Guía de configuración de la NetFlow Flexible, Cisco IOS Release 12.2SR
Descripción General de Flexible NetFlow de Cisco IOS
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 399 KB | Inglés (2 Noviembre 2011) | Comentarios

Descripción General de Flexible NetFlow de Cisco IOS

Última actualización: De octubre el 31 de 2011

NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que atraviesan el router. NetFlow es el estándar para adquirir los datos de funcionamiento del IP de las redes IP. El Netflow proporciona los datos para habilitar la red y monitoreo de la seguridad, planeamiento de red, análisis del tráfico, y las estadísticas IP.

Flexible NetFlow mejora la versión de NetFlow original añadiendo la capacidad de personalizar los parámetros del análisis del tráfico para los requisitos específicos del usuario. La NetFlow Flexible facilita la creación de más Configuraciones complejas para la análisis del tráfico y la exportación de datos con el uso de los componentes de configuración reutilizables.

Este módulo proporciona una descripción de la NetFlow Flexible y las características y los servicios avanzados de la NetFlow Flexible.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Información sobre Flexible NetFlow

Usos Típicos de NetFlow

El Netflow se utiliza típicamente para varias aplicaciones del cliente dominantes, incluyendo el siguiente:

  • Monitoreo de red. Los datos de NetFlow habilitan las capacidades extensas del Monitoreo de red del tiempo real cercano. Las técnicas del análisis del flujo basado son utilizadas por los operadores de la red para visualizar los patrones de tráfico asociados a los routeres individuales y al Switches y a los patrones de tráfico del network de par en par (proporcionando al tráfico total o a las visiónes basadas en la aplicación) para proporcionar la detección del problema proactivo, el troubleshooting eficiente, y la solución de problemas rápida.
  • Supervisión y perfilado de la aplicación. Los datos de NetFlow permiten a los administradores de la red para ganar una opinión detallada del time basado del uso de la aplicación sobre la red. Esta información se utiliza para planear, para entender los nuevos servicios, y para afectar un aparato los recursos de la red y de la aplicación (por ejemplo, apresto del servidor Web y las instalaciones del VoIP) para cubrir las demandas de los clientes responsivo.
  • Supervisión y perfilado del usuario. Ingenieros de red de los permisos de los datos de NetFlow para ganar la comprensión detallada del uso del cliente y del usuario de los recursos de la red y de la aplicación. Esta información se puede entonces utilizar para planear y para afectar un aparato el acceso, la estructura básica, y los recursos de la aplicación y para detectar y para resolver eficientemente las infracciones de la seguridad potencial y de la directiva.
  • Planeamiento de red. El Netflow se puede utilizar para capturar los datos durante un período prolongado de tiempo, permitiendo la oportunidad de seguir y de anticipar las actualizaciones del crecimiento de la red y del plan para aumentar el número de dispositivos de ruteo, de puertos, y de interfaces del ancho de banda mayor. Los datos de servicios de NetFlow optimizan el planeamiento de red para mirar, las actualizaciones de la estructura básica, y el política de ruteo. El Netflow ayuda a minimizar el costo total de las operaciones de la red mientras que maximiza el rendimiento de la red, la capacidad, y la confiabilidad. El Netflow detecta el tráfico PÁLIDO indeseado, valida el ancho de banda y el Calidad de Servicio (QoS), y permite el análisis de las nuevas aplicaciones de red. El Netflow le dará la información valiosa para reducir el coste de actuar su red.
  • Análisis de Seguridad. El Netflow identifica y clasifica los ataques distribuidos, los virus, y los gusanos de la negación de servicio (dDoS) en el tiempo real. Los cambios en el comportamiento de la red indican las anomalías que se demuestran claramente en los datos de la NetFlow Flexible. Los datos son también una herramienta forense valiosa para entender y para jugar de nuevo el historial de los incidentes de seguridad.
  • Factura y estadísticas. Los datos de NetFlow proporcionan la medición de grano fino (por ejemplo, los datos de flujo incluyen los detalles tales como IP Addresses, paquete y las cuentas de bytes, los sellos de fecha/hora, Tipo de servicio (ToS), y los puertos de aplicación) para las estadísticas altamente flexibles y detalladas de la utilización de recursos. Los proveedores de servicio pueden utilizar la información para cargar en cuenta basada en el Time Of Day, Uso de ancho de banda, uso de la aplicación, calidad de servicio, y así sucesivamente. Los clientes de Enterprise pueden utilizar la información para la carga departamental detrás o la asignación de coste para la utilización de recursos.
  • Almacenamiento y Minería de datos de los datos de NetFlow. Los datos de NetFlow (o información derivada) se pueden almacenar para la extracción y el análisis posteriores en apoyo de los programas dinámicos del márketing y de servicio al cliente (por ejemplo, descubrimiento apuntándolos están utilizando qué aplicaciones y servicios interno y los usuarios externos y para el servicio, la publicidad mejorados, y así sucesivamente). Además, los datos de la NetFlow Flexible dan a investigadores de mercado el acceso al “quién,” “qué,” “donde,” y “cuánto tiempo” información relevante a las empresas y a los proveedores de servicio.

