protocolo netflow

NETFLOWHerramientas de análisis de tráfico

Humberto RodrHumberto Rodrííguez Jorgeguez Jorge

Agenda

Ø Introducción

Ø Características esenciales de Netflow

Ø Hardware y Configuración

Ø Herramientas de Análisis de Tráfico

Ø Conclusiones

Introducción

ü El rápido crecimiento de las redes IP a creado un interés en los nuevos servicios y aplicaciones que requieren de alto rendimiento y necesitan una calidad de servicio elevada

ü Para garantizar estos requerimientos surgen tecnologías de medición que brindan de forma eficiente información de la utilización de los recursos y aplicaciones en la RED

ü La tecnología Netflow de CISCO provee una solución para estas necesidades

Agenda

Características esenciales de Netflow

• Qué es Netflow ?

• Orígenes

• Qué es un flujo (flow) ?

• Principales Beneficios de Netflow

• Caché de Netflow

• Caché de Acumulación de Netflow

• Exportación de Datos

• Versiones de Exportación Netflow

• El MIB de Netflow


Qué es Netflow ?

Ø Netflow es un protocolo desarrollado por CISCO Systemspara coleccionar información del tráfico de red

Ø Habilita a los dispositivos ya sean routers o switches que lo soporten a generar records, que pueden ser enviados a un colector a través de una red

Ø Responde las preguntas quién, qué, dónde y cómo basado en el tráfico IP

Ø Provee una visión detallada del comportamiento de la RED (monitoreo de aplicaciones que utilizan puertos dinámicos)

Orígenes

• Es una tecnología que fue desarrollada y patentada por CISCO IOS en 1996

• Es ahora la principal tecnología de monitoreo de tráfico en la red



Qué es un flujo (flow) ?Es una cadena unidireccional de paquetes entre una determinada fuente y un destino, ambos definidos por una dirección IP de la capa de red y también por números de puertos origen y destino en la capa de transporte.

Un flujo está definido por los siguientes campos:

Ø Dirección IP Origen

Ø Dirección IP Destino

Ø Puerto Origen

Ø Puerto Destino

Ø Tipo de Protocolo de capa 3

Ø Byte de ToS

Ø Interfase lógica de entrada (Ifindex)DATOS EXPORTADOS

Un flujo tiene otros campos que dependen de la versión que se utiliza para exportar. Cada uno es procesado en una caché.

Principales Beneficios de Netflow

üMonitoreo de la Red: con técnicas de análisis de flujo

üMonitoreo de Aplicaciones: para planificar, entender nuevos servicios, y distribuir recursos y aplicaciones en la red

üMonitoreo de Usuarios: para revisar de forma efectiva la utilización de los recursos por parte de los usuarios

ü Planificación de la Red: para anticiparse a los crecimientos de la red, ya sea en dispositivos, puertos y ancho de banda


ü Análisis de seguridad: con el fin de detectar anomalías en el tráfico de la red

ü Contabilidad y la Facturación: debido a sus detalladas estadísticas

ü Almacenamiento de los Datos Netflow: para futuros análisis

Principales Beneficios de Netflow


Caché de Netflow


ü Netflow opera construyendo una caché que contiene información de los flujos

ü La información de la caché es exportada a un servidor colector de flujos, basada en períodos de tiempos configurables

ü El desempeño eficiente de netflow depende de la administración inteligente de la caché, especialmente en routers con bastante carga de tráfico

Caché de Acumulación de Netflow


ü Está dada por la característica que tiene el IOS de CISCO de conformar una Caché de acumulación basada en 11 esquemas que permiten resumir los datos exportados

ü Esquemas de Acumulación:

• AS Aggregation Scheme (brinda datos de flujos de AS-AS) • Destination-Prefix Aggregation Scheme (agrupa por destinos)• Protocol-Port Aggregation Scheme (agrupa por puertos)• Prefix Aggregation Scheme (agrupa por los prefijos)•Source Prefix Aggregation Scheme (agrupa por los orígenes)

• Existen otros 6 esquemas basados en el ToS

ü Puede ser configurada con valores de timeout y tamaño, además de ser exportada a un host específico

ü Es exportada en las versiones 8 o 9 de Netflow

Exportación de Datos


ü La exportación de Datos Netflow permite que los flujos recogidos por los equipos de conectividad sean recolectados y procesados

ü Periódicamente las estadísticas de tráfico de todos lo flujos que caducan son exportados desde el dispositivo que mantiene la caché (router o switches) por UDP (también mediante SCTP)



Las entradas de la caché de Netflow son enviadas a un dispositivo colector (Ej. CNS Netflow Collection Engine) si ocurre una de las siguientes condiciones:

• El protocolo de transporte indica que se ha completado la conexión(flag TCP FIN) o cuando aparece el flag de RST

• La inactividad en el tráfico excede los 15 segundos (es configurable)

• Expiran los flujos que se mantienen activos por más de 30 minutos, mediante esto se asegura un reporte periódico (es configurable)

• Se llena la caché

¿ Cuándo Ocurre la Exportación?


