NetFlow
-
Funcionamiento
-
Configuración
-
Análisis de Patrones de Tráfico
Resumen
La tecnología del IOS de Cisco NetFlow es el estándar para recopilar datos operativos IP de las redes IP. NetFlow mide con eficacia cuáles son los recursos de red que se utilizan y con qué propósitos.
NetFlow usa los campos del encabezado para distinguir los flujos de datos. NetFlow es una tecnología de “inserción”, en la que el dispositivo cliente inicia el envío de datos a un servidor configurado.
Se describe el funcionamiento de NetFlow y cómo configurar NetFlow para monitorear el tráfico en una red de una pequeña a mediana empresa. También se explicaa la forma en que se usan los datos de NetFlow para examinar los patrones de tráfico.
¡Bienvenido a CCNA desde Cero!: Este tema forma parte del Capítulo 8 del curso de Cisco CCNA 4, para un mejor seguimiento del curso puede ir a la sección CCNA 4 para guiarse del índice.
NetFlow es una tecnología del IOS de Cisco que proporciona estadísticas sobre los paquetes que fluyen a través de un switch multicapa o un router Cisco. NetFlow es el estándar para recopilar datos operativos IP de las redes IP.
Tabla de Contenido
1. Introducción a NetFlow
Históricamente, la tecnología NetFlow se desarrolló porque los profesionales de redes necesitaban un método simple y eficaz para realizar un seguimiento de los flujos TCP/IP en la red, y SNMP no era suficiente para estos fines.
Mientras que SNMP intenta proporcionar una amplia variedad de características y opciones de administración de red, NetFlow se centra en proporcionar estadísticas sobre los paquetes IP que fluyen a través de los dispositivos de red.
NetFlow proporciona datos para habilitar el monitoreo de red y de seguridad, la planificación de red, el análisis de tráfico para incluir la identificación de los cuellos de botella de la red y la contabilidad de IP para fines de facturación.
Por ejemplo, en la ilustración, la PC1 se conecta a la PC2 mediante una aplicación como HTTPS. NetFlow puede monitorear la conexión de esa aplicación mediante el seguimiento de los conteos de bytes y de paquetes para el flujo de esa aplicación individual. A continuación, inserta las estadísticas en un servidor externo denominado “recopilador NetFlow”.
- Flexible NetFlow es la tecnología NetFlow más reciente.
- Mejora el “NetFlow original” al agregar la capacidad de personalizar los parámetros de análisis de tráfico según los requisitos específicos de un administrador de red.
- Facilita la creación de configuraciones más complejas para el análisis de tráfico y la exportación de datos mediante componentes de configuración reutilizables.
Flexible Netflow usa el formato de exportación de la versión 9. La característica distintiva del formato de exportación de la versión 9 de NetFlow es que se basa en plantillas.
Las plantillas proporcionan un diseño extensible al formato de registro, una característica que permite mejoras futuras a los servicios de NetFlow sin necesidad de realizar cambios simultáneos al formato básico del registro de flujo.
2. Comprensión de NetFlow
Existen muchos usos posibles de las estadísticas que proporciona NetFlow, entre ellos:
- Medir quién utiliza qué recursos de red y con qué propósito.
- Contabilizar y cobrar según el nivel de uso de los recursos.
- Usar la información medida para planificar la red con más eficacia.
- Usar la información para estructurar y personalizar mejor el conjunto de aplicaciones y servicios disponibles.
Al comparar la funcionalidad de SNMP con NetFlow, una analogía para SNMP podría ser el software de control remoto para un vehículo automático, mientras que una analogía para NetFlow sería una factura telefónica simple pero detallada.
Los registros telefónicos proporcionan estadísticas agregadas llamada por llamada que permiten que quienes pagan la factura rastreen llamadas largas, frecuentes o que no se deberían haber realizado.
A diferencia de SNMP, NetFlow utiliza un modelo “basado en inserción“. El recopilador simplemente escucha el tráfico de NetFlow, y los dispositivos de red se encargan de enviar los datos de NetFlow al recopilador, sobre la base de los cambios en su memoria caché de flujo.
Otra diferencia entre NetFlow y SNMP es que NetFlow recopila solamente las estadísticas de tráfico, como se muestra en la ilustración, mientras que SNMP también puede recopilar muchos otros indicadores de rendimiento, como errores de interfaz, uso de CPU y de la memoria.
