Post on 18-Aug-2021
NETFLOWHerramientas de análisis de tráfico
Humberto RodrHumberto Rodrííguez Jorgeguez Jorge
Agenda
Introducción
Características esenciales de Netflow
Hardware y Configuración
Herramientas de Análisis de Tráfico
Conclusiones
Introducción
El rápido crecimiento de las redes IP a creado un interés en los nuevos servicios y aplicaciones que requieren de alto rendimiento y necesitan una calidad de servicio elevada
Para garantizar estos requerimientos surgen tecnologías de medición que brindan de forma eficiente información de la utilización de los recursos y aplicaciones en la RED
La tecnología Netflow de CISCO provee una solución para estas necesidades
Agenda
Características esenciales de Netflow
• Qué es Netflow ?
• Orígenes
• Qué es un flujo (flow) ?
• Principales Beneficios de Netflow
• Caché de Netflow
• Caché de Acumulación de Netflow
• Exportación de Datos
• Versiones de Exportación Netflow
• El MIB de Netflow
Características esenciales de Netflow
Qué es Netflow ?
Netflow es un protocolo desarrollado por CISCO Systemspara coleccionar información del tráfico de red
Habilita a los dispositivos ya sean routers o switches que lo soporten a generar records, que pueden ser enviados a un colector a través de una red
Responde las preguntas quién, qué, dónde y cómo basado en el tráfico IP
Provee una visión detallada del comportamiento de la RED (monitoreo de aplicaciones que utilizan puertos dinámicos)
Orígenes
• Es una tecnología que fue desarrollada y patentada por CISCO IOS en 1996
• Es ahora la principal tecnología de monitoreo de tráfico en la red
Características esenciales de Netflow
Características esenciales de Netflow
Qué es un flujo (flow) ?Es una cadena unidireccional de paquetes entre una determinada fuente y un destino, ambos definidos por una dirección IP de la capa de red y también por números de puertos origen y destino en la capa de transporte.
Un flujo está definido por los siguientes campos:
Dirección IP Origen
Dirección IP Destino
Puerto Origen
Puerto Destino
Tipo de Protocolo de capa 3
Byte de ToS
Interfase lógica de entrada (Ifindex)DATOS EXPORTADOS
Un flujo tiene otros campos que dependen de la versión que se utiliza para exportar. Cada uno es procesado en una caché.
Principales Beneficios de Netflow
Monitoreo de la Red: con técnicas de análisis de flujo
Monitoreo de Aplicaciones: para planificar, entender nuevos servicios, y distribuir recursos y aplicaciones en la red
Monitoreo de Usuarios: para revisar de forma efectiva la utilización de los recursos por parte de los usuarios
Planificación de la Red: para anticiparse a los crecimientos de la red, ya sea en dispositivos, puertos y ancho de banda
Características esenciales de Netflow
Análisis de seguridad: con el fin de detectar anomalías en el tráfico de la red
Contabilidad y la Facturación: debido a sus detalladas estadísticas
Almacenamiento de los Datos Netflow: para futuros análisis
Principales Beneficios de Netflow
Características esenciales de Netflow
Caché de Netflow
Características esenciales de Netflow
Netflow opera construyendo una caché que contiene información de los flujos
La información de la caché es exportada a un servidor colector de flujos, basada en períodos de tiempos configurables
El desempeño eficiente de netflow depende de la administración inteligente de la caché, especialmente en routers con bastante carga de tráfico
Caché de Acumulación de Netflow
Características esenciales de Netflow
Está dada por la característica que tiene el IOS de CISCO de conformar una Caché de acumulación basada en 11 esquemas que permiten resumir los datos exportados
Esquemas de Acumulación:
• AS Aggregation Scheme (brinda datos de flujos de AS-AS) • Destination-Prefix Aggregation Scheme (agrupa por destinos)• Protocol-Port Aggregation Scheme (agrupa por puertos)• Prefix Aggregation Scheme (agrupa por los prefijos)•Source Prefix Aggregation Scheme (agrupa por los orígenes)
• Existen otros 6 esquemas basados en el ToS
Puede ser configurada con valores de timeout y tamaño, además de ser exportada a un host específico
Es exportada en las versiones 8 o 9 de Netflow
Exportación de Datos
Características esenciales de Netflow
La exportación de Datos Netflow permite que los flujos recogidos por los equipos de conectividad sean recolectados y procesados
Periódicamente las estadísticas de tráfico de todos lo flujos que caducan son exportados desde el dispositivo que mantiene la caché (router o switches) por UDP (también mediante SCTP)
Exportación de Datos
Características esenciales de Netflow
Las entradas de la caché de Netflow son enviadas a un dispositivo colector (Ej. CNS Netflow Collection Engine) si ocurre una de las siguientes condiciones:
• El protocolo de transporte indica que se ha completado la conexión(flag TCP FIN) o cuando aparece el flag de RST
• La inactividad en el tráfico excede los 15 segundos (es configurable)
• Expiran los flujos que se mantienen activos por más de 30 minutos, mediante esto se asegura un reporte periódico (es configurable)
• Se llena la caché
¿ Cuándo Ocurre la Exportación?
