por Woshington Silva
O NetFlow é uma tecnologia desenvolvida pela Cisco e já vem integrada ao IOS de seus equipamentos permitindo a coleta de informações e estatísticas do tráfego de uma rede.
Ao invés de apenas contar os pacotes, o NetFlow considera esses pacotes como parte de um fluxo, monitorando o início, meio e fim. Podemos definir um fluxo como uma sequencia unidirecional de pacotes que possuem características comuns entre a origem e o destino.
Para que os pacotes possam fazer parte do mesmo fluxo, as características abaixo devem ser apresentadas:
- Mesmo Endereço de Origem;
- Mesmo Endereço de destino;
- Mesma Porta lógica de origem;
- Mesma Porta lógica de destino;
- Mesmo Protocolo de camada 3;
- Mesmo Tipo de serviço (ToS);
- Mesma interface (independente de ser física ou lógica);
Um fluxo é extinguindo quando:
- Sua inatividade supera 15 segundos;
- Sua duração ultrapassa 30 minutos;
- Uma conexão TCP é encerrada ;
- A tabela de fluxos está cheia ou usuário redefine configurações de fluxo;
Obs: Quando um pacote é recebido e o mesmo não pertencer a nenhum fluxo existente, ocorrerá a criação de um novo fluxo.
Quando o fluxo é identificado, as informações são armazenadas na tabela cache NetFlow. Podemos também transferi-las para um coletor que exibira as informações em formas de relatórios e gráficos. Porém essas informações serão enviadas ao coletor após o término do fluxo.
O NetFlow é inteiramente transparente para os outros dispositivos da rede, não exige nenhuma configuração nos elementos que serão monitorados. Sua única exigência é que seja habilitada na interface do equipamento (Roteador).
Abaixo veremos uma configuração básica do Netflow.
Configurando o Netflow no router: Router(config)# ip flow-export destination a.b.c.d 9997 !Endereço IP do servidor e porta UDP Router(config)# ip flow-export version 9 Router(config)# ip flow-export source Ethernet 0/1
obs: a versão do netflow e a porta devem ser a mesma do coletor, outro ponto importante é o que o ip cef esteja habiltado.
Configurando as interfaces: Router(config)# interface Ethernet 0/0 Router(config-if)# ip route-cache flow Router(config-if)# ip flow ingress
Existem duas formas de verificarmos os dados coletados: a primeira, via CLI e a segunda via o coletor, ressaltando mais uma vez que os dados só serão coletados após o término do fluxo. Caso haja o desejo de analisar o tráfego em tempo real, o ideal é usarmos os comandos via CLI.
Um dos comandos via CLI em que possamos verificar os dados é o:
Router# show ip cache flow
Onde obtemos informações como distribuição do tamanho dos pacotes, número de fluxos ativos, protocolos utilizados, interface de origem e destino, endereço IP de origem e destino, porta de origem e destino e tamanho dos pacotes.
Particularmente tive um experiência muito satisfatória ao usar o NetFlow, na empresa em que trabalho recebemos a solicitação para a abertura de um chamado, onde o cliente informava que o link de uma determinada localidade estava com alta utilização e gostaria de receber um relatório com a origem desse tráfego.
Após contato com o cliente, identificamos que o mesmo não possuía um coletor para construção de gráficos e relatórios baseados em Netflow, a única coisa que nos restava era usar os recursos que a CLI podia nos oferecer. Então decidimos configurar o roteador para que exibisse os 10 maiores fluxo por pacote.
Para que isso fosse possível utilizamos os seguintes comandos na CLI:
Router(config)# ip flow-top-talkers Router(config-flow-top-talkers)# top 10 Router(config-flow-top-talkers)# sort-by packets
Para visualizar os top 10 o comando é show ip flow top-talkers.
Em resumo, com o NetFlow podemos obter benefícios como:
- Monitoramento da banda ;
- Análise de tráfego;
- Análise da rede;
- Gerência de segurança;
- Monitoramento de aplicativos;
- Rastreamento da migração de aplicativos;
- Validação de QoS;
- Planejamento de capacidade;
- Identificação de worms e malwares
Ou seja, podemos considerar o NetFlow como uma importante ferramenta que nos possibilita compreender, melhorar e identificar possíveis problemas que estão acorrendo na rede.
Referências
RotaDefault 