Cisco IOS NetFlow:

El sistema ms completo y eficiente

de controlar el trfico de Aplicaciones
Web: www.flukenetworks.com/es
Jos Ignacio Moreiras Muz Damin Migulez LLamas
Monitorizacin y Anlisis de Redes Inalmbricas
17.30 19.00
Pausa Caf
17.00 17.30
Monitorizacin y Anlisis de Redes VoIP
15.30 17.00
Registro
15.00 15.30
Cisco IOS NetFlow: El sistema ms completo y eficiente de
controlar el trfico de Aplicaciones
11.30 13.30
Pausa Caf
11.00 11.30
La calidad de servicio al usuario: Lo nico importante
9.00 11.00
Registro
8.30 9.00
Agenda: 28 de Febrero
Sistemas distribuidos
y analizadores porttiles
Certificacin de la infraestructura
de cobre y fibra
Gamas de productos
Enterprise
SuperVision (ESV)
Infrastructure
SuperVision (ISV)
Soluciones
Telecomunicaciones.
Medicin de enlaces de
clientes
Outside Plant
SuperVision (OSV)
Sondas LAN y WAN
Anlisis VoIP
Anlisis Rendimiento de
Aplicaciones
Gestin de trfico con NetFlow
Enterprise SuperVision
Sistemas
Distribuidos
Analizadores
Porttiles
Analizadores LAN y WiFi
Asistentes de Red
Sofware de anlisis y
documentacin
Comprobadores de Conectividad
Cmo obtener la informacin
del trfico de red sondas o Netflow?
1. Sondas de Anlisis (RMON2, analizadores protocolos)
+ Posibilidad de analizar tiempos de respuesta de aplicaciones
+ Captura y decodificacin de tramas
- Necesario desplegar sondas en la red
- Acceso a la red mediante taps o rplica de puerto
- Escalabilidad limitada: dependiente del tipo de interfaz
- Escalablidad limitada: necesario despliegue fsico
2. Tecnologa NetFlow
+ El propio router o switch informa del trfico
+ Escalable: independiente del tipo de interfaces
+ Escalable: fcil de aadir ms interfaces
- Anlisis menos detallados
- Dependiente si la electrnica de red soporta NetFlow
Origen de la tecnologa NetFlow
Desarrollado por Darren Kerr y Barry Bruins de
Cisco Systems en 1996
NetFlow es ahora la tecnologa principal de la
industria para contabilizar el trfico de red
NetFlow versin 9 es ahora un estndar de la IETF
El grupo de trabajo dentro de la IETF es el IPFIX
(Internet Protocol Flow Information eXport)
http:// ipfix.doit.wisc.edu
Versiones NetFlow
Original 1
Formato de trama flexible y extensible que facilita el
soporte de campos de informacin adcionales (por
ejemplo BGP next Hop y MPLS aware)
9
Hasta 11 esquemas de agregacin
Reduce los recursos requeridos al sistema
8
Especfico de los conmutadores Cisco Catalyst 6500 y
7600
Similar a versin 5 pero no incluye informacin AS,
interfaz, TCP Flag & TOS
7
Estndar y el ms utilizado 5
Comments NetFlow Version
Qu datos ofrece NetFlow? (Versin 5)
Ofrece los siguiente campos de
informacin de los flujos de
trfico en la red:
Datos exportados
va paquetes UDP
Direccin IP origen
Direccin IP destino
Puerto UDP/TCP origen
Puerto UDP/TCP destino
Tipo de protocolo de nivel 3
TOS byte (Type of Service)
Flags TCP
Interfaces lgicos de entrada
y de salida (ifIndex)
Quin habla
con quin?
Qu protocolos
y aplicaciones?
Trfico segn su tipo
de priorizacin
Dnde?
Ataques DoS?
Cmo funciona?
Los routers exportan la informacin de los flujos mediante Netflow a
un sistema de colectores.
Las tramas se exportan va UDP. Las tramas son tpicamente de
1500 bytes y cada una contiene informacin de entre 20 y 50 flujos
Colector
Colector
Configurar NetFlow en router Cisco:
En la configuracin global
ip flow-export source loopback
ip flow-export version 5
ip flow-cache timeout active 1
ip flow-export destination [harvesterIP] 9995
Para cada interfaz a monitorizar
ip route-cache flow
Cmo funciona?
Impacto de habilitar NetFlow
Colector
Trfico de
datos +
NetFlow
Trfico adicional generado por la
Exportacin NetFlow:
Aprox. 1,5% del trfico total
real en cada momento de los
interfaces monitorizados
Interfaces con NetFlow
<12% 45,000
<4% 10,000
Utilizacin adicional de
CPU
Nmero de flujos
activos
Trfico de datos
Algunos switches disponen de ASICs
dedicados a NetFlow por lo que no habra
incremento de consumo de CPU
Optimizacin de recursos
Rtr Y, IF 3 Rtr Z, IF 7
Sin embargo conocemos el interfaz origen y destino.
Podemos por lo tanto calcular el trfico que sale
basndonos en una simple regla:
Todo lo que entre tiene que salir.
NetFlow es una tecnologa de ingreso
Solamente contabiliza el trfico que entra en un
interfaz
Para conocer el trfico total en un enlace por lo
tanto tendramos que habilitar NetFlow en los
routers de ambos extremos.
Colector
Colector
Optimizacin de recursos: solucin
ReporterAnalyzer
= Router con NetFlow
habilitado
Con ReporterAnalyzer de
Fluke Networks, NetFlow
solamente necesita ser
habilitado en los routers
centrales
Debido a ello se elimina
trfico NetFlow
innecesario y se simplifica
la gestin de los routers

