Guía de Configuración de NetFlow de Cisco IOS, Versión 12.2SR
Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 628 KB | Inglés (30 Junio 2009) | Comentarios

Contenidos

Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad

Encontrar la información de la característica

Contenido

Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports

Restricciones de NetFlow Layer 2 and Security Monitoring Exports

Información sobre NetFlow Layer 2 and Security Monitoring Exports

NetFlow Layer 2 and Security Monitoring

Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports

Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports

Exportación de datos NBAR

Ventajas de la integración del Netflow NBAR

Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports

Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

Prerrequisitos

Verificación de NetFlow Layer 2 and Security Monitoring Exports

Restricciones

Configurar el soporte NBAR para las exportaciones de NetFlow

Prerrequisitos

Restricciones

Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports

Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo:

Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado: Ejemplo:

Configurar el soporte NBAR para las exportaciones de NetFlow: Ejemplo:

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad

Glosario


Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad


Primera publicación: De junio el 19 de 2006
Última actualización: De junio el 11 de 2010

La capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad mejora su capacidad de detectar y de analizar las amenazas de la red tales como ataques de la negación de servicio (DOS) aumentando el número de campos de los cuales el Netflow pueda capturar los valores.

NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que atraviesan un router. NetFlow es el estándar para adquirir los datos de funcionamiento del IP de las redes IP. NetFlow proporciona monitoreo de red y seguridad, planificación de red, análisis de tráfico y contabilización IP.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, utilizan la “información de la característica para la capa 2 del Netflow y el monitoreo de la seguridad exporta” la sección.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports

Restricciones de NetFlow Layer 2 and Security Monitoring Exports

Información sobre NetFlow Layer 2 and Security Monitoring Exports

Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports

Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports

Referencias adicionales

Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad

Glosario

Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports

Antes de que usted configure la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad, usted debe entender la Contabilización de Netflow y cómo configurar a su router para capturar las estadísticas de contabilidad del tráfico IP usando el Netflow. Vea los módulos "Descripción General de NetFlow de Cisco IOS" y "Configuración de NetFlow y NetFlow Data Export" para obtener más detalles.

En el sistema deben configurarse NetFlow y Cisco Express Forwarding (CEF), CEF distribuido (dCEF) o fast switching.

Restricciones de NetFlow Layer 2 and Security Monitoring Exports

Si usted quiere exportar los datos capturados con el Netflow acoda 2 y característica del monitoreo de la seguridad, usted debe configurar el Netflow para utilizar el formato de la exportación de datos de la versión 9 del Netflow.

Información sobre NetFlow Layer 2 and Security Monitoring Exports

Para configurar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad, usted debe entender los conceptos siguientes:

NetFlow Layer 2 and Security Monitoring

Exportación de datos NBAR

NetFlow Layer 2 and Security Monitoring

Los campos de la capa 2 y de la capa 3 soportados por la capa 2 del Netflow y el aumento de la característica de las exportaciones del monitoreo de la seguridad la cantidad de información que se puede obtener por el Netflow sobre el tráfico en su red. Puede utilizar esta nueva información para aplicaciones tales como la ingeniería de tráfico y la facturación basada en uso.

Los campos del encabezado IP de la capa 3 para los cuales la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad captura los valores son como sigue:

Campo del Tiempo para vivir (TTL)

Campo de la Longitud del paquete

Campo ID

Campos de código y tipo de ICMP

Desplazamiento del fragmento

Vea que “la captura de la información de la capa 3 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta” la sección para más información sobre éstos los campos de la capa 3.

La capa 2 coloca para qué capa 2 del Netflow y las exportaciones del monitoreo de la seguridad que la característica captura los valores sea como sigue:

Campo de dirección MAC de origen de las tramas que son recibidas por el router Netflow

Campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow

Campo de ID de VLAN de las tramas que recibe el router de NetFlow

Campo de ID de VLAN de las tramas que transmite el router de NetFlow

Vea que “la captura de la información de la capa 2 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta” la sección para más información sobre éstos los campos de la capa 2.

Los campos de la capa 3 capturados por el Netflow acodan 2 y la característica de las exportaciones del monitoreo de la seguridad mejora las capacidades del Netflow para identificar los ataques DOS. Los campos de la Capa 2 capturados por la función NetFlow Layer 2 and Security Monitoring Exports puede ayudar a identificar la trayectoria que el ataque DoS está tomando a través de la red.

Los campos de la capa 2 y de la capa 3 capturados por el Netflow acodan 2 y la característica de las exportaciones del monitoreo de la seguridad no es campos claves. Proporcionan información adicional sobre el tráfico de un flujo existente. Los cambios en los valores de los campos llave de Netflow, como la dirección IP de origen desde un paquete al siguiente paquete, dan como resultado la creación de un nuevo flujo. Por ejemplo, si el primer paquete capturado por el Netflow tiene una dirección IP de origen de 10.34.0.2 y el segundo paquete capturado tiene una dirección IP de origen de 172.16.213.65, después el Netflow creará dos flujos separados.

Muchos ataques DOS consisten en un atacante que envía el mismo tipo de IP datagram una y otra vez en un intento por abrumar los sistemas de destino. En estos casos el tráfico entrante tiene a menudo características similares, tales como los mismos valores en cada datagrama para uno o más de los campos que la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad pueden capturar.

No existe una forma sencilla de identificar el remitente de muchos ataques DOS ya que la dirección IP de origen del dispositivo que envía el tráfico se suele falsificar. Sin embargo, usted puede rastrear fácilmente el tráfico a través de la red al router en quien está llegando capturando la dirección MAC y el VLAN-ID coloca usando la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica. Si el router en quien el tráfico es Netflow de llegada de los soportes, usted puede configurar la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica en ella para identificar la interfaz donde está llegando el tráfico. El cuadro 1 muestra un ejemplo de un ataque en curso.

Figura 1 Ataque DoS que Llega por Internet


Notausted puede analizar los datos capturados por el Netflow directamente del router que usa show ip cache verbose flow el comando o el motor del colector NetFlow CNS.


Una vez que se deduce que se está produciendo un ataque de negación de servicio (DoS) tras analizar los campos de la Capa 3 en los flujos de NetFlow, se pueden analizar los campos de la Capa 2 de los flujos para detectar la trayectoria que el ataque de negación de servicio (DoS) está siguiendo a través de la red.

Un análisis de los datos capturados por la función NetFlow Layer 2 and Security Monitoring Exports para el escenario mostrado en la Figura 1 indica que el ataque DoS está llegando en el Router C porque la dirección MAC de flujo ascendente es desde la interfaz que conecta el Router C al Switch A. Es también evidente que no hay Routers entre el host de destino (el servidor del email) y el router del Netflow porque la dirección MAC del destino del tráfico DOS que el router del Netflow está remitiendo al servidor de correo electrónico es la dirección MAC del servidor del email.

Puede averiguar la dirección MAC que el Host C utiliza para enviar el tráfico al Router C configurando la función NetFlow Layer 2 and Security Monitoring Exports en el Router C. La dirección MAC de origen será del Host C. La dirección MAC de destino será para la interfaz en el router de NetFlow.

Una vez que usted conoce la dirección MAC que el host c está utilizando y la interfaz en el C del router en las cuales el ataque DOS del host c está llegando, usted puede atenuar el ataque configurando de nuevo el C del router para bloquear el tráfico del host c. Si el host c está en una interfaz dedicada, usted inhabilita la interfaz. Si el host c está utilizando una interfaz que lleve el tráfico de otros usuarios, usted debe configurar su Firewall para bloquear el tráfico del host c pero todavía para permitir que el tráfico de los otros usuarios atraviese el C del router.

Los “ejemplos de configuración para el Netflow acodan 2 y el monitoreo de la seguridad exporta” la sección tiene dos ejemplos para usar la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para identificar un ataque en curso y la trayectoria que el ataque está tomando a través de una red.

Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports

La función NetFlow Layer 2 and Security Monitoring Exports tiene soporte para capturar cinco campos del tráfico IP de la Capa 3 en un flujo:

Campo del Tiempo para vivir

Campo de la Longitud del paquete

Campo ID

Tipo y código de ICMP

Desplazamiento del fragmento

El cuadro 2 muestra los campos en encabezado del paquete IP.

Figura 2 Campos del Encabezado de Paquete IP

El cuadro 1 describe los campos del encabezado en el cuadro 2.

Tabla 1 Campos del Encabezado de Paquete IP 

Campo
Descripción

Versión

Versión del protocolo IP. Si este campo se establece en 4, es un datagrama de IPv4. Si este campo se establece en 6, es un datagrama de IPv6.

