Packet Tracer: Explorar la implementación de NetFlow (versión

para el instructor)
Nota para el instructor: El color de fuente rojo o las partes resaltadas en gris indican texto que solamente
aparece en la copia del instructor.

Topología

Objetivos
Parte 1: Observar registros de flujos de NetFlow - Un sentido
Parte 2: Observar registros de NetFlow correspondientes a una sesión que ingresa y sale del colector

Aspectos básicos
En esta actividad utilizarán Packet Tracer para crear tráfico de red y observarán los registros de flujos de
NetFlow correspondientes en un colector de NetFlow. Packet Tracer ofrece una simulación básica de la
funcionalidad de NetFlow. No sustituye a aprender NetFlow en un equipo físico. Puede haber algunas
diferencias entre los registros de flujos de NetFlow generados por Packet Tracer y los registros creados por
un equipo de red con todas las funciones.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 1 de 9 www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

Parte 1: Observar registros de flujos de NetFlow - Un sentido

Paso 1: Abran el colector de NetFlow.
a. En el Colector de NetFlow, hagan clic en la ficha Desktop (Escritorio). Hagan clic en el icono del Colector
de Netflow.

b. Hagan clic en el botón de opción “On” (“Activado”) para activar el colector según sea necesario.
Posicionen y cambien el tamaño de la ventana para poder verla desde la ventana de la topología de
Packet Tracer.

Paso 2: Hagan ping al gateway predeterminado desde PC-1.

a. Hagan clic en PC-1.
b. Abran la ficha Desktop y hagan clic en el icono del Símbolo del sistema.
c. Introduzcan el comando ping para probar la conectividad al gateway predeterminado en 10.0.0.1.
C:\> ping 10.0.0.1
d. Después de una breve demora, en la pantalla del Colector de NetFlow se verá un gráfico circular.
Nota: Es posible que no se envíe el primer conjunto de pings al Colector de NetFlow porque el proceso
de ARP primero debe resolver direcciones IP y MAC. Si no aparece un gráfico circular después de
30 segundos, repitan el ping al gateway predeterminado.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 2 de 9 www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

e. Hagan clic en el gráfico circular o en la entrada de las referencia parea mostrar los detalles del registro
del flujo.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 3 de 9 www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

f. El registro del flujo tendrá entradas similares a las de la siguiente tabla. Sus marcas de hora serán
diferentes.

Entrada Valor Explicación

Traffic contribution 100 % (1/1) Esta es la proporción de todo el tráfico

representado por este flujo.
IPV4 SOURCE ADDRESS 10.0.0.10 Esta es la dirección IP de origen de los
paquetes del flujo.
IPV4 DESTINATION ADDRESS 10.0.0.1 Esta es la dirección IP de destino de los
paquetes del flujo.
TRNS SOURCE PORT 0 Este es el puerto de origen de la capa de
transporte. El valor es 0 porque se trata
de un flujo ICMP.
TRNS DESTINATION PORT 0 Este es el puerto de destino de la capa de
transporte. El valor es 0 porque se trata
de un flujo ICMP.
IP PROTOCOL 1 Esto identifica al servicio de la Capa 4;
suele ser 1 para ICMP, 6 para TCP y 17
para UDP.
timestamp first 00:47:49.593 Esta es la marca de hora correspondiente
al comienzo del flujo.
timestamp last 00:47:52.598 Esta es la marca de hora correspondiente
al último paquete del flujo.
tcp flags 0x00 Este es el valor del marcador de TCP. En
este caso, no participa ninguna sesión de
TCP porque el protocolo es ICMP.
counter bytes 512 Esta es la cantidad de bytes en el flujo.
counter packets 4 Esta es la cantidad de paquetes en el flujo.
interface input Gig0/0 Esta es a interfaz del exportador de flujos
que recogió el flujo en el sentido de
entrada (ingreso a la interfaz del
dispositivo de monitoreo).
interface output Null Esta es a interfaz del exportador de flujos
que recogió el flujo en el sentido de salida
(egreso de la interfaz del dispositivo de
monitoreo). El valor es "Null" porque se
trataba de un ping a la interfaz de entrada.

