Router Teldat NETFLOW



Documentos relacionados
En qué sentido es útil para la administración de red y el diseño de la misma tener un conocimiento sobre el flujo de tráfico?

Router Teldat AFS Doc. DM786 Rev Mayo, 2008

Router Teldat ISTUD Doc. DM784 Rev Marzo, 2008

Gestión de Redes Introducción a Netflow

Router Teldat. Protocolo ARP e InARP

Router Teldat. Proxy ARP

NETFLOW Herramientas de análisis de tráfico

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Router Teldat. Facilidad Sniffer

Router Teldat. Proxy ARP

Router Teldat. Protocolo ARP e InARP

Lista de Control de Acceso (ACL) LOGO

Práctica 7 Network Address Translation en routers Cisco

Router Teldat. Protocolo TELNET

Práctica 4 - Network Address Translation (NAT)

Router Teldat. Protocolo TELNET

Redes I Soluciones de la Práctica 1: /etc/network/interfaces, tcpdump y wireshark

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

REDES DE COMPUTADORES FACULTAD DE INGENIERIA ELECTRONICA UNIVERSIDAD PONTIFICIA BOLIVARIANA. Profesor: Jhon Jairo Padilla Aguilar, Ph.D.

Ing. Ma. Eugenia Macías Ríos. Administración de Redes

Iptables, herramienta para controlar el tráfico de un servidor

Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Conceptos básicos de redes TCP/IP

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

Router Teldat. Protocolo ARP e InARP

Cortafuegos (Firewalls) en Linux con iptables

TELECOMUNICACIONES Y REDES

Laboratorio de Redes de Computadores

Laboratorio práctico Cómo hacer un diagrama de los flujos de tráfico de Intranet

Capa de red de OSI. Semestre 1 Capítulo 5 Universidad Cesar Vallejo Edwin Mendoza emendozatorres@gmail.com

Gestión y diagnóstico básico de switches ConneXium TCSESM instalados en arquitecturas redundantes (anillo)

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Sistema de monitoreo de redes Iptraf Politécnico Internacional

Firewall Firestarter. Establece perímetros confiables.

Router Teldat. Nuevo NAT

Práctica GESTIÓN Y UTILIZACIÓN DE REDES LOCALES. Curso 2001/2002. TCP/IP: protocolo TCP

66.69 Criptografía y Seguridad Informática FIREWALL

Router Teldat. Interfaz Loopback

Capitulo 2: Enrutamiento Estático

Sistemas Operativos. Sesión 5: Protocolos de enrutamiento vector distancia

Tema: Analizador de tráfico

Dispositivos de Red Hub Switch

Tutorial BMS Server Studio UDP

Monitorizacion de Netflow con NFSen

3.1 Introducción a Wireshark

Router Teldat. Agente SNMP

Mediciones pasivas. Performance de redes Instituto de Ingeniería Eléctrica, Universidad de la República 2005.

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

Router Teldat. Facilidad NAT DINÁMICO

Introducción a los Flujos de Red (Network Flows) Carlos Vicente Servicios de Red Universidad de Oregon

CONFIGURACIÓN DEL ADAPTADOR DE RED EN LINUX

Router Teldat. Protocolo TIDP

Configuración del firewall en Linux con IPtables

HOWTO: Cómo configurar SNAT

Router Teldat. Protocolo HTTP

WINDOWS : SERVIDOR DHCP

Manual de software. Dynamic Cloud. 10/2014 MS-Dynamic_Cloud v1.2

Administración de la red (Windows 2008)

CAPITULO 4. Requerimientos, Análisis y Diseño. El presente capítulo explica los pasos que se realizaron antes de implementar


Router Teldat. Protocolo STUN

5.2.- Configuración de un Servidor DHCP en Windows 2003 Server

DHCP NAT. Redes WAN. DHCP y NAT. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. Universidad Andrés Bello. 27 abr 2011

Práctica GESTIÓN Y UTILIZACIÓN DE REDES LOCALES. Curso 2001/2002. Monitorización de una LAN

Guía de diagnóstico Software WIRESHARK para la captura de tramas Ethernet Centro de Competencia Técnica

REDES INFORMATICAS: Protocolo IP

INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD ADOLFO LÓPEZ MATEOS - ZACATENCO