Exportación de Datos
Paquete de exportación UDP
• Aproximadamente 1500 bytes
• Típicamente contienen de 20 a 50 records de flujo
• Se envían de forma más frecuente si aumenta el tráfico en las interfases configuradas con Netflow
Características esenciales de Netflow
Exportación de Datos
Características esenciales de Netflow
Ejemplo de la Caché de Netflow y su Exportación
Versiones de Exportación Netflow
Características esenciales de Netflow
Versiones de Netflow
Comentarios
1 Original
Estándar y mas común
Específico de las series de Switches C6500 y 7600 de Cisco
Opción de los 11 esquemas de acumulación
Versión flexible y extensible del formato de exportación que brinda soporte para campos adicionales y tecnologías como por ejemplo
MPLS, Multicast, Próximo salto BGP e IPV6
5
7
8
9
Cada una de las versiones y sus posibilidades depende de la plataforma del Hardware y de su software CISCO IOS
Versiones de Exportación Netflow
Características esenciales de Netflow
Ejemplo del Datagrama de Exportación de la versión 5
El MIB de Netflow
Características esenciales de Netflow
Constituye un método fácil y simple de acceder a información de Netflow:
Información de la caché y su configuración
Información de la exportación y su configuración
Estadísticas de Exportación
Estadísticas de Protocolos
Información sobre la plantillas de exportación de la versión 9
Información de los flujos sobresalientes (tops flows, top-talkers)
Top flows provee un mecanismo para mostrar en tiempo real los flujos de la caché que sobresalen. Solo necesitan ser configurados : el número de sobresalientes (TopN) el orden (SortBy) y netflow.
De forma opcional se configuran: el timeout y los criterios de comparación
Agenda
Hardware y Configuración
• Dispositivos que soportan Netflow
• Hardware que soporta Netflow
• Referencia de comandos
• Rendimiento de Netflow
Dispositivos que soportan Netflow
Entre los Dispositivos que soportan Netflow podemos encontrar de CISCO:
• Routers
• Switches Catalyst
Existen otros vendedores de equipamientos que también lo soportan
Alcatel
Enterasys
Foundry
Juniper
Hardware y Configuración
Hardware que soporta Netflow de CISCO
Hardware y Configuración
Hardware y Configuración
Referencia de comandos
(ip flow ingress (egress) para otras versiones)
Hardware y Configuración
Referencia de comandos
Hardware y Configuración
Referencia de comandos (Ej.)
Hardware y Configuración
Referencia de comandos (Ej.)
Hardware y Configuración
Rendimiento de NetflowAproximado de Utilización de CPU por números de flujos activos
Números de flujos activos en la caché
Utilización de CPU adicional
10000 < 4%< 12 %< 16 %
4500065000
La Reducción significativa de la Utilización del CPU con Netflow se logra mediante:
Sampled Netflow
Optimización de los tiempos
Una arquitectura distribuida
Tener una exportación doble no tiene un impacto relevante en la utilización del CPU
Agenda
Herramientas de Análisis de Tráfico
• Herramientas
• Scrutinizer Netflow Analyzer 3.5.0
• ManageEngine Netflow Analyzer 4
Herramientas de Análisis de Tráfico
Herramientas
Mediante ellas se puede obtener
Reportes personalizados
Estadísticas de los tops en cuanto a aplicaciones, hosts y conversations
Estadísticas en tiempo real
Análisis detallado de un Host
Alarmas
Se pueden identificar y clasificar anomalías en la red
Scrutinizer Netflow Analyzer : Plataformas: Windows 2000/XP/2003
Herramientas de Análisis de Tráfico
Herramientas
ManageEngine Netflow Analyzer :Plataformas: Windows 2000/XP, Linux
CNS NetFlow Collection Engine :Plataformas: Solaris HP-UX y Red Hat Enterprise Linux
Herramientas de Análisis de Tráfico
Herramientas
NtopPlataformas: Windows, GNU/Linux, Unix
Netflow MonitorPlataformas: Linux, Unix
LINK: http://www.networkuptime.com/tools/netflow/
Stager
Plataformas: Linux, Unix
JNCA (Java Netflow Collectorand Analyzer) Pataformas: JAVA
NFsen
Plataformas: Linux, Unix
FlowScan
Plataformas: GNU/Linux, Unix
Conclusiones
Netflow es una herramienta de mucha utilidad para:
Monitorear el tráfico de la red
Realizar proyecciones
Detectar anomalías en la Red
Se adapta a los cambios de las nuevas Aplicaciones y Servicios