Herramientas de análisis de tráfico - BVSMPLS, Multicast, Próximo salto BGP e IPV6 5 7 8 9 ¾Cada...

NETFLOWHerramientas de análisis de tráfico

Humberto RodrHumberto Rodrííguez Jorgeguez Jorge

Agenda

Introducción

Características esenciales de Netflow

Hardware y Configuración

Herramientas de Análisis de Tráfico

Conclusiones

Introducción

El rápido crecimiento de las redes IP a creado un interés en los nuevos servicios y aplicaciones que requieren de alto rendimiento y necesitan una calidad de servicio elevada

Para garantizar estos requerimientos surgen tecnologías de medición que brindan de forma eficiente información de la utilización de los recursos y aplicaciones en la RED

La tecnología Netflow de CISCO provee una solución para estas necesidades

Agenda


• Qué es Netflow ?

• Orígenes

• Qué es un flujo (flow) ?

• Principales Beneficios de Netflow

• Caché de Netflow

• Caché de Acumulación de Netflow

• Exportación de Datos

• Versiones de Exportación Netflow

• El MIB de Netflow


Qué es Netflow ?

Netflow es un protocolo desarrollado por CISCO Systemspara coleccionar información del tráfico de red

Habilita a los dispositivos ya sean routers o switches que lo soporten a generar records, que pueden ser enviados a un colector a través de una red

Responde las preguntas quién, qué, dónde y cómo basado en el tráfico IP

Provee una visión detallada del comportamiento de la RED (monitoreo de aplicaciones que utilizan puertos dinámicos)

Orígenes

• Es una tecnología que fue desarrollada y patentada por CISCO IOS en 1996

• Es ahora la principal tecnología de monitoreo de tráfico en la red



Qué es un flujo (flow) ?Es una cadena unidireccional de paquetes entre una determinada fuente y un destino, ambos definidos por una dirección IP de la capa de red y también por números de puertos origen y destino en la capa de transporte.

Un flujo está definido por los siguientes campos:

Dirección IP Origen

Dirección IP Destino

Puerto Origen

Puerto Destino

Tipo de Protocolo de capa 3

Byte de ToS

Interfase lógica de entrada (Ifindex)DATOS EXPORTADOS

Un flujo tiene otros campos que dependen de la versión que se utiliza para exportar. Cada uno es procesado en una caché.

Principales Beneficios de Netflow

Monitoreo de la Red: con técnicas de análisis de flujo

Monitoreo de Aplicaciones: para planificar, entender nuevos servicios, y distribuir recursos y aplicaciones en la red

Monitoreo de Usuarios: para revisar de forma efectiva la utilización de los recursos por parte de los usuarios

Planificación de la Red: para anticiparse a los crecimientos de la red, ya sea en dispositivos, puertos y ancho de banda


Análisis de seguridad: con el fin de detectar anomalías en el tráfico de la red

Contabilidad y la Facturación: debido a sus detalladas estadísticas

Almacenamiento de los Datos Netflow: para futuros análisis

Principales Beneficios de Netflow


Caché de Netflow


Netflow opera construyendo una caché que contiene información de los flujos

La información de la caché es exportada a un servidor colector de flujos, basada en períodos de tiempos configurables

El desempeño eficiente de netflow depende de la administración inteligente de la caché, especialmente en routers con bastante carga de tráfico

Caché de Acumulación de Netflow


Está dada por la característica que tiene el IOS de CISCO de conformar una Caché de acumulación basada en 11 esquemas que permiten resumir los datos exportados

Esquemas de Acumulación:

• AS Aggregation Scheme (brinda datos de flujos de AS-AS) • Destination-Prefix Aggregation Scheme (agrupa por destinos)• Protocol-Port Aggregation Scheme (agrupa por puertos)• Prefix Aggregation Scheme (agrupa por los prefijos)•Source Prefix Aggregation Scheme (agrupa por los orígenes)

• Existen otros 6 esquemas basados en el ToS

Puede ser configurada con valores de timeout y tamaño, además de ser exportada a un host específico

Es exportada en las versiones 8 o 9 de Netflow

Exportación de Datos


La exportación de Datos Netflow permite que los flujos recogidos por los equipos de conectividad sean recolectados y procesados

Periódicamente las estadísticas de tráfico de todos lo flujos que caducan son exportados desde el dispositivo que mantiene la caché (router o switches) por UDP (también mediante SCTP)



Las entradas de la caché de Netflow son enviadas a un dispositivo colector (Ej. CNS Netflow Collection Engine) si ocurre una de las siguientes condiciones:

• El protocolo de transporte indica que se ha completado la conexión(flag TCP FIN) o cuando aparece el flag de RST

• La inactividad en el tráfico excede los 15 segundos (es configurable)

• Expiran los flujos que se mantienen activos por más de 30 minutos, mediante esto se asegura un reporte periódico (es configurable)

• Se llena la caché

¿ Cuándo Ocurre la Exportación?


