NETFLOW

Herramientas de análisis de tráfico

Humberto Rodríguez Jorge Rodrí

Agenda Ø Introducción Ø Características esenciales de Netflow Ø Hardware y Configuración Ø Herramientas de Análisis de Tráfico Ø Conclusiones

Introducción ü El rápido crecimiento de las redes IP a creado un interés en los nuevos servicios y aplicaciones que requieren de alto rendimiento y necesitan una calidad de servicio elevada ü Para garantizar estos requerimientos surgen tecnologías de medición que brindan de forma eficiente información de la utilización de los recursos y aplicaciones en la RED ü La tecnología Netflow de CISCO provee una solución para estas necesidades

Agenda Características esenciales de Netflow • Qué es Netflow ? • Orígenes • Qué es un flujo (flow) ? • Principales Beneficios de Netflow • Caché de Netflow • Caché de Acumulación de Netflow • Exportación de Datos • Versiones de Exportación Netflow • El MIB de Netflow

Características esenciales de Netflow Qué es Netflow ? Ø Netflow es un protocolo desarrollado por CISCO Systems para coleccionar información del tráfico de red Ø Habilita a los dispositivos ya sean routers o switches que lo soporten a generar records, que pueden ser enviados a un colector a través de una red Ø Responde las preguntas quién, qué, dónde y cómo basado en el tráfico IP Ø Provee una visión detallada del comportamiento de la RED (monitoreo de aplicaciones que utilizan puertos dinámicos)

Características esenciales de Netflow Orígenes • Es una tecnología que fue desarrollada y patentada por CISCO IOS en 1996 • Es ahora la principal tecnología de monitoreo de tráfico en la red

Características esenciales de Netflow Qué es un flujo (flow) ?
Es una cadena unidireccional de paquetes entre una determinada fuente y un destino, ambos definidos por una dirección IP de la capa de red y también por números de puertos origen y destino en la capa de transporte. Un flujo está definido por los siguientes campos: Ø Dirección IP Origen Ø Dirección IP Destino Ø Puerto Origen Ø Puerto Destino Ø Tipo de Protocolo de capa 3 Ø Byte de ToS Ø Interfase lógica de entrada (Ifindex) Un flujo tiene otros campos que dependen de la versión que se utiliza para exportar. Cada uno es procesado en una caché.
DATOS EXPORTADOS

Características esenciales de Netflow Principales Beneficios de Netflow ü Monitoreo de la Red: con técnicas de análisis de flujo ü Monitoreo de Aplicaciones: para planificar, entender nuevos servicios, y distribuir recursos y aplicaciones en la red ü Monitoreo de Usuarios: para revisar de forma efectiva la utilización de los recursos por parte de los usuarios ü Planificación de la Red: para anticiparse a los crecimientos de la red, ya sea en dispositivos, puertos y ancho de banda

Características esenciales de Netflow Principales Beneficios de Netflow ü Análisis de seguridad: con el fin de detectar anomalías en el tráfico de la red ü Contabilidad y la Facturación: debido a sus detalladas estadísticas ü Almacenamiento de los Datos Netflow: para futuros análisis

Características esenciales de Netflow Caché de Netflow ü Netflow opera construyendo una caché que contiene información de los flujos ü La información de la caché es exportada a un servidor colector de flujos, basada en períodos de tiempos configurables ü El desempeño eficiente de netflow depende de la administración inteligente de la caché, especialmente en routers con bastante carga de tráfico

Características esenciales de Netflow Caché de Acumulación de Netflow
ü Está dada por la característica que tiene el IOS de CISCO de conformar una Caché de acumulación basada en 11 esquemas que permiten resumir los datos exportados

ü Esquemas de Acumulación:
• AS Aggregation Scheme (brinda datos de flujos de AS-AS) • Destination-Prefix Aggregation Scheme (agrupa por destinos) • Protocol-Port Aggregation Scheme (agrupa por puertos) • Prefix Aggregation Scheme (agrupa por los prefijos) •Source Prefix Aggregation Scheme (agrupa por los orígenes) • Existen otros 6 esquemas basados en el ToS ü Puede ser configurada con valores de timeout y tamaño, además de ser exportada a un host específico ü Es exportada en las versiones 8 o 9 de Netflow

Características esenciales de Netflow Exportación de Datos
ü La exportación de Datos Netflow permite que los flujos recogidos por los equipos de conectividad sean recolectados y procesados ü Periódicamente las estadísticas de tráfico de todos lo flujos que caducan son exportados desde el dispositivo que mantiene la caché (router o switches) por UDP (también mediante SCTP)

Características esenciales de Netflow Exportación de Datos
¿ Cuándo Ocurre la Exportación?
Las entradas de la caché de Netflow son enviadas a un dispositivo colector (Ej. CNS Netflow Collection Engine) si ocurre una de las siguientes condiciones: • El protocolo de transporte indica que se ha completado la conexión (flag TCP FIN) o cuando aparece el flag de RST

