Su fuente diaria para información de NetFlow y sFlow

De que ha instalado Scrutinizer sólo para descubrir que su hardware de red no admite Netflow o sFlow, ¿ahora qué? Si usted está en esta situación, entonces has venido al lugar correcto. He recopilado una guía sobre cómo configurar un nProbe de Windows para enviar netflow v5 a su colector y analizador Netflow favorito .

Configuración del servidor
El primer paso es colocar estratégicamente su servidor nProbe Windows en su red donde se puede capturar todo su tráfico. Una manera de conseguirlo es mediante la colocación de su servidor nProbe en el router o switch central que pasa todo el tráfico hacia el Internet, entonces, el espejo de tráfico en el puerto de Internet para enviar a su servidor nProbe como se muestra en el diagrama siguiente.

Después de haber conseguido su servidor nProbe físicamente instalado en su red, tendrá que instalar la última versión del software de nProbe Windows.

Configuración de nProbe
En este punto, el servidor nProbe Windows está listo para ser configurado para enviar Netflow. Cuando nProbe Windows está instalado en el servidor crea un servicio de nProbe que está configurado con la configuración predeterminada. Usted tendrá que eliminar este servicio y crear uno que satisfaga sus necesidades. Utilizando la interfase de comandos en linia (cmd.exe), navegue al directorio nProbe para eliminar el servicio nProbe predeterminado, llamado “-n”, ejecutando el siguiente comando:

nprobe /r –n

Ahora, para enviar Netflow tendrá que reunir la siguiente información:

• Dirección IP y número de puerto del colector Netflow
• La subred de la red local
• La interfaz en el servidor de nProbe que está recibiendo el tráfico de red

Se puede averiguar cuales índices de nProbe estan configurado a cuales interfaces actual utilizando el Utilizando la interfase de comandos en linia desde el directorio de nProbe y ejecutar el siguiente comando:

nprobe /c –h

El resultado es una gran cantidad de información. Vas a tener que localizar la sección “Available interfaces” e identificar qué interfaz está recibiendo el tráfico y localizar el número correspondiente del índice de la interfaz.

Ahora que tienes toda la información que necesitas puedes instalar el servicio de nProbe con la nueva configuración de la red propia. El siguiente comando se utiliza para crear el servicio nProbe para el diagrama de la red que se muestra arriba.

nprobe /i nprobe_service –collector 192.168.1.51:2055 –interface 0 –local-networks 192.168.1.0/24 –flow-version 5 –local-traffic-direction –in-iface-idx 1 –out-iface-idx 2 –lifetime-timeout 60 –idle-timeout 15

Tenga en cuenta que el comando anterior debe introducirse en una sola línea en la interfase de comandos en linia y usted tendrá que modificar los tres primeros parámetros para la configuración de red propia.

• –collector
• –interface
• –local-networks

Ahora, usted necesita abrir sus servicios de Windows, busque el servicio que ha creado, en el ejemplo anterior que se llama “nprobe_service” y inicia el servicio. NProbe En este punto ha sido totalmente configurado para enviar netflow v5 a su colector Netflow. Abre Scrutinizer y poco después se debe comenzar a ver los flujos.

Si usted está interesado en aprender más sobre las opciones de línea de comandos diferentes nProbe consulte el manual del usuario nProbe.
Saludos,

Jose

El Monitoreo de ancho de banda no ha sido una gran preocupación hasta tiempos relativamente recientes. Ethernet fue fundada en 1973 por Bob Metcalfe y David Boggs.

(Ron Crane es el fundador de LAN Media)

Sin embargo, el primer RFC para Ethernet “RFC 826″ no apareció hasta noviembre de 1982. Seis años más tarde, la primera petición para comentario de SNMP “RFC 1067″, se publicó en agosto de 1988. Supongo que tomó a la industria unos pocos años para que tenga problemas de ancho de banda? Estoy seguro que el monitoreo de tráfico de red no era el único problema que necesitaban a solucionar para SNMP.

RMON (Remote Monitoring) se introdujo un poco más tarde, pero nunca parecía despegar. RMON tenia varios problemas tambien:
* Intensivo de la CPU en los interruptores (hecho en el hardware más tarde)
* Fabricantes de conmutadores pocos apoyaron

Hoy en día hay mas vendedores que soportan RMON, pero, debido a la introducción de herramientas de análisis NetFlow y sFlow (a principios de 2000) RMON en realidad nunca entró en el centro de atención. RMON es una tecnología de monitoreo activa en comparacion con Netflow y sFlow que manda los datos al colector Netflow.