Observela encabezado del IPv6 tiene una diversa estructura de una encabezado del IPv4.

IHL (Longitud de Encabezado de Internet)

La longitud del encabezado de Internet es la longitud de la encabezado de Internet en el formato de 32 bits de la palabra y señala así al principio de los datos.

Observeel valor mínimo para una encabezado correcta es 5.

ToS

El Tipo de servicio (ToS) proporciona una indicación de los parámetros abstractos de la calidad de servicio deseada. Estos parámetros se deben utilizar para guiar la selección de los parámetros de servicio reales cuando un dispositivo de networking transmite un datagrama a través de una red determinada.

Longitud Total

La longitud total es la longitud del datagrama, medida en octetos, incluidos el encabezado de Internet y los datos.

Identificador (ID)

El valor del campo ID lo ingresa el remitente. Todos los fragmentos de un datagrama IP tienen el mismo valor en el campo ID. Los datagramas IP subsiguientes del mismo remitente tendrán diferentes valores en el campo ID.

Es muy común que un host reciba datagramas IP fragmentados desde varios remitentes simultáneamente. Es también común que un host esté recibiendo simultáneamente varios datagramas IP del mismo remitente.

El host de destino utiliza el valor del campo ID para asegurarse de que los fragmentos de un datagrama IP se asignan al mismo buffer de paquetes durante el proceso de reensamblado del datagrama IP. El valor único del campo ID también se utiliza para evitar que el host receptor mezcle juntos los fragmentos de varios datagramas IP del mismo remitente durante el proceso de reensamblado del datagrama IP.

Indicadores

Secuencia de 3 bits utilizada para definir y seguir los parámetros de la fragmentación del datagrama IP.

001 = El datagrama IP se puede fragmentar. Hay más fragmentos del datagrama IP actual en tránsito.

000 = El datagrama IP se puede fragmentar. Éste es el último fragmento del datagrama IP actual.

010 = El Datagrama IP no se puede fragmentar. Éste es el datagrama IP completo.

Desplazamiento del fragmento

Este campo indica a qué parte del datagrama pertenece este fragmento.

TTL (Tiempo de Funcionamiento)

Este campo indica el tiempo máximo que está permitido que el datagrama permanezca en el sistema de Internet. Si este campo contiene el valor 0, el datagrama debe destruirse. Este campo se modifica en el procesamiento de la cabecera de Internet. El tiempo se mide en unidades de segundo; sin embargo, dado que cada módulo que procesa un datagrama debe reducir el TTL al menos en 1 incluso si procesa el datagrama en menos de un segundo, el TTL se debe considerar solamente como un límite superior del tiempo que puede existir un datagrama. La intención es hacer los datagramas inentregables ser desechado y limitar el curso de la vida máximo del datagrama.

Protocolo

Indica el tipo de paquete de transporte incluido en la parte de los datos del datagrama IP. Los valores comunes son:

1 = ICMP

6 = TCP

17 = UDP

Checksum de encabezado

Un checksum en el encabezado solamente. Puesto que algunos campos del encabezado, como el campo de tiempo de funcionamiento, cambian cada vez que se reenvía un datagrama IP, este valor se recalcula y se verifica en cada punto de procesamiento del encabezado de Internet.

Dirección IP de origen

Dirección IP de la estación emisora.

Dirección IP de destino

Dirección IP de la estación de destino.

Opciones y Relleno

Las opciones y el relleno pueden o no pueden aparecer en los datagramas. Si aparecen, deben ser implementadas por todos los módulos de IP (host y gateways). El aspecto opcional es su transmisión en un datagrama determinado, no su implementación.


El cuadro 3 muestra los campos en un datagrama ICMP.

Figura 3 Datagrama ICMP

El cuadro 2 interpreta el formato de paquetes en el cuadro 3. datagramas ICMP se lleva adentro la área de datos de un IP datagram, después del encabezado IP.

Tabla 2 Formato de Paquete de ICMP 

Tipo
Nombre
Códigos

0

Respuesta de eco

0: Ninguno

1

No asignado

2

No asignado

3

Destino inalcanzable

0: red inalcanzable.

1: host inalcanzable.

2: protocolo inalcanzable.

3 — Puerto inalcanzable.

4: Fragmentación necesaria y conjunto de bits DF.

5: ruta de origen fallida.

6: red de destino desconocida.

7: host de destino desconocido.

8: Host de origen aislado.

9: la comunicación con la red de destino está prohibida administrativamente.

10 — La comunicación con el host de destino está prohibida administrativamente.

11: red de destino inalcanzable para el ToS.

12: Host de destino inalcanzable para el ToS.

4

Apagado de fuente

0: Ninguno.

5

Redireccionar

0: Ninguno.

0: Reorientar el datagrama para la red.

1 — Redirección de datagramas para el host.

2 — Reoriente el datagrama para la TOS y la red.

3 — Reoriente el datagrama para la TOS y recíbalo.

6

Dirección de host alternativa

0: Dirección alternativa para el host.

7

No asignado

8

Eco

0: Ninguno.

9

Anuncio del router

0: Ninguno.

10

Selección de router

0: Ninguno.

11

Tiempo excedido

0: tiempo de vida excedido en el tránsito.

12

Problema de parámetro

0: el puntero indica el error.

1 - Falta una opción obligatoria.

2: longitud incorrecta.

13

Grupo fecha/hora

0: Ninguno.

14

Respuesta de indicación de fecha y hora

0: Ninguno.

15

Solicitud de información

0: Ninguno.

16

Respuesta de información

0: Ninguno.

17

Solicitud de máscara de dirección

0: Ninguno.

18

Respuesta de la máscara de dirección

0: Ninguno.

19

Reservado (para seguridad)

20-29

Reservado (para experimento de fiabilidad)

30

Ruta de seguimiento

31

Error de conversión del datagrama

32

Redireccionamiento de host móvil

33

IPv6 where-are-you

34

IPv6 I-am-here

35

Solicitud de registro móvil

36

Respuesta de registro móvil

37-255

Reservado


Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports

La función NetFlow Layer 2 and Security Monitoring Exports tiene la capacidad de capturar los valores de los campos de dirección MAC y de ID de VLAN de los flujos. Los dos tipos soportados del VLA N son 802.1q y el protocolo del Cisco Inter-Switch Link (ISL). Esta sección explica los conceptos siguientes:

Comprensión de los Campos de Dirección MAC de la Capa 2

Introducción a los campos ID de VLAN de Capa 2

Comprensión de los Campos de Dirección MAC de la Capa 2

Los nuevos campos de la capa 2 para los cuales la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad captura los valores son como sigue:

Campo de dirección MAC de origen de las tramas que recibe el router de NetFlow

El campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow

El campo de ID de VLAN de las tramas que recibe el router de NetFlow

El campo de ID de VLAN de las tramas que transmite el router de NetFlow

El cuadro 4 muestra el tipo Ethernet II y los Ethernetes 802,3 formatos de trama. El campo dirección de destino y el campo de dirección de origen en los formatos de trama son los valores de direcciones MAC que son capturados por el Netflow.

Figura 4 Formatos de Trama de Ethernet tipo II y 802.3

El cuadro 3 explica los campos para los formatos de la trama Ethernet.

Tabla 3 Campos de Tramas de Ethernet Tipo II y 802.3 

Campo
Descripción

Preámbulo

La entrada del campo de preámbulo es un patrón alternativo de 1s y 0s que dice a las estaciones receptoras que llega una trama. También proporciona un medio para que las estaciones receptoras sincronicen sus relojes con el flujo de bits de entrada.

SOF (comienzo de trama)

El campo SOF contiene un patrón alterno de 1 y 0, terminando con dos bits 1 consecutivos que indican que el bit siguiente es el primer bit del primer byte de la dirección MAC de destino.

Dirección de destino

La dirección de destino de 48 bits identifica qué estación de la LAN deben recibir la trama. Los primeros dos bits de la dirección del MAC de destino se reservan para funciones especiales:

El primer bit del campo DA indica si la dirección es una dirección individual (0) o un grupo de direcciones (1).

El segundo bit indica si el DA global está administrado globalmente (0) o localmente (1).

Los 46 bits restantes son un valor asignado de forma exclusiva que identifica una sola estación, un grupo de estaciones definido o todas las estaciones de la red.

Dirección de origen

La dirección de origen de 48 bits identifica qué estación transmitió la trama. La dirección de origen es siempre un direccionamiento individual, y el bit más a la izquierda en el campo SA es siempre 0.

Tipo

o

Longitud

Tipo — En una trama del tipo Ethernet II, esta parte de la trama se utiliza para el campo del tipo. El campo Type se utiliza para identificar el siguiente protocolo de capa de la trama.

