NETFLOW AND FLEXIBLE NETFLOW




Recopilar estadísticas sobre una red durante sus operaciones no solo es útil sino importante. Recopilar información estadística sobre los flujos de tráfico es necesario por varias razones. Algunas empresas, como los proveedores de servicios, lo utilizan para la facturación de los clientes. Otros negocios lo usan para determinar si el tráfico fluye de manera óptima a través de la red. Algunos lo usan para solucionar problemas si la red no funciona correctamente. NetFlow es muy versátil y proporciona una gran cantidad de información sin mucha carga de configuración. Dicho esto, NetFlow tiene dos componentes que deben configurarse: NetFlow Data Capture y NetFlow Data Export. NetFlow Data Capture captura las estadísticas de tráfico. NetFlow Data Export exporta los datos estadísticos a un recopilador de NetFlow, como Cisco DNA Center o Cisco Prime Infrastructure.

 

Hay un par de cosas a tener en cuenta desde una perspectiva de diseño antes de habilitar NetFlow. Primero, NetFlow consume recursos de memoria. Las estadísticas de tráfico se capturan en la memoria caché. El tamaño predeterminado del caché es específico de la plataforma y debe investigarse antes de habilitar NetFlow. Este es especialmente el caso con plataformas más antiguas que potencialmente tienen menos recursos de memoria disponibles.

NetFlow captura el tráfico al entrar y salir, es decir, el tráfico que ingresa a los dispositivos, así como el tráfico que los abandona. La siguiente Tabla enumera los diferentes tipos de tráfico de entrada y salida recopilados con NetFlow Versión 9 en un dispositivo Cisco IOS.

Tipos de tráfico recopilado de entrada y salida de NetFlow

 

Ingreso

Egreso

Ip to Ip packets

Netflow contabiliza todos los paquetes de tráfico IP

Ip to MPLS

Mpls to ip

Frame Relay Packets

 

ATM Terminated Packets

 

 

NetFlow recoge el tráfico en función de los flujos. Un flujo es un flujo de tráfico unidireccional que contiene una combinación de los siguientes campos clave:

• Source IP address

• Destination IP address

• Source port number

• Destination port number

• Layer 3 protocol type

• Type of service (ToS)

• Input logical interface

 

El siguiente ejemplo muestra cómo habilitar NetFlow en un dispositivo. (Si la intención deseada no es exportar los datos de NetFlow a un recopilador, se puede omitir ese paso). Este ejemplo cubre la configuración de la interfaz F0 / 1 de R1 para la captura de datos de NetFlow y la exportación de los datos al recopilador 192.168.14.100. Los pasos son bastante simples. El ejemplo a continuación ilustra el proceso de configuración de la captura de datos de NetFlow y la exportación de datos de NetFlow en R1.

 

Configurando NetFlow y NetFlow Data Export en R1



 

Para verificar que NetFlow y NetFlow Data Export se hayan configurado correctamente, se pueden ejecutar algunos comandos desde la interfaz de línea de comandos. El primero es show ip flow interface, que muestra las interfaces configuradas para NetFlow. El segundo es el comando show ip flow export, que muestra el destino para exportar los datos de NetFlow, así como las estadísticas sobre la exportación, incluyendo cualquier error que pueda surgir. Finalmente, el comando show ip cache flow muestra los flujos de tráfico que NetFlow está capturando. El ejemplo a continuación muestra la salida de estos tres comandos.

 

Verificación de la configuración de exportación de datos de NetFlow y NetFlow en R1

 



 



Otra gran opción para NetFlow es poder configurar la cantidad máxima especificada de talkers en la red. Una configuración muy útil y rápida le permite obtener una gran instantánea de lo que está sucediendo en un dispositivo desde una perspectiva de flujo.

Esta vista se puede habilitar emitiendo el comando en modo de configuración global ip flow-top-talkers y configurando el comando top para el número de hablantes (1–200) y el comando sort-by para ordenar por bytes o paquetes, dependiendo de caso de uso. El ejemplo a continuación muestra los pasos de configuración en R1.