Clase 26 Soluciones al problema de direccionamiento Tema 7.- Ampliación de temas

Gestión de Redes Introducción a Netflow

Arquitectura de Redes y Sistemas de Telecomunicación

NAT y DHCP Server en los Speedlan

UNIVERSIDAD DE CANTABRIA DEPARTAMENTO DE INGENIERÍA DE COMUNICACIONES GRUPO DE INGENIERÍA TELEMÁTICA

ARP. Conceptos básicos de IP

IP v6. :: Redes :: Redes : : IP v6. transporte. red. enlace. física. aplicación. Versión 28/02/11

Práctica 10 - Network Address Translation (NAT)

COMO CONFIGURAR UNA MAQUINA VIRTUAL EN VIRTUALBOX PARA ELASTIX

SIIGO Pyme. Templates. Cartilla I

Introducción a las Redes de Computadoras. Obligatorio

CONFIGURACIÓN BÁSICA DE UNA VPN EN WINDOWS XP PROFESIONAL

Kaldeera Advanced Forms 2009 Guía del usuario

Router Teldat. Policy-Based Routing

Laboratorio práctico Identificación de los flujos de tráfico

Guías _SGO. Gestione administradores, usuarios y grupos de su empresa. Sistema de Gestión Online

Configuración del acceso a Internet en una red

Capítulo V. Implementación

INSTALACIÓN DE LICENCIAS EN RED. Descripción del Procedimiento

NetSupport ServiceDesk

Agente local Aranda GNU/Linux. [Manual Instalación] Todos los derechos reservados Aranda Software [1]

Impresión en red: Cómo hacer que funcione

UNIVERSIDAD DE ALCALÁ - DEPARTAMENTO DE AUTOMÁTICA Área de Ingeniería Telemática LABORATORIO DE COMUNICACIÓN DE DATOS (CURSO 2011/2012)

DHCP. Dynamic Host Configuration Protocol. Protocolo de Configuración Dinámica de Host. Administración de Redes de Computadores

Manual de usuario para Android de la aplicación PORTAFIRMAS MÓVIL

Examen Cisco Online CCNA4 V4.0 - Capitulo 7. By Alen.-

P6 Servicio de Voz sobre IP (VoIP)

Introducción a las Redes de Computadoras

REDES DE COMPUTADORES Laboratorio

Transcripción:

Router Teldat NETFLOW Doc. DM789 Rev. 10.80 Octubre, 2010

ÍNDICE Capítulo 1 Introducción... 1 1. Descripción del protocolo NETFLOW... 2 1.1. Definición... 2 1.2. Relación con otros subsistemas... 3 Capítulo 2 Configuración del protocolo NETFLOW... 5 1. Configuración del protocolo NETFLOW... 6 1.1. [NO] IP... 6 a) [NO] IP CACHE ENTRIES... 6 b) [NO] IP CACHE TIMEOUT ACTIVE... 6 c) [NO] IP CACHE TIMEOUT INACTIVE... 7 d) [NO] IP EXPORT DESTINATION... 7 e) [NO] IP EXPORT SOURCE... 7 f) [NO] IP EXPORT TEMPLATE REFRESH-RATE... 7 g) [NO] IP EXPORT TEMPLATE REFRESH-RATE... 7 h) [NO] IP EXPORT VERSION... 7 1.2. [NO] MODE... 8 a) [NO] MODE RANDOM ONE-OUT-OF... 8 1.3. EXIT... 8 2. Configuración de netflow por interfaz... 9 2.1. [NO] IP FLOW INGRESS... 9 2.2. [NO] IP FLOW EGRESS... 9 Capítulo 3 Monitorización del protocolo NETFLOW... 10 1. Monitorización del protocolo netflow... 11 1.1. CLEAR... 11 a) CLEAR CACHE... 11 1.2. LIST... 11 a) LIST CACHE... 11 b) LIST STATISTICS... 12 Capítulo 4 Ejemplos... 13 1. Monitorización de tráfico IP mediante netflow... 14 - ii -