Longitud — En una trama Ethernet 802,3, esta parte de la trama se utiliza para la extensión del campo. El campo Longitud se utiliza para indicar la longitud de la trama Ethernet. El valor puede ser a partir 46 a 1500 bytes.

Datos

o

Encabezado y datos de 802.2

(Tipo Ethernet II) 46 a 1500 bytes de dato

o

(802.3/802.2) 8 bytes de encabezamiento y 38 a 1492 bytes de dato.

FCS (Frame Check Sequence)

Este campo contiene un valor CRC (verificación por redundancia cíclica) de 32 bits creado por la estación emisora y recalculado por la estación receptora para verificar si hay tramas dañadas. FCS se genera para los campos DA, SA, Type y Data de la trama. El FCS no incluye la porción de datos de la trama.


Introducción a los campos ID de VLAN de Capa 2

NetFlow puede capturar el valor en el campo VLAN ID de las VLANs etiquetadas 802.1q y las VLANs encapsuladas ISL de Cisco. Esta sección describe los dos tipos de VLA N:

Comprensión de VLANs 802.1q

Comprensión de Cisco ISL VLANS


Observeel ISL y 802.1q comúnmente se llaman los protocolos del encapsulado de VLAN.


Comprensión de VLANs 802.1q

Los dispositivos que utilizan 802.1q insertan una etiqueta de cuatro bytes en la trama original antes de transmitirla. El cuadro 5 muestra el formato de una trama Ethernet marcada con etiqueta 802.1q.

Figura 5 Trama 802.1q con Etiqueta Ethernet de Tipo II o 802.3

El cuadro 4 describe los campos para los VLA N 802.1q.

TablA 4 Campos de Encapsulación de VLAN 802.1q 

Campo
Descripción

DA, SA, tipo o longitud, datos y FCS

El cuadro 3 describe estos campos.

TPID (Tag Protocol ID)

En este campo de 16 bits se establece el valor 0x8100 para identificar la trama como una trama con etiqueta IEEE 802.1Q.

Prioridad

Este campo de 3 bits, también denominado prioridad de usuario, hace referencia a la prioridad 802.1p. Indica el nivel de prioridad de trama usado para dar prioridad al tráfico y es capaz de representar 8 niveles (0-7).

Información de Control de Etiqueta

El campo de información de control de la etiqueta 2-byte consiste en dos subregistros:

Formato canónico Indentifier (CFI) — Si el valor de este campo 1-bit es 1, después la dirección MAC está en el formato no canónico. Si el valor de este campo es 0, la dirección MAC está en el formato canónico.

ID de VLAN: este campo de 12 bits identifica de manera única la VLAN a la que pertenece la trama. Puede tener un valor a partir de la 0 a 4095.


Comprensión de Cisco ISL VLANS

El ISL es un protocolo de propiedad de Cisco para encapsular las tramas en un troncal VLAN. Los dispositivos que utilizan ISL añaden un encabezado ISL a la trama. Este proceso se conoce como encapsulación VLAN. 802.1Q es la norma IEEE para etiquetar tramas en un troncal VLAN. El cuadro 6 muestra el formato de una trama Ethernet encapsulado por ISL de Cisco.

Figura 6 Trama Ethernet con Etiquetado ISL de Cisco

El cuadro 5 describe los campos para los VLA N 802.1q.

Tabla 5 Encapsulación de ISL VLAN 

Campo
Descripción

DA (dirección de destino)

Este campo de 40 bits es una dirección multicast y se fija en 0x01-00-0C-00-00 o 0x03-00-0c-00-00. El host receptor determina que la trama se encapsulad en ISL leyendo el campo DA de 40 bits y haciéndolo coincidir con una de las dos direcciones multicast ISL.

TIPO

Este campo de 4 bits indica el tipo de trama que se encapsula y podría utilizarse en el futuro para indicar encapsulaciones alternativas.

Códigos TYPE:

0000 = Ethernet

0001 = Token Ring

0010 = FDDI

0011 = ATM

USUARIO

Este campo de 4 bits se utiliza para ampliar el significado del campo de tipo de trama. El valor predeterminado del campo USUARIO es 0000. Para las tramas Ethernet, los bits 0 y 1 del campo USER indican la prioridad del paquete mientras pasa a través del switch. Siempre que el tráfico se puede gestionar con más rapidez, los paquetes con este bit definido deben aprovechar la trayectoria más rápida. Sin embargo, tales trayectorias no se requieren.

Códigos USER:

XX00 = Prioridad normal

XX01 = Prioridad 1

XX10 = Prioridad 2

XX11: máxima prioridad

SA

Este campo de 48 bits es el campo de dirección de origen del paquete ISL. Debería configurarse en la dirección MAC 802.3 del puerto de switch que transmite la trama. El dispositivo receptor puede ignorar el campo SA de la trama.

LARGO

Este campo de valor de 16 bits almacena el tamaño de paquete real del paquete original. El campo LEN representa la longitud en bytes del paquete, excluyendo los campos DA, TYPE, USER, SA, LEN y FCS. El largo total de los campos excluidos es de 18 bytes, entonces el campo LEN representa el largo total menos 18 bytes.

AAAA03(SNAP)

El campo AAAA03 SNAP es un valor constante de 24 bits de 0xAAAA03.

HSA

Este campo de 24 bits representa los tres bytes superiores (la parte del ID del fabricante) del campo SA. Debe incluir el valor 0x00-00-0C.

VLAN

Este campo 15-bit es el LAN virtual ID del paquete. Este valor se utiliza para marcar las tramas en diversas VLANs.

BPDU

El bit en el campo BPDU se configura para todos los paquetes BPDU que la trama ISL encapsula. El algoritmo de spanning tree utiliza las BPDUs para obtener información sobre la topología de la red. Este bit también se define para las tramas CDP y VTP que se encapsulan.

ÍNDICE

Este campo de 16 bits indica el índice de puerto del origen del paquete cuando sale del switch. Se usa solamente para diagnóstico y otros dispositivos pueden configurarlo en cualquier valor. Se ignora en los paquetes recibidos.

RES

Este campo de 16 bits se utiliza cuando los paquetes Token Ring o FDDI están encapsulados con una trama ISL.

Trama Encapsulada

Este campo contiene la trama encapsulada de la Capa 2.

FCS

El campo FCS se compone de 4 bytes. Incluye un valor CRC de 32 bits creado por la estación remitente y recalculado por la estación receptora para verificar si hay tramas dañadas. El FCS cubre los campos DA, SA, Length/Type y Data. Cuando se asocia un encabezado ISL a una trama de la Capa 2, se calcula un nuevo FCS sobre el paquete ISL completo y se añade al final de la trama.

Observela adición del nuevo FCS no altera el FCS original que se contiene dentro de la trama encapsulada.


Exportación de datos NBAR

El Reconocimiento de aplicaciones basadas en la red (NBAR) es un motor de clasificación que reconoce y clasifica una amplia variedad de protocolos y de aplicaciones, incluyendo basado en web y otro difícil-a-clasifica las aplicaciones y los protocolos que utilizan las asignaciones de puertos dinámicas TCP/UDP.

Cuando el NBAR reconoce y clasifica un protocolo o una aplicación, la red se puede configurar para aplicar la asignación de la aplicación apropiada con ese protocolo.

Con el Cisco IOS Release 12.2(18)ZYA2 en el Catalyst 6500 Series Switch equipado de un acelerador inteligente de los servicios del supervisor 32/programmable (PISA), el flujo NBAR se puede exportar junto con los expedientes de la exportación de NetFlow.

El NetFlow feature que reconoce la aplicación integra el NBAR con el Netflow para proporcionar la capacidad de exportar la Información de la aplicación recogida por el NBAR usando el Netflow. Los ID de la aplicación creados para el atributo de la versión 9 del Netflow exportan los nombres de la aplicación junto con los atributos estándars tales como dirección IP y información de puerto TCP/UDP. El colector NetFlow recoge estos flujos basados en la dirección IP de origen y el ID. El ID de origen refiere a la identificación única para los flujos exportados de un dispositivo determinado.

Los datos NBAR exportados al colector NetFlow contienen la información de mapeo de la aplicación. Usando las opciones de la exportación de datos de NetFlow, la tabla que contiene los ID de la aplicación asociados a sus nombres de la aplicación se exporta al colector NetFlow. La tabla de correspondencia se envía usando ip flow-export template options nbar el comando. La información de mapeo se restaura cada 30 minutos por abandono. Usted puede configurar el intervalo de la restauración usando ip flow-export template options timeout-rate el comando.

La exportación de NetFlow utiliza varios mecanismos del envejecimiento para manejar el caché de NetFlow. Sin embargo, los intervalos de la exportación de datos NBAR no utilizan los parámetros del envejecimiento del Netflow.