M
e
j
o
r
a
r
e
l

r
e
n
d
i
m
i
e
n
t
o

A
u
m
e
n
t
a
r
l
a

E
f
i
c
i
e
n
c
i
a
Alguna vez
le han encargado reducir los costes WAN pero no dispona de la
visibilidad global para conseguir el objetivo?
le han exigido resolver problemas de red en el momento que ocurren?
le han presionado para ampliar el ancho de banda de los enlaces sin
saber si esto resolvera el problema?
ha tenido que identificar rpidamente los viruses
y usuarios infectados?
Solucin: ReporterAnalyzer
Sistema escalable de uno o varios
appliances depende del nmero de
interfaces a monitorizar
Informes en tiempo real e histricos
altamante customizables
Alertas SNMP e email
Funcionalidades de anlisis fornsico
para completar un sistema de seguridad
Instalacin en menos de 2 h.
Data Storage Appliances
1650
PowerEdge
1650
PowerEdge
1650
PowerEdge
NETFLOW
Colector
NetFlow Manager
ReporterAnalyzer
1650
PowerEdge
1650
PowerEdge
C
o
n
s
u
l
t
a

t
i
e
m
p
o

r
e
a
l
I
n
f
o
r
m
e
s

h
i
s
t

r
i
c
o
s
Solucin: ReporterAnalyzer
Guarda una extensa cantidad de informacin necesario para poder realizar una
planificacin adecuada basndose en datos histricos.
Tiempo real: En la ltima hora se dispone de una granularidad de 1 minuto en los
datos
Anlisis Fornsico: 100% de los protocolos y 100% de los usuarios/conversaciones en
las ltimas 4 h.
Histrico: informacin de protocolos hasta 13 meses con 15 min. de resolucin.
(top 200 protocolos de cada 15 minutos)
informacin de conversaciones hasta 2 meses con 15 min. de resolucin.
(top 15 conversaciones para cada uno de los 15 top protocolos + los top 50 conversaciones globales = 275)
Cada colector soporta entre 20 y 200 routers (un total de 1 milln de flujos por minuto)
Interfaz de usuario: Pantalla inicial
Top
interfaces por
trfico total
Top interfaces
trfico de entrada
Top interfaces trfico
de salida
Top Protocols
Top usuarios
Interfaz de usuario: Pantalla inicial
enviar el informe
por email
cambiar los umbrales
de los indicadores
indicadores de la cantidad de trfico
clic para informacin
detallada de ste
interfaz
Interfaz de usuario: Pantalla inicial
Clic para informacin
detallada de
ste interfaz
clic para ver los top
interfaces y top
protocolos para ste
usuario
clic para top interfaces y top
usuarios de ste protocolo
Interfaz de usuario: Informacin detallada
de un interfaz
clic para ver
hosts
o conversaciones
Protocolos
en ste
interfaz
histricos
de trfico
por protocolo
periodos y
filtros de
tiempo
Tipo de grfico
Informes avanzados: Tabla comparativa
Por qu ste interfaz muestra menos consumo de
ancho de banda?
Comparacin de los
ltimos 6 meses o
6 semanas
Flow Forensics: Informes de seguridad
Ejemplos de anlisis
Cundo ha ocurrido y cunto ha durado?
Qu interfaces han soportado un trfico NetBIOS de ms de un 70% en el
ltimo mes en horario laboral?
Algunos clientes referencia
Caso prctico: Planificacin de ancho de banda
Caso real ocurrido en un cliente:
Las aplicaciones a travs de un enlace transocenico experimentan
una rendimiento muy bajo.
Las estadsticas SNMP del router muestran un trfico muy elevado
Se propone un incremento de ancho de banda con un coste adicional
de 120.000 al ao
Desde la pantalla inicial confirmamos que el enlace en
cuestin (Houston a Singapore) presenta un 90% de consumo
de ancho de banda.
clic para ver detalles del interfaz
Caso prctico: Planificacin de ancho de banda
ste enlace est en la lista de los top interfaces con ms
trfico.
Clic para ver un grfico de calendario con los consumos de
ancho de banda.
Caso prctico: Planificacin de ancho de banda
El grfico calendario muestra que el excesivo consumo de ancho de
banda comenz el 8 de Abril y ha continuado as desde entonces.
Clic para ms detalles.
Caso prctico: Planificacin de ancho de banda
La distribucin de protocolos muestra que el 70% del trfico es
HTTP.
Clic en H para ver los usuarios de ste protocolo.
Caso prctico: Planificacin de ancho de banda
Posibilidad
de mejora
El servidor proxy US Web Proxy Server es el dispositivo que ms trfico HTTP
recibe/genera en el enlace a Singapur.
