ACI 기반 Netflow 구성 가이드입니다.

1. ACI Netflow 구성 가이드
2017.04.06 (version 1.1)
Cisco Systems Korea
최 우 형 수석부장 (whchoi@cisco.com)

2. #1. LEAF Switch Netflow Enable
1 Fabric – Fabric Policies
– Switch Policies
– Fabric Node Controls
1. Node control Name 생성
2. “Feature Selection” 을 Netflow
Priority로 변경 (Default는 Analytics
Priority)
2 Fabric – Fabric Policies
– Switch Policies
– Policy Groups
1. Policy Group Name 생성
2. Node Control Policy 선택
(1번에서 생성)
1
2

3. #1. LEAF Switch Netflow Enable
3 Fabric – Fabric Policies
– Switch Policies
– Profiles
1. Switch Profile Name 설정
2. Switch Association 설정
(Netflow Enable 하려는 EX
스위치 설정)3

4. #2. Netflow Configuration - Step
Flow Monitor
Flow Record
Flow Exporter
 Source Address
 Destination Port
 Destination Address
 Netflow exporter version type
 EPG Type
 Tenant
 EPG
 VRF
 Collect Parameter
 Match Parameter
1
2
3

5. #2. Netflow Configuration – Flow Exporters
1 Fabric – Access Policies
- Interface Porlices
- Policies
- Analytics
- Netflow Exporters
1. Exporters Name 설정
2. Destination Port 설정
(UDP Port)
3. Destination IP Address 설정
(Flow Collector address)
4. Netflow version 설정
5. Flow Collector 위치 설정
(내부 – App EPG, 외부 – L3 EPG)
6. Flow Collector 위치 상세 설정

6. #2. Netflow Configuration – Flow Records
2 Fabric – Access Policies
- Interface Porlices
- Policies
- Analytics
- Netflow Records
1. Collect Parameters 설정
2. Match Parameters 설정

7. #2. Netflow Configuration – Flow Records
Parameter 종류 Address Family 지원
Destination IPv4/6 IPv4/IPv6 IPv4 /IPv6
Destination IPv4 IPv4 IPv6
Destination IPv6 IPv6 IPv6
Destination MAC CE Non-IP traffic only
Destination Port IPv4/IPv6 IPv4 / IPv6
Ethertype CE Non-IP traffic only
IP Protocol IPv4/IPv6 IPv4 / IPv6
Source IPv4/6 IPv4/IPv6 IPv4 / IPv6
Source IPv4 IPv4 IPv4
Source IPv6 IPv6 IPv6
Source MAC CE Non-IP traffic only
Source Port IPv4/IPv6 IPv4 / IPv6
IP TOS IPv4/IPv6 현재 지원 불가
VLAN CE/IPv4/IPv6 현재 지원 불가

8. #2. Netflow Configuration – Flow Records
Collection Parameters Flow Record 포함 내용
Bytes counter 항상 전송 (32bit)
Pkts Counter 항상 전송 (32bit)
Pkt Disposition 전송하지 않음
Sampler ID 전송하지 않음
Source Interface 항상 전송
TCP Flags IP Protocol matching 시에만 전송
First Pkt Timestamp 항상 전송
Recent Pkt Timestamp 항상 전송

9. #2. Netflow Configuration – Flow Records
2 Fabric – Access Policies
- Interface Porlices
- Policies
- Analytics
- Netflow Monitor
1. Netflow Monitor 이름 설정
2. Flow Record 설정
3. Flow Collector 설정

10. #3. Netflow Interface Configuration
Bridge Domain(SVI) L3OUT
Logical Interface Profile
Flow Monitor
Flow Exporter Flow Record
Logical Node Profile
1 Netflow 구성을 원하는 Tenant에 적용하는 방법
LEAF Interface Policy Group
Flow Monitor
Flow Exporter Flow Record
2 Netflow 구성을 원하는 Interface에 적용하는 방법
vPC, PC, Access Port

11. #3. Netflow Interface Configuration – Interface 설정 방법
1 Fabric – Access Policies
- Interface Porlices
- Policy Groups
- Leaf Policy Groups
- vPC or PC or Access Port
1. Netflow Monitor Polices
(IP Filter Type 및 Flow Monitor
Policy 설정)

12. #3. Netflow Interface Configuration – L3 Outside 설정 방법
1 Tenant – Networking
- External Routed Networks
- L3OUT EPG
- Logical Node Profiles
- Logical Interface Profiles
1. Netflow Monitor Polices
(IP Filter Type 및 Flow Monitor
Policy 설정)
Netflow Monitor 대상을 Common에 두면 Multi-Tenant를 위해 편리하게 구성 가능

13. #3. Netflow Interface Configuration – BD 설정 방법
1 Tenant – Networking
- Bridge Domain
- BD
- Netflow Monitor Polices
(IP Filter Type 및 Flow Monitor
Policy 설정)
Netflow Monitor 대상을 Common에 두면 Multi-Tenant를 위해 편리하게 구성 가능

14. LEAF Switch에서 Flow 구성 확인

15. Flow Collector에서 확인

16. Flow Collector VM에서 다중 인터페이스 구성 Tip.
1. Flow Collector 위치가 Private 구간일 경우 ,
Flow Collector의 위치를 특정 Tenant EPG에 바인딩
2. SMC와는 기존 eth0과 통신하도록 구성

17. ACI에서 생성된 Netflow를 StealthWatch에서 확인

18. SMC에서 Flow 확인 – Host List
ACI EPG 또는 BD subnet 이름과 StealthWatch Host Group 연계

19. SMC에서 Flow 확인 – Host List
ACI EPG or BD Name = SMC Host Groups

20. SMC에서 Flow 확인 – Host List
ACI EPG or BD Name = SMC Host Groups ACI EP

21. SMC에서 Flow 확인 – Host List
ACI EPG or BD Name = SMC Host GroupsACI EP