Configuración del servidor
El primer paso es colocar estratégicamente su servidor nProbe Windows en su red donde se puede capturar todo su tráfico. Una manera de conseguirlo es mediante la colocación de su servidor nProbe en el router o switch central que pasa todo el tráfico hacia el Internet, entonces, el espejo de tráfico en el puerto de Internet para enviar a su servidor nProbe como se muestra en el diagrama siguiente.

Después de haber conseguido su servidor nProbe físicamente instalado en su red, tendrá que instalar la última versión del software de nProbe Windows.

Configuración de nProbe
En este punto, el servidor nProbe Windows está listo para ser configurado para enviar Netflow. Cuando nProbe Windows está instalado en el servidor crea un servicio de nProbe que está configurado con la configuración predeterminada. Usted tendrá que eliminar este servicio y crear uno que satisfaga sus necesidades. Utilizando la interfase de comandos en linia (cmd.exe), navegue al directorio nProbe para eliminar el servicio nProbe predeterminado, llamado “-n”, ejecutando el siguiente comando:

nprobe /r –n

Ahora, para enviar Netflow tendrá que reunir la siguiente información:

• Dirección IP y número de puerto del colector Netflow
• La subred de la red local
• La interfaz en el servidor de nProbe que está recibiendo el tráfico de red

Se puede averiguar cuales índices de nProbe estan configurado a cuales interfaces actual utilizando el Utilizando la interfase de comandos en linia desde el directorio de nProbe y ejecutar el siguiente comando:

nprobe /c –h

El resultado es una gran cantidad de información. Vas a tener que localizar la sección “Available interfaces” e identificar qué interfaz está recibiendo el tráfico y localizar el número correspondiente del índice de la interfaz.

Ahora que tienes toda la información que necesitas puedes instalar el servicio de nProbe con la nueva configuración de la red propia. El siguiente comando se utiliza para crear el servicio nProbe para el diagrama de la red que se muestra arriba.

nprobe /i nprobe_service –collector 192.168.1.51:2055 –interface 0 –local-networks 192.168.1.0/24 –flow-version 5 –local-traffic-direction –in-iface-idx 1 –out-iface-idx 2 –lifetime-timeout 60 –idle-timeout 15

Tenga en cuenta que el comando anterior debe introducirse en una sola línea en la interfase de comandos en linia y usted tendrá que modificar los tres primeros parámetros para la configuración de red propia.

• –collector
• –interface
• –local-networks

Ahora, usted necesita abrir sus servicios de Windows, busque el servicio que ha creado, en el ejemplo anterior que se llama “nprobe_service” y inicia el servicio. NProbe En este punto ha sido totalmente configurado para enviar netflow v5 a su colector Netflow. Abre Scrutinizer y poco después se debe comenzar a ver los flujos.

Si usted está interesado en aprender más sobre las opciones de línea de comandos diferentes nProbe consulte el manual del usuario nProbe.
Saludos,

Jose

(Ron Crane es el fundador de LAN Media)

Sin embargo, el primer RFC para Ethernet “RFC 826″ no apareció hasta noviembre de 1982. Seis años más tarde, la primera petición para comentario de SNMP “RFC 1067″, se publicó en agosto de 1988. Supongo que tomó a la industria unos pocos años para que tenga problemas de ancho de banda? Estoy seguro que el monitoreo de tráfico de red no era el único problema que necesitaban a solucionar para SNMP.

RMON (Remote Monitoring) se introdujo un poco más tarde, pero nunca parecía despegar. RMON tenia varios problemas tambien:
* Intensivo de la CPU en los interruptores (hecho en el hardware más tarde)
* Fabricantes de conmutadores pocos apoyaron

Hoy en día hay mas vendedores que soportan RMON, pero, debido a la introducción de herramientas de análisis NetFlow y sFlow (a principios de 2000) RMON en realidad nunca entró en el centro de atención. RMON es una tecnología de monitoreo activa en comparacion con Netflow y sFlow que manda los datos al colector Netflow.

De todos modos, SNMP en sí mismo es impresionante. Tome este gráfico, por ejemplo, les puedo decir cuánto ancho de banda se utiliza con un alto grado de precisión.

