--- title: NetFlow author: Taller de diseño de redes universitarias --- Laboratorio Netflow =================== Introducción ------------ El propósito de este ejercicio es aprender cómo configurar el flujo de red en el enrutador de frontera del campus. Utilizaremos la red de campus existente que hemos construido.   Exportar flujos desde un router Cisco ------------------------------------- Este es un ejemplo para hacerlo desde el enrutador de borde **Campus X**, bdr1-campusX, al PC llamado pc1-campusX.ws.nsrc.org. En cada uno de los grupos del 1 al 6 deben elegir una persona para escribir los comandos para configurar el enrutador de frontera para Netflow y el servidor de administración en el que irán las exportaciones de Netflow. ### Configuración del exportador de flujo Inicie sesión en el enrutador de frontera e ingrese al modo de configuración. En primer lugar, estableceremos un exportador de flujo en el enrutador de borde, que define dónde vamos a exportar la información de flujo que hemos recopilado del enrutador. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ! Configuración para el enrutador de BORDE solamente flow exporter EXPORTER-1 description Export to VM destination 100.64.X.130 transport udp 900X template data timeout 60 ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Replace la **X** con su número de campus. ### Configuración del monitor de flujo A continuación vamos a configurar los monitores de flujo - vamos a configurar uno para IPv4 y otro para IPv6. Estos monitores nos permiten controlar lo que está sucediendo en la interfaz elegida del enrutador de borde. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ flow monitor FLOW-MONITOR-V4 exporter EXPORTER-1 record netflow ipv4 original-input cache timeout active 300 ! flow monitor FLOW-MONITOR-V6 exporter EXPORTER-1 record netflow ipv6 original-input cache timeout active 300 ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ### Adjuntar el monitor de flujo a una interfaz Finalmente configuraremos la interfaz FastEthernet 0/1 con los monitores que hemos creado. Sustituya X por su número de grupo. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface FastEthernet 0/1 ip flow monitor FLOW-MONITOR-V4 input ip flow monitor FLOW-MONITOR-V4 output ipv6 flow monitor FLOW-MONITOR-V6 input ipv6 flow monitor FLOW-MONITOR-V6 output ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ¿Por qué estamos aplicando esto a la interfaz 0/1 (interior)? Para que nuestros registros de Netflow muestren las direcciones internas antes de que sean NAT'd. Puesto que no ha especificado una versión de protocolo para los registros de flujo exportados, se obtiene el valor predeterminado que es Netflow v9. El comando "cache timeout active 300" rompe los flujos de larga duración en fragmentos de 5 minutos. Si lo deja en el valor predeterminado de 30 minutos sus informes de tráfico tendrá picos. También asegúrese de que el siguiente comando sigue presente en el enrutador de borde: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ snmp-server ifindex persist ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Esto permite la persistencia de ifIndex globalmente. Esto garantiza que los valores de ifIndex se conserven durante los reinicios del enrutador, también si agrega o elimina los módulos de interfaz a los dispositivos de red. ### Herramientas de confirmación Ahora verificamos lo que hemos hecho. Salga del modo de configuración, guarde la configuración y, a continuación, utilice estos comandos: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ show flow exporter EXPORTER-1 show flow monitor FLOW-MONITOR-V4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Es posible ver los flujos individuales que están activos en el enrutador: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ show flow monitor FLOW-MONITOR-V4 cache ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pero en un enrutador ocupado habrá miles de flujos individuales, por lo que no es útil. Presione 'q' para escapar de la salida de pantalla si es necesario. En su lugar, agrupe los flujos para que pueda ver sus "top talkers" (destinos y fuentes de tráfico). Esta es una línea de comandos muy larga: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ show flow monitor FLOW-MONITOR-V4 cache sort highest counter bytes top 50 format table ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Usted puede hacer lo mismo para IPv6: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ show flow monitor FLOW-MONITOR-V6 cache sort highest counter bytes top 50 format table ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ De hecho, este comando es tan largo, es mucho que escribir cada vez que desee averiguar los 50 flujos más activos. Así que la mayoría de los operadores de red crean un alias de comandos, como los dos siguientes. Entre en el modo de configuración para configurar estos dos alias en el enrutador de borde: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ alias exec top-v4talkers show flow monitor FLOW-MONITOR-V4 cache sort highest counter bytes top 50 format table alias exec top-v6talkers show flow monitor FLOW-MONITOR-V6 cache sort highest counter bytes top 50 format table ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Una vez que haya configurado el alias, simplemente puede introducir "top-v4talkers" y "top-v6talkers" en el símbolo del sistema para averiguar los 50 principales flujos IPv4 e IPv6 en el enrutador de borde. Tenga en cuenta que tendrá que modificar la pantalla con al menos 275 caracteres de ancho para ajustar la salida de los comandos anteriores.   Ver los flujos en la PC NMS --------------------------- Ahora ingrese a su servidor de monitoreo, pc1-campusX.ws.nsrc.org, usando ssh. Para comprobar que los paquetes de flujo están llegando aquí, puede utilizar tcpdump: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ $ sudo apt-get install tcpdump $ sudo tcpdump -i eth1 -nn udp port 900X ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Espere unos segundos y verá los paquetes que llegan. Estos son los paquetes UDP que contienen registros de flujo individuales, pero no podrá leer el contenido. Debido a que su campus no tiene usuarios reales en él, puede tomar un tiempo antes de poder ver los flujos, por lo que es posible que necesite generar algo de tráfico en su campus. Una forma es que otras personas de tu grupo accedan a pc1-campusX.ws.nsrc.org (con ssh) y se desconecten, repetir esto algunas veces.   -