En este caso, el flujo representa al ping de ICMP desde el host 10.0.0.10 hacia 10.0.0.1. Había
cuatro paquetes de ping en el flujo Los paquetes ingresaron a la interfaz Gig0/0 del exportador.
Nota: En esta actividad, el router perimetral se ha configurado como exportador de flujos de NetFlow. La
interfaz LAN está configurada para monitorear los flujos que ingresan a ella desde la red LAN. La interfaz
en serie se ha configurado para recoger los flujos que ingresan a ella desde Internet. Esto se ha hecho
para simplificar esta actividad.
Para ver el tráfico que coincide con una sesión bidireccional completa, el exportador de NetFlow tendría
que configurarse para recoger flujos que ingresan y salen de la red.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 4 de 9 www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

Paso 3: Crear tráfico adicional

a. Haga clic en PC-2 > Escritorio.
b. Abran un símbolo del sistema y hagan ping al gateway predeterminado: 10.0.0.1.
¿Qué esperan ver en los registros de flujo del colector de NetFlow? ¿Cambiarán las estadísticas
correspondientes al registro de flujo ya existente, o aparecerá un flujo nuevo en el gráfico circular?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
Un flujo se define como un flujo unidireccional de paquetes que comparten las mismas direcciones IP y
números de puerto de origen y destino, así como el mismo protocolo IP. Como este tráfico tendrá una
dirección IP de origen diferente, creará un nuevo registro de flujo que se representa mediante una nueva
porción codificada por colores del gráfico circular.
c. Regresen a PC-1 y repitan el ping al gateway.
¿Cómo se representará este tráfico? ¿Como un segmento nuevo en el gráfico circular, o modificará los
valores del registro de flujo ya existente?
____________________________________________________________________________________
____________________________________________________________________________________
Los detalles del flujo original siguen siendo los mismos, sin embargo, la proporción de tráfico
representada por el flujo se duplicó.
d. Emitan pings desde PC-3 y PC-4 a la dirección del gateway predeterminado.
¿Qué debería suceder en la pantalla del colector de flujos?
____________________________________________________________________________________
____________________________________________________________________________________
Debería aparecer un nuevo registro para cada flujo.

Parte 2: Observar registros de NetFlow correspondientes a una sesión

que ingresa y sale del colector
El exportador de NetFlow se ha configurado para recoger los flujos que salen de la red LAN e ingresan al
router desde Internet.

Paso 1: Acceder al servidor web por dirección IP

Antes de continuar, apaguen y enciendan el Colector de NetFlow para borrar los flujos.
a. Hagan clic en NetFlow Collector (Colector de NetFlow) > Ficha Physical (Físico).

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 5 de 9 www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

b. Hagan clic en el botón de encendido rojo para apagar el servidor. Luego, vuelvan a hacerle clic para
encenderlo nuevamente.

c. En el Colector de NetFlow, hagan clic en la ficha Desktop (Escritorio).

d. Hagan clic en el icono del Colector de Netflow. Hagan clic en el botón de opción “On” (“Activado”) para
activar el colector. Cierren la ventana del Colector de NetFlow.
e. Antes de acceder a un servidor web desde PC-1, predigan cuántos flujos habrá en el gráfico circular.
Explique.
____________________________________________________________________________________
____________________________________________________________________________________
Dado que los flujos que salen de la LAN y entran al router Edge desde el exterior se recopilarán, habrá
dos flujos, uno para los paquetes de solicitud enviados al servidor y otro para los datos devueltos por el
servidor.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 6 de 9 www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

Basándose en los que saben sobre protocolos de red y NetFlow, predigan los valores correspondientes a
las solicitudes de páginas web que salen de la red LAN.

Campo de registro Valor Pautas

Dirección IP de origen 10.0.0.10

Dirección IP de destino
Puerto de origen
Puerto de destino
Interfaz de entrada
Interfaz de salida
192.0.0.100
1025–5000 (MS Windows de
manera predeterminada, que Se trata de un valor aproximado que
es lo que utiliza PT. se crea dinámicamente.
80
Gig0/0
Se0/0/1

Predigan los valores correspondientes a la respuesta de la página web que ingresa al router del
exportador de NetFlow desde Internet.