Ventajas de la integración del Netflow NBAR

Administradores de la red de los permisos NBAR para seguir la variedad de protocolo y la cantidad de tráfico generada por cada protocolo. El NBAR también permite que ordenen el tráfico en las clases. Estas clases se pueden entonces utilizar para proporcionar diversos niveles de servicio para el tráfico de la red, de tal modo permitiendo una mejor Administración de redes proporcionando al nivel correcto de recursos de red para el tráfico de la red.

Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports

Esta sección contiene los siguientes procedimientos:

Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

Verificando el Netflow acode 2 y las exportaciones del monitoreo de la seguridad (opcionales)

Configurar el soporte NBAR para las exportaciones de NetFlow

Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

Prerrequisitos

El CEF, el dCEF, o la transferencia rápida para el IP se deben configurar en su sistema antes de que usted configure la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica.

“Verificar la capa 2 del Netflow y la tarea opcionales de las exportaciones del monitoreo de la seguridad” utiliza show ip cache verbose flow el comando de visualizar los valores de los campos que usted ha configurado la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para capturar. Para que usted vea los valores de los campos que usted configuró la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad para capturar, su router debe remitir el tráfico IP que cumple los criterios para estos campos. Por ejemplo, si usted configura ip flow-capture ipid el comando, su router debe remitir los datagramas IP para capturar los valores IP ID de los datagramas IP en el flujo.

Si usted quiere capturar los valores del campo de desplazamiento del fragmento IP de la capa 3 de las encabezados IP en su tráfico IP usando ip flow-capture fragment-offset el comando, su router debe ser el Cisco IOS corriente 12.4(2)T o versión posterior.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip flow-capture fragment-offset

4. ip flow-capture icmp

5. ip flow-capture ip-id

6. ip flow-capture mac-addresses

7. ip flow-capture packet-length

8. ip flow-capture ttl

9. ip flow-capture vlan-id

10.interface type [número | /port del slot]

11ip flow ingress
y/o
ip flow egress

12. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip flow-capture fragment-offset

Example:

Router(config)# ip flow-capture fragment-offset

(Opcional) habilita la captura del valor del campo de desplazamiento del fragmento IP del primer IP datagram hecho fragmentos en un flujo.

Paso 4 

ip flow-capture icmp

Example:

Router(config)# ip flow-capture icmp

(Opcional) le permite para capturar el valor de los campos del tipo y del código ICMP de los datagramas ICMP en un flujo.

Paso 5 

ip flow-capture ip-id

Example:

Router(config)# ip flow-capture ip-id

(Opcional) le permite para capturar el valor del campo IP-ID del primer IP datagram en un flujo.

Paso 6 

ip flow-capture mac-addresses

Example:

Router(config)# ip flow-capture mac-addresses

(Opcional) le permite para capturar los valores de los MAC Address de origen y destino del tráfico en un flujo.

Paso 7 

ip flow-capture packet-length

Example:

Router(config)# ip flow-capture packet-length

(Opcional) le permite para capturar el mínimo y los valores máximos de la Longitud del paquete colocan de los datagramas IP en un flujo.

Paso 8 

ip flow-capture ttl

Example:

Router(config)# ip flow-capture ttl

(Opcional) le permite para capturar el mínimo y los valores máximos del Tiempo para vivir (TTL) colocan de los datagramas IP en un flujo.

Paso 9 

ip flow-capture vlan-id

Example:

Router(config)# ip flow-capture vlan-id

(Opcional) le permite para capturar el 802.1q o el campo ISL VLAN-ID de las tramas encapsuladas del VLA N en un flujo que se reciben o se transmiten en los puertos troncales.

Paso 10 

interface type [number | slot/port]

Example:

Router(config)# interface ethernet 0/0

Ingresa en el modo de configuración de la interfaz del tipo de interfaz especificado en el comando.

Paso 11 

ip flow ingress


y/o

ip flow egress

Example:

Router(config-if)# ip flow ingress

and/or

Example:

Router(config-if)# ip flow egress

Habilita la entrada de recolección de datos de NetFlow en la interfaz.

y/o

Habilita la salida de recolección de datos de NetFlow en la interfaz.

Paso 12 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Verificación de NetFlow Layer 2 and Security Monitoring Exports

Realice esta tarea de verificar la configuración de la capa 2 del Netflow y de las exportaciones del monitoreo de la seguridad.

Restricciones

Verificar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad” utiliza show ip cache verbose flow el comando. Las restricciones siguientes se aplican a usar show ip cache verbose flow el comando.

Visualizar la Información Detallada de Caché de NetFlow en Plataformas que Ejecutan Cisco Express Forwarding Distribuido

En plataformas que ejecutan dCEF, la información de memoria caché de NetFlow se mantiene en cada tarjeta de línea o procesador de interfaz versátil. Si usted quiere utilizar show ip cache verbose flow el comando de visualizar esta información sobre una plataforma distribuida, usted debe ingresar el comando en un prompt del linecard.

Cisco 7500 Series Platform

Para mostrar información detallada de la memoria caché de NetFlow mediante el comando en un Cisco 7500 Series Router que ejecute dCEF distribuido, ingrese la siguiente secuencia de comandos:

Router# if-con slot-number
LC-slot-number# show ip cache verbose flow 

Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información detallada sobre la memoria caché de NetFlow:

Router# execute-on slot-number show ip cache verbose flow 

Cisco 12000 Series Platform

Para visualizar información detallada de la memoria caché de NetFlow en un router de Internet Cisco 12000 Series, ingrese la secuencia de comandos siguiente:

Router# attach slot-number
LC-slot-number# show ip cache verbose flow

Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información detallada sobre la memoria caché de NetFlow:

Router- ejecutar-enslot-number el flujo prolijo del caché del IP de la demostración.

PASOS SUMARIOS

1. show ip cache verbose flow

PASOS DETALLADOS


Paso 1 show ip cache verbose flow

El producto siguiente muestra que el trabajo de la capa 2 del Netflow y del monitoreo de la seguridad exporta la característica capturando los valores de los campos de la capa 2 y de la capa 3 en los flujos.

Router# show ip cache verbose flow

IP packet size distribution (25229 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .206 .793 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
  6 active, 4090 inactive, 17 added
  505 ager polls, 0 flow alloc failures
  Active flows timeout in 1 minutes
  Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
  12 active, 1012 inactive, 39 added, 17 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet           1      0.0       362   940      2.7      60.2       0.0
TCP-FTP              1      0.0       362   840      2.7      60.2       0.0
TCP-FTPD             1      0.0       362   840      2.7      60.1       0.1
TCP-SMTP             1      0.0       361  1040      2.7      60.0       0.1
UDP-other            5      0.0         1    66      0.0       1.0      10.6
ICMP                 2      0.0      8829  1378    135.8      60.7       0.0
Total:              11      0.0      1737  1343    147.0      33.4       4.8

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
Et0/0.1        10.251.138.218  Et1/0.1        172.16.10.2     06 80  00      65 
0015 /0  0                     0015 /0  0     0.0.0.0               840    10.8
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      840                            Max plen:       840
Min TTL:        59                            Max TTL:         59
IP id:           0

Configurar el soporte NBAR para las exportaciones de NetFlow

Realice esta tarea de exportar los datos NBAR al colector NetFlow.

Prerrequisitos

Usted debe habilitar la versión 9 del Netflow y el NBAR antes de que usted configure la exportación de datos NBAR.

Usted debe agregar y configurar los campos siguientes NetFlow de Cisco al software del colector para identificar el flujo exportados por la característica de la exportación de datos NBAR:

campo del app_id como número entero con NumericID de 95

campo del app_name como cadena de UTF-8 con NumericID de 96

campo del sub_app_id como número entero con NumericID de 97

campo del biflowDirection como número entero con NumericID de 239


Observeel campo del biflowDirection proporciona la información sobre el host que inicia la sesión. Los tamaños de este campo son un byte. El RFC 5103 proporciona los detalles para usar este campo.


Restricciones

El soporte NBAR se puede configurar solamente con el formato de la versión 9 del Netflow. Si usted intenta configurar la exportación de datos NBAR con otras versiones, el mensaje de error siguiente aparece:

1d00h: %FLOW : Export version 9 not enabled

La exportación de datos NBAR no utiliza los parámetros del envejecimiento del Netflow.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip flow-export version

4. ip flow-capture nbar

5. ip flow-export template options nbar

6. exit

7. show ip flow export nbar

8. clear ip flow stats nbar

PASOS DETALLADOS

Paso 1 

enable

Example:
Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip flow-export version 9

Example:

Router(config)# ip flow-capture version 9

Permite al formato de la versión 9 para exportar las entradas del caché de NetFlow.

