NETFLOW AND FLEXIBLE NETFLOW
Recopilar estadísticas sobre una
red durante sus operaciones no solo es útil sino importante. Recopilar
información estadística sobre los flujos de tráfico es necesario por varias
razones. Algunas empresas, como los proveedores de servicios, lo utilizan para
la facturación de los clientes. Otros negocios lo usan para determinar si el
tráfico fluye de manera óptima a través de la red. Algunos lo usan para
solucionar problemas si la red no funciona correctamente. NetFlow es muy
versátil y proporciona una gran cantidad de información sin mucha carga de
configuración. Dicho esto, NetFlow tiene dos componentes que deben
configurarse: NetFlow Data Capture y NetFlow Data Export. NetFlow Data Capture
captura las estadísticas de tráfico. NetFlow Data Export exporta los datos
estadísticos a un recopilador de NetFlow, como Cisco DNA Center o Cisco Prime
Infrastructure.
Hay un par de cosas a tener en
cuenta desde una perspectiva de diseño antes de habilitar NetFlow. Primero,
NetFlow consume recursos de memoria. Las estadísticas de tráfico se capturan en
la memoria caché. El tamaño predeterminado del caché es específico de la
plataforma y debe investigarse antes de habilitar NetFlow. Este es
especialmente el caso con plataformas más antiguas que potencialmente tienen menos
recursos de memoria disponibles.
NetFlow captura el tráfico al
entrar y salir, es decir, el tráfico que ingresa a los dispositivos, así como
el tráfico que los abandona. La siguiente Tabla enumera los diferentes tipos de
tráfico de entrada y salida recopilados con NetFlow Versión 9 en un dispositivo
Cisco IOS.
Tipos de tráfico
recopilado de entrada y salida de NetFlow
Ingreso |
Egreso |
Ip to Ip packets |
Netflow contabiliza todos los paquetes
de tráfico IP |
Ip to MPLS |
Mpls to ip |
Frame Relay Packets |
|
ATM Terminated Packets |
|
NetFlow recoge el tráfico en
función de los flujos. Un flujo es un flujo de tráfico unidireccional que
contiene una combinación de los siguientes campos clave:
• Source IP address
• Destination IP address
• Source port number
• Destination port number
• Layer 3 protocol type
• Type of service (ToS)
• Input logical interface
El siguiente ejemplo muestra cómo
habilitar NetFlow en un dispositivo. (Si la intención deseada no es exportar
los datos de NetFlow a un recopilador, se puede omitir ese paso). Este ejemplo
cubre la configuración de la interfaz F0 / 1 de R1 para la captura de datos de
NetFlow y la exportación de los datos al recopilador 192.168.14.100. Los pasos
son bastante simples. El ejemplo a continuación ilustra el proceso de
configuración de la captura de datos de NetFlow y la exportación de datos de
NetFlow en R1.
Configurando NetFlow y NetFlow Data Export en
R1
Para verificar que NetFlow y
NetFlow Data Export se hayan configurado correctamente, se pueden ejecutar algunos
comandos desde la interfaz de línea de comandos. El primero es show ip flow interface, que muestra las interfaces configuradas para NetFlow. El
segundo es el comando show ip flow
export, que muestra el destino para exportar los datos de NetFlow, así como
las estadísticas sobre la exportación, incluyendo cualquier error que pueda
surgir. Finalmente, el comando show ip
cache flow muestra los flujos de tráfico que NetFlow está capturando. El
ejemplo a continuación muestra la salida de estos tres comandos.
Verificación de la
configuración de exportación de datos de NetFlow y NetFlow en R1
Otra gran opción para NetFlow es poder configurar la cantidad máxima especificada de talkers en la red. Una configuración muy útil y rápida le permite obtener una gran instantánea de lo que está sucediendo en un dispositivo desde una perspectiva de flujo.
Esta vista se puede habilitar
emitiendo el comando en modo de configuración global ip flow-top-talkers y configurando el comando top para el número de hablantes (1–200) y el comando sort-by para ordenar por bytes o
paquetes, dependiendo de caso de uso. El ejemplo a continuación muestra los
pasos de configuración en R1.
