Cisco IOS NetFlow:

El sistema ms completo y eficiente

de controlar el trfico de Aplicaciones

Web: www.flukenetworks.com/es
Jos Ignacio Moreiras Muz

Damin Migulez LLamas

Agenda: 28 de Febrero
8.30 9.00 Registro
9.00 11.00 La calidad de servicio al usuario: Lo nico importante
11.00 11.30 Pausa Caf
11.30 13.30 Cisco IOS NetFlow: El sistema ms completo y eficiente de

controlar el trfico de Aplicaciones

15.00 15.30 Registro

15.30 17.00 Monitorizacin y Anlisis de Redes VoIP
17.00 17.30 Pausa Caf
17.30 19.00 Monitorizacin y Anlisis de Redes Inalmbricas

Gamas de productos
Enterprise
SuperVision (ESV)
Sistemas distribuidos
y analizadores porttiles

Infrastructure
SuperVision (ISV)
Certificacin de la infraestructura
de cobre y fibra

Outside Plant
SuperVision (OSV)
Soluciones
Telecomunicaciones.
Medicin de enlaces de
clientes

Enterprise SuperVision
Sistemas
Distribuidos
Sondas LAN y WAN
Anlisis VoIP
Anlisis Rendimiento de
Aplicaciones
Gestin de trfico con NetFlow

Analizadores
Porttiles
Analizadores LAN y WiFi
Asistentes de Red
Sofware de anlisis y
documentacin
Comprobadores de Conectividad

Cmo obtener la informacin

del trfico de red sondas o Netflow?
1. Sondas de Anlisis (RMON2, analizadores protocolos)
+ Posibilidad de analizar tiempos de respuesta de aplicaciones
+ Captura y decodificacin de tramas
- Necesario desplegar sondas en la red
- Acceso a la red mediante taps o rplica de puerto
- Escalabilidad limitada: dependiente del tipo de interfaz
- Escalablidad limitada: necesario despliegue fsico

2. Tecnologa NetFlow
+ El propio router o switch informa del trfico
+ Escalable: independiente del tipo de interfaces
+ Escalable: fcil de aadir ms interfaces
- Anlisis menos detallados
- Dependiente si la electrnica de red soporta NetFlow

Origen de la tecnologa NetFlow

Desarrollado por Darren Kerr y Barry Bruins de
Cisco Systems en 1996
NetFlow es ahora la tecnologa principal de la
industria para contabilizar el trfico de red
NetFlow versin 9 es ahora un estndar de la IETF
El grupo de trabajo dentro de la IETF es el IPFIX
(Internet Protocol Flow Information eXport)
http:// ipfix.doit.wisc.edu

Versiones NetFlow
NetFlow Version

Comments

Original

Estndar y el ms utilizado

Especfico de los conmutadores Cisco Catalyst 6500 y

7600
Similar a versin 5 pero no incluye informacin AS,
interfaz, TCP Flag & TOS
Hasta 11 esquemas de agregacin
Reduce los recursos requeridos al sistema

8
9

Formato de trama flexible y extensible que facilita el

soporte de campos de informacin adcionales (por
ejemplo BGP next Hop y MPLS aware)

Qu datos ofrece NetFlow? (Versin 5)

Ofrece los siguiente campos de
informacin de los flujos de
trfico en la red:
Direccin IP origen Quin habla
Direccin IP destino con quin?
Puerto UDP/TCP origen
Puerto UDP/TCP destino
Tipo de protocolo de nivel 3

Qu protocolos
y aplicaciones?

Trfico segn su tipo

de priorizacin
Interfaces lgicos de entrada Dnde?
Datos exportados
y de salida (ifIndex)
va paquetes UDP

TOS byte (Type of Service)

Flags TCP

Ataques DoS?

Cmo funciona?

Los routers exportan la informacin de los flujos mediante Netflow a

un sistema de colectores.
Las tramas se exportan va UDP. Las tramas son tpicamente de
1500 bytes y cada una contiene informacin de entre 20 y 50 flujos
Colector

Colector

Cmo funciona?
Configurar NetFlow en router Cisco:
En la configuracin global
ip flow-export source loopback
ip flow-export version 5
ip flow-cache timeout active 1
ip flow-export destination [harvesterIP] 9995
Para cada interfaz a monitorizar
ip route-cache flow

Impacto de habilitar NetFlow

Trfico de datos

Nmero de flujos
activos

Utilizacin adicional de
CPU

10,000

<4%

45,000

<12%

Interfaces con NetFlow

Algunos switches disponen de ASICs

dedicados a NetFlow por lo que no habra
incremento de consumo de CPU

Trfico de
datos +
Trfico adicional generado por la NetFlow

Exportacin NetFlow:
Aprox. 1,5% del trfico total
real en cada momento de los
interfaces monitorizados

Colector

Optimizacin de recursos
Sin embargo conocemos el interfaz origen y destino.
Podemos por lo tanto calcular el trfico que sale
basndonos en una simple regla:
Todo lo que entre tiene que salir.
Rtr Y, IF 3

Rtr Z, IF 7

NetFlow es una tecnologa de ingreso

Solamente contabiliza el trfico que entra en un
interfaz
Para conocer el trfico total en un enlace por lo
tanto tendramos que habilitar NetFlow en los
routers de ambos extremos.