Paso 4 

ip flow-capture nbar

Example:

Router(config)# ip flow-capture nbar

Le permite para capturar los datos NBAR en los expedientes de la exportación de NetFlow.

Paso 5 

ip flow-export template options nbar

Example:

Router(config)# ip flow-export template options nbar

Exporta la información de mapeo de la aplicación al colector de datos de NetFlow.

Paso 6 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 7 

show ip flow export nbar

Example:

Router # show ip flow export nbar

Expedientes (opcionales) de la exportación de las visualizaciones NBAR.

Paso 8 

clear ip flow stats nbar

Example:

Router# clear ip flow stats nbar

(Opcional) borra las estadísticas de la Contabilización de Netflow para el NBAR.

Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports

Esta sección proporciona los siguientes ejemplos de configuración:

Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo:

Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado: Ejemplo:

Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo:

El siguiente ejemplo muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para descubrir si la red está siendo atacada por un host que envía tráfico FTP falso en un intento de desbordar el servidor FTP. Este ataque podría hacer que los usuarios finales vean una degradación en la capacidad del servidor FTP para aceptar nuevas conexiones o para dar servicio a las conexiones existentes.

Este ejemplo utiliza la red mostrada en el cuadro 7. host A está enviando los paquetes FTP falsos al servidor FTP.

Este ejemplo también muestra cómo utilizar los datos de la Capa 2 capturados la función NetFlow Layer 2 and Security Monitoring Exports para conocer dónde se está originando el tráfico y qué trayectoria está tomando la red.

Figura 7 Prueba de Red


La extremidadno pierde de vista las direcciones MAC y los IP Addresses de los dispositivos en su red. Puedes utilizarlos para analizar los ataques y solucionar problemas.



Observeeste ejemplo no incluye ip flow-capture icmp el comando, que captura el valor de los campos del tipo y del código ICMP. El uso ip flow-capture icmp del comando se describe en “configurar y con el Netflow acode 2 y las exportaciones del monitoreo de la seguridad para analizar un ataque simulado del ping de ICMP: Ejemplo.”


R2

!
hostname R2
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc02
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc03
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.1 255.255.255.0
!
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

R3

!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc04
 no ip address
!
interface Ethernet0/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.2 255.255.255.0
 ip accounting output-packets
 ip flow ingress
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc05
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.1 255.255.255.0
 ip accounting output-packets
 ip flow egress
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

R4

!
hostname R4
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc07
 ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc06
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.2 255.255.255.0
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

show ip cache verbose flow El comando visualiza los flujos del Netflow que se han capturado del tráfico FTP que el host A está enviando.

Los campos que tienen los valores capturados por ip flow-capture el comando están en el cuadro 9. Éstos son los campos y los valores que se utilizan para analizar el tráfico en este ejemplo. Los otros campos capturados por show ip cache verbose flow el comando se explican en el cuadro 6, el cuadro 7, y el cuadro 8.

R3# show ip cache verbose flow 
IP packet size distribution (3596 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .003 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .995 .000 .000 .000 .000 .000 .000 .000

La salida anterior muestra la distribución del porcentaje de los paquetes por tamaño. En esta visualización, el 99,5 por ciento de los paquetes baja en la gama de tallas 1024-byte, y la caída del 0,3 por ciento en el rango 64-byte.

La siguiente sección de la salida se puede dividir en cuatro porciones. La sección y la tabla correspondientes a cada uno son las siguientes:

Descripciones del campo en la sección del caché de NetFlow de la salida (cuadro 6)

Descripciones del campo en la actividad por la sección de protocolo de la salida (cuadro 7)

Descripciones del campo en la sección del expediente del Netflow de la salida (cuadro 8)

Capa 2 del Netflow y campos de las exportaciones del monitoreo de la seguridad en la sección del expediente del Netflow de la salida (cuadro 9)


IP Flow Switching Cache, 278544 bytes
  5 active, 4091 inactive, 25 added
  719 ager polls, 0 flow alloc failures
  Active flows timeout in 1 minutes
  Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
  10 active, 1014 inactive, 64 added, 25 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-FTP              5      0.0       429   840      6.6      58.1       1.8
Total:               5      0.0       129   835      6.6      17.6       7.9

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
Et0/0.1        10.132.221.111  Et1/0.1        172.16.10.2     06 80  00     198 
0015 /0  0                     0015 /0  0     0.0.0.0               840    41.2
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      840                            Max plen:       840
Min TTL:        59                            Max TTL:         59
IP id:           0 

Et0/0.1        10.251.138.218  Et1/0.1        172.16.10.2     06 80  00     198 
0015 /0  0                     0015 /0  0     0.0.0.0               840    41.2
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      840                            Max plen:       840
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        10.10.12.1      Et1/0.1        172.16.10.2     06 80  00     203 
0015 /0  0                     0015 /0  0     0.0.0.0               840    42.2
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      840                            Max plen:       840
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        10.231.185.254  Et1/0.1        172.16.10.2     06 80  00     203 
0015 /0  0                     0015 /0  0     0.0.0.0               840    42.2
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      840                            Max plen:       840
Min TTL:        59                            Max TTL:         59
IP id:           0

Et0/0.1        10.71.200.138   Et1/0.1        172.16.10.2     06 80  00     203 
0015 /0  0                     0015 /0  0     0.0.0.0               840    42.2
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      840                            Max plen:       840
Min TTL:        59                            Max TTL:         59
IP id:           0

R3#

El cuadro 6 describe los campos significativos mostrados en la sección del caché de NetFlow de la salida.

Descripciones del campo del cuadro 6 en la sección del caché de NetFlow de la salida 

Campo
Descripción

bytes

Número de bytes de memoria usados por la memoria caché de NetFlow.

activo

Número de flujos activos en la memoria caché de NetFlow cuando se ingresó este comando.

desactivado

Número de buffers de flujo que se han asignado en la memoria caché de NetFlow pero que no se asignaron a un flujo específico cuando se ingresó este comando.

agregado

Número de flujos creados desde el comienzo del periodo de resumen.

sondeo de ager

Cantidad de veces el código del Netflow causado las entradas a expirar (utilizado por los ingenieros de servicio técnico del cliente de Cisco (CSE) para los objetivos de hacer un diagnóstico).

flow alloc failures

Número de veces que el código de NetFlow ha intentado asignar un flujo pero no lo ha conseguido.

última limpieza de estadísticas

El período de tiempo transcurrido desde que el comando de EXEC privilegiado clear ip flow stats se ejecutó por última vez. Formato de salida de tiempo estándar con horas, minutos y segundos (hh: milímetro: ss) se utiliza para un período de tiempo inferior a 24 horas. Esta salida de tiempo cambia a horas y días después de que el tiempo se exceda 24 horas.


El cuadro 7 describe los campos significativos mostrados en la actividad por la sección de protocolo de la salida.

Descripciones del campo del cuadro 7 en la actividad por la sección de protocolo de la salida 

Campo
Descripción

Protocolo

Protocolo IP y el número de puerto conocido. (Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer los últimos valores de RFC.)

Se visualizala nota solamente un pequeño subconjunto de todos los protocolos.

Flujos del total

Número de flujos de este protocolo desde la última vez se despejaron las estadísticas.

Flujos/Sec

Número medio de flujos para este protocolo por segundo; igual al número total de flujos dividido entre el número de segundos de este período de resumen.

Paquetes/flujo

Número medio de paquetes para los flujos de este protocolo; igual a los paquetes totales para este protocolo dividido entre el número de flujos para este protocolo durante este período de resumen.

Bytes/Pkt

Número medio de bytes para los paquetes de este protocolo; igual a los bytes totales para este protocolo divididos entre el número total de paquetes para este protocolo durante este período de resumen.

Paquetes/seg.

Número medio de paquetes para este protocolo por segundo; igual al número total de paquetes para este protocolo dividido entre el número de segundos de este período de resumen.

Active(Sec)/flujo

Número de segundos desde el primer paquete al último paquete en un flujo caducado dividido por el número de flujos totales de este protocolo en este período de resumen.

Idle(Sec)/flujo

El número de segundos observados del paquete más reciente de cada flujo nonexpired para este protocolo hasta el tiempo en el cual show ip cache verbose flow el comando fue ingresado dividió por el número total de flujos para este protocolo para este periodo de resumen.


El cuadro 8 describe los campos significativos en la sección del expediente del Netflow de la salida.

Las Descripciones del campo del cuadro 8 en el Netflow registran la sección de la salida 

Campo
Descripción

SrcIf

Interfaz en la que se recibió el paquete.