Lo anterior es muy útil ya que nos puede decir cuando tenemos que comprar más ancho de banda sin embargo, ¿qué ocurre si el ancho de banda está siendo abusado? SNMP (ignorando RMON) no es muy útil para averiguar lo que el sistema final es utilizar el ancho de banda. Netflow o presentación de informes sFlow ofrece detalles que nos permiten determinar exactamente que está causando el problema. Es muy parecido a un analizador de paquetes, pero, con muchos menos datos a tratar.

Haga clic para ampliar el pantallazo arriba y observe que el tráfico de entrada está en cima y el tráfico de salida está en la parte abajo separado por un 0. La paginación en la parte inferior de las tablas me permite navegar a todos los flujos durante el período de tiempo seleccionado.

Mire a algunos de los informes se pueden obtener de NetFlow:

Se podría pensar “Wow, ¿por qué iba alguien a querer limitarse a SNMP?”. Bueno, SNMP no se limita a las tendencias de la utilización de la interfaz, también puede ser usado para recolectar información sobre los routers de la CPU.

Puede ser utilizado para recoger los errores, por interfaz, la información CBQoS incluida la información disponible sobre IP SLA como Jitter, MOS y la latencia.

SNMP y Netflow
Como la mayoría de ustedes ya saben, todos estaremos usando SNMP, NetFlow y sFlow para el futuro previsible. Mientra que Netflow Flexible se madura, esperamos que asuma cada vez más de las responsabilidades que se abordan actualmente con SNMP, pero dudo que lo sustituya por completo en los próximos 5-10 años.

José

Para minimizar los riesgos de latencia, las redes de las empresas necesitan herramientas de información que se pueda comparar las interfaces y permitir una gestión para ver el antes y después del impacto de los cambios de configuración. Capacidad de planificación casi siempre requiere buenos informes que el uso de Detalle de la aplicación, QoS, CoS o valores DSCP, los volúmenes de flujo, hablan superior y por el estilo.

Como usted ya sabe, con una mejor información a la solución de NetFlow permite que informe sobre el tráfico de red en una plétora de diferentes maneras. Detalles en TOS, DSCP o QoS es solicitado con frecuencia después del informe. Y después de revisar cuidadosamente el tráfico de prioridad actual sobre su dominio DiffServ, puede ver los patrones que levante las cejas.

Cargado de nuevos conocimiento de tráfico de red, puede empezar a pensar en la aplicación de políticas de QoS un poco diferente. A continuación se muestra un ejemplo de un informe ToS 1 mes en una interfaz seleccionada:

Antes de realizar cambios, lo mejor es para confirmar su hipótesis de los análisis de las conductas de tráfico en los enlaces utilizando el mismo formato. A continuación se muestra un informe similar en una interfaz de abajo diferente utilizando el mismo tiempo / fecha y los criterios del informe. Compara las diferencias:

Incluso es una buena idea de comparar los informes entre el mes pasado frente a este mes. Además, el aviso anterior que después de mirar los dos informes, es evidente que podría haber alguna señorita configurado las políticas de DSCP en los diferentes routers. Diferencias como las anteriormente puede tener un impacto adverso grave en las aplicaciones empresariales. Creo que esto ayuda a demostrar que la recolección y análisis de Netflow son cruciales en la red hoy en día.

Una herramienta de Netflow buena presentación de informes como Scrutinizer permite la capacidad de giro de manera creativa los datos de diferentes maneras para que podamos estudiar cómo los patrones de tráfico puede afectar al rendimiento de la red. Por ejemplo:

• Caudal: cantidad de flujos hacia y desde un host o una red de
• Volumen de host: cantidad de hosts únicos comunicación en un enlace o con una máquina específica
• NBAR: Proporciona información de la aplicación real más allá del puerto TCP 80. HTTP ‘NBAR nos dice que es en realidad (por ejemplo, Skype muestra’ en lugar de ‘http’) y los anfitriones que participan
• De subred a subred: el presente informe contribuye con MPLS de informes para ver qué sitios están golpeando a un lugar particular a los más
• Tomo Par: cantidad de pares de dirección única en un enlace en un momento determinado marco de
• Protocolos: para ayudar a diagnosticar si hay tráfico en la red más allá de TCP, UDP e ICMP
• Tos: como se muestra arriba
• El volumen de tráfico: para mostrar la utilización total general. Esto es similar a SNMP tendencia herramientas como Denika.
• Flujos de primas: cuando usted realmente entrar en la minucia y la necesidad de ver los datos en bruto antes de que el Analizador de Netflow formato de los datos.
• El acceso a los flujos de primas es un deber.
• Y toda una serie de otros informes

La mayoría de nosotros de acuerdo en que NetFlow es el camino a seguir con el interruptor de hoy y la tecnología del router. Siento que Netflow o apoyo sFlow debe estar en la lista de características de seguridad obligatorias en el interruptor próxima compra o router. ¿Por qué? Debido a que el flujo de datos proporciona una mejor perspectiva al colocar los analizadores de paquetes de toda la red no es factible.

