PacketTracer: Explorar una implementación de NetFlow (versión

para el instructor)
Nota para el instructor: Los elementos con color de fuente rojo o resaltados en gris indican texto que aparece
solo en la copia del instructor.

Objetivos
Parte 1: Observar registros de flujos de NetFlow - Un sentido
Parte 2: Observar registros de NetFlow correspondientes a una sesión que ingresa y sale del colector

Aspectos básicos/Situación
En esta actividad utilizará Packet Tracer para crear tráfico de red y observará los registros de flujos de
NetFlow correspondientes en un colector de NetFlow. Packet Tracer ofrece una simulación básica de la
funcionalidad de NetFlow. No sustituye a aprender NetFlow en un equipo físico. Puede haber algunas
diferencias entre los registros de flujos de NetFlow generados por Packet Tracer y los registros creados por
un equipo de red con todas las funciones.

Instrucciones

Parte 1: Observar registros de flujos de NetFlow - Un sentido

Paso 1: Abra el colector de NetFlow.
a. En el colector de NetFlow, haga clic en la pestaña Escritorio. Haga clic en el ícono de Colector de
NetFlow.
b. Haga clic en el botón de Encender para activar el colector según sea necesario. Posicione y cambie el
tamaño de la ventana para poder verla desde la ventana de la topología de Packet Tracer.

Paso 2: Haga ping al gateway predeterminado desde PC-1.

a. Haga clic en PC-1.
b. Abra la pestaña de Escritorio y haga clic en el ícono de Command Prompt.
c. Introduzca el comando ping para probar la conectividad al gateway predeterminado en 10.0.0.1.
C:\> ping 10.0.0.1
d. Después de una breve demora, en la pantalla del Colector de NetFlow se verá un gráfico circular.
Nota: Es posible que no se envíe el primer conjunto de pings al Colector de NetFlow porque el proceso
de ARP primero debe resolver direcciones IP y MAC. Si no aparece un gráfico circular después de
30 segundos, repitan el ping al gateway predeterminado.
e. Haga clic en el gráfico circular o en la entrada de las referencias para mostrar los detalles del registro del
flujo.
f. El registro del flujo tendrá entradas similares a las de la siguiente tabla. Sus marcas de hora serán
diferentes.

Entrada Valor Explicación

Traffic contribution 100 % (1/1) Esta es la proporción de todo el tráfico representado

 2018 - 水曜日 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 5
www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

Entrada Valor Explicación

por este flujo.

IPV4 SOURCE ADDRESS 10.0.0.10 Esta es la dirección IP de origen de los paquetes del
flujo.
IPV4 DESTINATION ADDRESS 10.0.0.1 Esta es la dirección IP de destino de los paquetes del
flujo.
TRNS SOURCE PORT 0 Este es el puerto de origen de la capa de transporte.
El valor es 0 porque se trata de un flujo ICMP.
TRNS DESTINATION PORT 0 Este es el puerto de destino de la capa de transporte.
El valor es 0 porque se trata de un flujo ICMP.
IP PROTOCOL 1 Esto identifica al servicio de la Capa 4; suele ser 1
para ICMP, 6 para TCP y 17 para UDP.
timestamp first 00:47:49.593 Esta es la marca de hora correspondiente al
comienzo del flujo.
timestamp last 00:47:52.598 Esta es la marca de hora correspondiente al último
paquete del flujo.
tcp flags 0x00 Este es el valor del marcador de TCP. En este caso,
no participa ninguna sesión de TCP porque el
protocolo es ICMP.
counter bytes 512 Esta es la cantidad de bytes en el flujo.
counter packets 4 Esta es la cantidad de paquetes en el flujo.
interface input Gig0/0 Esta es a interfaz del exportador de flujos que recogió
el flujo en el sentido de entrada (ingreso a la interfaz
del dispositivo de monitoreo).
interface output Null Esta es a interfaz del exportador de flujos que recogió
el flujo en el sentido de salida (egreso de la interfaz
del dispositivo de monitoreo). El valor es "Null" porque
se trataba de un ping a la interfaz de entrada.