Capítulo 1 Introducción

1. Descripción del protocolo NETFLOW 1.1. Definición Netflow es un protocolo que permite monitorizar los flujos de datos que circulan por una red IP. Permite visualizar de una manera sencilla quién, qué, cuándo y donde están siendo procesados los flujos de tráfico por la red. Cuando se comprende el comportamiento de la red IP ante los flujos de tráfico se puede mejorar y auditar dicha red. El protocolo netflow exporta la información de los flujos IP en paquetes encapsulados en UDP con un formato determinado. Dicho formato depende de la versión de netflow configurada, permitiendo los equipos Teldat utilizar la versión 5 ó la versión 9. Los paquetes UDP son recibidos por un servidor llamado collector que interpreta y almacena en una base de datos los flujos recibidos. Posteriormente el administrador de la red puede consultar esa base de datos para obtener gráficas y estadísticos del tráfico cursado por el router. El formato de los paquetes netflow versión 5 sigue un patrón predefinido, de tal forma que siempre se envía la misma información, la versión 9 en cambio permite ser flexible en la información que se envía de cada flujo. Como la versión 9 es flexible a la hora de enviar campos de un flujo, se envía cada cierto tiempo información donde se especifica que campos son enviados. Esta definición de campos se conoce como template. Una descripción completa del formato puede encontrarse en http://www.ietf.org/rfc/rfc3954.txt. La implementación del protocolo netflow de los equipos Teldat envía la misma información tanto si se utiliza la versión 5 como la versión 9. ROUTER TELDAT Introducción protocolo NETFLOW I - 2

En cualquiera de las dos versiones un flujo netflow se define como una secuencia unidireccional de paquetes que comparten los siguientes parámetros: 1- Dirección origen 2- Dirección destino 3- Protocolo IP 4- Puerto origen (para protocolos UDP/TCP) 5- Puerto destino (para protocolos UDP/TCP) 6- Campo TOS del cabecero IP 7- Interfaz de entrada 8- Interfaz de salida Si alguno de estos parámetros varía el paquete se considera como perteneciente a otro flujo diferente. Los flujos netflow se almacenan en un espacio llamado caché. Cuando un paquete es recibido por el equipo y se comprueba que debe ser procesado por el protocolo netflow se busca un flujo ya existente en la caché correspondiente a dicho paquete. Si se encuentra se incrementan los contadores de paquetes y bytes asociados al flujo y se refresca el tiempo de vida. Si no se encuentra se crea un nuevo flujo y se inserta en la caché. El router envía un registro del flujo cuando determina que dicho flujo ha terminado y es borrado de la caché. Un flujo se da por terminado cuando transcurre un tiempo durante el cual no se enruta ningún paquete asociado a dicho flujo (por defecto 15 segundos). También se considera un flujo terminado cuando lleva activo durante mucho tiempo (por defecto 30 minutos). Un registro de un flujo netflow exportado por un equipo Teldat está compuesto por los siguientes campos tanto para la versión 5 como para la versión 9: 1- Interfaces de entrada y de salida 2- Tiempo de comienzo y fin del flujo 3- Número de bytes y paquetes pertenecientes al flujo 4- Dirección IP origen y destino 5- Protocolo IP 6- Puertos origen y destino (protocolos TCP/UDP) 7- Campo TOS de la cabecera IP 8- Flags TCP, se trata de la unión de todos los flags TCP observados durante la vida del flujo 9- IP del siguiente salto 10- Máscaras origen y destino 11- Sistema autónomo origen y destino. Esta información no se proporciona en la implementación Teldat del protocolo netflow, por lo que dichos campos son enviados siempre a cero. 1.2. Relación con otros subsistemas IPSEC: Si se encuentra habilitado IPSEC se contabiliza un flujo netflow asociado al paquete encapsulado y otro asociado al paquete desencapsulado. Esto es, por cada paquete ipsec se generan dos flujos ROUTER TELDAT Introducción protocolo NETFLOW I - 3

netflow, uno con las direcciones IP del túnel IPSEC y otro con las direcciones IP sin encapsulado IPSEC. NAT: Los paquetes de netflow son clasificados antes de realizar NAT sobre la IP origen, pero después de realizar NAT sobre la IP destino. Es decir, los flujos netflow tienen las direcciones IP locales. FILTRADO: Los paquetes descartados por un access-group de entrada o de salida (ver manual Dm702 Configuración TCP-IP) son contabilizados para flujos netflow entrantes a un interfaz (ingress), pero no son contabilizados para flujos netflow salientes por un interfaz (egress). FRAGMENTACION IP: Únicamente el primer fragmento IP de un paquete es clasificado por netflow, ya que es el único que tiene información completa para su clasificacion, el resto no tiene los puertos UDP/TCP en la cabecera. Los fragmentos que no sean el primero no son tratados, a no ser que se encuentre activado el sistema AFS (ver manual Dm786 AFS), dicho sistema incopora un defragmentador previo, por lo que los paquetes IP llegan al protocolo netflow ya defragmentados y son tratados normalmente. ROUTER TELDAT Introducción protocolo NETFLOW I - 4