De todos modos, SNMP en sí mismo es impresionante. Tome este gráfico, por ejemplo, les puedo decir cuánto ancho de banda se utiliza con un alto grado de precisión.

Lo anterior es muy útil ya que nos puede decir cuando tenemos que comprar más ancho de banda sin embargo, ¿qué ocurre si el ancho de banda está siendo abusado? SNMP (ignorando RMON) no es muy útil para averiguar lo que el sistema final es utilizar el ancho de banda. Netflow o presentación de informes sFlow ofrece detalles que nos permiten determinar exactamente que está causando el problema. Es muy parecido a un analizador de paquetes, pero, con muchos menos datos a tratar.

Haga clic para ampliar el pantallazo arriba y observe que el tráfico de entrada está en cima y el tráfico de salida está en la parte abajo separado por un 0. La paginación en la parte inferior de las tablas me permite navegar a todos los flujos durante el período de tiempo seleccionado.

Mire a algunos de los informes se pueden obtener de NetFlow:

Se podría pensar “Wow, ¿por qué iba alguien a querer limitarse a SNMP?”. Bueno, SNMP no se limita a las tendencias de la utilización de la interfaz, también puede ser usado para recolectar información sobre los routers de la CPU.

Puede ser utilizado para recoger los errores, por interfaz, la información CBQoS incluida la información disponible sobre IP SLA como Jitter, MOS y la latencia.

SNMP y Netflow
Como la mayoría de ustedes ya saben, todos estaremos usando SNMP, NetFlow y sFlow para el futuro previsible. Mientra que Netflow Flexible se madura, esperamos que asuma cada vez más de las responsabilidades que se abordan actualmente con SNMP, pero dudo que lo sustituya por completo en los próximos 5-10 años.

José

Las redes tienden a evolucionar con el tiempo. En los últimos 5 a 7 años, he visto de VoIP y vídeo impulsar muchos administradores de red a pensar más allá de la utilización y la latencia. Establecimiento de prioridades es una parte importante de la combinación de hoy. Aunque tratando de absoluta garantía de calidad de servicio con el tráfico de la red es imposible, es posible para dar prioridad a los datos críticos y las probabilidades de aumentar el tiempo de entrega.

Para minimizar los riesgos de latencia, las redes de las empresas necesitan herramientas de información que se pueda comparar las interfaces y permitir una gestión para ver el antes y después del impacto de los cambios de configuración. Capacidad de planificación casi siempre requiere buenos informes que el uso de Detalle de la aplicación, QoS, CoS o valores DSCP, los volúmenes de flujo, hablan superior y por el estilo.

Como usted ya sabe, con una mejor información a la solución de NetFlow permite que informe sobre el tráfico de red en una plétora de diferentes maneras. Detalles en TOS, DSCP o QoS es solicitado con frecuencia después del informe. Y después de revisar cuidadosamente el tráfico de prioridad actual sobre su dominio DiffServ, puede ver los patrones que levante las cejas.

Cargado de nuevos conocimiento de tráfico de red, puede empezar a pensar en la aplicación de políticas de QoS un poco diferente. A continuación se muestra un ejemplo de un informe ToS 1 mes en una interfaz seleccionada:

Antes de realizar cambios, lo mejor es para confirmar su hipótesis de los análisis de las conductas de tráfico en los enlaces utilizando el mismo formato. A continuación se muestra un informe similar en una interfaz de abajo diferente utilizando el mismo tiempo / fecha y los criterios del informe. Compara las diferencias:

Incluso es una buena idea de comparar los informes entre el mes pasado frente a este mes. Además, el aviso anterior que después de mirar los dos informes, es evidente que podría haber alguna señorita configurado las políticas de DSCP en los diferentes routers. Diferencias como las anteriormente puede tener un impacto adverso grave en las aplicaciones empresariales. Creo que esto ayuda a demostrar que la recolección y análisis de Netflow son cruciales en la red hoy en día.

