Flujo de red

NetFlow  es un protocolo de red diseñado para dar cuenta del tráfico de red, desarrollado por Cisco Systems . Es el estándar industrial de facto y es compatible no solo con los equipos de Cisco, sino también con muchos otros dispositivos (en particular, Juniper , ZTE y Enterasys ). También hay implementaciones gratuitas para sistemas similares a UNIX .

Hay varias versiones del protocolo, las más comunes para 2011 son las versiones 5 y 9. Basado en la versión 9, también se desarrolló un estándar abierto llamado IPFIX (Exportación de información de flujo de protocolo de Internet, exportación de información de flujo de IP ). [1] [2]

Arquitectura

Para recopilar información sobre el tráfico mediante el protocolo NetFlow, se requieren los siguientes componentes:

• sensores _ Recopila estadísticas sobre el tráfico que pasa por él. Suele ser un conmutador o enrutador L3, aunque puede usar sensores independientes que reciben datos reflejando el puerto del conmutador.
• coleccionista _ Recopila los datos recibidos del sensor y los almacena.
• analizador _ Analiza los datos recopilados por el recopilador y genera informes legibles por humanos (a menudo en forma de gráficos).

Descripción del protocolo

NetFlow usa UDP o SCTP para enviar datos de tráfico al recopilador. Normalmente, el recopilador escucha en el puerto 2055, 9555 o 9995.

El sensor selecciona flujos del tráfico que pasa , caracterizado por los siguientes parámetros:

• Dirección de la fuente;
• dirección de destino;
• Puerto de origen para UDP y TCP;
• Puerto de destino para UDP y TCP;
• Tipo de mensaje y código para ICMP ;
• número de protocolo IP ;
• Interfaz de red (parámetro ifindex SNMP );
• IP Tipo de Servicio .

Un flujo es una colección de paquetes que viajan en la misma dirección. Cuando el sensor determina que el flujo ha finalizado (cambiando los parámetros del paquete o restableciendo la sesión TCP), envía información al recopilador. Según la configuración, también puede enviar periódicamente información sobre flujos aún en ejecución al recopilador.

La información recopilada se envía como registros que contienen los siguientes parámetros (para la versión 5):

• número de versión del protocolo;
• Número de registro;
• Interfaz de red entrante y saliente;
• Hora de inicio y finalización de la transmisión;
• El número de bytes y paquetes en el flujo;
• Dirección de origen y destino;
• puerto de origen y destino;
• número de protocolo IP;
• El valor del Tipo de Servicio;
• Para conexiones TCP, todas las banderas observadas durante la conexión;
• Dirección de la entrada;
• Máscaras de subred de origen y destino.

La versión 9 también admite campos adicionales como encabezados IPv6 , etiquetas de flujo MPLS y dirección de puerta de enlace BGP . Algunos sensores también pueden admitir un número de sistema autónomo .

Si se utiliza UDP, el recopilador no recibirá un registro perdido debido a problemas de red. El colector puede determinar la pérdida de paquetes a partir de los valores del número de entrada, que por norma debe ir aumentando.

Si un dispositivo de red (enrutador o conmutador) actúa como un sensor, entonces, para ahorrar recursos, NetFlow está habilitado solo para aquellas interfaces en las que desea recopilar estadísticas.

"NetFlow muestreado" también se utiliza para conservar los recursos de la CPU. En este caso, el sensor no analiza todo, sino cada n-ésimo paquete, donde n puede configurarse administrativamente o elegirse al azar. Al utilizar NetFlow muestreado, los valores obtenidos no son exactos, sino estimados.

Análogos

• sFlow ( RFC 3176 , redes Brocade )
• NetStream ( 3Com , H3C , Huawei )
• Cflow ( Alcatel-Lucent )
• jflow y cflowd (Juniper Networks)

Notas

1. ↑ Especificación del protocolo de exportación de información de flujo IP (IPFIX) para el intercambio de información de flujo de tráfico IP . Fecha de acceso: 27 de febrero de 2011. Archivado desde el original el 3 de julio de 2013. (indefinido)
2. ↑ Modelo de información para exportación de información de flujo de IP Archivado el 4 de julio de 2013 en Wayback Machine .  

Enlaces

• Especificación de protocolo versión  9
• Página de protocolo en el  sitio web de Cisco Systems
• PMACCT es una implementación de sensor gratuita para sistemas UNIX (también es compatible con sFlow e IPFIX  )
• Flow-tools es una implementación gratuita del recopilador NetFlow  .
• FlowViewer es una implementación gratuita del analizador NetFlow  .
• NetFlow en Xgu.ru: una descripción detallada de NetFlow y el procedimiento para configurar la fuente, el recopilador y el almacenamiento de información de NetFlow en sistemas abiertos
• Flujo de red. Contabilidad de tráfico en routers Cisco.  - un breve programa educativo sobre el uso de NetFlow para eliminar información sobre el tráfico de los dispositivos Cisco.
• Flujo de red. "Analizador autoescrito"  : descripción del proceso de creación de su propio analizador de protocolo NetFlow.