Router Teldat NETFLOW

Transcripción

1 Router Teldat NETFLOW Doc. DM789 Rev Octubre, 2010

2 ÍNDICE Capítulo 1 Introducción Descripción del protocolo NETFLOW Definición Relación con otros subsistemas... 3 Capítulo 2 Configuración del protocolo NETFLOW Configuración del protocolo NETFLOW [NO] IP... 6 a) [NO] IP CACHE ENTRIES... 6 b) [NO] IP CACHE TIMEOUT ACTIVE... 6 c) [NO] IP CACHE TIMEOUT INACTIVE... 7 d) [NO] IP EXPORT DESTINATION... 7 e) [NO] IP EXPORT SOURCE... 7 f) [NO] IP EXPORT TEMPLATE REFRESH-RATE... 7 g) [NO] IP EXPORT TEMPLATE REFRESH-RATE... 7 h) [NO] IP EXPORT VERSION [NO] MODE... 8 a) [NO] MODE RANDOM ONE-OUT-OF EXIT Configuración de netflow por interfaz [NO] IP FLOW INGRESS [NO] IP FLOW EGRESS... 9 Capítulo 3 Monitorización del protocolo NETFLOW Monitorización del protocolo netflow CLEAR a) CLEAR CACHE LIST a) LIST CACHE b) LIST STATISTICS Capítulo 4 Ejemplos Monitorización de tráfico IP mediante netflow ii -

3 Capítulo 1 Introducción

4 1. Descripción del protocolo NETFLOW 1.1. Definición Netflow es un protocolo que permite monitorizar los flujos de datos que circulan por una red IP. Permite visualizar de una manera sencilla quién, qué, cuándo y donde están siendo procesados los flujos de tráfico por la red. Cuando se comprende el comportamiento de la red IP ante los flujos de tráfico se puede mejorar y auditar dicha red. El protocolo netflow exporta la información de los flujos IP en paquetes encapsulados en UDP con un formato determinado. Dicho formato depende de la versión de netflow configurada, permitiendo los equipos Teldat utilizar la versión 5 ó la versión 9. Los paquetes UDP son recibidos por un servidor llamado collector que interpreta y almacena en una base de datos los flujos recibidos. Posteriormente el administrador de la red puede consultar esa base de datos para obtener gráficas y estadísticos del tráfico cursado por el router. El formato de los paquetes netflow versión 5 sigue un patrón predefinido, de tal forma que siempre se envía la misma información, la versión 9 en cambio permite ser flexible en la información que se envía de cada flujo. Como la versión 9 es flexible a la hora de enviar campos de un flujo, se envía cada cierto tiempo información donde se especifica que campos son enviados. Esta definición de campos se conoce como template. Una descripción completa del formato puede encontrarse en La implementación del protocolo netflow de los equipos Teldat envía la misma información tanto si se utiliza la versión 5 como la versión 9. ROUTER TELDAT Introducción protocolo NETFLOW I - 2

5 En cualquiera de las dos versiones un flujo netflow se define como una secuencia unidireccional de paquetes que comparten los siguientes parámetros: 1- Dirección origen 2- Dirección destino 3- Protocolo IP 4- Puerto origen (para protocolos UDP/TCP) 5- Puerto destino (para protocolos UDP/TCP) 6- Campo TOS del cabecero IP 7- Interfaz de entrada 8- Interfaz de salida Si alguno de estos parámetros varía el paquete se considera como perteneciente a otro flujo diferente. Los flujos netflow se almacenan en un espacio llamado caché. Cuando un paquete es recibido por el equipo y se comprueba que debe ser procesado por el protocolo netflow se busca un flujo ya existente en la caché correspondiente a dicho paquete. Si se encuentra se incrementan los contadores de paquetes y bytes asociados al flujo y se refresca el tiempo de vida. Si no se encuentra se crea un nuevo flujo y se inserta en la caché. El router envía un registro del flujo cuando determina que dicho flujo ha terminado y es borrado de la caché. Un flujo se da por terminado cuando transcurre un tiempo durante el cual no se enruta ningún paquete asociado a dicho flujo (por defecto 15 segundos). También se considera un flujo terminado cuando lleva activo durante mucho tiempo (por defecto 30 minutos). Un registro de un flujo netflow exportado por un equipo Teldat está compuesto por los siguientes campos tanto para la versión 5 como para la versión 9: 1- Interfaces de entrada y de salida 2- Tiempo de comienzo y fin del flujo 3- Número de bytes y paquetes pertenecientes al flujo 4- Dirección IP origen y destino 5- Protocolo IP 6- Puertos origen y destino (protocolos TCP/UDP) 7- Campo TOS de la cabecera IP 8- Flags TCP, se trata de la unión de todos los flags TCP observados durante la vida del flujo 9- IP del siguiente salto 10- Máscaras origen y destino 11- Sistema autónomo origen y destino. Esta información no se proporciona en la implementación Teldat del protocolo netflow, por lo que dichos campos son enviados siempre a cero Relación con otros subsistemas IPSEC: Si se encuentra habilitado IPSEC se contabiliza un flujo netflow asociado al paquete encapsulado y otro asociado al paquete desencapsulado. Esto es, por cada paquete ipsec se generan dos flujos ROUTER TELDAT Introducción protocolo NETFLOW I - 3