Uso de los flujos en el Netflow y la NetFlow Flexible originales

El Netflow y la NetFlow Flexible originales ambos utilizan el concepto de flujos. Un flujo se define como secuencia de los paquetes entre una fuente dada y un destino determinado.

El Netflow y la NetFlow Flexible originales ambos utilizan los valores en los campos claves en los datagramas IP, tales como el IP de origen o la dirección destino y el puerto del Transport Protocol de la fuente o del destino, como los criterios para determinar cuando un nuevo flujo se debe crear en el caché mientras que se está monitoreando el tráfico de la red. Cuando el valor de los datos en el campo clave de un datagrama es único en cuanto a los flujos que existen ya, se crea un nuevo flujo.

El Netflow y la NetFlow Flexible originales ambos utilizan los campos nonkey como los criterios para identificar los campos de los cuales los datos se capturan de los flujos. Los flujos se pueblan con los datos que se capturan de los valores en los campos nonkey.

La figura abajo es un ejemplo del proceso para examinar los paquetes y crear los expedientes del flujo en el caché. En este ejemplo, dos flujos únicos se crean en el caché porque diversos valores están en los campos claves del IP Address de origen y de destino.

Figura 1Inspección de paquetes


NetFlow Original y Flexible NetFlow

El Netflow original utiliza los siete tuples fijos de la información IP para identificar un flujo. La NetFlow Flexible permite que el flujo sea definido por el usario. Las ventajas de la NetFlow Flexible incluyen:

  • Reconocimiento de gran capacidad del flujo, incluyendo el scalability y la agregación de la información de flujo.
  • Infraestructura aumentada del flujo para el monitoreo de la seguridad y detección e identificación del dDoS.
  • Nueva información de los paquetes para adaptar la información de flujo a un servicio determinado o a una operación en la red. La información de flujo disponible será adaptable por los usuarios de la NetFlow Flexible.
  • Uso extenso del formato flexible y extensible de Cisco del Netflow de la versión 9 de la exportación.
  • Una característica de contabilidad completa IP que se puede utilizar para substituir muchas características de contabilidad, tales como estadísticas IP, contabilidad de políticas del Border Gateway Protocol (BGP), y cachés persistentes.

El Netflow original permite que usted entienda las actividades en la red y que optimice así el diseño de red y que reduzca los costos de funcionamiento. La NetFlow Flexible permite que usted entienda el comportamiento de la red con más eficacia, con la información de flujo específica adaptada para los diversos servicios utilizados en la red. Los siguientes son algunas aplicaciones de ejemplo para una característica de la NetFlow Flexible:

  • La NetFlow Flexible aumenta NetFlow de Cisco como herramienta del monitoreo de la seguridad. Por ejemplo, las nuevas claves del flujo se pueden definir para la Longitud del paquete o la dirección MAC, permitiendo que los usuarios busquen para un tipo específico de ataque en la red.
  • La NetFlow Flexible permite que usted identifique rápidamente cuánto tráfico de aplicación se está enviando entre los hosts por el TCP específicamente de seguimiento o las aplicaciones UDP por el Clase de Servicio (CoS) en los paquetes.
  • Las estadísticas del tráfico que ingresan un Multiprotocol Label Switching (MPLS) o una red de núcleo IP y su destino para cada salto siguiente por la clase del servicio. Esta capacidad permite el edificio de una matriz del tráfico del borde-a-borde.