Cargado con lo anterior, resulta mucho más fácil para confirmar el impacto de las modificaciones de la política de routers y switches. Las aplicaciones de negocio es más fácil garantizar la entrega de prioridad y la alta dirección puede dar respuestas definitivas a preguntas como “¿por qué es tan lenta”.

Descargue nuestra versión gratuita y si te gusta lo que ves mantenerla. Si desea aún más, prueba de Flow Analytics.

Jose Arriagada

En realidad, V6 de Scrutinizer en algunas configuraciones podría duplicar, pero este problema se soluciono en v7. Muchas soluciones de Netflow todavía sufren de este problema. Algunos productos NetFlow de ir a bordo para apoyar a las últimas tecnologías de NetFlow, pero carecen de la disciplina a la copia de seguridad y corregir los problemas que el cliente se dan cuenta después de que se compra. Ingreso y los flujos de egreso es una de las cuestiones que deben ser tratados adecuadamente. En última instancia, persiguiendo a las nuevas características en lugar de la fijación de los problemas existentes pueden llevar a

la frustración de los consumidores.

Creo que todos los proveedores incluidos Plixer puede aprender de este error. El buen software necesita una base sólida.

Fijate arriba como el aviso de Scrutinizer que detecta la dirección del flujo y la cambia dinámica para mostrar la utilización de entrada o de salida utilizando los flujos de entrada o de salida sobre la base de lo que actualmente se están recibiendo de la interfaz. Creemos que ha sido diseñado muy bien.

¿Por qué el flujo de entrada y salida exportaciones tan importante? Usted debe leer este blog en la optimización WAN de Cisco WAAS.

Jose

Ir a: Google Network Visability

Ganar visibilidad de la red en la infraestructura no tiene por qué ser difícil o costoso. Muchas veces los conmutadores y enrutadores existentes en el apoyo a la infraestructura ya sea Netflow o exportaciones sFlow. Herramientas gratuitas de informes de netflow como Scrutinizer entregan detalles tráfico de la red en todas las conexiones de la red principal.

Echa un vistazo a los proveedores que soportan Netflow o sFlow. ¿Por qué son tantos vendedores entrando el mercado? Debido a la visibilidad en el tráfico de red permite a los administradores asegurar que los enlaces funcionan más limpias con menos acumulaciones.

Mejores Prácticas en la Red visibilidad incluyan

• Netflow o colección sFlow, presentación de informes y archivo. SNMP es mejor que nada para el análisis de tráfico y sigue siendo necesario para algunos indicadores.
• De línea base de la red para determinar los promedios de tráfico en el tiempo. Esto debe ser hecho por solicitud y estará disponible por host, DSCP (DiffServ) o una combinación de parámetros que incluye subredes.
• Rutina de controles automáticos para los patrones de tráfico anormales de red tales como exploraciones de la red, los ataques DDoS, las cuestiones de ICMP, el tráfico no deseado (por ejemplo, facebook, youtube, los protocolos de capa de transporte, como IGMP, etc.) Esto está en consonancia con la Red de Detección y Análisis de la Conducta – NBAD.
• Cuadros de mando ejecutivos y personalizables que le permiten llevar en los informes específicos adaptados a la empresa. Esto podría incluir varias aplicaciones de otros desarrolladores.

HP compra de 3Com
Ahora que HP ha comprado 3com y desde HP respalda sFlow en la ProCurve y 3Com apoya NetStream (NetStream = Netflow), esto los hace un poco como Enterasys. ¿Por qué? Porque, ahora tienen equipo que apoya tanto a las tecnologías de flujo. Sin embargo, Enterasys como Cisco ha puesto en NetFlow de hardware en un switch y no de HP o 3Com lo ha hecho todavía. Enterasys apoya sFlow de sus switches menos costoso. Netflow sigue siendo una tecnología más costosa. Cualquiera que sea el equipo apoya, las empresas deben recolectarla.