Nota: si bien NetFlow es fácil de implementar y transparente para la red, consume memoria adicional en el dispositivo de Cisco, porque almacena información de registro en la caché del dispositivo.
3. Flujos de red
NetFlow analiza las comunicaciones TCP/IP para mantener un registro estadístico mediante el concepto de flujo.
Un flujo es una secuencia unidireccional de paquetes entre un sistema específico de origen y un destino específico.
Para NetFlow, que se basa en TCP/IP, las direcciones IP de capa de red y los números de puerto de origen y destino de capa de transporte definen el origen y el destino.
Existen varias generaciones de la tecnología NetFlow que proporcionan mayor sofisticación para definir los flujos de tráfico, pero “NetFlow original” distinguía los flujos mediante una combinación de siete campos. Si el valor de uno de estos campos difería del de otro paquete, se podía determinar con seguridad que los paquetes provenían de flujos diferentes:
- Dirección IP de origen
- Dirección IP de destino
- Número de puerto de origen
- Número de puerto de destino
- Tipo de protocolo de capa 3
- Marca de tipo de servicio (ToS)
- Interfaz lógica de entrada
Los primeros cuatro campos que usa NetFlow para identificar un flujo se deberían conocer. El tipo de protocolo de capa 3 identifica el tipo de encabezado que sigue al encabezado IP (generalmente TCP o UDP). El byte ToS en el encabezado de IPv4 contiene información sobre cómo los dispositivos deben aplicar las reglas de calidad de servicio (QoS) a los paquetes en ese flujo.
Flexible NetFlow admite más opciones con registros de datos de flujo. Permite que un administrador defina los registros para una caché de control de flujo mediante la especificación de los campos optativos y obligatorios definidos por el usuario.
Cuando se definen registros para una caché de control de flujo de Flexible NetFlow, se los denomina “registros definidos por el usuario”.
4. Configuración de NetFlow
Para implementar NetFlow en un router, siga estos pasos:
- Paso 1. Configure la captura de datos de NetFlow.
- Paso 2. Configure la exportación de datos de NetFlow: se debe especificar la dirección IP y el nombre de host, así como el puerto UDP al que escucha el recopilador NetFlow.
- Paso 3. Verifique NetFlow, su funcionamiento y sus estadísticas: después de configurar NetFlow, se pueden analizar los datos exportados en una estación de trabajo que ejecute una aplicación como NetFlow Traffic Analyzer, Scrutinizer o NetFlow Collector de Cisco (NFC).
Algunas consideraciones de configuración de NetFlow:
- Los routers Cisco más modernos, como la serie ISR G2, admiten NetFlow y Flexible NetFlow.
- Los switches Cisco más modernos, como los de la serie 3560-X, admiten Flexible NetFlow.
- Algunos switches como los de la serie Cisco 2960, no admiten NetFlow o Flexible NetFlow.
- NetFlow consume memoria adicional. Si un dispositivo de red de Cisco tiene restricciones de memoria, se puede establecer previamente el tamaño de la caché de NetFlow.
- Los requisitos de software de NetFlow para el recopilador NetFlow varían. Por ejemplo, el software de NetFlow Scrutinizer en un host de Windows requiere 4 GB de RAM y 50 GB de espacio de unidad.
Nota: el enfoque se centra en la configuración de un router Cisco con NetFlow original (denominado simplemente “NetFlow”).
Un flujo de NetFlow es unidireccional. Esto significa que una conexión de usuario a una aplicación existe como dos flujos de NetFlow, uno para cada sentido. Para definir los datos que se deben capturar para NetFlow en el modo de configuración de interfaz:
- Capture los datos de NetFlow para controlar los paquetes entrantes en la interfaz mediante el comando ip flow ingress.
- Capture los datos de NetFlow para controlar los paquetes salientes en la interfaz mediante el comando ip flow egress.
4.1. Configuración de un router con NetFlow
Para habilitar el envío de los datos de NetFlow al recopilador NetFlow, se deben configurar varios elementos en el modo de configuración global del router:
- Dirección IP y número de puerto UDP del recopilador NetFlow: utilice el comando ip flow-export destination ip-address udp-port. De manera predeterminada, el recopilador tiene uno o más puertos para la captura de datos de NetFlow. El software permite que el administrador especifique qué puertos se deben aceptar para la captura de datos de NetFlow. Algunos puertos UDP comunes que se asignan son los puertos 99, 2055 y 9996.