La figura abajo es un ejemplo de cómo la NetFlow Flexible se pudo desplegar en una red.

Figura 2Instalaciones típicas para la NetFlow Flexible


Componentes de Flexible NetFlow

La NetFlow Flexible consiste en los componentes que se pueden utilizar juntos en varias variaciones para realizar la análisis del tráfico y la exportación de datos. Los expedientes definidos por el usario del flujo y la estructura componente de la NetFlow Flexible facilita la creación de las diversas configuraciones para la análisis del tráfico y la exportación de datos en un dispositivo de interconexión de redes con un número mínimo de comandos configuration. Cada monitor del flujo puede tener una combinación única de expediente del flujo, fluir exportador, y el tipo del caché. Si usted cambia un parámetro tal como el IP Address de destino para un exportador del flujo, se cambia automáticamente para todos los monitores del flujo que utilizan el exportador del flujo. El mismo monitor del flujo se puede utilizar conjuntamente con diversos dechados del flujo para muestrear el mismo tipo de tráfico de red a diversas tarifas en diversas interfaces. Las secciones siguientes proporcionan más información sobre los componentes de la NetFlow Flexible:

Expedientes

En la NetFlow Flexible una combinación de campos dominantes y nonkey se llama un expediente. Los expedientes de la NetFlow Flexible se asignan a los monitores del flujo de la NetFlow Flexible para definir el caché que se utiliza para salvar los datos de flujo. La NetFlow Flexible incluye varios expedientes predefinidos que puedan ayudarle a conseguir comenzado usando la NetFlow Flexible. Para utilizar la NetFlow Flexible a su capacidad más máxima, usted necesita crear sus propios expedientes personalizados, según lo descrito en las secciones siguientes:

El Netflow predefinió los expedientes

La NetFlow Flexible incluye varios expedientes predefinidos que usted pueda utilizar para comenzar a monitorear el tráfico en su red. Los expedientes predefinidos están disponibles ayudarle rápidamente a desplegar la NetFlow Flexible y son más fáciles de utilizar que los expedientes definidos por el usario del flujo. Usted puede elegir de una lista de expedientes ya definidos que puedan cubrir las necesidades del Monitoreo de red. Pues la NetFlow Flexible se desarrolla, los expedientes definidos por el usario populares del flujo serán hechos disponibles como expedientes predefinidos para hacerlos más fáciles implementar.

Los expedientes predefinidos aseguran la compatibilidad descendente con sus configuraciones existentes del colector NetFlow para los datos se exportan que. Cada uno de los expedientes predefinidos tiene una combinación única de campos dominantes y nonkey que le ofrezcan la capacidad incorporada de monitorear los diversos tipos de tráfico en su red sin personalizar la NetFlow Flexible en su router.

Dos de los expedientes predefinidos (original del Netflow y salida original del Netflow IPv4/IPv6), que son funcionalmente equivalentes, emulan al Netflow original (del ingreso) y a la característica de la Contabilización de Netflow de la salida en el Netflow original, respectivamente. Algo de la otra NetFlow Flexible predefinió los expedientes se basa en los esquemas del caché de la agregación disponibles en el Netflow original. La NetFlow Flexible predefinió los expedientes que se basan en los esquemas del caché de la agregación disponibles en el Netflow original no realizan la agregación. En lugar cada flujo es seguido por separado por los expedientes predefinidos.

Si usted quiere aprender más sobre los expedientes predefinidos NetFlow Flexible, refiera “introducción con configurar al módulo de la NetFlow Flexible del Cisco IOS” o “configurando la NetFlow Flexible del Cisco IOS con al módulo de los expedientes predefinidos”.

Expedientes definidos por el usario

La NetFlow Flexible le permite para definir sus propios expedientes para un caché del monitor del flujo de la NetFlow Flexible especificando los campos dominantes y nonkey para personalizar la obtención de datos a sus requisitos específicos. Cuando usted define su propios expedientes para un flujo de la NetFlow Flexible monitorean el caché, ellos se refieren como expedientes definidos por el usario. Los valores en los campos nonkey se agregan a los flujos para proporcionar la información adicional sobre el tráfico en los flujos. Un cambio en el valor de un campo nonkey no crea un nuevo flujo. En la mayoría de los casos los valores para los campos nonkey se toman solamente del primer paquete en el flujo. La NetFlow Flexible le permite para capturar los valores de contador tales como el número de bytes y paquete en un flujo como campos nonkey.