En este caso, el flujo representa al ping de ICMP desde el host 10.0.0.10 hacia 10.0.0.1. Había
cuatro paquetes de ping en el flujo. Los paquetes ingresan a la interfaz G0/0 del exportador.
Nota: En esta actividad, el router perimetral se ha configurado como exportador de flujos de NetFlow. La
interfaz LAN está configurada para monitorear los flujos que ingresan a ella desde la red LAN. La interfaz
serial se ha configurado para recolectar flujos que ingresan a ella desde Internet. Esto se ha hecho para
simplificar esta actividad.
Para ver el tráfico que coincide con una sesión bidireccional completa, el exportador de NetFlow tendría
que configurarse para recoger flujos que ingresan y salen de la red.

Paso 3: Crear tráfico adicional

a. Haga clic en PC-2 > Desktop.
b. Abra un símbolo del sistema y haga ping al gateway predeterminado: 10.0.0.1.
Pregunta:

¿Qué esperan ver en los registros de flujo del colector de NetFlow? ¿Cambiarán las estadísticas
correspondientes al registro de flujo ya existente, o aparecerá un flujo nuevo en el gráfico circular?
Escriba sus respuestas aquí.
 2018 - 水曜日 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 5
www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

Un flujo se define como un flujo unidireccional de paquetes que comparten las mismas
direcciones IP y números de puerto de origen y destino, así como el mismo protocolo IP. Como
este tráfico tendrá una dirección IP de origen diferente, creará un nuevo registro de flujo que se
representa mediante una nueva porción codificada por colores del gráfico circular.
c. Regrese a PC-1 y repita el ping al gateway.
Pregunta:

¿Cómo se representará este tráfico? ¿Cómo un segmento nuevo en el gráfico circular, o modificará los
valores del registro de flujo ya existente?
Escriba sus respuestas aquí.

Los detalles del flujo original siguen siendo los mismos, sin embargo, la proporción de tráfico
representada por el flujo se duplicó.
d. Emita pings desde PC-3 y PC-4 a la dirección del gateway predeterminado.
¿Qué debería suceder en la pantalla del colector de flujos?
Escriba sus respuestas aquí.

Debería aparecer un nuevo registro para cada flujo.

Parte 2: Observar registros de NetFlow correspondientes a una sesión que

ingresa y sale del colector
El exportador de NetFlow se ha configurado para recoger los flujos que salen de la red LAN e ingresan al
router desde Internet.

Paso 1: Acceder al servidor web por dirección IP

Antes de continuar, apaguen y enciendan el Colector de NetFlow para borrar los flujos.
a. Haga clic en Colector de NetFlow > Ficha Física.
b. Haga clic en el botón de encendido rojo para apagar el servidor. Luego, vuelva a hacerle clic para
encenderlo nuevamente. (Nota: Es posible que tenga que desplazarse o alejarse).
c. En el colector de NetFlow, haga clic en la pestaña Escritorio.
d. Haga clic en el ícono del Colector de Netflow. Haga clic en el botón de opción “Activado” para activar el
colector. Cierre la ventana del Colector de NetFlow.
e. Antes de acceder a un servidor web desde PC-1, prediga cuántos flujos habrá en el gráfico circular.
Explique su respuesta
Escriba sus respuestas aquí.

 2018 - 水曜日 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 5
www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

Dado que los flujos que salen de la LAN y entran al router Edge desde el exterior se recopilarán,
habrá dos flujos, uno para los paquetes de solicitud enviados al servidor y otro para los datos
devueltos por el servidor.
Basándose en lo que sabe sobre protocolos de red y NetFlow, prediga los valores correspondientes a las
solicitudes de páginas web que salen de la red LAN.

