Router Teldat

NETFLOW
Doc. DM789 Rev. 10.80
Octubre, 2010
ÍNDICE

Capítulo 1 Introducción ....................................................................................................1

1. Descripción del protocolo NETFLOW .............................................................................. 2
1.1. Definición ............................................................................................................... 2
1.2. Relación con otros subsistemas ............................................................................... 3
Capítulo 2 Configuración del protocolo NETFLOW .....................................................5
1. Configuración del protocolo NETFLOW ........................................................................... 6
1.1. [NO] IP ................................................................................................................... 6
a) [NO] IP CACHE ENTRIES ..................................................................................... 6
b) [NO] IP CACHE TIMEOUT ACTIVE .................................................................... 6
c) [NO] IP CACHE TIMEOUT INACTIVE ................................................................ 7
d) [NO] IP EXPORT DESTINATION ......................................................................... 7
e) [NO] IP EXPORT SOURCE ................................................................................... 7
f) [NO] IP EXPORT TEMPLATE REFRESH-RATE .................................................. 7
g) [NO] IP EXPORT TEMPLATE REFRESH-RATE .................................................. 7
h) [NO] IP EXPORT VERSION .................................................................................. 7
1.2. [NO] MODE ........................................................................................................... 8
a) [NO] MODE RANDOM ONE-OUT-OF ................................................................. 8
1.3. EXIT ....................................................................................................................... 8
2. Configuración de netflow por interfaz ............................................................................... 9
2.1. [NO] IP FLOW INGRESS ...................................................................................... 9
2.2. [NO] IP FLOW EGRESS ....................................................................................... 9
Capítulo 3 Monitorización del protocolo NETFLOW ...................................................10
1. Monitorización del protocolo netflow ................................................................................ 11
1.1. CLEAR ................................................................................................................... 11
a) CLEAR CACHE ...................................................................................................... 11
1.2. LIST ........................................................................................................................ 11
a) LIST CACHE ........................................................................................................... 11
b) LIST STATISTICS ................................................................................................... 12
Capítulo 4 Ejemplos ..........................................................................................................13
1. Monitorización de tráfico IP mediante netflow .................................................................. 14

- ii -
 Capítulo 1
Introducción
1. Descripción del protocolo NETFLOW

1.1. Definición
Netflow es un protocolo que permite monitorizar los flujos de datos que circulan por una red IP.
Permite visualizar de una manera sencilla quién, qué, cuándo y donde están siendo procesados los
flujos de tráfico por la red. Cuando se comprende el comportamiento de la red IP ante los flujos de
tráfico se puede mejorar y auditar dicha red.
El protocolo netflow exporta la información de los flujos IP en paquetes encapsulados en UDP con un
formato determinado. Dicho formato depende de la versión de netflow configurada, permitiendo los
equipos Teldat utilizar la versión 5 ó la versión 9.
Los paquetes UDP son recibidos por un servidor llamado “collector” que interpreta y almacena en una
base de datos los flujos recibidos. Posteriormente el administrador de la red puede consultar esa base
de datos para obtener gráficas y estadísticos del tráfico cursado por el router.

El formato de los paquetes netflow versión 5 sigue un patrón predefinido, de tal forma que siempre se
envía la misma información, la versión 9 en cambio permite ser flexible en la información que se
envía de cada flujo. Como la versión 9 es flexible a la hora de enviar campos de un flujo, se envía cada
cierto tiempo información donde se especifica que campos son enviados. Esta definición de campos se
conoce como “template”. Una descripción completa del formato puede encontrarse en
http://www.ietf.org/rfc/rfc3954.txt.
La implementación del protocolo netflow de los equipos Teldat envía la misma información tanto si se
utiliza la versión 5 como la versión 9.

ROUTER TELDAT – Introducción protocolo NETFLOW Doc.DM789

I-2 Rev.10.80
En cualquiera de las dos versiones un flujo netflow se define como una secuencia unidireccional de
paquetes que comparten los siguientes parámetros:

1- Dirección origen
2- Dirección destino
3- Protocolo IP
4- Puerto origen (para protocolos UDP/TCP)
5- Puerto destino (para protocolos UDP/TCP)
6- Campo TOS del cabecero IP
7- Interfaz de entrada
8- Interfaz de salida