Usted puede crear los expedientes definidos por el usario para las aplicaciones tales como QoS y supervisión del ancho de banda, perfil del tráfico de la aplicación y del usuario final, y monitoreo de la seguridad para los ataques DDoS. La NetFlow Flexible también incluye varios expedientes predefinidos que emulen al Netflow original.

Los expedientes definidos por el usario de la NetFlow Flexible proporcionan la capacidad para monitorear una sección contigua de un paquete de tamaños del utilizador configurable, y la utilizan en un expediente del flujo como clave o un campo nonkey junto con otros campos y atributos del paquete. La sección puede incluir cualquier dato de la capa 3 del paquete.

Los campos de la sección del paquete permiten que el usuario monitoree cualquier campo del paquete que no sea cubierto por las claves predefinidas NetFlow Flexible. La capacidad de analizar los campos del paquete que no se recogen con las claves predefinidas habilita una supervisión de tráfico más detallada, facilita la investigación de los ataques DDoS, y habilita la implementación de otras aplicaciones de la Seguridad tales como supervisión URL.

La NetFlow Flexible proporciona los tipos predefinidos de secciones del paquete de los tamaños del utilizador configurable. Los comandos siguientes de la NetFlow Flexible (usados en el modo de configuración del expediente del flujo de la NetFlow Flexible) se pueden utilizar para configurar los tipos predefinidos de secciones del paquete:

  • recoja los bytes de los tamaños del encabezado de sección ipv4 --Comienzo que captura la cantidad de bytes especificada por el bytesargument desde el principio de la encabezado del IPv4 de cada paquete.
  • recoja los bytes de los Tamaños de carga útiles de la sección ipv4 --Comienzo que captura los bytes inmediatamente después de la encabezado del IPv4 de cada paquete. La cantidad de bytes capturada es especificada por el argumento de los bytes.
  • recoja los bytes de los tamaños del encabezado de sección del IPv6 --Comienzo que captura la cantidad de bytes especificada por el bytesargument desde el principio de la encabezado del IPv6 de cada paquete.
  • recoja los bytes de los Tamaños de carga útiles de la sección del IPv6 --Comienzo que captura los bytes inmediatamente después de la encabezado del IPv6 de cada paquete. La cantidad de bytes capturada es especificada por el argumento de los bytes.

Los valores de los bytes son los tamaños en los bytes de estos campos en el expediente del flujo. Si el fragmento correspondiente del paquete es más pequeño que los tamaños pedidos de la sección, la NetFlow Flexible llenará el resto del campo de la sección en el expediente del flujo de los ceros. Si el tipo de paquete no hace juego el tipo pedido de la sección, la NetFlow Flexible llenará el campo entero de la sección en el expediente del flujo de los ceros.

La NetFlow Flexible agrega un tipo de campo del formato de la exportación de la nueva versión 9 para la encabezado y la sección del paquete teclea. La NetFlow Flexible comunicará al colector NetFlow los tamaños configurados de la sección en los campos Template correspondientes de la exportación de la versión 9. Las secciones del payload tendrán una extensión del campo correspondiente que se pueda utilizar para recoger los tamaños reales de la sección recogida.


Nota


En el Cisco IOS Release 12.2(50)SY, las secciones y las cargas útiles del paquete no se soportan.

Monitores de Flujo

Los monitores del flujo son el componente de la NetFlow Flexible que se aplica a las interfaces para realizar la supervisión de tráfico de la red. Los monitores del flujo consisten en un definido por el usario o el expediente predefinido, un exportador opcional del flujo, y un caché que automáticamente se crea en ese entonces el monitor del flujo se aplica a la primera interfaz. Los datos de flujo se recogen del tráfico de la red y se agregan al caché del monitor del flujo durante el proceso de supervisión basado en los campos dominantes y nonkey en el expediente del flujo.