Una herramienta de Netflow buena presentación de informes como Scrutinizer permite la capacidad de giro de manera creativa los datos de diferentes maneras para que podamos estudiar cómo los patrones de tráfico puede afectar al rendimiento de la red. Por ejemplo:

• Caudal: cantidad de flujos hacia y desde un host o una red de
• Volumen de host: cantidad de hosts únicos comunicación en un enlace o con una máquina específica
• NBAR: Proporciona información de la aplicación real más allá del puerto TCP 80. HTTP ‘NBAR nos dice que es en realidad (por ejemplo, Skype muestra’ en lugar de ‘http’) y los anfitriones que participan
• De subred a subred: el presente informe contribuye con MPLS de informes para ver qué sitios están golpeando a un lugar particular a los más
• Tomo Par: cantidad de pares de dirección única en un enlace en un momento determinado marco de
• Protocolos: para ayudar a diagnosticar si hay tráfico en la red más allá de TCP, UDP e ICMP
• Tos: como se muestra arriba
• El volumen de tráfico: para mostrar la utilización total general. Esto es similar a SNMP tendencia herramientas como Denika.
• Flujos de primas: cuando usted realmente entrar en la minucia y la necesidad de ver los datos en bruto antes de que el Analizador de Netflow formato de los datos.
• El acceso a los flujos de primas es un deber.
• Y toda una serie de otros informes

La mayoría de nosotros de acuerdo en que NetFlow es el camino a seguir con el interruptor de hoy y la tecnología del router. Siento que Netflow o apoyo sFlow debe estar en la lista de características de seguridad obligatorias en el interruptor próxima compra o router. ¿Por qué? Debido a que el flujo de datos proporciona una mejor perspectiva al colocar los analizadores de paquetes de toda la red no es factible.

Cargado con lo anterior, resulta mucho más fácil para confirmar el impacto de las modificaciones de la política de routers y switches. Las aplicaciones de negocio es más fácil garantizar la entrega de prioridad y la alta dirección puede dar respuestas definitivas a preguntas como “¿por qué es tan lenta”.

Descargue nuestra versión gratuita y si te gusta lo que ves mantenerla. Si desea aún más, prueba de Flow Analytics.

Jose Arriagada

El usuario de una herramienta de informes de Netflow no debe preocuparse, con como llega la exportación de ingreso, salida o ambos en una interfaz específica al colector.  El programa de Análisis de Netflow buen diseñado debe tener esto en cuenta para el usuario final.  Muchos de los analizadores de NetFlow exageran el tráfico si con activacion de ambos ingreso y egreso.  Esto puede causar la duplicación de datos y en última instancia conducir a tendencias que exageran la verdad!

En realidad, V6 de Scrutinizer en algunas configuraciones podría duplicar, pero este problema se soluciono en v7. Muchas soluciones de Netflow todavía sufren de este problema. Algunos productos NetFlow de ir a bordo para apoyar a las últimas tecnologías de NetFlow, pero carecen de la disciplina a la copia de seguridad y corregir los problemas que el cliente se dan cuenta después de que se compra. Ingreso y los flujos de egreso es una de las cuestiones que deben ser tratados adecuadamente. En última instancia, persiguiendo a las nuevas características en lugar de la fijación de los problemas existentes pueden llevar a

la frustración de los consumidores.

Creo que todos los proveedores incluidos Plixer puede aprender de este error. El buen software necesita una base sólida.

Fijate arriba como el aviso de Scrutinizer que detecta la dirección del flujo y la cambia dinámica para mostrar la utilización de entrada o de salida utilizando los flujos de entrada o de salida sobre la base de lo que actualmente se están recibiendo de la interfaz. Creemos que ha sido diseñado muy bien.

¿Por qué el flujo de entrada y salida exportaciones tan importante? Usted debe leer este blog en la optimización WAN de Cisco WAAS.

Jose

La optimización de la red comienza con la eliminación del tráfico que no tiene por qué estar allí. Este tema ha sido una preocupación creciente por varios años. Pregúntale a google.com:

Ir a: Google Network Visability

Ganar visibilidad de la red en la infraestructura no tiene por qué ser difícil o costoso. Muchas veces los conmutadores y enrutadores existentes en el apoyo a la infraestructura ya sea Netflow o exportaciones sFlow. Herramientas gratuitas de informes de netflow como Scrutinizer entregan detalles tráfico de la red en todas las conexiones de la red principal.

Echa un vistazo a los proveedores que soportan Netflow o sFlow. ¿Por qué son tantos vendedores entrando el mercado? Debido a la visibilidad en el tráfico de red permite a los administradores asegurar que los enlaces funcionan más limpias con menos acumulaciones.

