INFORME DE NETFLOW

Protocolo Netflow

Netflow es un protocolo que fue desarrollado por CISCO SYSTEM en el

año 1990, su principal función es recolectar la información del tráfico IP
que fluye a través de nuestra red para posteriormente enviarlos mediante
datagramas UDP o SCTP hacia algún colector NETFLOW. El protocolo
Netflow permite obtener información del consumo del ancho de banda y
cuellos de botella convirtiéndolo así uno de los mejores protocolos para el
monitoreo del tráfico de red.

Flujo de Netflow
Se puede definir flujo como “Una cadena unidireccional de paquetes entre
una determinada fuente y un destino, ambos definidos por una dirección
IP de la capa de red y también por números de puertos origen y destino
en la capa de transporte. Un flujo está definido por 7 campos:

Dirección IP de origen
Dirección IP de destino
Número de puerto de origen
Número de puerto de destino
Tipo de protocolo de capa 3
Marca de tipo de servicio (ToS)
Interfaz Lógica de entrada

¿Cómo funciona NetFlow?

Un flujo de IP es un grupo de paquetes con un conjunto específico de atributos

de paquete de IP; cada paquete está dentro de un switch o router que se
redirige e incluye la siguiente información:

Los routers exportan la información de los flujos mediante Netflow a un

sistema de colectores. Las tramas se exportan vía UDP.
 Las tramas son típicamente de 1500 bytes y cada una contiene
información de entre 20 y 50 flujo

Configuración Netflow

Para que el protocolo Netflow funcione correctamente, en primer lugar se

debe entrar al router Cisco y estar en modo privilegiado, en segundo lugar
se debe entrar en modo configuración y poner la interfaz que se desea
configurar para que fluya todo el tráfico, en tercer lugar se debe habilitar
el flow y se debe elegir la versión del protocolo con el que se trabajara. En
el tercer lugar se debe configurar el lugar a donde se dirigirán todos los
paquetes, en este caso al colector Netflow, así como también la interfaz
de entrada por donde entra todo el tráfico.

Paso 1: se configura el protocolo Netflow en la interfaz Gi0/0 para capturar todo

el tráfico entrante y saliente de este puerto.

Prueba de Configuración de Netflow

Paso2: la configuración del protocolo Netflow usando el comando (sh run | i
Flow)

Pruebas del funcionamiento del Netflow

Paso 3: Para verificar el funcionamiento del protocolo Netflow se usa el
comando show ip flow top-talkers, con el fin de descubrir que dispositivo es el
que consume un mayor ancho de banda.

Configuración de un router con NetFlow

Para habilitar el envío de los datos de NetFlow al recopilador NetFlow, se

deben configurar varios elementos en el modo de configuración global del
router:

Dirección IP y número de puerto UDP del recopilador NetFlow: utilice el

comando ip flow-export destination ip-address udp-port. De manera
predeterminada, el recopilador tiene uno o más puertos para la captura de
datos de NetFlow. El software permite que el administrador especifique qué
puertos se deben aceptar para la captura de datos de NetFlow. Algunos
puertos UDP comunes que se asignan son los puertos 99, 2055 y 9996.

(Optativo) La versión de NetFlow que se debe seguir para dar formato

a los registros de NetFlow que se envían al recopilador: utilice el
comando ip flow-export version version. NetFlow exporta los datos en
UDP en uno de cinco formatos (1, 5, 7, 8 y 9).

(Optativo) Interfaz de origen que se debe usar como origen de los

paquetes enviados al recopilador: utilice el comando ip flow-export
source type number.
Configuración de la captura de datos del switch
Hay que configurar el switch del laboratorio (con dirección IP 192.168.110.20)
para que todo el tráfico de datos que haya en la red LAN, y que pasa a través
del servidor Atlas, pueda ser observado por la sonda Netflow. Hay que
configurar el switch de tal manera que el tráfico que pase a través de la interfaz
ethernet 1/13, que es donde está conectado el servidor Atlas
Vty-0# config
Vty-0(config)# interface ethernet 1/7
Vty-0(config-if)# port monitor ethernet 1/13 both

Configuración de la Raspberry Pi como una sonda Netflow

Comandos que se utiliza para configurar:

Deshabilitamos la interfaz ethernet con el siguiente comando:( sudo ip
addr flush dev eth0)
Habilitaremos el ip_forwarding entre ambas interfaces para que los
paquetes que se reciben por la interfaz ethernet se retransmitan hacia la
dirección IP y puerto del colector Netflow.( sudo /sbin/sysctl -w
net/ipv4/ip_forward=1)
configurar la sonda.( sudo apt-get install fprobe)

conclusión
▪ A través de la implementación del protocolo Netflow y la herramienta
Netflow Traffic Analyzer se determinó que el turno tarde es el horario
donde la red LAN de SUNARP presenta un mayor consumo de ancho de
banda.

▪ Gracias a la implementación del protocolo Netflow se determinó que los

dispositivos con las direcciones IP 172.20.89.86 y 172.20.211.254
generan un tráfico promedio por día de 846.6 KB que corresponde al
27.55% del tráfico total de la red.