La NetFlow Flexible se puede utilizar para realizar diversos tipos de análisis en el mismo tráfico. En la figura abajo, el paquete 1 se analiza usando un expediente diseñado para la análisis del tráfico estándar en la interfaz de entrada y un expediente diseñado para el análisis de Seguridad en la interfaz de salida.

Figura 3Ejemplo de usar dos monitores del flujo para analizar el mismo tráfico


La figura abajo muestra un más ejemplo complejo de cómo usted puede aplicar diversos tipos de monitores del flujo con los expedientes de encargo.

‘Figura 4’Ejemplo complejo de usar los tipos múltiples de monitores del flujo con los expedientes de encargo


Hay tres tipos de cachés del monitor del flujo. Usted cambia el tipo de caché usado por el monitor del flujo después de que usted cree el monitor del flujo. Describen a los tres tipos de cachés del monitor del flujo en las secciones siguientes:

Normal

El tipo predeterminado del caché es “normal.” En este modo, las entradas en el caché se envejecen hacia fuera según el active del descanso y las configuraciones inactivas del descanso. Cuando una entrada de caché se envejece hacia fuera, se quita del caché y se exporta vía cualquier exportador configurado.

Inmediato

Un caché de las edades “inmediatas” del tipo hacia fuera cada expediente tan pronto como se cree. Como consecuencia, cada flujo contiene apenas un paquete. Los comandos que visualizan el contenido del caché proporcionarán un historial de los paquetes considerados.

Este modo es deseable cuando usted cuenta con solamente los flujos muy pequeños y usted quiere una cantidad mínima de tiempo de espera entre ver un paquete y la exportación de un informe.


Precaución


Este modo puede dar lugar a una gran cantidad de datos de la exportación que puedan sobrecargar los links de baja velocidad y abrumar cualquier sistema al cual usted esté exportando. Recomendamos que usted configura el muestreo para reducir el número de paquetes se procesen que.



Nota


Las configuraciones de tiempo de espera del caché no tienen ningún efecto en este modo.
Permanente

Un caché del tipo “permanente” nunca envejece hacia fuera cualquier flujo. Un caché permanente es útil cuando el número de flujos que usted espera ver es bajo y hay una necesidad de guardar las estadísticas a largo plazo sobre el router. Por ejemplo, si el único campo clave en el expediente del flujo es el campo de 8 bits TOS IP, sólo los flujos 256 pueden ser monitoreados. Para monitorear el uso a largo plazo del campo TOS IP en el tráfico de la red, usted puede utilizar un caché permanente. Los cachés permanentes son útiles para las aplicaciones para facturación y para una matriz del tráfico del borde-a-borde para un conjunto fijo de los flujos se están siguiendo que. Los mensajes de actualización serán enviados periódicamente a cualquier exportador del flujo configurado según “la configuración de la actualización del descanso”.


Nota


Cuando un caché se convierte por completo en el modo permanente, los nuevos flujos no serán monitoreados. Si ocurre esto, “fluye” el mensaje no agregado aparecerá en las estadísticas del caché.

Nota


Un caché permanente utiliza los contadores de la actualización bastante que los contadores del delta. Esto significa que cuando se exporta un flujo, los contadores representan los totales considerados para el curso de la vida completo del flujo y no de los paquetes y de los bytes adicionales considerados puesto que la exportación más reciente fue enviada.

Exportadores de Flujo

Los exportadores del flujo exportan los datos en el caché del monitor del flujo a un sistema remoto, tal como un colector NetFlow corriente del servidor, para el análisis y el almacenamiento. Los exportadores del flujo se crean como entidades separadas en la configuración. Los exportadores del flujo se asignan para fluir los monitores para proporcionar la capacidad de la exportación de datos para los monitores del flujo. Usted puede crear varios exportadores del flujo y asignarlos a uno o más monitores del flujo para proporcionar varios destinos de la exportación. Usted puede crear un exportador del flujo y aplicarlo a varios monitores del flujo.