Mejores Prácticas en la Red visibilidad incluyan

• Netflow o colección sFlow, presentación de informes y archivo. SNMP es mejor que nada para el análisis de tráfico y sigue siendo necesario para algunos indicadores.
• De línea base de la red para determinar los promedios de tráfico en el tiempo. Esto debe ser hecho por solicitud y estará disponible por host, DSCP (DiffServ) o una combinación de parámetros que incluye subredes.
• Rutina de controles automáticos para los patrones de tráfico anormales de red tales como exploraciones de la red, los ataques DDoS, las cuestiones de ICMP, el tráfico no deseado (por ejemplo, facebook, youtube, los protocolos de capa de transporte, como IGMP, etc.) Esto está en consonancia con la Red de Detección y Análisis de la Conducta – NBAD.
• Cuadros de mando ejecutivos y personalizables que le permiten llevar en los informes específicos adaptados a la empresa. Esto podría incluir varias aplicaciones de otros desarrolladores.

HP compra de 3Com
Ahora que HP ha comprado 3com y desde HP respalda sFlow en la ProCurve y 3Com apoya NetStream (NetStream = Netflow), esto los hace un poco como Enterasys. ¿Por qué? Porque, ahora tienen equipo que apoya tanto a las tecnologías de flujo. Sin embargo, Enterasys como Cisco ha puesto en NetFlow de hardware en un switch y no de HP o 3Com lo ha hecho todavía. Enterasys apoya sFlow de sus switches menos costoso. Netflow sigue siendo una tecnología más costosa. Cualquiera que sea el equipo apoya, las empresas deben recolectarla.

José

Hemos visto los beneficios obtenidos mediante el uso de Scrutinizer v7 como su herramienta de análisis de Netflow. Decidistes que va a dar el paso para que en Netflow de Cisco 4500 Series Switch? ¿Necesita usted una Tarjeta de Servicios de Netflow para hacerlo?

Para utilizar NetFlow se necesita el Cisco Netflow services card (WS-F4531). Es una tarjeta secundaria opcional para habilitar NetFlow en el Catalyst 4500 con el Supervisor Engine IV o V. Supervisor Engine amplía las funciones del motor de Supervisor de la colección de estadísticas NetFlow y LAN virtual mejorada (VLAN), sin que afecten a las tasas de transmisión de rendimiento del motor con el supervisor.

Para utilizar la función de Netflow en la serie 4500 de Cisco, debe tener el motor Supervisor V-10GE, que tiene la funcionalidad incorporada en el motor de un supervisor o la Tarjeta de Servicios de Netflow (WS-F4531), y de una IV Motor supervisor o un Supervisor Engine V, ejecutando Cisco IOS versión 12.1 (13) EW o mayor.

El WS-F4531, NetFlow Card Services está disponible en una serie de tiendas de computación en línea partes, y cuestan entre $ 1000 y $ 2000.

Felicidades! Mediante el uso de Scrutinizer v7 y NetFlow, que ha hecho su tarea de análisis de redes más fácil.

Que comenzen los flujos!

José

Presentación de informes sobre el tráfico afectado por Cisco WAAS utilizando Netflow requiere el uso del flujo de salida de Netflow v9 (Egress). Considere el siguiente diagrama, donde el tráfico que va en la interfaz 1 debe ser comprimido por WAAS antes de que salga de la interfaz 3:

Ejecutar esta prueba WAAS

Yo vi una buena noticia el otro día que Riverbed va a soportar NetFlow v9.  Aunque sea en “el próximo lanzamiento de la versión 6.0″. La fecha exacta no se especifica.

Decidí investigar este y se comunicó con un desarrollador en más de Riverbed. Explicó que la salida es compatible con V9 activado por defecto.

¿Cual es la importancia de Egreso?

Que tal amigos. Con la gran popularidad de Cisco NetFlow, es bueno saber si el router que tienen ustedes soporta NetFlow. He copilado una lista de IOS que soporta la exportacion de el resumen de las conversaciones por NetFlow. Al día, esto es lo que tengo.

 Estoy trabajando con el dispositivo de un cliente Cisco ASA y estamos exportando de NetFlow v9 para Scrutinizer hacer un análisis de tráfico NetFlow de Cisco. Es entretenido. Pero los NetFlow Security Event Logging o NetFlow Event Logs (NELs) no es solamente para ver el tráfico dentro y fuera de una interfaz. Algunas de las exportaciones son más parecidos a los syslogs. Hasta 18 mensajes pueden ser colocados en un solo paquete de NetFlow v9.

Interesados en probarlo?
Para aquellos interesados en NetFlow ASA Creo que se ofrece de serie en cualquier revisión del código a la serie ASA 5580, en cualquier menor número de modelos ASA tendrá ASA 8.2.x código para habilitar la función. Alguien por favor dígame si estoy equivocado. 

Wireshark no descodifica
Esperemos que alguien en Cisco está trabajando en la descodificación para Wireshark.