6 netflow, uno con las direcciones IP del túnel IPSEC y otro con las direcciones IP sin encapsulado IPSEC. NAT: Los paquetes de netflow son clasificados antes de realizar NAT sobre la IP origen, pero después de realizar NAT sobre la IP destino. Es decir, los flujos netflow tienen las direcciones IP locales. FILTRADO: Los paquetes descartados por un access-group de entrada o de salida (ver manual Dm702 Configuración TCP-IP) son contabilizados para flujos netflow entrantes a un interfaz (ingress), pero no son contabilizados para flujos netflow salientes por un interfaz (egress). FRAGMENTACION IP: Únicamente el primer fragmento IP de un paquete es clasificado por netflow, ya que es el único que tiene información completa para su clasificacion, el resto no tiene los puertos UDP/TCP en la cabecera. Los fragmentos que no sean el primero no son tratados, a no ser que se encuentre activado el sistema AFS (ver manual Dm786 AFS), dicho sistema incopora un defragmentador previo, por lo que los paquetes IP llegan al protocolo netflow ya defragmentados y son tratados normalmente. ROUTER TELDAT Introducción protocolo NETFLOW I - 4

7 Capítulo 2 Configuración del protocolo NETFLOW

8 1. Configuración del protocolo NETFLOW Para configurar el protocolo netflow debe teclearse FEATURE NETFLOW desde el menú de configuración principal. Config>feature netflow Las opciones que se presentan desde el menú de configuración del protocolo NETFLOW son las siguientes:? ip Netflow IP configuration options mode Netflow mode configuration options no Negate a command or set its defaults exit Exit this menu 1.1. [NO] IP a) [NO] IP CACHE ENTRIES Configura el número máximo de flujos que pueden crearse. El valor por defecto es de Si se supera el número máximo de flujos se fuerza la eliminación y exportación de los más antiguos. IP CACHE ENTRIES <entries-number> b) [NO] IP CACHE TIMEOUT ACTIVE Configura el tiempo máximo que un flujo netflow activo puede permanecer en la cache antes de ser borrado y exportada su información. Por defecto son 30 minutos. Otra forma de entender este parámetro es el tiempo transcurrido entre dos envíos de información de un mismo flujo activo, a menor tiempo entre envíos mayor resolución en la medición pero más sobrecarga de CPU. Si se desea la mayor granuralidad posible en las mediciones de paquetes por segundo y bytes por segundo se recomienda bajar este tiempo al mínimo permitido de 1 minuto. Esto tiene como contrapartida un mayor consumo de CPU. IP CACHE TIMEOUT ACTIVE <minutes> ROUTER TELDAT Configuración protocolo NETFLOW II - 6

9 c) [NO] IP CACHE TIMEOUT INACTIVE Configura el tiempo máximo que un flujo netflow inactivo puede permanecer en la cache antes de ser borrado y exportado. Por defecto son 15 segundos, esto es, si un flujo netflow está durante más de 15 segundos sin incrementar al número de paquetes es borrado y exportado. IP CACHE TIMEOUT INACTIVE <seconds> d) [NO] IP EXPORT DESTINATION Configura el equipo para exportar los flujos de netflow a la IP, puerto UDP y VRF configurados. El puerto y la VRF son opcionales, utilizando por defecto el puerto 9996 y la VRF principal si no se especifica nada. Se pueden definir tantos destinos como se desee, el equipo envía copias de los paquetes a cada destino. IP EXPORT DESTINATION <ip> [<udp-port>] [vrf <vrf-name>] e) [NO] IP EXPORT SOURCE Configura la IP que es utilizada como origen en los paquetes UDP de netflow enviados por el equipo Teldat. Si no se configura se utiliza la IP interna. IP EXPORT SOURCE <ip> f) [NO] IP EXPORT TEMPLATE REFRESH-RATE Configura cada cuántos paquetes netflow se envía el template donde está la definición de los campos que son enviados. Solo aplica si la versión configurada es la 9. Por defecto son 20 paquetes. IP EXPORT TEMPLATE REFRESH-RATE <packets> g) [NO] IP EXPORT TEMPLATE REFRESH-RATE Configura el máximo tiempo que puede transcurrir sin enviar el template donde está la definición de los campos que son enviados. Solo aplica si la versión configurada es la 9. Por defecto son 30 minutos. IP EXPORT TEMPLATE TIMEOUT-RATE <minutes> h) [NO] IP EXPORT VERSION Configura la versión de netflow que será utilizada. Actualmente se soporta la versión 5 y la versión 9. Este comando debe configurarse si se desea que se envíe algún tipo de paquete netflow, por defecto no se utiliza ninguna versión, y el protocolo netflow esta desactivado. IP EXPORT VERSION <5 9> ROUTER TELDAT Configuración protocolo NETFLOW II - 7