Port Msk AS

Número del puerto de origen (mostrado en formato hexadecimal), máscara de la dirección IP y número del sistema autónomo. Se establece siempre en 0 en los flujos MPLS.

SrcIPaddress

Ésta es la dirección IP de origen del tráfico en los cinco flujos. El tráfico está utilizando cinco diversos IP Source Address

10.132.221.111

10.251.138.218

10.10.12.1

10.231.185.254

10.71.200.138

DstIf

Interface from which the packet was transmitted. 

Observesi un asterisco (*) sigue inmediatamente el campo de DstIf, el flujo que es mostrado es un flujo de la salida.

Port Msk AS

Número del puerto de origen (mostrado en formato hexadecimal), máscara de la dirección IP y número del sistema autónomo. El valor de este campo se fija siempre a 0 en los flujos del Multiprotocol Label Switching (MPLS).

DstIPaddress

Es la dirección IP de destino del tráfico.

La nota172.17.10.2 es la dirección IP del servidor FTP.

NextHop

La dirección del salto siguiente del Border Gateway Protocol (BGP). Se establece siempre en 0 en los flujos MPLS.

Banda

Número de puerto "conocido" del protocolo IP, mostrado en formato hexadecimal. (Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer los últimos valores de RFC.)

ToS

Tipo de servicio, mostrado en formato hexadecimal.

B/Pk

Cantidad media de bytes observados de los paquetes vistos de este flujo.

Flgs

Indicadores TCP, mostrados en formato hexadecimal. Este valor es el resultado de la aplicación de la operación lógica bitwise OR a los indicadores TCP de todos los paquetes del flujo.

Pkts

Número de paquetes de este flujo.

Activo

Tiempo que el flujo ha estado activo.


El cuadro 9 describe los campos y los valores para la Clasificación de tráfico del Netflow y los campos de identificación para el Netflow registran la sección de la salida.

La capa 2 del Netflow del cuadro 9 y los campos de las exportaciones del monitoreo de la seguridad en el Netflow registran la sección de la salida 

Campo
Descripción

MAC

Éstas son las direcciones MAC de origen y destino del tráfico. La dirección MAC de origen y de destino se lee de izquierda a derecha en la salida.

El tráfico se está recibiendo desde la dirección MAC aaa.bbb.cc03.

Observeesta dirección MAC es la interfaz 1/0.1 en el r2 del router.

El tráfico se está transmitiendo a la dirección MAC aaa.bbb.cc06.

Observeesta dirección MAC es la interfaz 1/0.1 en el router R4.

ID de VLAN

Éstos son los IDs de VLAN de origen y destino. Los IDs de VLAN de origen y destino se leen de izquierda a derecha en la salida.

El tráfico se está recibiendo desde VLAN 5.

El tráfico se está transmitiendo a VLAN 6.

Min plen

Ésta es la Longitud del paquete mínima para los paquetes capturados en los cinco flujos.

El valor actual es 840.

Max plen

Ésta es la longitud máxima de paquetes para los paquetes capturados en los cinco flujos.

El valor actual es 840.

TTL Mínimo

Éste es el Tiempo para vivir mínimo (TTL) para los paquetes capturados en los cinco flujos.

El valor actual es 59.

TTL máximo

Éste es TTL máximo para los paquetes capturados en los cinco flujos.

El valor actual es 59.

ID de IP

Éste es el campo del identificador IP para el tráfico en los cinco flujos.

El valor actual es 0.


El hecho de que la capa 3 TTL, el identificador, y los campos de la Longitud del paquete en los cinco flujos tengan los mismos valores es una buena indicación que este tráfico es un ataque DOS. Si estos datos hubieran sido capturados del tráfico real, los valores serían típicamente diferentes. El hecho de que los cinco de estos flujos tengan un valor de TTL de 59 indica que este tráfico está originando de las puntas que son la misma distancia lejos del R3. El tráfico del usuario real estaría llegando normalmente de muchas diversas distancias lejos; por lo tanto los valores de TTL serían diferentes.

Si este tráfico se identifica como ataque DOS (basado en los datos capturados en la capa 3 coloca), usted puede utilizar la información de la capa 2 en los flujos para identificar la trayectoria que el tráfico está tomando a través de la red. En este ejemplo, el tráfico se está enviando al R3 en la VLAN 5 por parte del R2. Puede demostrar que el R2 está transmitiendo el tráfico sobre la interfaz 1/0.1 porque la dirección MAC de origen (aaaa.bbb.cc03) pertenece a 1/0.1 en el R2. Usted puede identificar que el R3 está transmitiendo el tráfico usando el VLA N 6 en la interfaz 1/0.1 para interconectar 1/0.1 en el R4 porque la dirección MAC del destino (aaaa.bbbb.cc06) pertenece para interconectar 1/0.1 en el R4.

Usted puede utilizar esta información para desarrollar un plan para atenuar este ataque. Una manera posible de atenuar este ataque está configurando una lista de acceso IP ampliado que bloquee el tráfico FTP de cualquier host con una dirección de origen que esté en la red de 10.0.0.0. Otra solución posible es configurar una ruta predeterminado para la red 10.0.0.0 que apunte a la interfaz nula en el router.


Adviertacada uno de tráfico de estos bloques de las soluciones de los hosts legítimos en la red de 10.0.0.0. Por lo tanto estas soluciones solamente se deben utilizar de forma temporal mientras se identifica el punto de origen del ataque y se decide cómo detenerlo allí.

Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado: Ejemplo:

El ejemplo siguiente muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para saber que la red está siendo atacada por tráfico ICMP. Utiliza la red mostrada en el cuadro 7. host A está enviando los paquetes muy grandes del ping de ICMP al servidor FTP.

R2

!
hostname R2
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc02
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc03
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.1 255.255.255.0
!
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

R3

!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture icmp
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc04
 no ip address
!
interface Ethernet0/0.1
 encapsulation dot1Q 5
 ip address 172.16.6.2 255.255.255.0
 ip accounting output-packets
 ip flow ingress
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc05
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.1 255.255.255.0
 ip accounting output-packets
 ip flow egress
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

R4

!
hostname R4
!
interface Ethernet0/0
 mac-address aaaa.bbbb.cc07
 ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
 mac-address aaaa.bbbb.cc06
 no ip address
!
interface Ethernet1/0.1
 encapsulation dot1Q 6
 ip address 172.16.7.2 255.255.255.0
!
router rip
 version 2
 network 172.16.0.0
 no auto-summary
!

show ip cache verbose flow El comando visualiza los flujos del Netflow que se han capturado del tráfico ICMP que el host A está enviando.

Los campos que tienen sus valores capturados por ip flow-capture el comando se explican en el cuadro 13. Éstos son los campos y los valores que se utilizan para analizar el tráfico en este ejemplo. Los otros campos capturados por show ip cache verbose flow el comando se explican en el cuadro 10, el cuadro 11 y el cuadro 12.

R3# show ip cache verbose flow
IP packet size distribution (5344 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .166 .832 .000 .000 .000 .000 .000 .000

La salida anterior muestra la distribución del porcentaje de los paquetes por tamaño. En esta visualización, el 16,6 por ciento de los paquetes baja en la caída de la gama de tallas 1024-byte y del 83,2 por ciento en el rango 1536-byte.

La siguiente sección de la salida se puede dividir en cuatro secciones. La sección y la tabla correspondientes a cada uno son las siguientes:

Descripciones del campo en la sección del caché de NetFlow de la salida (cuadro 10)

Descripciones del campo en la actividad por la sección de protocolo de la salida (cuadro 11)

Descripciones del campo en la sección del expediente del Netflow de la salida (cuadro 12)

Capa 2 del Netflow y campos de las exportaciones del monitoreo de la seguridad en la sección del expediente del Netflow de la salida (cuadro 13)


IP Flow Switching Cache, 278544 bytes
  3 active, 4093 inactive, 7 added
  91 ager polls, 0 flow alloc failures
  Active flows timeout in 1 minutes
  Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
  7 active, 1017 inactive, 17 added, 7 added to flow
  0 alloc failures, 0 force free
  1 chunk, 0 chunks added
  last clearing of statistics 00:01:13
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
ICMP                 2      0.0      1500  1378     42.8      11.4      10.9
Total:               2      0.0       600  1378     42.9      11.5      10.8

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
Et0/0.1        10.106.1.1      Et1/0.1        172.16.10.2     01 00  10     391 
0000 /0  0                     0800 /0  0     0.0.0.0              1500     8.6
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      1500                            Max plen:       1500
Min TTL:         59                            Max TTL:          59
ICMP type:       8                            ICMP code:        0
IP id:       13499

Et0/0.1        10.106.1.1      Et1/0.1        172.16.10.2     01 00  00    1950 
0000 /0  0                     0000 /0  0     0.0.0.0              1354     8.6
MAC: (VLAN id) aaaa.bbbb.cc03  (005)          aaaa.bbbb.cc06  (006)
Min plen:      772                            Max plen:       1500
Min TTL:         59                           Max TTL:          59
ICMP type:       0                            ICMP code:        0
IP id:       13499                            FO:            185

R3#

El cuadro 10 describe los campos significativos mostrados en las líneas del caché de NetFlow de la salida.

