多くの装置でサポート
• 対応サーバ必要
• 近年安価になりつつある
評価装置ログの管理として定着装置監視として定着ポイントを絞った障害解
析に最適
安価だがサンプリングのため、
利用用途が限定的
LAN、WAN全体の広範囲な可視化と
証跡、セキュリティへの活用
【参考】主なネットワーク管理技術の比較
各技術は排他ではなく、必要に応じて組合せて利用するのが一般的

境界セキュリティ
（Web Proxyなど）やログ情報
からの脅威活動
• 従来の境界セキュリティ機器やSIEM*では、入り口・出口
でのみ通信情報を把握 (送信元、宛先アドレスのみ）
• ネットワーク全体での脅威の活動状況の把握が困難
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10.51.51.0/24
10.51.52.0/24
10.51.53.0/24
NetFlowを活用した
脅威の活動
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10.51.51.0/24
10.51.52.0/24
10.51.53.0/24
① フィッシングを
きっかけとして感染
（ゼロデイ）
② 内部感染拡大
③ 内部感染拡大（管理職端末への感染）
④ ファイル（DB）サーバからの
情報ダウンロード
⑤ 外部への情報持ち出し
（暗号化・独自プロトコル）
社員
社員
サーバー
ハイリスク
セグメント
• 脅威の全体の活動状況を可視化
• 認証情報（端末認証）と連携することで、ユーザ名特定
• 「誰の端末で」マルウェアの活動が行われているかまで把握
脅威活動の見える化
ネットワーク基盤全体での脅威活動を可視化し、境界型セキュリティを補完
*SIEM: Security Inf ormation and Ev ent Management - セキュリティ情報イベント管理
機器やソフトウェアの動作状況のログを一元的に蓄積・管理し、脅威となる事象を検知・分析するシステム
警備員監視カメラ

NetFlowを活用した異常通信の可視化例
CSR 1000V
Cisco 1100
攻撃
Cisco 東京ラボ
（六本木）
Catalyst
NetFlowコレクター
ラボ内サーバ群
ウェブサーバ
(EC2）
AWS EC2
NetFlowコレクターFlow
NetFlow有効
DEMO4

NetFlow version 9の一般的な設定例
flow record Rec
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match ipv4 tos
match ipv4 protocol
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect transport tcp flags
flow exporter Exp
destination <ipaddr>
transport udp 9996
flow monitor Mon
record Rec
exporter Exp
interface GigabitEthernet1
ip flow monitor Mon input
ip flow monitor Mon output
ip address dhcp
ip nat outside
フロー・レコード
フロー・エクスポータ
フロー・モニター
NetFlowを適用
1. フロー測定内容と出力方法を設定 2. フローモニター
としてまとめる
3. 当該インターフェースに適用

ManageEngine & NetFlowを用いた異常通信の可視化例

AVC/NBAR
DEMO5
的な監視）
が豊富
• NBAR（Network Based Application
Recognition）と組合わせたシグネチャーベー
スのアプリケーション識別
• Embedded Event
Manager
ン”を発行

IOS-XE ART
アプリケーション応答時間とネットワーク遅延の測定
WAN
SiSi
Netflow v9 Netflow v9
TCP系
トラフィック
性能計測
*ART … Application Response Time
一般的な呼称。IOS機能としても実装。AVCに統合され、
NetFlowの拡張として実装されている。
問題：拠点の性能問題を可視化したい
• 特定アプリケーションに対し、ユーザから不満があがっている
• ネットワークかサーバか、サービス品質低下の原因を識別したい
解決：性能低下の原因特定にARTを活用
• 品質低下のコネクション情報から以下を特定
• トランザクションタイム (TT)
• WAN遅延 (SND)
• LAN遅延 (CND)
• サーバプロセス時間 (AD)

ARTメトリックスの例
IOS-XE
WAN/
INET
WEB DBAPP

ARTメトリックス値の測定
• Response Time (RT)
• t(First response pkt) – t(Last request pkt)
• Transaction Time (TT)
• t(Last response pkt) – t(First request pkt)
• Network Delay (ND)
• ND = CND + SND
• Application Delay (AD)
• AD = RT – SND
ユーザ体感値
の定量化
T T
クライアント
IOS-XE
サーバ
X
SYN
SYN-ACK
ACK 6
Request 1
ACK
DATA 4
DATA 3
DATA 5
DATA 3
Request 1 (Cont)
X
DATA 4
DATA 1
Request 2
DATA 6
DATA 2
ACK 3
ACK
SND
CND
Request
Response
サーバ性能問題
の識別
再送
RT

LAN内/WAN超え通信の可視化例
Cisco 1100
Cisco 東京ラボ
（六本木）
Catalyst 2960X
Catalyst 9300
ラボ内サーバ群
Flow
Flow
NetFlow/AVC有効
NetFlow有効