Configurando y
Verificando top talkers en R1
Para verificar utilice el comando: R1# show ip flow top-talkers
Flexible Netflow se creó para ayudar en una configuración de
análisis de tráfico más compleja de lo que es posible con NetFlow tradicional. Flexible
Netflow permite el uso y la reutilización de componentes de configuración.
La tabla a
continuación lista los componentes que hacen que Flexible Netflow sea
potente. Flexible Netflow permite el uso de múltiples monitores de flujo en el
mismo tráfico al mismo tiempo. Esto significa que se pueden aplicar múltiples
políticas de flujo diferentes al mismo tráfico a medida que fluye a través de
un dispositivo. Si dos departamentos diferentes tienen una razón para analizar
el tráfico, ambos pueden hacerlo utilizando diferentes parámetros en cada
monitor de flujo.
Hay compensaciones en el uso de
datos muestreados de NetFlow. La más importante es que hay una carga reducida
en el dispositivo en términos de memoria y CPU. Sin embargo, al muestrear los
datos de NetFlow solo a intervalos específicos, podría perderse algo, ya que la
precisión disminuye con el muestreo en comparación con la recopilación de todos
los datos. Sin embargo, según el caso de uso y el entorno, el muestreo puede
ser perfectamente aceptable. Todo depende del negocio y sus prioridades.
La seguridad ha sido un gran
impulsor en la adopción de Flexible NetFlow debido a su capacidad para rastrear
todas las partes del encabezado IP, así como el paquete y normalizarlo en
flujos. Flexible NetFlow puede crear dinámicamente cachés individuales para
cada tipo de flujo. Además, Flexible NetFlow puede filtrar el tráfico de
entrada destinado a un
Destino único. Estos factores
hacen de Flexible NetFlow un activo de seguridad muy poderoso.
Puede usar los comandos collect
y match para crear un registro de flujo personalizado. Para crear un
registro de flujo personalizado, ciertos campos clave y no clave deben
coincidir para que el registro de flujo sea utilizable. El comando de
coincidencia se utiliza para seleccionar campos clave, y el comando de
recopilación se utiliza para seleccionar campos que no son clave. La Tabla a
continuación muestra una lista de los campos clave y no clave que se pueden
utilizar para imitar las capacidades originales de NetFlow al crear un registro
de flujo personalizado.
Flow Record Key and Non-Key Fields
La configuración de registros de
flujo es un paso importante para habilitar Flexible NetFlow porque el registro de flujo define qué tipo de
tráfico se analizará o supervisará. Hay registros de flujo predefinidos, y
también puede crear registros de flujo personalizados. Los registros de flujo
personalizados pueden tener cientos de combinaciones diferentes para satisfacer
las necesidades exactas de la empresa. La configuración de un registro de flujo
personalizado implica los siguientes pasos:
1. Defina el nombre del registro
de flujo.
2. Establezca una descripción
útil del registro de flujo.
3. Establecer criterios de
coincidencia para campos clave.
4. Defina los campos no clave que
se recopilarán.
Aunque muchos de los registros de
flujo predefinidos que están disponibles pueden ser adecuados para muchos casos
de uso, hay demasiados para cubrirlos aquí. Tener la capacidad de crear un
registro de flujo personalizado para un caso de uso específico y único es
extremadamente poderoso. El ejemplo a continuación muestra un registro de flujo
personalizado llamado CUSTOM1 que se define en R4. Este ejemplo utiliza el
comando de coincidencia para hacer coincidir la dirección de destino de IPv4 y
el comando de recopilación para recopilar el byte y el recuento de paquetes.
Para verificar la configuración del registro
de flujo, se puede usar el comando show flow record CUSTOM1.
Para ver todos los registros de flujo configurados, incluidos los registros de
flujo predefinidos, se puede usar el comando show flow record por sí
mismo. El comando show run flow record también muestra la configuración en
ejecución de los registros de flujo de clientes que se crearon.
Ahora que se ha configurado un
registro de flujo personalizado, se puede crear el exportador de flujo. Hay
algunos pasos importantes que debe completar al crear un exportador de flujo:
1. Defina el nombre del exportador
de flujo.
