Netflow

NetFlow é uma tecnologia desenvolvida pela Cisco e  já vem integrada ao IOS de seus equipamentos permitindo a coleta de informações e estatísticas do tráfego de uma rede.

Ao invés de apenas contar os pacotes, o NetFlow considera esses pacotes como parte de um fluxo, monitorando o  inicio, meio e fim. Podemos definir um fluxo como uma sequencia unidirecional de pacotes que possuem características comuns entre a origem e o destino.

Para que os pacotes possam fazer parte do mesmo fluxo, as características abaixo devem ser apresentadas:

  • Mesmo Endereço  de Origem;
  • Mesmo Endereço  de destino;
  • Mesma Porta lógica de origem;
  • Mesma Porta lógica de destino;
  • Mesmo Protocolo de camada 3;
  • Mesmo Tipo de serviço (ToS);
  • Mesma interface (independente de ser física ou lógica);

Um fluxo é extinguindo quando:

  • Sua inatividade supera 15 segundos;
  • Sua duração ultrapassa 30 minutos;
  • Uma conexão TCP é encerrada ;
  • A tabela de fluxos está cheia ou usuário redefine configurações de fluxo;

Obs: Quando um pacote é recebido e o mesmo não pertencer a nenhum fluxo existente, ocorrerá a criação de um novo fluxo.

Quando o fluxo é identificado, as informações são  armazenadas na tabela cache NetFlow. Podemos também transferi-las para um coletor que exibira as informações em formas de relatórios e gráficos.  Porém essas informações serão enviadas ao coletor após o término do fluxo.

NetFlow  é inteiramente  transparente para os outros dispositivos da rede, não exige nenhuma configuração nos elementos que serão monitorados. Sua única exigência é que seja habilitada na interface do equipamento (Roteador).

Abaixo veremos uma configuração básica do Netflow.

Configurando o Netflow no router:
Router(config)# ip flow-export destination a.b.c.d 9997
!Endereço IP do servidor e porta UDP
Router(config)# ip flow-export version 9
Router(config)# ip flow-export source Ethernet 0/1

obs: a versão do netflow e a porta devem ser a mesma do coletor, outro ponto importante é o que o ip cef esteja habiltado.

Configurando as interfaces:
Router(config)# interface Ethernet 0/0
Router(config-if)# ip route-cache flow
Router(config-if)# ip flow ingress

Existem duas formas de verificarmos os dados coletados: a primeira, via CLI e a segunda via o coletor, ressaltando mais uma vez que os dados só serão coletados após o término do fluxo. Caso haja o desejo de analisar o tráfego em tempo real, o ideal é usarmos os comandos via CLI.

Um dos comandos via CLI em que possamos verificar os dados é o:

Router# show ip cache flow

Onde obtemos informações como distribuição do tamanho dos pacotes, numero de fluxos ativos, protocolos utilizados, interface de origem e destino, endereço IP de origem e destino, porta de origem e destino e  tamanho dos pacotes.

Particularmente tive um experiência muito satisfatória ao usar o NetFlow, na empresa em que trabalho recebemos a solicitação para a abertura de um chamado, onde o cliente informava que o link de uma determinada localidade estava com alta utilização e gostaria de receber um relatório com a origem  desse tráfego.

Após contato com o cliente, identificamos que o mesmo não possuía um coletor para construção de gráficos e relatórios baseados em Netflow, a única coisa que nos restava era usar os recursos que a CLI podia nos oferecer. Então decidimos configurar o roteador para que exibisse os 10 maiores fluxo por pacote.

Para que isso fosse possível utilizamos os seguintes comandos na CLI:

Router(config)# ip flow-top-talkers
Router(config-flow-top-talkers)# top 10
Router(config-flow-top-talkers)# sort-by packets

Para visualizar os top 10 o comando é show ip flow top-talkers.

Em resumo, com o NetFlow podemos obter benefícios como:

  • Monitoramento da banda ;
  • Análise de tráfego;
  • Análise da rede;
  • Gerência de segurança;
  • Monitoramento de aplicativos;
  • Rastreamento da migração de aplicativos;
  • Validação de QoS;
  • Planejamento de capacidade;
  • Identificação de worms e malwares

 

Ou seja, podemos considerar o NetFlow como uma importante ferramenta que nos possibilita compreender, melhorar  e identificar possíveis  problemas que estão acorrendo na rede.

Referências

http://labcisco.blogspot.com/2013/08/cisco-netflow-na-classificacao-do.html
https://www.telcomanager.com/pt-br/o-que-e-netflow
http://www.teleco.com.br/tutoriais/tutorialgmredes2/pagina_3.asp

Leave a Reply

Your email address will not be published. Required fields are marked *