LANスイッチ - 有線LAN/無線LANの可視化設定例
flow record W-Rec-1
match ipv4 protocol
match flow direction
match application name
match wireless ssid
collect counter bytes long
collect counter packets long
collect wireless ap mac address
collect wireless client mac address
!
flow exporter Exp
destination 10.71.154.88
source Vlan55
transport udp 9991
template data timeout 60
option usermac-table
option interface-table timeout 60
C3850-01#sh run | sec wlan
wlan NMS 1 NMS
client vlan AP-test
ip dhcp server 10.71.154.54
ip flow monitor W-Mon-1 input
ip flow monitor W-Mon-1 output
no shutdown
C3850-01#sh run int gi 1/0/1
!
interface GigabitEthernet1/0/1
switchport mode trunk
ip flow monitor Mon-1 input
ip flow monitor Mon-1 output
flow monitor W-Mon-1
exporter Exp
cache timeout inactive 60
cache timeout active 120
record W-Rec-1
1. フロー測定内容と出力方法を設定 2. フローモニター
としてまとめる
3. 当該インターフェースに適用

LANスイッチ - 有線LAN/無線LANの可視化例
L7アプリケー
ション識別SSID
無線AP、クライアント
のMACアドレス

Router#sh run flow record type performance-monitor ZOHO-FLOWRECORD-MEDIA
Current configuration:
!
flow record type performance-monitor ZOHO-FLOWRECORD-MEDIA
match flow direction
match ipv4 protocol
match transport rtp ssrc
collect application media bytes counter
collect application media bytes rate
collect application media event
collect application media packets counter
collect application media packets rate
collect application name
collect counter bytes
collect counter bytes rate
collect counter packets
collect interface input
collect interface output
collect ipv4 dscp
collect ipv4 ttl
collect monitor event
collect routing forwarding-status
collect timestamp interval
collect transport event packet-loss counter
collect transport packets expected counter
collect transport packets lost counter
collect transport packets lost rate
collect transport rtp jitter maximum
collect transport rtp jitter mean
collect transport rtp jitter minimum
Performance Monitorによる
高度な計測設定例
NetFlowの拡張
Router#sh run flow record type performance-monitor ZOHO-FLOWRECORD-AVC
Current configuration:
!
flow record type performance-monitor ZOHO-FLOWRECORD-AVC
match application name account-on-resolution
match connection client ipv4 address
match connection server ipv4 address
match connection server transport port
match ipv4 protocol
match routing vrf input
collect application http host
collect application ssl common-name
collect connection client counter bytes long
collect connection client counter bytes network long
collect connection client counter packets long
collect connection client counter packets retransmitted
collect connection delay application sum
collect connection delay network client-to-server sum
collect connection delay network to-client sum
collect connection delay network to-server sum
collect connection delay response client-to-server sum
collect connection delay response to-server histogram late
collect connection delay response to-server sum
collect connection initiator
collect connection new-connections
collect connection server counter bytes long
collect connection server counter bytes network long
collect connection server counter packets long
collect connection server counter responses
collect connection sum-duration
collect connection transaction counter complete
collect connection transaction duration max
collect connection transaction duration min
collect connection transaction duration sum
collect interface input
collect interface output
collect ipv4 destination address
collect ipv4 dscp
collect ipv4 source address
collect ipv4 ttl
• Flow monitor, exporter, interfaceの設定は省略
• 主にルーターでサポート
UDP性能計測
TCP性能計測
DEMO6

GUIで分かりやすく
見たいんだけど？
履歴も確認したいし
手軽で、リーズナブルな
方がいいなぁ…

UDP性能計測
TCP性能計測
ManageEngine & NetFlow/AVC/NBAR/ARTを用いた可視化例
ぜひゾーホー様にご相談ください！

ネットワーク監視・可視化のステップ
１．一般的なネットワーク監視 – SNMP/Syslog
2. 通信の見える化– NetFlow
4. ネットワーク自動制御・隔離 – Network as a Enforcer
3. 脅威活動の見える化– Network as a Sensor
1. 一般的なネットワーク監視- 装置の管理・可視化・異常検知
2. 通信の見える化- ネットワーク基盤上での全通信可視化
3. 脅威活動の見える化- ネットワークをセキュリティセンサーとして活用
4. ネットワーク自動制御・隔離 - 自動検知と連動した自動隔離、変更
5. 暗号通信のメタデータ解析–セキュリティとプライバシー両立
5. 暗号化トラフィックの解析 - ETA
6. クラウドでの脅威レベル把握 - Cognitive
本日の対象範囲

高度な可視化をはじめてみませんか？
&&
https://gblogs.cisco.com/jp/category/cisco-ios/ https://www.manageengine.jp/products/NetFlow_Analyzer/
Cisco IOS/IOS-XEの管理機能をフル活用リーズナブルな可視化ツール
• IP SLA HTTP RTT
• IP SLA UDPジッタ
• NetFlow v9
• AVC L2-L7
• ART
• IP SLA対応
• NetFlow対応
• AVC/NBAR/ART対応
• セキュリティ対応
ネットワーク利用内容/サービスレベル可視化