Campo de registro Valor Pautas

Dirección IP de origen 10.0.0.10 N/D

Dirección IP de destino 192.0.2.100 N/D
1025–5000 (MS Windows de
manera predeterminada, que Se trata de un valor aproximado que
Puerto de origen es lo que utiliza PT. se crea dinámicamente.
Puerto de destino 80 N/D
Interfaz de entrada Gig0/0 N/D
Interfaz de salida Se0/0/1 N/D

Prediga los valores correspondientes a la respuesta de la página web que ingresa al router del
exportador de NetFlow desde Internet.

Campo de registro Valor Pautas

Dirección IP de origen 192.0.2.100 N/D

Dirección IP de destino 10.0.0.10 N/D
Puerto de origen 80 N/D
Este es cualquier valor asignado
aleatoriamente desde el rango de
Puerto de destino 1025-5000 puertos efímeros.
Interfaz de entrada Se0/0/1 N/D
Interfaz de salida Gig0/0 N/D

f. Haga clic en PC-1 > Escritorio. Si es necesario, cierre la ventana del Símbolo del sistema. Haga clic en
el ícono del navegador web.
g. En el navegador web de PC-1, introduzca 192.0.2.100 y haga clic en Go (Ir). Aparecerá la página web
del Sitio web de ejemplo.
h. Después de una breve demora, aparecerá un gráfico circular nuevo en el colector de NetFlow. Verá al
menos dos segmentos circulares correspondientes a la solicitud y a la respuesta HTTP. Podría ver un
tercer segmento si se excedió el tiempo de espera del caché de ARP correspondiente a PC-1.
i. Haga clic en el segmento circular de HTTP para mostrar el registro y verificar sus predicciones.
j. Haga clic en el enlace a la página de Copyrights.
Preguntas:

¿Qué ocurrió? Explique. (Pista: compare el número de puerto en el host correspondiente a los flujos).
Escriba sus respuestas aquí.

 2018 - 水曜日 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 5
www.netacad.com
Packet Tracer: Explorar una implementación de NetFlow

Como el host abrió un nuevo puerto de origen para la nueva solicitud al servidor web, se crearon
dos nuevos flujos.
Compare los flujos. Sin contar las diferencias obvias en la marca de hora, las direcciones IP de origen y
destino, los puertos y las interfaces, ¿qué más difiere entre los flujos de la solicitud y de la respuesta?
Escriba sus respuestas aquí.

Los indicadores TCP son diferentes. Los indicadores para los flujos de solicitud son 0x02 y los
indicadores de respuesta son 0x12. Indique a los estudiantes que busquen estos valores
haciendo una búsqueda en Google en términos como “valores de indicador tcp”. Está fuera del
alcance de esta práctica de laboratorio explicar cómo se determinan los valores, pero el
significado de 0x02 será SYN (decimal 2) para el flujo de solicitud, y será SYN-ACK (decimal 18)
para los flujos de respuesta.

Paso 2: Acceder al servidor web por dirección IP

a. Apague y encienda el Colector de NetFlow para borrar los flujos.
b. Active el servicio del Colector de NetFlow.
c. Antes de acceder al servidor web por su dirección URL.
Pregunta:

¿Qué espera ver en la pantalla del colector de NetFlow?

Escriba sus respuestas aquí.

Verán cuatro flujos. Debido a que se accede al sitio web por URL, debe realizarse una consulta
DNS. Dos flujos representan la consulta DNS y la respuesta. Los otros dos flujos representan la
solicitud HTTP y la respuesta.
d. En PC-1, introduzca www.example.com en el campo de la URL y presione Go (Ir).
e. Después de que los flujos aparezcan en la pantalla, inspeccione cada registro de los flujos.
Pregunta:

¿Qué valores ve para el campo del protocolo IP del registro del flujo? ¿Qué significan estos valores?
Escriba sus respuestas aquí.

Los campos del protocolo IP se analizaron en el paso 1 de la parte 1 de la tabla de esta práctica
de laboratorio. El valor 6 es para TCP y se utiliza para el tráfico HTTP en el puerto TCP 80. El valor
17 es para tráfico UDP y es utilizado por los flujos de consulta DNS y respuesta.
Fin del documento

 2018 - 水曜日 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 5 de 5
www.netacad.com