Versión 9 del formato de la exportación de datos de NetFlow

La salida básica del Netflow es un expediente del flujo. Varios diversos formatos para los expedientes del flujo se han desarrollado mientras que el Netflow se ha madurado. La evolución más reciente del formato de la exportación de NetFlow se conoce como versión 9. La característica de distinción del formato de la exportación de la versión 9 del Netflow es que es basada en plantillas. Las plantillas proporcionan un diseño extensible al formato de registro, una función que debe permitir mejoras futuras a los servicios de NetFlow sin que sean necesarios cambios simultáneos del formato básico del registro de flujo. Usando las plantillas proporciona a varios beneficios fundamentales:

  • Los partneres comerciales de tercera persona que producen las aplicaciones que proporcionan los servicios del colector o de la visualización para el Netflow no hacen tuvieron que recompile sus aplicaciones que un nuevo NetFlow feature se agrega cada vez. En lugar, deben poder utilizar un archivo de los datos externos que documente los formatos sabidos de la plantilla.
  • Las nuevas funciones se pueden agregar al Netflow rápidamente sin la fractura de las implementaciones actuales.
  • El Netflow es “a prueba de futuro” contra los nuevos o que desarrollan protocolos porque el formato de la versión 9 se puede adaptar para proporcionar el soporte para ellos.

El formato de la exportación de la versión 9 consiste en un encabezado de paquete seguido por uno o más los conjuntos del flujo o del flujo de datos de la plantilla. Un conjunto del flujo de la plantilla proporciona una descripción de los campos que estarán presentes en los conjuntos futuros del flujo de datos. Estos conjuntos del flujo de datos pueden ocurrir más adelante dentro del mismo paquete de la exportación o en los paquetes subsiguientes de la exportación. Los conjuntos del flujo y del flujo de datos de la plantilla se pueden mezclar dentro de un solo paquete de la exportación, como se ilustra en la figura abajo.

Figura 5Paquete de la exportación de la versión 9


La versión 9 del Netflow exportará periódicamente los datos de la plantilla así que el colector NetFlow entenderá qué datos son ser enviado y también exportar el flujo de datos fijado para la plantilla. La ventaja dominante a la NetFlow Flexible es que el usuario configura un expediente del flujo, que se convierte con eficacia a una plantilla de la versión 9 y después se remite al colector. La figura abajo es un ejemplo detallado del formato de la exportación de la versión 9 del Netflow, incluyendo la encabezado, el flujo de la plantilla, y los conjuntos del flujo de datos.


Nota


El formato de la exportación de la versión 5 del Netflow es un formato fijo de la exportación que proporcionaría la información limitada para los datos de la NetFlow Flexible. Esta es la razón por la cual la NetFlow Flexible utiliza el formato de la exportación de la versión 9.
‘Figura 6’Ejemplo detallado del formato de la exportación de la versión 9 del Netflow


Para más información sobre el formato de la exportación de la versión 9, refiera al White Paper titulado formato del Flujo-expediente de la versión 9 del Cisco IOS NetFlow, disponible en este URL: http://www.cisco.com/en/US/tech/tk648/tk362/technologies_white_paper09186a00800a3db9.shtml.

Muestreadores de Flujo

Los dechados del flujo se crean como componentes separados en configuración de un router. Los dechados del flujo se utilizan para reducir la carga en el dispositivo que es NetFlow Flexible corriente limitando el número de paquetes que se seleccionen para el análisis. Los dechados utilizan las técnicas de muestreo al azar o deterministas (modos):

  • Determinista--Se utiliza la misma posición del muestreo cada vez que se recoge una muestra.
  • Al azar--Seleccionado aleatoriamente muestreando la posición se utiliza cada vez que se recoge una muestra.

El muestreo del flujo intercambia la exactitud de la supervisión para el rendimiento del router. Cuando usted aplica un dechado a un monitor del flujo, la carga de arriba en el router de funcionar con el monitor del flujo se reduce porque el número de paquetes que el monitor del flujo deba analizar se reduce. La reducción en el número de paquetes que sean analizados por el monitor del flujo causa una reducción de correspondencia en la exactitud de la información salvada en el caché del monitor del flujo.

Los dechados se combinan con los monitores del flujo cuando se aplican a una interfaz con el comando monitor del flujo del IP.