Configurando y Verificando top talkers en R1



 

Para verificar utilice el comando: R1# show ip flow top-talkers

Flexible Netflow se creó para ayudar en una configuración de análisis de tráfico más compleja de lo que es posible con NetFlow tradicional. Flexible Netflow permite el uso y la reutilización de componentes de configuración.

La tabla a continuación lista los componentes que hacen que Flexible Netflow sea potente. Flexible Netflow permite el uso de múltiples monitores de flujo en el mismo tráfico al mismo tiempo. Esto significa que se pueden aplicar múltiples políticas de flujo diferentes al mismo tráfico a medida que fluye a través de un dispositivo. Si dos departamentos diferentes tienen una razón para analizar el tráfico, ambos pueden hacerlo utilizando diferentes parámetros en cada monitor de flujo.



 

Hay compensaciones en el uso de datos muestreados de NetFlow. La más importante es que hay una carga reducida en el dispositivo en términos de memoria y CPU. Sin embargo, al muestrear los datos de NetFlow solo a intervalos específicos, podría perderse algo, ya que la precisión disminuye con el muestreo en comparación con la recopilación de todos los datos. Sin embargo, según el caso de uso y el entorno, el muestreo puede ser perfectamente aceptable. Todo depende del negocio y sus prioridades.

La seguridad ha sido un gran impulsor en la adopción de Flexible NetFlow debido a su capacidad para rastrear todas las partes del encabezado IP, así como el paquete y normalizarlo en flujos. Flexible NetFlow puede crear dinámicamente cachés individuales para cada tipo de flujo. Además, Flexible NetFlow puede filtrar el tráfico de entrada destinado a un

Destino único. Estos factores hacen de Flexible NetFlow un activo de seguridad muy poderoso.

Puede usar los comandos collect y match para crear un registro de flujo personalizado. Para crear un registro de flujo personalizado, ciertos campos clave y no clave deben coincidir para que el registro de flujo sea utilizable. El comando de coincidencia se utiliza para seleccionar campos clave, y el comando de recopilación se utiliza para seleccionar campos que no son clave. La Tabla a continuación muestra una lista de los campos clave y no clave que se pueden utilizar para imitar las capacidades originales de NetFlow al crear un registro de flujo personalizado.

 

 

Flow Record Key and Non-Key Fields


La configuración de registros de flujo es un paso importante para habilitar Flexible NetFlow  porque el registro de flujo define qué tipo de tráfico se analizará o supervisará. Hay registros de flujo predefinidos, y también puede crear registros de flujo personalizados. Los registros de flujo personalizados pueden tener cientos de combinaciones diferentes para satisfacer las necesidades exactas de la empresa. La configuración de un registro de flujo personalizado implica los siguientes pasos:

1. Defina el nombre del registro de flujo.

2. Establezca una descripción útil del registro de flujo.

3. Establecer criterios de coincidencia para campos clave.

4. Defina los campos no clave que se recopilarán.

Aunque muchos de los registros de flujo predefinidos que están disponibles pueden ser adecuados para muchos casos de uso, hay demasiados para cubrirlos aquí. Tener la capacidad de crear un registro de flujo personalizado para un caso de uso específico y único es extremadamente poderoso. El ejemplo a continuación muestra un registro de flujo personalizado llamado CUSTOM1 que se define en R4. Este ejemplo utiliza el comando de coincidencia para hacer coincidir la dirección de destino de IPv4 y el comando de recopilación para recopilar el byte y el recuento de paquetes.

 Para verificar la configuración del registro de flujo, se puede usar el comando show flow record CUSTOM1. Para ver todos los registros de flujo configurados, incluidos los registros de flujo predefinidos, se puede usar el comando show flow record por sí mismo. El comando show run flow record también muestra la configuración en ejecución de los registros de flujo de clientes que se crearon.



 



Ahora que se ha configurado un registro de flujo personalizado, se puede crear el exportador de flujo. Hay algunos pasos importantes que debe completar al crear un exportador de flujo:

1. Defina el nombre del exportador de flujo.

2. Establezca una descripción útil del exportador de flujo.

3. Especifique el destino del exportador de flujo que se utilizará.

4. Especifique la versión de NetFlow para exportar.

5. Especifique el puerto UDP.

En este caso, el exportador que se creará apuntará al host 192.168.90.90. Este paso en el proceso exporta datos de flujo desde el dispositivo a un colector NetFlow o plataforma de administración como Cisco DNA Center o Cisco Prime Infrastructure. El ejemplo a continuación ilustra la configuración del exportador de flujo y cómo verificar la configuración en R4.