- (Optativo) La versión de NetFlow que se debe seguir para dar formato a los registros de NetFlow que se envían al recopilador: utilice el comando ip flow-export version version. NetFlow exporta los datos en UDP en uno de cinco formatos (1, 5, 7, 8 y 9). La versión 9 es el formato de exportación de datos más versátil, pero no es compatible con las versiones anteriores. La v. 1 es la predeterminada si no se especifica la versión 5.
- (Optativo) Interfaz de origen que se debe usar como origen de los paquetes enviados al recopilador: utilice el comando ip flow-export source type number.
R1(config)# interface GigabitEthernet 0/1 R1(config-if)# ip flow ingress R1(config-if)# ip flow egress R1(config-if)# exit R1(config)# ip flow-export destination 192.168.1.3 2055 R1(config)# ip flow-export version 5
El router R1 tiene la dirección IP 192.168.1.1 en la interfaz G0/1. El recopilador NetFlow tiene la dirección IP 192.168.1.3 y se configuró para capturar los datos en el puerto UDP 2055. Se controla el tráfico que entra y sale por G0/1. Los datos de NetFlow se envían en el formato de la versión 5.
5. Verificación de NetFlow
Una vez que se verificó que NetFlow funciona correctamente, puede comenzar la recolección de datos en el recopilador NetFlow. La verificación de NetFlow se realiza con un examen de la información almacenada en el recopilador NetFlow.
Como mínimo, revise la caché local de NetFlow en un router para asegurarse de que el router esté recopilando los datos.
NetFlow se configuró en el router R1 de la siguiente manera:
- Dirección IP 192.168.1.1/24 en G0/1
- NetFlow controla el tráfico entrante y saliente.
- Recopilador de NetFlow en 192.168.1.3/24
- Puerto de captura de UDP 2055 de NetFlow
- Formato de exportación de NetFlow versión 5
Para mostrar un resumen de las estadísticas de contabilidad de NetFlow, así como el protocolo que utiliza el mayor volumen de tráfico, y ver entre qué hosts fluye este tráfico, utilice el comando show ip cache flow en el modo EXEC del usuario o el modo EXEC privilegiado.
El resultado del comando detalla qué protocolo utiliza el mayor volumen del tráfico y entre qué hosts fluye este tráfico. En la tabla de la Imagen 5, se describen los campos importantes que se muestran en las líneas de la caché de switching de flujo de la visualización.
El resultado en la parte superior de la visualización confirma que el router está recopilando datos. La primera entrada resaltada indica que NetFlow controla un conteo de 178 617 paquetes. El final del resultado muestra estadísticas acerca de tres flujos, la que está resaltada corresponde a una conexión HTTPS activa entre el recopilador NetFlow y el R1. También muestra el puerto de origen (SrcP) y el puerto de destino (DstP) en sistema hexadecimal.
Nota: el valor hexadecimal 01BB equivale al valor decimal 443, el puerto TCP bien conocido para HTTPS.
5.1. show ip cache flow: Descriptores de la caché de switch
En la siguiente tabla, se describen los campos importantes en las líneas de la caché de switching de flujo del resultado del comando show ip cache flow.
| Campo | Descripción |
|---|---|
| bytes | Cantidad de bytes de memoria que utiliza la caché de NetFlow. |
| active | Cantidad de flujos activos en la caché de NetFlow en el momento en que se introdujo este comando. |
| inactive | Cantidad de búfer de flujo que se asignan en la caché de NetFlow, pero que actualmente no se asignaron a un flujo específico en el momento en que se introdujo este comando. |
5.2. show ip cache flow: Descriptores del resultado de protocolo
En la siguiente tabla, se describen los campos importantes en la actividad según las líneas de protocolo del resultado del comando show ip cache flow.