Optimizacin de recursos: solucin

ReporterAnalyzer
Colector

Colector

Con ReporterAnalyzer de
Fluke Networks, NetFlow
solamente necesita ser
habilitado en los routers
centrales
Debido a ello se elimina
trfico NetFlow
innecesario y se simplifica
la gestin de los routers

= Router con NetFlow

habilitado

Alguna vez
le han encargado reducir los costes WAN pero no dispona de la
visibilidad global para conseguir el objetivo?
le han exigido resolver problemas de red en el momento que ocurren?
le han presionado para ampliar el ancho de banda de los enlaces sin
saber si esto resolvera el problema?
ha tenido que identificar rpidamente los viruses
y usuarios infectados?

r la
a
t
n
me ia
u
A
icienc ar el
jor nto
Ef
e
M ie
dim
ren

Solucin: ReporterAnalyzer
Sistema escalable de uno o varios
appliances depende del nmero de
interfaces a monitorizar

NETFLOW

Consulta tiempo real

PowerEdge
1650

Informes en tiempo real e histricos

altamante customizables
Alertas SNMP e email

Instalacin en menos de 2 h.

PowerEdge
1650

NetFlow Manager

PowerEdge
1650

Informes histricos

Funcionalidades de anlisis fornsico

para completar un sistema de seguridad

Colector

ReporterAnalyzer

PowerEdge
1650

PowerEdge
1650

Data Storage Appliances

Solucin: ReporterAnalyzer

Guarda una extensa cantidad de informacin necesario para poder realizar una
planificacin adecuada basndose en datos histricos.

Tiempo real: En la ltima hora se dispone de una granularidad de 1 minuto en los

datos

Anlisis Fornsico: 100% de los protocolos y 100% de los usuarios/conversaciones en

las ltimas 4 h.

Histrico: informacin de protocolos hasta 13 meses con 15 min. de resolucin.

(top 200 protocolos de cada 15 minutos)

informacin de conversaciones hasta 2 meses con 15 min. de resolucin.

(top 15 conversaciones para cada uno de los 15 top protocolos + los top 50 conversaciones globales = 275)

Cada colector soporta entre 20 y 200 routers (un total de 1 milln de flujos por minuto)

Interfaz de usuario: Pantalla inicial

Top
interfaces por
trfico total
Top interfaces
trfico de entrada
Top interfaces trfico
de salida

Top Protocols
Top usuarios

Interfaz de usuario: Pantalla inicial

clic para informacin
detallada de ste
interfaz

enviar el informe
por email

cambiar los umbrales

de los indicadores

indicadores de la cantidad de trfico

Interfaz de usuario: Pantalla inicial

Clic para informacin
detallada de
ste interfaz

clic para top interfaces y top

usuarios de ste protocolo

clic para ver los top

interfaces y top
protocolos para ste
usuario

Interfaz de usuario: Informacin detallada

de un interfaz

periodos y
filtros de
tiempo

Tipo de grfico

clic para ver

Protocolos
en ste
interfaz
histricos
de trfico
por protocolo

hosts
o conversaciones

Informes avanzados: Tabla comparativa

Por qu ste interfaz muestra menos consumo de
ancho de banda?
Comparacin de los
ltimos 6 meses o
6 semanas

Flow Forensics: Informes de seguridad

Ejemplos de anlisis
Qu interfaces han soportado un trfico NetBIOS de ms de un 70% en el
ltimo mes en horario laboral?

Cundo ha ocurrido y cunto ha durado?

Algunos clientes referencia

Caso prctico: Planificacin de ancho de banda

Caso real ocurrido en un cliente:
Las aplicaciones a travs de un enlace transocenico experimentan
una rendimiento muy bajo.
Las estadsticas SNMP del router muestran un trfico muy elevado
Se propone un incremento de ancho de banda con un coste adicional
de 120.000 al ao

Caso prctico: Planificacin de ancho de banda

Desde la pantalla inicial confirmamos que el enlace en
cuestin (Houston a Singapore) presenta un 90% de consumo
de ancho de banda.

clic para ver detalles del interfaz

Caso prctico: Planificacin de ancho de banda

ste enlace est en la lista de los top interfaces con ms
trfico.
Clic para ver un grfico de calendario con los consumos de
ancho de banda.