Paquete de exportación UDP

• Aproximadamente 1500 bytes

• Típicamente contienen de 20 a 50 records de flujo

• Se envían de forma más frecuente si aumenta el tráfico en las interfases configuradas con Netflow




Ejemplo de la Caché de Netflow y su Exportación

Versiones de Exportación Netflow


Versiones de Netflow

Comentarios

1 Original

Estándar y mas común

Específico de las series de Switches C6500 y 7600 de Cisco

Opción de los 11 esquemas de acumulación

Versión flexible y extensible del formato de exportación que brinda soporte para campos adicionales y tecnologías como por ejemplo

MPLS, Multicast, Próximo salto BGP e IPV6

5

7

8

9

Cada una de las versiones y sus posibilidades depende de la plataforma del Hardware y de su software CISCO IOS

Versiones de Exportación Netflow


Ejemplo del Datagrama de Exportación de la versión 5

El MIB de Netflow


Constituye un método fácil y simple de acceder a información de Netflow:

Información de la caché y su configuración

Información de la exportación y su configuración

Estadísticas de Exportación

Estadísticas de Protocolos

Información sobre la plantillas de exportación de la versión 9

Información de los flujos sobresalientes (tops flows, top-talkers)

Top flows provee un mecanismo para mostrar en tiempo real los flujos de la caché que sobresalen. Solo necesitan ser configurados : el número de sobresalientes (TopN) el orden (SortBy) y netflow.

De forma opcional se configuran: el timeout y los criterios de comparación

Agenda


• Dispositivos que soportan Netflow

• Hardware que soporta Netflow

• Referencia de comandos

• Rendimiento de Netflow

Dispositivos que soportan Netflow

Entre los Dispositivos que soportan Netflow podemos encontrar de CISCO:

• Routers

• Switches Catalyst

Existen otros vendedores de equipamientos que también lo soportan

Alcatel

Enterasys

Foundry

Juniper


Hardware que soporta Netflow de CISCO



Referencia de comandos

(ip flow ingress (egress) para otras versiones)


Referencia de comandos


Referencia de comandos (Ej.)


Rendimiento de NetflowAproximado de Utilización de CPU por números de flujos activos

Números de flujos activos en la caché

Utilización de CPU adicional

10000 < 4%< 12 %< 16 %

4500065000

La Reducción significativa de la Utilización del CPU con Netflow se logra mediante:

Sampled Netflow

Optimización de los tiempos

Una arquitectura distribuida

Tener una exportación doble no tiene un impacto relevante en la utilización del CPU

Agenda


• Herramientas

• Scrutinizer Netflow Analyzer 3.5.0

• ManageEngine Netflow Analyzer 4


Herramientas

Mediante ellas se puede obtener

Reportes personalizados

Estadísticas de los tops en cuanto a aplicaciones, hosts y conversations

Estadísticas en tiempo real

Análisis detallado de un Host

Alarmas

Se pueden identificar y clasificar anomalías en la red

Scrutinizer Netflow Analyzer : Plataformas: Windows 2000/XP/2003


Herramientas

ManageEngine Netflow Analyzer :Plataformas: Windows 2000/XP, Linux

CNS NetFlow Collection Engine :Plataformas: Solaris HP-UX y Red Hat Enterprise Linux


Herramientas

NtopPlataformas: Windows, GNU/Linux, Unix

Netflow MonitorPlataformas: Linux, Unix

LINK: http://www.networkuptime.com/tools/netflow/

Stager

Plataformas: Linux, Unix

JNCA (Java Netflow Collectorand Analyzer) Pataformas: JAVA

NFsen

Plataformas: Linux, Unix

FlowScan

Plataformas: GNU/Linux, Unix

http://www.networkuptime.com/tools/netflow/

http://www.networkuptime.com/tools/netflow/flowscan.html


Scrutinizer Netflow Analyzer 3.5.0

http://169.158.128.69:8080/


• ManageEngine Netflow Analyzer 4

http://169.158.128.69:8081/

Conclusiones

Netflow es una herramienta de mucha utilidad para:

Monitorear el tráfico de la red

Realizar proyecciones

Detectar anomalías en la Red

Se adapta a los cambios de las nuevas Aplicaciones y Servicios

Herramientas de análisis de tráfico - BVSMPLS, Multicast, Próximo salto BGP e IPV6 5 7 8 9 ¾Cada...

Documents

Transcript of Herramientas de análisis de tráfico - BVSMPLS, Multicast, Próximo salto BGP e IPV6 5 7 8 9 ¾Cada...