Configuración y verificación del exportador de flujo personalizado en R4



 



Ahora que se ha configurado un exportador de flujo personalizado llamado CUSTOM1, se debe crear el monitor de flujo. Cada monitor de flujo requiere que se le asigne un registro de flujo. Cada monitor de flujo tiene su propia memoria caché, y el registro de flujo proporciona el diseño y cómo dividir la memoria caché para el tráfico definido en el registro de flujo. El monitor de flujo puede usar los registros de flujo predefinidos o los registros de flujo personalizados. A los efectos de esta sección, el registro de flujo CUSTOM1 se utiliza para ilustrar los pasos de configuración. Para configurar un monitor de flujo, se deben seguir los siguientes pasos de alto nivel:

1. Defina el nombre del monitor de flujo.

2. Establezca una descripción útil del monitor de flujo.

3. Especifique el registro de flujo que se utilizará.

4. Especifique un tiempo de espera de caché de 60 para las conexiones activas.

5. Asigne el exportador al monitor.

Configurar un monitor de flujo es una tarea bastante sencilla. El tiempo de espera de la memoria caché le dice al dispositivo que exporte la memoria caché al recopilador cada 60 segundos. Al crear un monitor de flujo, es importante que la descripción del monitor de flujo sea útil y que se vuelva a asignar al registro de flujo. Del mismo modo, al configurar QoS, es bueno que las descripciones auto documenten la intención de lo que está haciendo la política. Esto ayuda al configurar el monitor de flujo y al usar la ayuda sensible al contexto, como la descripción que se configura se muestra en la salida. El ejemplo a continuación muestra esto, así como la configuración y verificación del monitor de flujo denominado CUSTOM1.

 


 



 



El siguiente paso es asignar el exportador de flujo CUSTOM1 al monitor de flujo CUSTOM1. Esencialmente, debe asignar los dos juntos para que el tráfico que recopila el registro de flujo se pueda exportar al recopilador NetFlow en 192.168.90.90. El ejemplo a continuación muestra el proceso y la verificación para agregar el exportador de flujo CUSTOM1 al monitor de flujo CUSTOM1 en R4. El resultado ilustra la necesidad de descripciones claras y detalladas a lo largo del proceso.

 

Configuración y verificación de la asignación del exportador de flujo al Monitor de flujo en R4

 



 

El último paso necesario para habilitar Flexible NetFlow es aplicar el monitor de flujo a las interfaces. Este paso activa la recopilación de estadísticas de NetFlow, y puede habilitarse para ingreso o egreso o ambos. Este escenario resalta la opción de ingreso, utilizando el comando de entrada CUSTOM1 del monitor de flujo de IP en las interfaces deseadas. El ejemplo a continuación ilustra el proceso y cómo verificar que Flexible NetFlow está funcionando.

 

 





La modularidad de Flexible NetFlow hace que la herramienta sea mucho más escalable y potente que NetFlow tradicional. Tener la capacidad de exportar a múltiples destinos o recolectores, así como tener la capacidad de usar la herramienta para análisis forenses de seguridad para identificar ataques DoS y propagación de gusanos es tremendo. Aunque hay bastantes pasos involucrados para habilitar Flexible NetFlow, el proceso es fácilmente replicable, por lo que los ingenieros de red pueden crear fácilmente análisis de tráfico para satisfacer las necesidades individuales de la empresa o múltiples departamentos dentro de la misma organización.



Netlearning Academy es un esfuerzo en comunidad donde tratamos de que nuestros servicios sean sin cobro. Ayúdanos a mantenerlo así

Comentarios

Entradas más populares de este blog

Laboratorio #2 OSPF versión 2 Multiarea

Laboratorio #1 Redistribución de Rutas

Laboratorio #3 GRE over IPSEC