2. Establezca una descripción
útil del exportador de flujo.
3. Especifique el destino del
exportador de flujo que se utilizará.
4. Especifique la versión de
NetFlow para exportar.
5. Especifique el puerto UDP.
En este caso, el exportador que
se creará apuntará al host 192.168.90.90. Este paso en el proceso exporta datos
de flujo desde el dispositivo a un colector NetFlow o plataforma de
administración como Cisco DNA Center o Cisco Prime Infrastructure. El ejemplo a
continuación ilustra la configuración del exportador de flujo y cómo verificar
la configuración en R4.
Configuración y
verificación del exportador de flujo personalizado en R4
Ahora que se ha configurado un
exportador de flujo personalizado llamado CUSTOM1, se debe crear el monitor de
flujo. Cada monitor de flujo requiere que se le asigne un registro de flujo.
Cada monitor de flujo tiene su propia memoria caché, y el registro de flujo
proporciona el diseño y cómo dividir la memoria caché para el tráfico definido
en el registro de flujo. El monitor de flujo puede usar los registros de flujo
predefinidos o los registros de flujo personalizados. A los efectos de esta
sección, el registro de flujo CUSTOM1 se utiliza para ilustrar los pasos de
configuración. Para configurar un monitor de flujo, se deben seguir los
siguientes pasos de alto nivel:
1. Defina el nombre del monitor
de flujo.
2. Establezca una descripción
útil del monitor de flujo.
3. Especifique el registro de
flujo que se utilizará.
4. Especifique un tiempo de
espera de caché de 60 para las conexiones activas.
5. Asigne el exportador al
monitor.
Configurar un monitor de flujo es
una tarea bastante sencilla. El tiempo de espera de la memoria caché le dice al
dispositivo que exporte la memoria caché al recopilador cada 60 segundos. Al
crear un monitor de flujo, es importante que la descripción del monitor de
flujo sea útil y que se vuelva a asignar al registro de flujo. Del mismo modo,
al configurar QoS, es bueno que las descripciones auto documenten la intención
de lo que está haciendo la política. Esto ayuda al configurar el monitor de
flujo y al usar la ayuda sensible al contexto, como la descripción que se
configura se muestra en la salida. El ejemplo a continuación muestra esto, así
como la configuración y verificación del monitor de flujo denominado CUSTOM1.
El siguiente paso es asignar el
exportador de flujo CUSTOM1 al monitor de flujo CUSTOM1. Esencialmente, debe
asignar los dos juntos para que el tráfico que recopila el registro de flujo se
pueda exportar al recopilador NetFlow en 192.168.90.90. El ejemplo a
continuación muestra el proceso y la verificación para agregar el exportador de
flujo CUSTOM1 al monitor de flujo CUSTOM1 en R4. El resultado ilustra la
necesidad de descripciones claras y detalladas a lo largo del proceso.
Configuración y
verificación de la asignación del exportador de flujo al Monitor de flujo en R4
El último paso necesario para
habilitar Flexible NetFlow es aplicar el monitor de flujo a las interfaces.
Este paso activa la recopilación de estadísticas de NetFlow, y puede
habilitarse para ingreso o egreso o ambos. Este escenario resalta la opción de
ingreso, utilizando el comando de entrada CUSTOM1 del monitor de flujo de IP en
las interfaces deseadas. El ejemplo a continuación ilustra el proceso y cómo
verificar que Flexible NetFlow está funcionando.
La modularidad de Flexible
NetFlow hace que la herramienta sea mucho más escalable y potente que NetFlow
tradicional. Tener la capacidad de exportar a múltiples destinos o
recolectores, así como tener la capacidad de usar la herramienta para análisis
forenses de seguridad para identificar ataques DoS y propagación de gusanos es
tremendo. Aunque hay bastantes pasos involucrados para habilitar Flexible
NetFlow, el proceso es fácilmente replicable, por lo que los ingenieros de red
pueden crear fácilmente análisis de tráfico para satisfacer las necesidades
individuales de la empresa o múltiples departamentos dentro de la misma
organización.
Comentarios
Publicar un comentario