Paquete de exportación UDP

• Aproximadamente 1500 bytes

• Típicamente contienen de 20 a 50 records de flujo

• Se envían de forma más frecuente si aumenta el tráfico en las interfases configuradas con Netflow




Ejemplo de la Caché de Netflow y su Exportación

Versiones de Exportación Netflow


Versión flexible y extensible del formato de exportación que brinda soporte para campos adicionales y tecnologías como por ejemplo

MPLS, Multicast, Próximo salto BGP e IPV6

Opción de los 11 esquemas de acumulación

Específico de las series de Switches C6500 y 7600 de Cisco

Estándar y mas común

Original

Comentarios

9

8

7

5

1

Versiones de Netflow

Ø Cada una de las versiones y sus posibilidades depende de la plataforma del Hardware y de su software CISCO IOS

Versiones de Exportación Netflow


Ejemplo del Datagrama de Exportación de la versión 5

El MIB de Netflow


Constituye un método fácil y simple de acceder a información de Netflow:

ü Información de la caché y su configuración

ü Información de la exportación y su configuración

ü Estadísticas de Exportación

ü Estadísticas de Protocolos

ü Información sobre la plantillas de exportación de la versión 9

ü Información de los flujos sobresalientes (tops flows, top-talkers)

Top flows provee un mecanismo para mostrar en tiempo real los flujos de la caché que sobresalen. Solo necesitan ser configurados : el número de sobresalientes (TopN) el orden (SortBy) y netflow.

De forma opcional se configuran: el timeout y los criterios de comparación

Agenda

Hardware y Configuración

• Dispositivos que soportan Netflow

• Hardware que soporta Netflow

• Referencia de comandos

• Rendimiento de Netflow

Dispositivos que soportan NetflowEntre los Dispositivos que soportan Netflow podemos encontrar de CISCO:

• Routers

• Switches Catalyst

Existen otros vendedores de equipamientos que también lo soportan

§ Alcatel

§ Enterasys

§ Foundry

§ Juniper


Hardware que soporta Netflow de CISCO



Referencia de comandos

(ip flow ingress (egress) para otras versiones)


Referencia de comandos


Referencia de comandos (Ej.)


Rendimiento de NetflowØ Aproximado de Utilización de CPU por números de flujos activos

< 16 %< 12 %< 4%

Utilización de CPU adicional

650004500010000

Números de flujos activos en la caché

Ø La Reducción significativa de la Utilización del CPU con Netflow se logra mediante:

Ø Sampled Netflow

Ø Optimización de los tiempos

Ø Una arquitectura distribuida

Ø Tener una exportación doble no tiene un impacto relevante en la utilización del CPU

Agenda

Herramientas de Análisis de Tráfico

• Herramientas

• Scrutinizer Netflow Analyzer 3.5.0

• ManageEngine Netflow Analyzer 4


Herramientas

Mediante ellas se puede obtener

Ø Reportes personalizados

Ø Estadísticas de los tops en cuanto a aplicaciones, hosts y conversations

Ø Estadísticas en tiempo real

Ø Análisis detallado de un Host

Ø Alarmas

Ø Se pueden identificar y clasificar anomalías en la red

Scrutinizer Netflow Analyzer : Plataformas: Windows 2000/XP/2003


Herramientas

ManageEngine Netflow Analyzer :Plataformas: Windows 2000/XP, Linux

CNS NetFlow Collection Engine :Plataformas: Solaris HP-UX y Red Hat Enterprise Linux


Herramientas

NtopPlataformas: Windows, GNU/Linux, Unix

Netflow MonitorPlataformas: Linux, Unix

LINK: http://www.networkuptime.com/tools/netflow/

Stager

Plataformas: Linux, Unix

JNCA (Java Netflow Collectorand Analyzer) Pataformas: JAVA

NFsen

Plataformas: Linux, Unix

FlowScan

Plataformas: GNU/Linux, Unix

http://www.networkuptime.com/tools/netflow/


Scrutinizer Netflow Analyzer 3.5.0


• ManageEngine Netflow Analyzer 4

Conclusiones

Netflow es una herramienta de mucha utilidad para:

ØMonitorear el tráfico de la red

Ø Realizar proyecciones

Ø Detectar anomalías en la Red

Se adapta a los cambios de las nuevas Aplicaciones y Servicios

protocolo netflow

Documents