• La inactividad en el tráfico excede los 15 segundos (es configurable)

• Expiran los flujos que se mantienen activos por más de 30 minutos, mediante esto se asegura un reporte periódico (es configurable)

• Se llena la caché

Características esenciales de Netflow Exportación de Datos Paquete de exportación UDP • Aproximadamente 1500 bytes • Típicamente contienen de 20 a 50 records de flujo • Se envían de forma más frecuente si aumenta el tráfico en las interfases configuradas con Netflow

Características esenciales de Netflow Exportación de Datos Ejemplo de la Caché de Netflow y su Exportación

Características esenciales de Netflow Versiones de Exportación Netflow
Versiones de Netflow 1 5 7 8 9 Comentarios Original Estándar y mas común Específico de las series de Switches C6500 y 7600 de Cisco Opción de los 11 esquemas de acumulación Versión flexible y extensible del formato de exportación que brinda soporte para campos adicionales y tecnologías como por ejemplo MPLS, Multicast, Próximo salto BGP e IPV6

Ø

Cada una de las versiones y sus posibilidades depende de la plataforma del Hardware y de su software CISCO IOS

Características esenciales de Netflow Versiones de Exportación Netflow
Ejemplo del Datagrama de Exportación de la versión 5

Características esenciales de Netflow El MIB de Netflow
Constituye un método fácil y simple de acceder a información de Netflow: ü Información de la caché y su configuración ü Información de la exportación y su configuración ü Estadísticas de Exportación ü Estadísticas de Protocolos ü Información sobre la plantillas de exportación de la versión 9 ü Información de los flujos sobresalientes (tops flows, toptalkers) Top flows provee un mecanismo para mostrar en tiempo real los flujos de la caché que sobresalen. Solo necesitan ser configurados : el número de sobresalientes (TopN) el orden (SortBy) y netflow. De forma opcional se configuran: el timeout y los criterios de comparación

Agenda Hardware y Configuración • Dispositivos que soportan Netflow • Hardware que soporta Netflow • Referencia de comandos • Rendimiento de Netflow

Hardware y Configuración Dispositivos que soportan Netflow Entre los Dispositivos que soportan Netflow podemos encontrar de CISCO: • Routers • Switches Catalyst Existen otros vendedores de equipamientos que también lo soportan § Alcatel § Enterasys § Foundry § Juniper

Hardware y Configuración Hardware que soporta Netflow de CISCO

Hardware y Configuración Referencia de comandos
(ip flow ingress (egress) para otras versiones)

Hardware y Configuración Referencia de comandos

Hardware y Configuración Referencia de comandos (Ej.)

Hardware y Configuración Referencia de comandos (Ej.)

Hardware y Configuración Rendimiento de Netflow
Ø

Aproximado de Utilización de CPU por números de flujos activos
Números de flujos activos en la caché 10000 45000 65000 Utilización de CPU adicional < 4% < 12 % < 16 %

La Reducción significativa de la Utilización del CPU con Netflow se logra mediante:
Ø Ø Ø Ø Ø

Sampled Netflow Optimización de los tiempos Una arquitectura distribuida

Tener una exportación doble no tiene un impacto relevante en la utilización del CPU

Agenda Herramientas de Análisis de Tráfico • Herramientas • Scrutinizer Netflow Analyzer 3.5.0 • ManageEngine Netflow Analyzer 4

Herramientas de Análisis de Tráfico Herramientas Mediante ellas se puede obtener
Ø
Ø

Reportes personalizados

Estadísticas de los tops en cuanto a aplicaciones, hosts y conversations
Ø Ø Ø Ø

Estadísticas en tiempo real Análisis detallado de un Host Alarmas Se pueden identificar y clasificar anomalías en la red

Herramientas de Análisis de Tráfico Herramientas
Scrutinizer Netflow Analyzer : Plataformas: Windows 2000/XP/2003

ManageEngine Netflow Analyzer : Plataformas: Windows 2000/XP, Linux

CNS NetFlow Collection Engine : Plataformas: Solaris HP-UX y Red Hat Enterprise Linux

Herramientas de Análisis de Tráfico Herramientas
Netflow Monitor Plataformas: Linux, Unix Stager Plataformas: Linux, Unix JNCA (Java Netflow Collector and Analyzer) Pataformas: JAVA FlowScan Plataformas: GNU/Linux, Unix

Ntop Plataformas: Windows, GNU/Linux, Unix

NFsen Plataformas: Linux, Unix LINK: http://www.networkuptime.com/tools/netflow/

Herramientas de Análisis de Tráfico Scrutinizer Netflow Analyzer 3.5.0

Herramientas de Análisis de Tráfico • ManageEngine Netflow Analyzer 4

Conclusiones

Netflow es una herramienta de mucha utilidad para: Ø Monitorear el tráfico de la red Ø Realizar proyecciones Ø Detectar anomalías en la Red Se adapta a los cambios de las nuevas Aplicaciones y Servicios

Sign up to vote on this title
UsefulNot useful