10 1.2. [NO] MODE a) [NO] MODE RANDOM ONE-OUT-OF Al configurar esta opción uno de cada n paquetes IP no son tratados por netflow. El número de paquetes y de bytes en cada flujo es multiplicado por n para compensar el muestreo. Con esto se consigue ahorrar CPU, pero los valores de paquetes y bytes pasan a ser una estimación. MODE RANDOM ONE-OUT-OF <n> 1.3. EXIT Permite salir del menú de configuración de netflow. EXIT Config> ROUTER TELDAT Configuración protocolo NETFLOW II - 8

11 2. Configuración de netflow por interfaz Para habilitar el protocolo netflow en un interfaz es necesario hacerlo en el menú de configuración de dicho interfaz. Para acceder al menú de configuración de un interfaz, por ejemplo el interfaz ethernet0/0: Config>network ethernet0/0 -- Ethernet Interface User Configuration -- ethernet0/0 config> Los comandos disponibles son: 2.1. [NO] IP FLOW INGRESS Habilita el procesamiento por parte del protocolo netflow de los paquetes IP que entran por el interfaz. Opcionalmente se permite especificar una lista de acceso, únicamente los paquetes IP entrantes que encajen en dicha lista de acceso son procesados. ifc config>ip flow ingress [list <list-number>] ifc config> 2.2. [NO] IP FLOW EGRESS Habilita el procesamiento por parte del protocolo netflow de los paquetes IP que salgan por el interfaz. Opcionalmente se permite especificar una lista de acceso, únicamente los paquetes IP salientes que encajen en dicha lista de acceso son procesados. ifc config>ip flow egress [list <list-number>] ifc config> ROUTER TELDAT Configuración protocolo NETFLOW II - 9

12 Capítulo 3 Monitorización del protocolo NETFLOW

13 1. Monitorización del protocolo netflow Los comandos de monitorización del protocolo netflow han de ser introducidos en el menú de monitorización asociado a netflow (netflow+). Para acceder a dicho menú se emplea el comando FEATURE NETFLOW en el menú de monitorización general. +feature netflow NETFLOW Monitor NETFLOW Mon CLEAR a) CLEAR CACHE Elimina los flujos netflow que están presentes en la caché. Los flujos eliminados mediante este comando no son exportados. NETFLOW Mon+CLEAR CACHE NETFLOW Mon LIST a) LIST CACHE Muestra los flujos netflow que están presentes en la caché. Opcionalmente permite especificar una cadena de texto, únicamente se muestran los flujos que contengan dicha cadena de texto. Ejemplo 1: NETFLOW Mon+LIST CACHE [<string>] NETFLOW Mon+ NETFLOW Mon+list cache SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Expiry ethernet0/ ethernet0/ ethernet0/ local NETFLOW Mon+ Ejemplo 2: NETFLOW Mon+list cache SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Expiry ethernet0/ ethernet0/ NETFLOW Mon+ ROUTER TELDAT Monitorización protocolo NETFLOW III - 11

14 b) LIST STATISTICS Muestra estadisticos globales del protocolo netflow. Informa del número de flujos activos, paquetes IP procesados, ignorados, etc. NETFLOW Mon+LIST STATISTICS NETFLOW Mon+ Ejemplo: NETFLOW Mon+list statistics Number of active flows: 1 Packets processed: 2010 Fragments: 8 Ignored packets: 0 (0 ipsec, 0 sampled) Flows expired: 58 (0 forced) Flows exported: 115 in 57 packets (0 failures) Sampling factor 1 out of 1 NETFLOW Mon+ ROUTER TELDAT Monitorización protocolo NETFLOW III - 12

15 Capítulo 4 Ejemplos

16 1. Monitorización de tráfico IP mediante netflow Se desea monitorizar el tráfico de red procesado por un router que actúa como salida a Internet. El interfaz escogido para la monitorización será el de salida a Internet, el ppp1, y se desea monitorizar tanto la entrada como la salida de dicho interfaz. Se decide utilizar la versión 9 del protocolo netflow. Se ha instalado el software collector en un PC con la dirección , utilizando el puerto por defecto La IP origen utilizada por el router para enviar los paquetes UDP del protocolo netflow se desea que sea la A continuación se presenta un diagrama representando el escenario descrito: Como se requiere una resolución lo más alta posible se configura el time-out de actividad a 1 minuto, a pesar de que esto supone una mayor carga para la CPU del router. A continuación se adjunta la configuración relativa al protocolo netflow. network ppp1 ; -- Generic PPP User Configuration -- ip flow egress ip flow ingress exit feature netflow ip cache timeout active 1 ip export destination ; ip export source ip export version 9 exit ROUTER TELDAT Ejemplo protocolo NETFLOW IV - 14