Monitoreo de la seguridad con la NetFlow Flexible

La NetFlow Flexible se puede utilizar como herramienta de la detección del ataque a la red con las capacidades para seguir todas las partes del encabezado IP e incluso las secciones del paquete y para caracterizar esta información en los flujos. Los sistemas de monitoreo de la seguridad pueden analizar los datos de la NetFlow Flexible, y sobre encontrar un problema en la red, crean un compartimiento virtual o un caché virtual que sean configurados para seguir la información específica y para identificar los detalles sobre la propagación del modelo o del gusano del ataque. La capacidad para crear los cachés dinámicamente con la información específica combinada con la entrada que filtra (por ejemplo, filtrando todos los flujos a un destino específico) hace NetFlow Flexible una herramienta potente del monitoreo de la seguridad.

Un tipo común de ataque ocurre cuando los indicadores TCP se utilizan para inundar las peticiones abiertas TCP a un servidor de destino (por ejemplo, un ataque de inundación SYN). El dispositivo que ataca envía una secuencia de TCP SYN a un direccionamiento de destino determinado pero nunca envía el ACK en respuesta a los servidores SYN-ACK como parte de la entrada en contacto de tres vías TCP. La información de flujo necesaria para un servidor de la detección de la Seguridad requiere el seguimiento de tres campos claves: dirección destino o subred, indicadores TCP, y cuenta de paquetes. El servidor de la detección de la Seguridad puede monitorear la información general de la NetFlow Flexible, y estos datos pueden accionar una vista detallada de este ataque determinado por la NetFlow Flexible que crea dinámicamente un nuevo monitor del flujo en la configuración del router. El nuevo monitor del flujo pudo incluir la entrada que filtraba para limitar qué tráfico es visible en el caché de la NetFlow Flexible junto con el seguimiento de la información específica diagnosticar el ataque TCP basado. En este caso el usuario puede querer filtrar toda la información de flujo a la dirección destino del servidor o subred para limitar la cantidad de información que el servidor de la detección de la Seguridad necesita evaluar. Si el servidor de la detección de la Seguridad decidía entendía este ataque, puede ser que entonces programe a otro monitor del flujo recoger y exportar la información del payload o las secciones de los paquetes para hechar una ojeada más profundo una firma dentro del paquete. Este ejemplo es apenas uno de muchas maneras posibles que la NetFlow Flexible se puede utilizar para detectar los incidentes de seguridad.

Comparación de Funciones del NetFlow Original y de Flexible NetFlow

La tabla abajo proporciona una comparación de la característica-por-característica del Netflow y de la NetFlow Flexible originales.

Tabla 1Comparación de la Característica-por-característica del Netflow y de la NetFlow Flexible originales

Función

Netflow original

Flexible NetFlow

Comentarios

Captura de Datos de NetFlow

Soportados

Soportados

La captura de datos está disponible con los expedientes predefinidos y definidos por el usario en la NetFlow Flexible. La NetFlow Flexible tiene varias claves predefinidas que emulen a las capacidades de la análisis del tráfico del Netflow original.

Exportación de datos de NetFlow

Soportados

Soportados

Los datos de la exportación de los exportadores del flujo del flujo de la NetFlow Flexible monitorean los cachés a los sistemas remotos.

Netflow para el IPv6

Soportados

Soportados

El soporte del IPv6 fue quitado del Netflow original en el Cisco IOS Release 12.4(20)T.

La característica flexible de los flujos del unicast NetFlow--IPv6 implementó el soporte del IPv6 para la NetFlow Flexible en el Cisco IOS Release 12.4(20)T.

MPLS-aware NetFlow

Soportados

No soportados

--

Netflow de la salida MPLS

Soportados

Soportados

La NetFlow Flexible--El NetFlow feature de la salida MPLS implementó el soporte de la salida del Netflow MPLS para la NetFlow Flexible en el Cisco IOS Release 12.4(22)T.

NetFlow BGP Next Hop Support

Soportados

Soportados

Disponible en las claves predefinidas y definidas por el usario en los expedientes de la NetFlow Flexible.

Sampled NetFlow del paquete aleatorio

Soportados

Soportados

Disponible con el muestreo de la NetFlow Flexible.

Formato de Exportación del NetFlow v9

Soportados

Soportados

Disponible con los exportadores de Flexible NetFlow.

NetFlow Subinterface Support

Soportados

Soportados

Los monitores de la NetFlow Flexible se pueden asignar a las subinterfaces.

Destinos de Exportación Múltiples de NetFlow

Soportados

Soportados

Disponible con los exportadores de Flexible NetFlow.