Si alguno de estos parámetros varía el paquete se considera como perteneciente a otro flujo diferente.
Los flujos netflow se almacenan en un espacio llamado caché.
Cuando un paquete es recibido por el equipo y se comprueba que debe ser procesado por el protocolo
netflow se busca un flujo ya existente en la caché correspondiente a dicho paquete. Si se encuentra se
incrementan los contadores de paquetes y bytes asociados al flujo y se refresca el tiempo de vida. Si
no se encuentra se crea un nuevo flujo y se inserta en la caché.
El router envía un registro del flujo cuando determina que dicho flujo ha terminado y es borrado de la
caché. Un flujo se da por terminado cuando transcurre un tiempo durante el cual no se enruta ningún
paquete asociado a dicho flujo (por defecto 15 segundos). También se considera un flujo terminado
cuando lleva activo durante mucho tiempo (por defecto 30 minutos).
Un registro de un flujo netflow exportado por un equipo Teldat está compuesto por los siguientes
campos tanto para la versión 5 como para la versión 9:

1- Interfaces de entrada y de salida

2- Tiempo de comienzo y fin del flujo
3- Número de bytes y paquetes pertenecientes al flujo
4- Dirección IP origen y destino
5- Protocolo IP
6- Puertos origen y destino (protocolos TCP/UDP)
7- Campo TOS de la cabecera IP
8- Flags TCP, se trata de la unión de todos los flags TCP observados durante la vida del flujo
9- IP del siguiente salto
10- Máscaras origen y destino
11- Sistema autónomo origen y destino. Esta información no se proporciona en la implementación
Teldat del protocolo netflow, por lo que dichos campos son enviados siempre a cero.

1.2. Relación con otros subsistemas

IPSEC:
Si se encuentra habilitado IPSEC se contabiliza un flujo netflow asociado al paquete encapsulado y
otro asociado al paquete desencapsulado. Esto es, por cada paquete ipsec se generan dos flujos

ROUTER TELDAT – Introducción protocolo NETFLOW Doc.DM789

I-3 Rev.10.80
netflow, uno con las direcciones IP del túnel IPSEC y otro con las direcciones IP sin encapsulado
IPSEC.

NAT:
Los paquetes de netflow son clasificados antes de realizar NAT sobre la IP origen, pero después de
realizar NAT sobre la IP destino. Es decir, los flujos netflow tienen las direcciones IP locales.

FILTRADO:
Los paquetes descartados por un access-group de entrada o de salida (ver manual Dm702
Configuración TCP-IP) son contabilizados para flujos netflow entrantes a un interfaz (ingress), pero
no son contabilizados para flujos netflow salientes por un interfaz (egress).

FRAGMENTACION IP:
Únicamente el primer fragmento IP de un paquete es clasificado por netflow, ya que es el único que
tiene información completa para su clasificacion, el resto no tiene los puertos UDP/TCP en la
cabecera. Los fragmentos que no sean el primero no son tratados, a no ser que se encuentre activado el
sistema AFS (ver manual Dm786 AFS), dicho sistema incopora un defragmentador previo, por lo que
los paquetes IP llegan al protocolo netflow ya defragmentados y son tratados normalmente.

ROUTER TELDAT – Introducción protocolo NETFLOW Doc.DM789

I-4 Rev.10.80
 Capítulo 2
Configuración del protocolo NETFLOW
1. Configuración del protocolo NETFLOW

Para configurar el protocolo netflow debe teclearse FEATURE NETFLOW desde el menú de
configuración principal.

Sintaxis:
Config>feature netflow

NETFLOW config>

Las opciones que se presentan desde el menú de configuración del protocolo NETFLOW son las
siguientes:

NETFLOW config>?
ip Netflow IP configuration options
mode Netflow mode configuration options
no Negate a command or set its defaults
exit Exit this menu
NETFLOW config>

1.1. [NO] IP

a) [NO] IP CACHE ENTRIES

Configura el número máximo de flujos que pueden crearse. El valor por defecto es de 65536.
Si se supera el número máximo de flujos se fuerza la eliminación y exportación de los más antiguos.
Sintaxis:
NETFLOW config>IP CACHE ENTRIES <entries-number>
NETFLOW config>

b) [NO] IP CACHE TIMEOUT ACTIVE

Configura el tiempo máximo que un flujo netflow activo puede permanecer en la cache antes de ser
borrado y exportada su información. Por defecto son 30 minutos.

Otra forma de entender este parámetro es el tiempo transcurrido entre dos envíos de información de un
mismo flujo activo, a menor tiempo entre envíos mayor resolución en la medición pero más
sobrecarga de CPU.