Esto no debera ser as pues los empleados en Asia tienen su propia salida a
Internet.
Conclusin: alguin modific la configuracin proxy en los exploradores web para
tener un acceso a Internet ms rpido.
Caso prctico: Planificacin de ancho de banda
El problema se pudo resolver en unos pocos minutos.
En este ejemplo real ReporterAnalyzer ahorr en un nico
incidente 120.000.
Adems ayud a prevenir futuros incidentes de ste tipo
al sentirse los usuarios advertidos y saber que el
departamento de comunicaciones puede conocer el
trfico en la red.
Caso prctico: Planificacin de ancho de banda
Case Study: Traffic Analysis
Caso prctico: Deteccin de virus
Caso real ocurrido en un cliente:
Los usuarios de repente empiezan a quejarse de que no pueden
acceder a la red y a sus aplicaciones crticas de negocio ubicadas en
un CPD en Londres.
Seleccionamos los informes en tiempo real y visualizamos en enlace
Con Londres.
Detectamos un incremento drstico de ancho de banda hace apenas
10 minutos - > Clic para ms detalles.
Caso prctico: Deteccin de virus
Durante el intervalo de 3 minutos seleccionado el protocolo
principal causante del trfico fu ms-sql-m, originando un 92%
del consumo.
Una rpida bsqueda en la web nos informa que el protocolo
en realidad es un virus, el SQL Slammer virus.
Caso prctico: Deteccin de virus
Detectada la razn de los problemas debemos ahora identificar los
usuarios infectados.
Utilizamos las herramientas Flow Forensics de ReporterAnalyzer para
generar un informe con los infectados.
Caso prctico: Deteccin de virus
El informe nos muestra todos los usuarios que en las ltimas 4 h
han generado trfico ms-sql-m con una tasa anormalmente alta.
Caso prctico: Deteccin de virus
Para prevenir prximas infecciones y vigilar la posible propagacin de este
virus se programa una alerta.
Recibiremos un trap SNMP de forma automtica cuando se detecte de
nuevo un exceso de trfico de ste protocolo.
Caso prctico: Deteccin de virus
Utilizando la informacin en tiempo real se pudo detectar
la causa del problema, identificndolo como un virus.
Se localizaron los usuarios infectados para aislarlos y
eliminar el virus. Adems se program una alerta para
avisar de prximas infecciones.
ReporterAnalyzer permiti una rpida resolucin del
problema, previniendo una posible perdida de datos y de
productividad de los empleados.
Caso prctico: Deteccin de virus
Un poco de customizacin ofrece
nuevas posibilidades! (1)
Un poco de customizacin permite mejorar la representacin de los
datos.
A menudo aplicaciones como web tienen diversos usos
dependiendo a donde vayan.
Por ejemplo si salen a Internet o van
al proxy lo lgico es poner
Internet Web como descripcin.
Sin embargo si va a la Intranet, lo
lgico sera utilizar Internet.
Finalmente si fuese el interfaz de
usuario de una aplicacin de negocio
lo ms til sera ponerle ese nombre.
De sta forma aparecern como aplicaciones separadas y ser ms
fcil identificarlas.
Un poco de customizacin ofrece
nuevas posibilidades! (2)
Algunas aplicaciones no utilizan todo un rango de puertos
customizados. Estos puertos incluso podran ser utilizados por otra
aplicacin en otro servidor para otros usos.
Podemos mapear el trfico hacia un servidor a una descripcin
que elijamos.
De esta forma ser sencillo identificar
el trfico y tendremos los diferentes
protocolos bajo la misma descripcin.
Un poco de customizacin ofrece
nuevas posibilidades! (3)
Otras aplicaciones como VoIP no utilizan a menudo unos puertos
UDP predeterminados. Pueden utilizar prcticamente cualquier
puerto.
En este caso podemos utilizar la informacin de priorizacin (TOS
Type of Service) para mapear la aplicacin a una descripcin.
VoIP suele priorizarse y tiene por lo tanto un TOS diferente con lo
que resulta sencilla esta operacin.
Preguntas?
Les enviaremos por correo el enlace donde
podr descargar esta web.
Demostracin real
del ReporterAnalyzer
Gracias por participar en este seminario
Le enviaremos por email el sitio donde podr
descargar la presentacin
Por favor, no se olviden de rellenar las
encuestas