NetFlow ToS-Based Router Aggregation

Soportados

Soportados

Disponible en los expedientes predefinidos y definidos por el usario en los expedientes de la NetFlow Flexible.

NetFlow Minimum Prefix Mask for Router-Based Aggregation

Soportados

Soportados

Disponible en los expedientes predefinidos y definidos por el usario.

Filtros de Entrada de NetFlow

Soportados

No soportados

--

NetFlow MIB

Soportados

No soportados

--

MIB de NetFlow MIB y Usuarios Principales

Soportados

No soportados

--

NetFlow Multicast Support

Soportados

Soportados

En el Cisco IOS Release 12.4(9)T con la NetFlow Flexible 12.4(20)T recoge las estadísticas para los flujos del Multicast. Sin embargo, los campos adicionales específicos tales como cuentas de la replicación para los bytes y los paquetes no se soportan.

El soporte implementado flexible de la característica del soporte de las estadísticas del Multicast NetFlow--IPv4 para capturar la replicación de multidifusión cuenta para los bytes y los paquetes en el Cisco IOS Release 12.4(22)T.

Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad

Soportados

Soportado parcialmente

La NetFlow Flexible--Soporte implementado de la característica de los campos de la capa 2 para capturar los direccionamientos y el Virtual LAN (VLAN) ID MAC en el Cisco IOS Release 12.4(22)T.

Contabilización de NetFlow de Salida

Soportados

Soportados

Los monitores de la NetFlow Flexible se pueden utilizar para monitorear el tráfico de salida en las interfaces y subinterfaz.

NetFlow Reliable Export con SCTP

Soportados

No soportados

--

NetFlow Dynamic Top Talkers CLI

Soportados

Soportados

La NetFlow Flexible--La característica superior del soporte de los transmisores N implementada en el Cisco IOS Release 12.4(22)T proporciona lo mismo functionailty.

Adonde ir después

Para implementar una configuración básica de la NetFlow Flexible que emule a la análisis del tráfico y a la exportación de datos originales del Netflow, refiera “introducción con configurar al módulo de la NetFlow Flexible del Cisco IOS”. Para implementar otras configuraciones de la NetFlow Flexible, refiera a adonde ir después.

Referencias adicionales

Documentos Relacionados

Tema relacionado

Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Emulación de Netflow Original con Flexible NetFlow

“Introducción a la Configuración de Flexible NetFlow de Cisco IOS”

Configurar los exportadores del flujo para exportar los datos de la NetFlow Flexible

"Configuración de la Exportación de Datos para Flexible NetFlow de Cisco IOS con Exportadores de Flujo"

Personalizar la NetFlow Flexible para su red

"Personalización de los Registros y Monitores de Flujo de Flexible NetFlow de Cisco IOS"

Configuración del muestreo de flujo para reducir la sobrecarga de monitoreo del tráfico con Flexible NetFlow

"Uso del Muestreo de Flujo de Flexible NetFlow de Cisco IOS para Reducir la Sobrecarga del CPU al Analizar el Tráfico"

Configuración de Flexible NetFlow usando registros predefinidos

"Configuración de Flexible NetFlow de Cisco IOS con Registros Predefinidos"

Usando los transmisores del top N de la NetFlow Flexible para analizar el tráfico de la red

"Uso de Top N Talkers de Cisco IOS Flexible NetFlow para Analizar el Tráfico de Red"

Configurar el soporte de las estadísticas del Multicast del IPv4 para la NetFlow Flexible

"Configuración de la Función IPv4 Multicast Statistics Support para Flexible NetFlow de Cisco IOS"

Comandos de Configuración de Flexible NetFlow

Referencia de Comandos de Cisco IOS Flexible NetFlow

RFC

RFC

Título

RFC 3954

Exportación de Servicios de NetFlow de Cisco Systems Versión 9

Asistencia Técnica

Descripción

Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Cisco y el logotipo de Cisco son marcas registradas o marcas registradas de Cisco y/o de sus afiliados en los E.E.U.U. y otros países. Para ver una lista de marcas registradas de Cisco, vaya a este URL: www.cisco.com/go/trademarks. Las marcas registradas de tercera persona mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1110R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.

Cisco Systems, Inc. del © 2011 todos los derechos reservados.