Si se desea la mayor granuralidad posible en las mediciones de paquetes por segundo y bytes por
segundo se recomienda bajar este tiempo al mínimo permitido de 1 minuto. Esto tiene como
contrapartida un mayor consumo de CPU.

Sintaxis:
NETFLOW config>IP CACHE TIMEOUT ACTIVE <minutes>
NETFLOW config>

ROUTER TELDAT – Configuración protocolo NETFLOW Doc.DM789

II - 6 Rev.10.80
c) [NO] IP CACHE TIMEOUT INACTIVE
Configura el tiempo máximo que un flujo netflow inactivo puede permanecer en la cache antes de ser
borrado y exportado. Por defecto son 15 segundos, esto es, si un flujo netflow está durante más de 15
segundos sin incrementar al número de paquetes es borrado y exportado.
Sintaxis:
NETFLOW config>IP CACHE TIMEOUT INACTIVE <seconds>
NETFLOW config>

d) [NO] IP EXPORT DESTINATION

Configura el equipo para exportar los flujos de netflow a la IP, puerto UDP y VRF configurados. El
puerto y la VRF son opcionales, utilizando por defecto el puerto 9996 y la VRF principal si no se
especifica nada. Se pueden definir tantos destinos como se desee, el equipo envía copias de los
paquetes a cada destino.
Sintaxis:
NETFLOW config>IP EXPORT DESTINATION <ip> [<udp-port>] [vrf <vrf-name>]
NETFLOW config>

e) [NO] IP EXPORT SOURCE

Configura la IP que es utilizada como origen en los paquetes UDP de netflow enviados por el equipo
Teldat. Si no se configura se utiliza la IP interna.
Sintaxis:
NETFLOW config>IP EXPORT SOURCE <ip>
NETFLOW config>

f) [NO] IP EXPORT TEMPLATE REFRESH-RATE

Configura cada cuántos paquetes netflow se envía el template donde está la definición de los campos
que son enviados. Solo aplica si la versión configurada es la 9. Por defecto son 20 paquetes.
Sintaxis:
NETFLOW config>IP EXPORT TEMPLATE REFRESH-RATE <packets>
NETFLOW config>

g) [NO] IP EXPORT TEMPLATE REFRESH-RATE

Configura el máximo tiempo que puede transcurrir sin enviar el template donde está la definición de
los campos que son enviados. Solo aplica si la versión configurada es la 9. Por defecto son 30 minutos.
Sintaxis:
NETFLOW config>IP EXPORT TEMPLATE TIMEOUT-RATE <minutes>
NETFLOW config>

h) [NO] IP EXPORT VERSION

Configura la versión de netflow que será utilizada. Actualmente se soporta la versión 5 y la versión 9.
Este comando debe configurarse si se desea que se envíe algún tipo de paquete netflow, por defecto no
se utiliza ninguna versión, y el protocolo netflow esta desactivado.
Sintaxis:
NETFLOW config>IP EXPORT VERSION <5 | 9>
NETFLOW config>

ROUTER TELDAT – Configuración protocolo NETFLOW Doc.DM789

II - 7 Rev.10.80
1.2. [NO] MODE

a) [NO] MODE RANDOM ONE-OUT-OF

Al configurar esta opción uno de cada n paquetes IP no son tratados por netflow. El número de
paquetes y de bytes en cada flujo es multiplicado por n para compensar el muestreo. Con esto se
consigue ahorrar CPU, pero los valores de paquetes y bytes pasan a ser una estimación.
Sintaxis:
NETFLOW config>MODE RANDOM ONE-OUT-OF <n>
NETFLOW config>

1.3. EXIT
Permite salir del menú de configuración de netflow.
Sintaxis:
NETFLOW config>EXIT
Config>

ROUTER TELDAT – Configuración protocolo NETFLOW Doc.DM789

II - 8 Rev.10.80
2. Configuración de netflow por interfaz

Para habilitar el protocolo netflow en un interfaz es necesario hacerlo en el menú de configuración de

dicho interfaz. Para acceder al menú de configuración de un interfaz, por ejemplo el interfaz
ethernet0/0:

Config>network ethernet0/0

-- Ethernet Interface User Configuration --

ethernet0/0 config>

Los comandos disponibles son:

2.1. [NO] IP FLOW INGRESS

Habilita el procesamiento por parte del protocolo netflow de los paquetes IP que entran por el interfaz.
Opcionalmente se permite especificar una lista de acceso, únicamente los paquetes IP entrantes que
encajen en dicha lista de acceso son procesados.