Campo de registro Valor Pautas

Dirección IP de origen 192.0.0.100

Dirección IP de destino 10.0.0.10
Puerto de origen 80
Este es cualquier valor asignado
aleatoriamente desde el rango de
Puerto de destino 1025-5000 puertos efímeros.
Interfaz de entrada Se0/0/1
Interfaz de salida Gig0/0

f. Hagan clic en PC-1 > Desktop. Si es necesario, cierren la ventana del Símbolo del sistema. Hagan clic
en el icono del navegador web.
g. En el navegador web de PC-1, introduzca 192.0.2.100 y haga clic en Ir. Aparecerá la página web del
Sitio web de ejemplo.
h. Después de una breve demora, aparecerá un gráfico circular nuevo en el colector de NetFlow. Verán al
menos dos segmentos circulares correspondientes a la solicitud y a la respuesta HTTP. Podrían ver un
tercer segmento si se excedió el tiempo de espera del caché de ARP correspondiente a PC-1.
i. Hagan clic en el segmento circular de HTTP para mostrar el registro y verificar sus predicciones.
j. Hagan clic en el enlace a la página de Copyrights.
¿Qué ocurrió? Expliquen. (Pista: comparen el número de puerto en el host correspondiente a los flujos).
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
Como el host abrió un nuevo puerto de origen para la nueva solicitud al servidor web, se crearon dos
nuevos flujos.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 7 de 9 www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

Comparen los flujos. Sin contar las diferencias obvias en la marca de hora, las direcciones IP de origen y
destino, los puertos y las interfaces, ¿qué más difiere entre los flujos de la solicitud y de la respuesta?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
Los indicadores TCP son diferentes. Los indicadores para los flujos de solicitud son 0x02 y los
indicadores de respuesta son 0x12. Indique a los estudiantes que busquen estos valores haciendo una
búsqueda en Google en términos como “valores de indicador tcp”. Está fuera del alcance de esta práctica
de laboratorio explicar cómo se determinan los valores, pero el significado de 0x02 será SYN (decimal 2)
para el flujo de solicitud, y será SYN-ACK (decimal 18) para los flujos de respuesta.

Paso 2: Acceder al servidor web por dirección IP

a. Apaguen y enciendan el Colector de NetFlow para borrar los flujos.
b. Activen el servicio del Colector de NetFlow.
c. Antes acceder al servidor web por su dirección URL. ¿Qué esperan ver en la pantalla del colector de
NetFlow?
____________________________________________________________________________________
____________________________________________________________________________________
Verán cuatro flujos. Debido a que se accede al sitio web por URL, debe realizarse una consulta DNS.
Dos flujos representan la consulta DNS y la respuesta. Los otros dos flujos representan la solicitud HTTP
y la respuesta.
d. En PC-1, introduzcan www.example.com en el campo de la URL y presionen Go.
e. Después de que los flujos aparezcan en la pantalla, inspeccionen cada registro de los flujos.
¿Qué valores ven para el campo del protocolo IP del registro del flujo? ¿Qué significan estos valores?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
Los campos del protocolo IP se analizaron en el paso 1 de la parte 1 de la tabla de esta práctica de
laboratorio. El valor 6 es para TCP y se utiliza para el tráfico HTTP en el puerto TCP 80. El valor 17 es
para tráfico UDP y es utilizado por los flujos de consulta DNS y respuesta.

Tabla de calificación sugerida

Ubicación de la Posibles Puntos

consulta puntos obtenidos

Parte 1, Paso 3b 10
Parte 1, Paso 3c 10
Parte 1, Paso 3d 10
Parte 2, Paso 1f 30
Parte 2, Paso 1j 30
Parte 2, Paso 2c 10
Puntuación total 100

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 8 de 9 www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 9 de 9 www.netacad.com