Capítulo 2 Configuración del protocolo NETFLOW

1. Configuración del protocolo NETFLOW Para configurar el protocolo netflow debe teclearse FEATURE NETFLOW desde el menú de configuración principal. Config>feature netflow Las opciones que se presentan desde el menú de configuración del protocolo NETFLOW son las siguientes:? ip Netflow IP configuration options mode Netflow mode configuration options no Negate a command or set its defaults exit Exit this menu 1.1. [NO] IP a) [NO] IP CACHE ENTRIES Configura el número máximo de flujos que pueden crearse. El valor por defecto es de 65536. Si se supera el número máximo de flujos se fuerza la eliminación y exportación de los más antiguos. IP CACHE ENTRIES <entries-number> b) [NO] IP CACHE TIMEOUT ACTIVE Configura el tiempo máximo que un flujo netflow activo puede permanecer en la cache antes de ser borrado y exportada su información. Por defecto son 30 minutos. Otra forma de entender este parámetro es el tiempo transcurrido entre dos envíos de información de un mismo flujo activo, a menor tiempo entre envíos mayor resolución en la medición pero más sobrecarga de CPU. Si se desea la mayor granuralidad posible en las mediciones de paquetes por segundo y bytes por segundo se recomienda bajar este tiempo al mínimo permitido de 1 minuto. Esto tiene como contrapartida un mayor consumo de CPU. IP CACHE TIMEOUT ACTIVE <minutes> ROUTER TELDAT Configuración protocolo NETFLOW II - 6

c) [NO] IP CACHE TIMEOUT INACTIVE Configura el tiempo máximo que un flujo netflow inactivo puede permanecer en la cache antes de ser borrado y exportado. Por defecto son 15 segundos, esto es, si un flujo netflow está durante más de 15 segundos sin incrementar al número de paquetes es borrado y exportado. IP CACHE TIMEOUT INACTIVE <seconds> d) [NO] IP EXPORT DESTINATION Configura el equipo para exportar los flujos de netflow a la IP, puerto UDP y VRF configurados. El puerto y la VRF son opcionales, utilizando por defecto el puerto 9996 y la VRF principal si no se especifica nada. Se pueden definir tantos destinos como se desee, el equipo envía copias de los paquetes a cada destino. IP EXPORT DESTINATION <ip> [<udp-port>] [vrf <vrf-name>] e) [NO] IP EXPORT SOURCE Configura la IP que es utilizada como origen en los paquetes UDP de netflow enviados por el equipo Teldat. Si no se configura se utiliza la IP interna. IP EXPORT SOURCE <ip> f) [NO] IP EXPORT TEMPLATE REFRESH-RATE Configura cada cuántos paquetes netflow se envía el template donde está la definición de los campos que son enviados. Solo aplica si la versión configurada es la 9. Por defecto son 20 paquetes. IP EXPORT TEMPLATE REFRESH-RATE <packets> g) [NO] IP EXPORT TEMPLATE REFRESH-RATE Configura el máximo tiempo que puede transcurrir sin enviar el template donde está la definición de los campos que son enviados. Solo aplica si la versión configurada es la 9. Por defecto son 30 minutos. IP EXPORT TEMPLATE TIMEOUT-RATE <minutes> h) [NO] IP EXPORT VERSION Configura la versión de netflow que será utilizada. Actualmente se soporta la versión 5 y la versión 9. Este comando debe configurarse si se desea que se envíe algún tipo de paquete netflow, por defecto no se utiliza ninguna versión, y el protocolo netflow esta desactivado. IP EXPORT VERSION <5 9> ROUTER TELDAT Configuración protocolo NETFLOW II - 7

1.2. [NO] MODE a) [NO] MODE RANDOM ONE-OUT-OF Al configurar esta opción uno de cada n paquetes IP no son tratados por netflow. El número de paquetes y de bytes en cada flujo es multiplicado por n para compensar el muestreo. Con esto se consigue ahorrar CPU, pero los valores de paquetes y bytes pasan a ser una estimación. MODE RANDOM ONE-OUT-OF <n> 1.3. EXIT Permite salir del menú de configuración de netflow. EXIT Config> ROUTER TELDAT Configuración protocolo NETFLOW II - 8