Descripciones del campo del cuadro 10 en la sección del caché de NetFlow de la salida 

Campo
Descripción

bytes

Número de bytes de memoria usados por la memoria caché de NetFlow.

activo

Número de flujos activos en la memoria caché de NetFlow cuando se ingresó este comando.

desactivado

Número de buffers de flujo que se han asignado en la memoria caché de NetFlow pero que no se asignaron a un flujo específico cuando se ingresó este comando.

agregado

Número de flujos creados desde el comienzo del periodo de resumen.

sondeo de ager

Cantidad de veces el código del Netflow causado las entradas a expirar (utilizado por los ingenieros de servicio técnico del cliente de Cisco (CSE) para los objetivos de hacer un diagnóstico).

flow alloc failures

Número de veces que el código de NetFlow ha intentado asignar un flujo pero no lo ha conseguido.

última limpieza de estadísticas

El período de tiempo transcurrido desde que el comando de EXEC privilegiado clear ip flow stats se ejecutó por última vez. Formato de salida de tiempo estándar con horas, minutos y segundos (hh: milímetro: ss) se utiliza para un período de tiempo inferior a 24 horas. Esta salida de tiempo cambia a horas y días después de que el tiempo se exceda 24 horas.


El cuadro 11 describe los campos significativos mostrados en la actividad por las líneas del protocolo de la salida.

Descripciones del campo del cuadro 11 en la actividad por la sección de protocolo de la salida 

Campo
Descripción

Protocolo

Protocolo IP y el número de puerto conocido. (Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer los últimos valores de RFC.)

Se visualizala nota solamente un pequeño subconjunto de todos los protocolos.

Flujos del total

Número de flujos de este protocolo desde la última vez se despejaron las estadísticas.

Flujos/Sec

Número medio de flujos para este protocolo por segundo; igual al número total de flujos dividido entre el número de segundos de este período de resumen.

Paquetes/flujo

Número medio de paquetes para los flujos de este protocolo; igual a los paquetes totales para este protocolo dividido entre el número de flujos para este protocolo durante este período de resumen.

Bytes/Pkt

Número medio de bytes para los paquetes de este protocolo; igual a los bytes totales para este protocolo divididos entre el número total de paquetes para este protocolo durante este período de resumen.

Paquetes/seg.

Número medio de paquetes para este protocolo por segundo; igual al número total de paquetes para este protocolo dividido entre el número de segundos de este período de resumen.

Active(Sec)/flujo

El número de segundos del primer paquete al paquete más reciente de un flujo expirado dividió por el número total de flujos para este protocolo para este periodo de resumen.

Idle(Sec)/flujo

El número de segundos observados del paquete más reciente de cada flujo nonexpired para este protocolo hasta el tiempo en el cual show ip cache verbose flow el comando fue ingresado dividió por el número total de flujos para este protocolo para este periodo de resumen.


El cuadro 12 describe los campos significativos en las líneas del expediente del Netflow de la salida.

Las Descripciones del campo del cuadro 12 en el Netflow registran la sección de la salida 

Campo
Descripción

SrcIf

Interfaz en la que se recibió el paquete.

Port Msk AS

Número del puerto de origen (mostrado en formato hexadecimal), máscara de la dirección IP y número del sistema autónomo. En los flujos MPLS el valor de este campo siempre se establece en 0.

SrcIPaddress

Dirección IP del dispositivo que transmitió el paquete. El host de envío está utilizando 10.106.1.1 como la dirección IP de origen.

DstIf

Interface from which the packet was transmitted. 

Observesi un asterisco (*) sigue inmediatamente el campo de DstIf, el flujo que es mostrado es un flujo de la salida.

Port Msk AS

Máscara del número de puerto de destino (visualizado en el formato hexadecimal), de la dirección IP, y sistema autónomo. Se establece siempre en 0 en los flujos MPLS.

DstIPaddress

Dirección IP del dispositivo de destino.

NextHop

La dirección de siguiente salto de BGP. Se establece siempre en 0 en los flujos MPLS.

Banda

Número de puerto "conocido" del protocolo IP, mostrado en formato hexadecimal. (Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer los últimos valores de RFC.)

ToS

Tipo de servicio, mostrado en formato hexadecimal.

B/Pk

Cantidad media de bytes observados de los paquetes vistos de este flujo.

Flgs

Indicadores TCP, mostrados en formato hexadecimal. Este valor es el resultado de la aplicación de la operación lógica bitwise OR a los indicadores TCP de todos los paquetes del flujo.

Pkts

Número de paquetes de este flujo.

Activo

Tiempo que el flujo ha estado activo.


El cuadro 13 describe los campos y los valores para la Clasificación de tráfico del Netflow y los campos de identificación para el Netflow registran las líneas de la salida.

La capa 2 del Netflow del cuadro 13 y los campos de las exportaciones del monitoreo de la seguridad en el Netflow registran la sección de la salida 

Campo
Descripción

MAC

Éstas son las direcciones MAC de origen y destino del tráfico. La dirección MAC de origen y de destino se lee de izquierda a derecha en la salida.

El tráfico se está recibiendo desde la dirección MAC aaa.bbb.cc03.

Observeesta dirección MAC es la interfaz 1/0.1 en el r2 del router.

El tráfico se está transmitiendo a la dirección MAC aaa.bbb.cc06.

Observeesta dirección MAC es la interfaz 1/0.1 en el router R4.

ID de VLAN

Éstos son los IDs de VLAN de origen y destino. Los IDs de VLAN de origen y destino se leen de izquierda a derecha en la salida.

El tráfico se está recibiendo desde VLAN 5.

El tráfico se está transmitiendo a VLAN 6.

Min plen

Ésta es la Longitud del paquete mínima para los paquetes capturados en los dos flujos.

El valor actual para el primer flujo es 1500.

El valor actual para el segundo flujo es 772.

Max plen

Ésta es la longitud máxima de paquetes para los paquetes capturados en los dos flujos.

El valor actual para el primer flujo es 1500.

El valor actual para el segundo flujo es 1500.

TTL Mínimo

Éste es el Tiempo para vivir mínimo (TTL) para los paquetes capturados en los dos flujos.

El valor actual es 59.

TTL máximo

Éste es TTL máximo para los paquetes capturados en los dos flujos.

El valor actual es 59.

ID de IP

Éste es el campo del identificador IP para el tráfico en los flujos. El valor actual es 13499 para los dos flujos.

Tipo ICMP

Éste es el campo del tipo del Internet Control Message Protocol (ICMP) del datagrama ICMP capturado en el primer flujo.

El valor es: 8

Código ICMP

Éste es el campo del código ICMP del datagrama ICMP capturado en el segundo flujo.

El valor es: 0

FO

Éste es el valor del campo del desplazamiento del fragmento del primer datagrama fragmentado en el segundo flujo.

El valor es: 185


Hay dos flujos ICMP mostrados en la salida. Usted puede decir que son del mismo datagrama ICMP porque tienen el mismo valor de campo IP ID de 13499. Cuando dos flujos ICMP tienen el mismo valor IP ID, el datagrama ICMP que era analizado se ha hecho fragmentos. El primer flujo tiene el campo definido del tipo ICMP a 8, que indica que esto es un datagrama del pedido de eco ICMP (ping). El valor de 185 en el campo del desplazamiento del fragmento (FO) en el segundo flujo muestra adonde este fragmento será puesto en la memoria intermedia del servidor FTP como el servidor vuelve a montar el datagrama ICMP. El valor de 185 es aplicable solamente al primer fragmento de este datagrama. Los valores subsiguientes serán mayores porque tienen en cuenta los fragmentos anteriores.

El valor de 0 en el campo del tipo ICMP del segundo flujo no significa que este flujo es una respuesta de eco ICMP como demostraciones del cuadro 2. En este caso el valor de campo del tipo ICMP se fija a 0 porque los encabezados ICMP para los fragmentos de los datagramas ICMP no tienen los campos del tipo y del código. El valor predeterminado de 0 se inserta en lugar de otro.


Observesi estos datos fueran capturados de un ataque real ICMP, tendría probablemente más de un flujo.