Caso prctico: Planificacin de ancho de banda

El grfico calendario muestra que el excesivo consumo de ancho de
banda comenz el 8 de Abril y ha continuado as desde entonces.
Clic para ms detalles.

Caso prctico: Planificacin de ancho de banda

La distribucin de protocolos muestra que el 70% del trfico es
HTTP.
Clic en H para ver los usuarios de ste protocolo.

Posibilidad
de mejora

Caso prctico: Planificacin de ancho de banda

El servidor proxy US Web Proxy Server es el dispositivo que ms trfico HTTP
recibe/genera en el enlace a Singapur.
Esto no debera ser as pues los empleados en Asia tienen su propia salida a
Internet.
Conclusin: alguin modific la configuracin proxy en los exploradores web para
tener un acceso a Internet ms rpido.

Caso prctico: Planificacin de ancho de banda

El problema se pudo resolver en unos pocos minutos.

En este ejemplo real ReporterAnalyzer ahorr en un nico
incidente 120.000.
Adems ayud a prevenir futuros incidentes de ste tipo
al sentirse los usuarios advertidos y saber que el
departamento de comunicaciones puede conocer el
trfico en la red.

Case Study: Traffic Analysis

Caso prctico: Deteccin de virus
Caso real ocurrido en un cliente:
Los usuarios de repente empiezan a quejarse de que no pueden
acceder a la red y a sus aplicaciones crticas de negocio ubicadas en
un CPD en Londres.

Caso prctico: Deteccin de virus

Seleccionamos los informes en tiempo real y visualizamos en enlace
Con Londres.
Detectamos un incremento drstico de ancho de banda hace apenas
10 minutos - > Clic para ms detalles.

Caso prctico: Deteccin de virus

Durante el intervalo de 3 minutos seleccionado el protocolo
principal causante del trfico fu ms-sql-m, originando un 92%
del consumo.
Una rpida bsqueda en la web nos informa que el protocolo
en realidad es un virus, el SQL Slammer virus.

Caso prctico: Deteccin de virus

Detectada la razn de los problemas debemos ahora identificar los
usuarios infectados.
Utilizamos las herramientas Flow Forensics de ReporterAnalyzer para
generar un informe con los infectados.

Caso prctico: Deteccin de virus

El informe nos muestra todos los usuarios que en las ltimas 4 h
han generado trfico ms-sql-m con una tasa anormalmente alta.

Caso prctico: Deteccin de virus

Para prevenir prximas infecciones y vigilar la posible propagacin de este
virus se programa una alerta.
Recibiremos un trap SNMP de forma automtica cuando se detecte de
nuevo un exceso de trfico de ste protocolo.

Caso prctico: Deteccin de virus

Utilizando la informacin en tiempo real se pudo detectar

la causa del problema, identificndolo como un virus.
Se localizaron los usuarios infectados para aislarlos y
eliminar el virus. Adems se program una alerta para
avisar de prximas infecciones.
ReporterAnalyzer permiti una rpida resolucin del
problema, previniendo una posible perdida de datos y de
productividad de los empleados.

Un poco de customizacin ofrece

nuevas posibilidades! (1)
Un poco de customizacin permite mejorar la representacin de los
datos.
A menudo aplicaciones como web tienen diversos usos
dependiendo a donde vayan.
Por ejemplo si salen a Internet o van
al proxy lo lgico es poner
Internet Web como descripcin.
Sin embargo si va a la Intranet, lo
lgico sera utilizar Internet.
Finalmente si fuese el interfaz de
usuario de una aplicacin de negocio
lo ms til sera ponerle ese nombre.
De sta forma aparecern como aplicaciones separadas y ser ms
fcil identificarlas.

Un poco de customizacin ofrece

nuevas posibilidades! (2)
Algunas aplicaciones no utilizan todo un rango de puertos
customizados. Estos puertos incluso podran ser utilizados por otra
aplicacin en otro servidor para otros usos.
Podemos mapear el trfico hacia un servidor a una descripcin
que elijamos.
De esta forma ser sencillo identificar
el trfico y tendremos los diferentes
protocolos bajo la misma descripcin.

Un poco de customizacin ofrece

nuevas posibilidades! (3)
Otras aplicaciones como VoIP no utilizan a menudo unos puertos
UDP predeterminados. Pueden utilizar prcticamente cualquier
puerto.
En este caso podemos utilizar la informacin de priorizacin (TOS
Type of Service) para mapear la aplicacin a una descripcin.
VoIP suele priorizarse y tiene por lo tanto un TOS diferente con lo
que resulta sencilla esta operacin.

Preguntas?

Les enviaremos por correo el enlace donde

podr descargar esta web.

Demostracin real
del ReporterAnalyzer

Gracias por participar en este seminario

Le enviaremos por email el sitio donde podr
descargar la presentacin

Por favor, no se olviden de rellenar las

encuestas