• Cisco Japan Blog
• https://gblogs.cisco.com/jp/
• https://gblogs.cisco.com/jp/author/kazumasaikuta
• DEMO動画
• https://www.youtube.com/user/ciscojsolse/videos
• Cisco WAN実践ケーススタディ（インプレスジャパン）、その他
• http://www.amazon.co.jp/dp/4844326104
• 第6章シスコWAN機器での高付加価値サービス
• 6.1 情報収集モデルの比較
• 6.2 IOS IP SLA機能を利用したネットワークサービスレベルの測定
• 6.3 IOS NetFlow機能を利用したトラフィックフロー統計情報の提供
• 6.4 IOS EEM機能を利用した高度なカスタマイズ
参考

さらに使い倒す！

IP SLAオブジェクトと連動したSNSへの通知例
EEM
1. トラッキングオブジェクトの状態遷移をトリガーとして
Python スクリプトを実行
2. Cisco WebEx Team に通知
（任意のメッセージなど）
REST API (HTTPS)
Cisco Webex Teams
DEMO7

EEM設定例
track 200 ip sla 200
event manager directory user policy "bootflash:/”
event manager applet BrUP
event track 200 state up
action 100 syslog msg "State to Br Change to UP"
action 200 cli command "enable"
action 205 cli command "guestshell run python /bootflash/message.py UP”
event manager applet BrDown
event track 200 state down
action 200 cli command "enable"
action 205 cli command "guestshell run python /bootflash/message.py DOWN"
CSR1K_AWS_TKY#sho track
Track 200
IP SLA 200 state
State is Up
11 changes, last change 01:38:27
Latest RTT (millisecs) 269
Tracked by:
EEM applet BrUP
EEM applet BrDown

EEMで実行するOn-box Pythonスクリプト例
CSR1K_AWS_TKY#guestshell
[guestshell@guestshell ~]$ cat /bootflash/message.py
import requests
import sys
ACCESS_TOKEN = ”Your_Access_Token"
ROOM_ID = ”Room_ID"
state = sys.argv[1]
def setHeaders():
accessToken_hdr = 'Bearer ' + ACCESS_TOKEN
spark_header = {'Authorization': accessToken_hdr, 'Content-Type': 'application/json; charset=utf-8'}
return spark_header
def postMsg(the_header,roomId,message,state):
message = '{"roomId":"' + roomId + '","text":"'+ state + message +'"}'
uri = 'https://api.ciscospark.com/v1/messages'
resp = requests.post(uri, data=message, headers=the_header)
print resp
message = ' -> ## UDP to Brazil is changed, Please check http://ec2-sample.ap-northeast-1.compute.amazonaws.com:8080/'
header=setHeaders()
postMsg(header,ROOM_ID,message,state)

• 装置内で実行される On-box 監視＆カスタマイズ機能
• イベント検知→アクション実行
• イベント・アクションの組み合わせは自由
• 既存の IOS-XE 機能では不可能なロジックを作成
• アプレット版 (CLI), Tcl 版（スクリプト）, Python 版（スクリプト）
• Pythonサポートは、一部の機器では対象外のため注意
• 幅広いサポート機器
• C800〜ASR1000, Cat2K, 3K, 4K, 6K, Nexus, XR…, Cat9K…
• イベント、アクションの細かなサポート内容はバージョンに依存
EEM 概要と Python サポート

Embedded Event
Manager
Syslog
email
notification
SNMP set
Counter
CLI
Applets
SNMP
get
SNMP
notification
Application
specific
TCL
Policies
Reload or
switchover
EEM Applets
multi-event-correlation
IOS.sh
Policies
Actions
Event Detectors
Syslog
Event
Process
Scheduler
Database
Interface
Descriptor
Blocks
Syslog
ED
Watchdog
ED
Interface
Counter
ED
CLI
ED
OIR
ED
ERM
ED
EOT
ED
RF
ED
none
ED
GOLD
ED
XML
RPC
ED
SNMP
EDs
Remote:
• Notification
Local:
• Notification
• Get/Set
NetFlow
ED
IPSLA
ED
Route
ED
Timer
EDs
• Cron
• Count
down
HW
EDs
• Fan
• Temp
• Env
• ...
CDP
LLDP
ED
802.1x
ED
MAC
ED
Python
Policies
xxx
ED
…
EEM アーキテクチャ
…

Cisco DevNetのご紹介
Http://developer.cisco.com
無料トレーニングあります！ - 9/27-28 in TOKYO
後方ブースにて、チラシを配布しております（^^）
https://developer.cisco.com/events/DevNet-Express-Tokyo-DNA-09-2018-2/#/

シスコ装置を使い倒す！組込み機能による可視化からセキュリティ強化

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a シスコ装置を使い倒す！組込み機能による可視化からセキュリティ強化

Similar a シスコ装置を使い倒す！組込み機能による可視化からセキュリティ強化 (20)

Más de シスコシステムズ合同会社

Más de シスコシステムズ合同会社 (20)

シスコ装置を使い倒す！組込み機能による可視化からセキュリティ強化