Aunque, usted no pueda descubrir los tamaños originales del datagrama ICMP de la información mostrada por show ip cache verbose flow, el hecho de que fuera bastante grande ser hecho fragmentos adentro transita es una buena indicación que esto no es un datagrama normal ICMP. Note los valores en los campos del mínimo y de la longitud máxima de paquetes para ambos flujos. Los valores para ambos campos se fijan a 1500 para el primer flujo. El valor para la Longitud del paquete mínima se fija a 772 y el valor para la longitud máxima de paquetes se fija a 1500 para el segundo flujo.

Si este tráfico se identifica como ataque DOS basado en los datos capturados en los campos de la capa 3, usted puede utilizar la información de la capa 2 en los flujos para identificar la trayectoria que el tráfico está tomando a través de la red. En este ejemplo, el tráfico se está enviando al R3 en la VLAN 5 por parte del R2. Puede demostrar que el R2 está transmitiendo el tráfico sobre la interfaz 1/0.1 porque la dirección MAC de origen (aaaa.bbb.cc03) pertenece a 1/0.1 en el R2. Puede demostrar que R3 está transmitiendo el tráfico con VLAN 6 en la interfaz 1/0.1 a la interfaz 1/0.1 de R4, ya que la dirección MAC de destino (aaaa.bbbb.cc06) pertenece a la interfaz 1/0.1 do R4.

Se puede utilizar esta información para atenuar este ataque. Una manera posible de atenuar este ataque está configurando una lista de acceso IP ampliado que bloquee el tráfico ICMP de cualquier host con una dirección de origen que esté en la red de 10.0.0.0. Otra solución posible es configurar una ruta predeterminado para la red 10.0.0.0 que apunte a la interfaz nula en el router.


Adviertacada uno de tráfico de estos bloques de las soluciones de los hosts legítimos en la red de 10.0.0.0. Por lo tanto estas soluciones se deben utilizar solamente temporalmente mientras que usted identifica el punto de origen del ataque y deciden a cómo pararlo allí.

Configurar el soporte NBAR para las exportaciones de NetFlow: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar el soporte NBAR para las exportaciones de NetFlow:

Router(config)# ip flow-export version 9
Router(config)# ip flow-capture nbar
Router(config)# ip flow-export template options nbar
Router# exit

El siguiente ejemplo muestra la salida de muestra show ip flow export nbar del comando:

Router # show ip flow export nbar
Nbar netflow is enabled
10 nbar flows exported 
0 nbar flows failed to export due to lack of internal buffers

El siguiente ejemplo muestra cómo borrar los datos NBAR de las estadísticas de la Contabilización de Netflow:

Router # clear ip flow stats nbar

Referencias adicionales

Las secciones siguientes proporcionan referencias relacionadas con NetFlow Layer 2 and Security Monitoring Exports.

Documentos Relacionados

Tema relacionado
Título del documento

Descripción General de NetFlow de Cisco IOS

Descripción General de NetFlow de Cisco IOS

Lista de las características documentadas en el título del libro

Mapa de Ruta de Funciones de NetFlow de Cisco IOS

Descripción del NBAR

Clasificar el tráfico de la red usando el NBAR

Configurar el NBAR

Configurar el NBAR usando el MQC

Configurar el NBAR usando el descubrimiento del protocolo

Habilitar el descubrimiento del protocolo

Comandos del Netflow

Referencia de comandos del Cisco IOS NetFlow

Información para instalar, iniciar y configurar el CNS NetFlow Collection Engine

Documentación del motor de la colección del Netflow del Cisco CNS


Estándares

Estándares
Título

No hay estándares nuevos o modificados asociados a esta función


MIB

MIB
Link del MIB

Hay MIB no nuevo o modificado asociado a esta característica

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC


Asistencia Técnica

Descripción
Link

El sitio Web del Soporte técnico de Cisco dispone de miles de páginas de contenido técnico que se puede buscar, incluidos links a productos, tecnologías, soluciones, consejos técnicos y herramientas. Los usuarios registrados de cisco.com pueden iniciar sesión desde esta página para acceder a otros contenidos.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad

El cuadro 14 enumera las características en este módulo y proporciona los links a la información de la configuración específica. Solamente las características que fueron introducidas o modificadas en el Cisco IOS Releases12.2(1) o 12.0(3)S o una versión posterior aparecen en la tabla.

Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para obtener información detallada sobre cuándo se insertó el soporte para un comando específico, vea la documentación de referencia de comandos.

Para la información sobre una característica en esta tecnología que no se documente aquí, vea el mapa de ruta de las características del Cisco IOS NetFlow.

Las imágenes de Cisco IOS Software son específicas de una Cisco IOS Software Release, un conjunto de funciones y una plataforma. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas e imágenes de Cisco IOS Software. Acceda el Cisco Feature Navigator en http://www.cisco.com/cisco/web/LA/support/index.html. Debe tener una cuenta en Cisco.com. Si no dispone de una cuenta o ha olvidado el nombre de usuario o la contraseña, haga clic en Cancel en el cuadro de diálogo de login y siga las instrucciones que aparecen.


Observelas listas del cuadro 14 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Información de la característica del cuadro 14 para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad 

Nombre de la función
Versiones
Información de la Configuración de la Función

Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad

12.3(14)T
12.2(33)SRA

La capa 2 del Netflow y el monitoreo de la seguridad exporta la característica habilita la captura de los valores de los campos en la capa 2 y la capa 3 de tráfico IP para el análisis el considerar y de Seguridad.

Las secciones siguientes proporcionan información acerca de esta función:

NetFlow Layer 2 and Security Monitoring

Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad

Verificación de NetFlow Layer 2 and Security Monitoring Exports

Los siguientes comandos fueron modificados por esta función: ip flow-capture, ip flow-export y show ip cache verbose flow.

Soporte para capturar el valor del campo del desplazamiento del fragmento de las encabezados IP agregadas a la capa 2 del Netflow y a las exportaciones1 del monitoreo de la seguridad

12.4(2)T

fragment-offset La palabra clave para ip flow-capture los permisos del comando que capturan el valor del campo de desplazamiento del fragmento IP del primer IP datagram hecho fragmentos en un flujo.

Netflow que reconoce la aplicación

12.2(18)ZYA2

El NetFlow feature que reconoce la aplicación habilita la captura de la Información de la aplicación recogida por PISA NBAR y exportaciones usando la versión 9 del Netflow.

Las secciones siguientes proporcionan información acerca de esta función:

Exportación de datos NBAR

Configurar el soporte NBAR para las exportaciones de NetFlow

Los siguientes comandos fueron modificados por esta función: ip flow-capture ip flow-export template options show ip flow export, y clear ip flow stats.

1 esto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator.


Glosario

paquete de exportación: un tipo de paquete creado por un dispositivo (por ejemplo, un router) con los servicios de NetFlow habilitados. El paquete se dirige a otro dispositivo (por ejemplo, NetFlow Collection Engine). El paquete contiene estadísticas de NetFlow. El otro dispositivo procesa el paquete (analiza, agrega y almacena la información de los flujos de IP).

flujo: conjunto de paquetes con los mismos ajustes de dirección IP de origen, dirección IP de destino, protocolo, puertos de origen y destino y tipo de servicio y la misma interfaz en la que se monitorea el flujo. Los flujos de entrada se asocian a la interfaz de entrada, y los flujos de salida se asocian a la interfaz de salida.

NBAR — Un motor de clasificación en Cisco IOS Software que reconoce una amplia variedad de aplicaciones, incluyendo basado en web y el cliente/las aplicaciones del servidor.

NetFlow: Función de contabilización de Cisco IOS que mantiene la información por flujo.

Agregación del Netflow — Un NetFlow feature que le deja resumir los datos de exportación de NetFlow en un router del Cisco IOS antes de que los datos se exporten a un sistema de la recolección de datos de NetFlow tal como el motor de la colección del Netflow. Esta función disminuye los requisitos de ancho de banda de los datos de exportación de NetFlow y reduce los requisitos de plataforma para los dispositivos de recopilación de datos de NetFlow.

NetFlow Collection Engine (antes NetFlow FlowCollector): Aplicación de Cisco que se utiliza con NetFlow en Cisco Routers y Catalyst Series Switches. NetFlow Collection Engine recopila los paquetes del router que ejecuta NetFlow y los decodifica, agrega y almacena. Puede generar informes de diversas agregaciones que se pueden configurar en NetFlow Collection Engine.

Netflow v9: versión 9 del formato de exportación de NetFlow. Un medio flexible y extensible para llevar los registros de NetFlow de un nodo de red a un recolector. La versión 9 de NetFlow tiene tipos de registro definibles y es autodescriptiva para una configuración más sencilla de NetFlow Collection Engine.