ifc config>ip flow ingress [list <list-number>]

ifc config>

2.2. [NO] IP FLOW EGRESS

Habilita el procesamiento por parte del protocolo netflow de los paquetes IP que salgan por el interfaz.
Opcionalmente se permite especificar una lista de acceso, únicamente los paquetes IP salientes que
encajen en dicha lista de acceso son procesados.

ifc config>ip flow egress [list <list-number>]

ifc config>

ROUTER TELDAT – Configuración protocolo NETFLOW Doc.DM789

II - 9 Rev.10.80
 Capítulo 3
Monitorización del protocolo NETFLOW
1. Monitorización del protocolo netflow

Los comandos de monitorización del protocolo netflow han de ser introducidos en el menú de
monitorización asociado a netflow (netflow+). Para acceder a dicho menú se emplea el comando
FEATURE NETFLOW en el menú de monitorización general.

+feature netflow

NETFLOW Monitor

NETFLOW Mon+

1.1. CLEAR

a) CLEAR CACHE
Elimina los flujos netflow que están presentes en la caché. Los flujos eliminados mediante este
comando no son exportados.

Sintaxis:
NETFLOW Mon+CLEAR CACHE
NETFLOW Mon+

1.2. LIST

a) LIST CACHE
Muestra los flujos netflow que están presentes en la caché. Opcionalmente permite especificar una
cadena de texto, únicamente se muestran los flujos que contengan dicha cadena de texto.

Sintaxis:
NETFLOW Mon+LIST CACHE [<string>]
NETFLOW Mon+
Ejemplo 1:
NETFLOW Mon+list cache
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Expiry
-------------------------------------------------------------------------------------------
ethernet0/0 172.26.1.1 ethernet0/0 172.26.0.0 17 520 520 73 12
ethernet0/0 172.24.100.130 local 172.24.100.133 1 0 0 2 14
NETFLOW Mon+

Ejemplo 2:
NETFLOW Mon+list cache 172.26.1.1

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Expiry

-------------------------------------------------------------------------------------------
ethernet0/0 172.26.1.1 ethernet0/0 172.26.0.0 17 520 520 73 12
NETFLOW Mon+

ROUTER TELDAT – Monitorización protocolo NETFLOW Doc.DM789

III - 11 Rev.10.80
b) LIST STATISTICS
Muestra estadisticos globales del protocolo netflow.
Informa del número de flujos activos, paquetes IP procesados, ignorados, etc.
Sintaxis:
NETFLOW Mon+LIST STATISTICS
NETFLOW Mon+

Ejemplo:
NETFLOW Mon+list statistics
Number of active flows: 1
Packets processed: 2010
Fragments: 8
Ignored packets: 0 (0 ipsec, 0 sampled)
Flows expired: 58 (0 forced)
Flows exported: 115 in 57 packets (0 failures)
Sampling factor 1 out of 1
NETFLOW Mon+

ROUTER TELDAT – Monitorización protocolo NETFLOW Doc.DM789

III - 12 Rev.10.80
Capítulo 4
Ejemplos
1. Monitorización de tráfico IP mediante netflow

Se desea monitorizar el tráfico de red procesado por un router que actúa como salida a Internet. El
interfaz escogido para la monitorización será el de salida a Internet, el ppp1, y se desea monitorizar
tanto la entrada como la salida de dicho interfaz. Se decide utilizar la versión 9 del protocolo netflow.
Se ha instalado el software “collector” en un PC con la dirección 172.24.100.130, utilizando el puerto
por defecto 9996. La IP origen utilizada por el router para enviar los paquetes UDP del protocolo
netflow se desea que sea la 172.24.100.129.
A continuación se presenta un diagrama representando el escenario descrito:

Como se requiere una resolución lo más alta posible se configura el time-out de actividad a 1 minuto,
a pesar de que esto supone una mayor carga para la CPU del router.

A continuación se adjunta la configuración relativa al protocolo netflow.

network ppp1
; -- Generic PPP User Configuration --
ip flow egress
ip flow ingress
exit
feature netflow
ip cache timeout active 1
ip export destination 172.24.100.130
;
ip export source 172.24.100.129
ip export version 9
exit

ROUTER TELDAT – Ejemplo protocolo NETFLOW Doc.DM789

IV - 14 Rev.10.80