| Campo | Descripción |
|---|---|
| Protocolo | Protocolo IP y número de puerto bien conocido. |
| Total Flows | Cantidad de flujos en la caché para este protocolo desde la última vez que se borraron las estadísticas. |
| Flows/Sec | Cantidad promedio de flujos para este protocolo por segundo; equivale a la cantidad total de flujos dividida por la cantidad de segundos de este período de resumen. |
| Packets/Flow | Cantidad promedio de paquetes para los flujos de este protocolo; equivale a la cantidad total de paquetes para este protocolo dividida por la cantidad de flujos para este protocolo durante este período de resumen. |
| Bytes/Pkt | Cantidad promedio de bytes para los paquetes de este protocolo; equivale a la cantidad total de bytes para este protocolo dividida por la cantidad total de paquetes para este protocolo durante este período de resumen. |
| Packets/Sec | Cantidad promedio de paquetes para este protocolo por segundo; equivale a la cantidad total de paquetes para este protocolo dividida por la cantidad total de segundos de este período de resumen. |
| Active(Sec)/Flow | Cantidad de segundos desde el primer paquete hasta el último paquete de un flujo que caducó dividida por la cantidad total de flujos para este protocolo durante este período de resumen. |
| Idle(Sec)/Flow | Cantidad de segundos observados desde el último paquete de cada flujo que no caducó para este protocolo hasta el momento en que se introdujo el comando show ip cache verbose flow dividida por la cantidad total de flujos para este protocolo durante este período de resumen. |
5.3. show ip cache flow: Descriptores del registro
A continuación, se describen los campos importantes en las líneas de registro de NetFlow del resultado del comando show ip cache flow.
| Operación | Descripción |
|---|---|
| SrcIf | Interfaz en la que se recibió el paquete. |
| SrcIPaddress | Dirección IP del dispositivo que transmitió el paquete. |
| DstIf | Interfaz desde la que se transmitió el paquete; si inmediatamente después del campo DstIf figura un asterisco (*), el flujo que se muestra es un flujo saliente. |
| DstIPaddress | Dirección IP del dispositivo de destino. |
| Pr | Número de puerto “bien conocido” del protocolo IP en formato hexadecimal. |
| SrcP | El número de puerto de protocolo de origen en sistema hexadecimal. |
| DstP | El número de puerto de protocolo de destino en sistema hexadecimal. |
| Packets | Cantidad de paquetes conmutados a través de este flujo. |
Si bien el resultado del comando show ip cache flow confirma que el router está recopilando datos, para asegurarse de que NetFlow se configuró en las interfaces y en las direcciones correctas, utilice el comando show ip flow interface.
Para revisar la configuración de los parámetros de exportación, utilice el comando show ip flow export.
- En la primera línea resaltada, se muestra que NetFlow está habilitado con el formato de exportación de la versión 5.
- En las últimas líneas resaltadas, se muestra que se exportaron 1764 flujos en forma de 532 datagramas UDP al recopilador NetFlow en 192.168.1.3 a través del puerto 2055.
6. Análisis de los patrones de tráfico
Un recopilador NetFlow es un host que ejecuta software de aplicación. Este software se especializa en el manejo de los datos de NetFlow sin procesar. Este recopilador se puede configurar para recibir información de NetFlow de varios dispositivos de red.
Los recopiladores NetFlow agregan y organizan datos de NetFlow según lo que indica el administrador de red dentro de las limitaciones del software.
En un recopilador NetFlow, los datos de NetFlow se escriben en una unidad a intervalos especificados. El administrador puede ejecutar varios esquemas o subprocesos de recolección simultáneamente. Por ejemplo, se pueden almacenar distintos cortes de datos para admitir la comparación entre la planificación y la facturación; un recopilador NetFlow puede producir fácilmente los esquemas de agregación adecuados.
Una aplicación de recopilador NetFlow proporciona una solución de alto rendimiento, fácil de usar y escalable para ajustar el consumo de datos de exportación de NetFlow de varios dispositivos.
Existen varios recopiladores NetFlow en el mercado. Estas herramientas permiten el análisis del tráfico en la red al mostrar los hosts principales (o los más activos), las aplicaciones más usadas y otros medios de medir los datos de tráfico.
Un recopilador NetFlow muestra los tipos de tráfico (web, correo, FTP, peer-to-peer, etc.) en la red, así como los dispositivos que envían y reciben la mayoría del tráfico.
Sobre la base del uso de analizadores NetFlow, un administrador de red puede identificar lo siguiente:
- Quiénes son los principales emisores y con quién hablan.
- Qué sitios web se visitan regularmente y qué se descarga.
- Quién genera la mayor parte del tráfico.
- Si hay suficiente ancho de banda para admitir actividad esencial.
- Quién monopoliza el ancho de banda.