2. Configuración de netflow por interfaz Para habilitar el protocolo netflow en un interfaz es necesario hacerlo en el menú de configuración de dicho interfaz. Para acceder al menú de configuración de un interfaz, por ejemplo el interfaz ethernet0/0: Config>network ethernet0/0 -- Ethernet Interface User Configuration -- ethernet0/0 config> Los comandos disponibles son: 2.1. [NO] IP FLOW INGRESS Habilita el procesamiento por parte del protocolo netflow de los paquetes IP que entran por el interfaz. Opcionalmente se permite especificar una lista de acceso, únicamente los paquetes IP entrantes que encajen en dicha lista de acceso son procesados. ifc config>ip flow ingress [list <list-number>] ifc config> 2.2. [NO] IP FLOW EGRESS Habilita el procesamiento por parte del protocolo netflow de los paquetes IP que salgan por el interfaz. Opcionalmente se permite especificar una lista de acceso, únicamente los paquetes IP salientes que encajen en dicha lista de acceso son procesados. ifc config>ip flow egress [list <list-number>] ifc config> ROUTER TELDAT Configuración protocolo NETFLOW II - 9

Capítulo 3 Monitorización del protocolo NETFLOW

1. Monitorización del protocolo netflow Los comandos de monitorización del protocolo netflow han de ser introducidos en el menú de monitorización asociado a netflow (netflow+). Para acceder a dicho menú se emplea el comando FEATURE NETFLOW en el menú de monitorización general. +feature netflow NETFLOW Monitor NETFLOW Mon+ 1.1. CLEAR a) CLEAR CACHE Elimina los flujos netflow que están presentes en la caché. Los flujos eliminados mediante este comando no son exportados. NETFLOW Mon+CLEAR CACHE NETFLOW Mon+ 1.2. LIST a) LIST CACHE Muestra los flujos netflow que están presentes en la caché. Opcionalmente permite especificar una cadena de texto, únicamente se muestran los flujos que contengan dicha cadena de texto. Ejemplo 1: NETFLOW Mon+LIST CACHE [<string>] NETFLOW Mon+ NETFLOW Mon+list cache SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Expiry ------------------------------------------------------------------------------------------- ethernet0/0 172.26.1.1 ethernet0/0 172.26.0.0 17 520 520 73 12 ethernet0/0 172.24.100.130 local 172.24.100.133 1 0 0 2 14 NETFLOW Mon+ Ejemplo 2: NETFLOW Mon+list cache 172.26.1.1 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Expiry ------------------------------------------------------------------------------------------- ethernet0/0 172.26.1.1 ethernet0/0 172.26.0.0 17 520 520 73 12 NETFLOW Mon+ ROUTER TELDAT Monitorización protocolo NETFLOW III - 11

b) LIST STATISTICS Muestra estadisticos globales del protocolo netflow. Informa del número de flujos activos, paquetes IP procesados, ignorados, etc. NETFLOW Mon+LIST STATISTICS NETFLOW Mon+ Ejemplo: NETFLOW Mon+list statistics Number of active flows: 1 Packets processed: 2010 Fragments: 8 Ignored packets: 0 (0 ipsec, 0 sampled) Flows expired: 58 (0 forced) Flows exported: 115 in 57 packets (0 failures) Sampling factor 1 out of 1 NETFLOW Mon+ ROUTER TELDAT Monitorización protocolo NETFLOW III - 12

Capítulo 4 Ejemplos

1. Monitorización de tráfico IP mediante netflow Se desea monitorizar el tráfico de red procesado por un router que actúa como salida a Internet. El interfaz escogido para la monitorización será el de salida a Internet, el ppp1, y se desea monitorizar tanto la entrada como la salida de dicho interfaz. Se decide utilizar la versión 9 del protocolo netflow. Se ha instalado el software collector en un PC con la dirección 172.24.100.130, utilizando el puerto por defecto 9996. La IP origen utilizada por el router para enviar los paquetes UDP del protocolo netflow se desea que sea la 172.24.100.129. A continuación se presenta un diagrama representando el escenario descrito: Como se requiere una resolución lo más alta posible se configura el time-out de actividad a 1 minuto, a pesar de que esto supone una mayor carga para la CPU del router. A continuación se adjunta la configuración relativa al protocolo netflow. network ppp1 ; -- Generic PPP User Configuration -- ip flow egress ip flow ingress exit feature netflow ip cache timeout active 1 ip export destination 172.24.100.130 ; ip export source 172.24.100.129 ip export version 9 exit ROUTER TELDAT Ejemplo protocolo NETFLOW IV - 14

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback