protocolo netflow
Transcript of protocolo netflow
![Page 1: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/1.jpg)
NETFLOWHerramientas de análisis de tráfico
Humberto RodrHumberto Rodrííguez Jorgeguez Jorge
![Page 2: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/2.jpg)
Agenda
Ø Introducción
Ø Características esenciales de Netflow
Ø Hardware y Configuración
Ø Herramientas de Análisis de Tráfico
Ø Conclusiones
![Page 3: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/3.jpg)
Introducción
ü El rápido crecimiento de las redes IP a creado un interés en los nuevos servicios y aplicaciones que requieren de alto rendimiento y necesitan una calidad de servicio elevada
ü Para garantizar estos requerimientos surgen tecnologías de medición que brindan de forma eficiente información de la utilización de los recursos y aplicaciones en la RED
ü La tecnología Netflow de CISCO provee una solución para estas necesidades
![Page 4: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/4.jpg)
Agenda
Características esenciales de Netflow
• Qué es Netflow ?
• Orígenes
• Qué es un flujo (flow) ?
• Principales Beneficios de Netflow
• Caché de Netflow
• Caché de Acumulación de Netflow
• Exportación de Datos
• Versiones de Exportación Netflow
• El MIB de Netflow
![Page 5: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/5.jpg)
Características esenciales de Netflow
Qué es Netflow ?
Ø Netflow es un protocolo desarrollado por CISCO Systemspara coleccionar información del tráfico de red
Ø Habilita a los dispositivos ya sean routers o switches que lo soporten a generar records, que pueden ser enviados a un colector a través de una red
Ø Responde las preguntas quién, qué, dónde y cómo basado en el tráfico IP
Ø Provee una visión detallada del comportamiento de la RED (monitoreo de aplicaciones que utilizan puertos dinámicos)
![Page 6: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/6.jpg)
Orígenes
• Es una tecnología que fue desarrollada y patentada por CISCO IOS en 1996
• Es ahora la principal tecnología de monitoreo de tráfico en la red
Características esenciales de Netflow
![Page 7: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/7.jpg)
Características esenciales de Netflow
Qué es un flujo (flow) ?Es una cadena unidireccional de paquetes entre una determinada fuente y un destino, ambos definidos por una dirección IP de la capa de red y también por números de puertos origen y destino en la capa de transporte.
Un flujo está definido por los siguientes campos:
Ø Dirección IP Origen
Ø Dirección IP Destino
Ø Puerto Origen
Ø Puerto Destino
Ø Tipo de Protocolo de capa 3
Ø Byte de ToS
Ø Interfase lógica de entrada (Ifindex)DATOS EXPORTADOS
Un flujo tiene otros campos que dependen de la versión que se utiliza para exportar. Cada uno es procesado en una caché.
![Page 8: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/8.jpg)
Principales Beneficios de Netflow
üMonitoreo de la Red: con técnicas de análisis de flujo
üMonitoreo de Aplicaciones: para planificar, entender nuevos servicios, y distribuir recursos y aplicaciones en la red
üMonitoreo de Usuarios: para revisar de forma efectiva la utilización de los recursos por parte de los usuarios
ü Planificación de la Red: para anticiparse a los crecimientos de la red, ya sea en dispositivos, puertos y ancho de banda
Características esenciales de Netflow
![Page 9: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/9.jpg)
ü Análisis de seguridad: con el fin de detectar anomalías en el tráfico de la red
ü Contabilidad y la Facturación: debido a sus detalladas estadísticas
ü Almacenamiento de los Datos Netflow: para futuros análisis
Principales Beneficios de Netflow
Características esenciales de Netflow
![Page 10: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/10.jpg)
Caché de Netflow
Características esenciales de Netflow
ü Netflow opera construyendo una caché que contiene información de los flujos
ü La información de la caché es exportada a un servidor colector de flujos, basada en períodos de tiempos configurables
ü El desempeño eficiente de netflow depende de la administración inteligente de la caché, especialmente en routers con bastante carga de tráfico
![Page 11: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/11.jpg)
Caché de Acumulación de Netflow
Características esenciales de Netflow
ü Está dada por la característica que tiene el IOS de CISCO de conformar una Caché de acumulación basada en 11 esquemas que permiten resumir los datos exportados
ü Esquemas de Acumulación:
• AS Aggregation Scheme (brinda datos de flujos de AS-AS) • Destination-Prefix Aggregation Scheme (agrupa por destinos)• Protocol-Port Aggregation Scheme (agrupa por puertos)• Prefix Aggregation Scheme (agrupa por los prefijos)•Source Prefix Aggregation Scheme (agrupa por los orígenes)
• Existen otros 6 esquemas basados en el ToS
ü Puede ser configurada con valores de timeout y tamaño, además de ser exportada a un host específico
ü Es exportada en las versiones 8 o 9 de Netflow
![Page 12: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/12.jpg)
Exportación de Datos
Características esenciales de Netflow
ü La exportación de Datos Netflow permite que los flujos recogidos por los equipos de conectividad sean recolectados y procesados
ü Periódicamente las estadísticas de tráfico de todos lo flujos que caducan son exportados desde el dispositivo que mantiene la caché (router o switches) por UDP (también mediante SCTP)
![Page 13: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/13.jpg)
Exportación de Datos
Características esenciales de Netflow
Las entradas de la caché de Netflow son enviadas a un dispositivo colector (Ej. CNS Netflow Collection Engine) si ocurre una de las siguientes condiciones:
• El protocolo de transporte indica que se ha completado la conexión(flag TCP FIN) o cuando aparece el flag de RST
• La inactividad en el tráfico excede los 15 segundos (es configurable)
• Expiran los flujos que se mantienen activos por más de 30 minutos, mediante esto se asegura un reporte periódico (es configurable)
• Se llena la caché
¿ Cuándo Ocurre la Exportación?
![Page 14: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/14.jpg)
Exportación de Datos
Paquete de exportación UDP
• Aproximadamente 1500 bytes
• Típicamente contienen de 20 a 50 records de flujo
• Se envían de forma más frecuente si aumenta el tráfico en las interfases configuradas con Netflow
Características esenciales de Netflow
![Page 15: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/15.jpg)
Exportación de Datos
Características esenciales de Netflow
Ejemplo de la Caché de Netflow y su Exportación
![Page 16: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/16.jpg)
Versiones de Exportación Netflow
Características esenciales de Netflow
Versión flexible y extensible del formato de exportación que brinda soporte para campos adicionales y tecnologías como por ejemplo
MPLS, Multicast, Próximo salto BGP e IPV6
Opción de los 11 esquemas de acumulación
Específico de las series de Switches C6500 y 7600 de Cisco
Estándar y mas común
Original
Comentarios
9
8
7
5
1
Versiones de Netflow
Ø Cada una de las versiones y sus posibilidades depende de la plataforma del Hardware y de su software CISCO IOS
![Page 17: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/17.jpg)
Versiones de Exportación Netflow
Características esenciales de Netflow
Ejemplo del Datagrama de Exportación de la versión 5
![Page 18: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/18.jpg)
El MIB de Netflow
Características esenciales de Netflow
Constituye un método fácil y simple de acceder a información de Netflow:
ü Información de la caché y su configuración
ü Información de la exportación y su configuración
ü Estadísticas de Exportación
ü Estadísticas de Protocolos
ü Información sobre la plantillas de exportación de la versión 9
ü Información de los flujos sobresalientes (tops flows, top-talkers)
Top flows provee un mecanismo para mostrar en tiempo real los flujos de la caché que sobresalen. Solo necesitan ser configurados : el número de sobresalientes (TopN) el orden (SortBy) y netflow.
De forma opcional se configuran: el timeout y los criterios de comparación
![Page 19: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/19.jpg)
Agenda
Hardware y Configuración
• Dispositivos que soportan Netflow
• Hardware que soporta Netflow
• Referencia de comandos
• Rendimiento de Netflow
![Page 20: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/20.jpg)
Dispositivos que soportan NetflowEntre los Dispositivos que soportan Netflow podemos encontrar de CISCO:
• Routers
• Switches Catalyst
Existen otros vendedores de equipamientos que también lo soportan
§ Alcatel
§ Enterasys
§ Foundry
§ Juniper
Hardware y Configuración
![Page 21: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/21.jpg)
Hardware que soporta Netflow de CISCO
Hardware y Configuración
![Page 22: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/22.jpg)
Hardware y Configuración
Referencia de comandos
(ip flow ingress (egress) para otras versiones)
![Page 23: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/23.jpg)
Hardware y Configuración
Referencia de comandos
![Page 24: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/24.jpg)
Hardware y Configuración
Referencia de comandos (Ej.)
![Page 25: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/25.jpg)
Hardware y Configuración
Referencia de comandos (Ej.)
![Page 26: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/26.jpg)
Hardware y Configuración
Rendimiento de NetflowØ Aproximado de Utilización de CPU por números de flujos activos
< 16 %< 12 %< 4%
Utilización de CPU adicional
650004500010000
Números de flujos activos en la caché
Ø La Reducción significativa de la Utilización del CPU con Netflow se logra mediante:
Ø Sampled Netflow
Ø Optimización de los tiempos
Ø Una arquitectura distribuida
Ø Tener una exportación doble no tiene un impacto relevante en la utilización del CPU
![Page 27: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/27.jpg)
Agenda
Herramientas de Análisis de Tráfico
• Herramientas
• Scrutinizer Netflow Analyzer 3.5.0
• ManageEngine Netflow Analyzer 4
![Page 28: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/28.jpg)
Herramientas de Análisis de Tráfico
Herramientas
Mediante ellas se puede obtener
Ø Reportes personalizados
Ø Estadísticas de los tops en cuanto a aplicaciones, hosts y conversations
Ø Estadísticas en tiempo real
Ø Análisis detallado de un Host
Ø Alarmas
Ø Se pueden identificar y clasificar anomalías en la red
![Page 29: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/29.jpg)
Scrutinizer Netflow Analyzer : Plataformas: Windows 2000/XP/2003
Herramientas de Análisis de Tráfico
Herramientas
ManageEngine Netflow Analyzer :Plataformas: Windows 2000/XP, Linux
CNS NetFlow Collection Engine :Plataformas: Solaris HP-UX y Red Hat Enterprise Linux
![Page 30: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/30.jpg)
Herramientas de Análisis de Tráfico
Herramientas
NtopPlataformas: Windows, GNU/Linux, Unix
Netflow MonitorPlataformas: Linux, Unix
LINK: http://www.networkuptime.com/tools/netflow/
Stager
Plataformas: Linux, Unix
JNCA (Java Netflow Collectorand Analyzer) Pataformas: JAVA
NFsen
Plataformas: Linux, Unix
FlowScan
Plataformas: GNU/Linux, Unix
![Page 31: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/31.jpg)
Herramientas de Análisis de Tráfico
Scrutinizer Netflow Analyzer 3.5.0
![Page 32: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/32.jpg)
Herramientas de Análisis de Tráfico
• ManageEngine Netflow Analyzer 4
![Page 33: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/33.jpg)
Conclusiones
Netflow es una herramienta de mucha utilidad para:
ØMonitorear el tráfico de la red
Ø Realizar proyecciones
Ø Detectar anomalías en la Red
Se adapta a los cambios de las nuevas Aplicaciones y Servicios
![Page 34: protocolo netflow](https://reader036.fdocument.pub/reader036/viewer/2022062312/557212f3497959fc0b914526/html5/thumbnails/34.jpg)