José

Para utilizar NetFlow se necesita el Cisco Netflow services card (WS-F4531). Es una tarjeta secundaria opcional para habilitar NetFlow en el Catalyst 4500 con el Supervisor Engine IV o V. Supervisor Engine amplía las funciones del motor de Supervisor de la colección de estadísticas NetFlow y LAN virtual mejorada (VLAN), sin que afecten a las tasas de transmisión de rendimiento del motor con el supervisor.

Para utilizar la función de Netflow en la serie 4500 de Cisco, debe tener el motor Supervisor V-10GE, que tiene la funcionalidad incorporada en el motor de un supervisor o la Tarjeta de Servicios de Netflow (WS-F4531), y de una IV Motor supervisor o un Supervisor Engine V, ejecutando Cisco IOS versión 12.1 (13) EW o mayor.

El WS-F4531, NetFlow Card Services está disponible en una serie de tiendas de computación en línea partes, y cuestan entre $ 1000 y $ 2000.

Felicidades! Mediante el uso de Scrutinizer v7 y NetFlow, que ha hecho su tarea de análisis de redes más fácil.

Que comenzen los flujos!

José

Ejecutar esta prueba WAAS

Usando Scrutinizer Analizador de NetFlow y el sFlow, se puede hacer una sencilla prueba para ver si el tráfico está siendo comprimida con crear un informe de “puertos bien conocidos”. Debajo de nosotros está mirando el tráfico entrante en la interfaz LAN (1) antes de la compresión:

Ojo arriba que el total es de 56,36 Mb entrando la interfaz 1. El tráfico total que sale en la interfaz de 3 (después de la compresión) es 32,89 MB. Si se miras el trafico de HTTP, puede ver que el volumen del tráfico en el mismo período de tiempo se ha comprimido. Véase a continuación:

Netflow v5 con flujos de salida (Egress)
Lo anterior requiere que el soporte de hardware de NetFlow v9 con los flujos de salida. Si el hardware (por ejemplo, Riverbed) sólo admite netflow v5, herramientas de informes de Netflow tienen que demostrar trafico de salida utilizando los flujos de entrada. Esta “trampa” es necesaria porque los flujos de NetFlow v5 se recogen solamente cuando entra en el tráfico en una interfaz. Debido a esto, el tráfico de salida en un entorno de compresión es exagerado cuando se utiliza netflow v5.

El flujo de Antes y Después

He aquí un informe que he creado usando nuestra interfaz de filtrado de gran alcance. Fíjate que filtra el:
• Interfaz de IR2.plixer.com: 1
• Interfaz de IR2.plixer.com: 3
• Puerto de destino: 35803
• Hosts: (src) 91.189.88.140 a (DST) 66.186.184.193

A continuación se muestra el flujo que sale en la interfaz 3 y observe que el Mb total ha disminuido de 9.17Mb a 5.08MB. Si yo fuera a exportar NetFlow v5, voy a ver el mismo valor, pero, por que estamos utilizando con salida de NetFlow v9, la compresión para el flujo individual se advierte que:

Una herramienta diagnóstico de Netflow o de presentación de informes de conexiones WAN Comprimidas debe cumplir:

• Capacidad para llegar a los conceptos básicos (por ejemplo, top 10, 25, etc)
• Capacidad para llegar a todos los flujos y los flujos mas pequeños. Comunicación de la paginación de Google, como en los informes anteriores.
• Habilidad para utilizar el ratón y perforaciones en los detalles
• Soporte para un entorno mixto de entrada y salida habilitada routers Cisco y Adtran
• Una amplia gama de valiosos informes, incluido el acceso a los flujos de primas
• Capacidad para ver el tiempo activo de problemas y que faltan los números de secuencia de flujo
• Análisis de flujo para la Red de Análisis de la Conducta

Gracias por leer. Asegúrese de probar el generador de NetFlow gratis.

Jose

Decidí investigar este y se comunicó con un desarrollador en más de Riverbed. Explicó que la salida es compatible con V9 activado por defecto.

¿Cual es la importancia de Egreso?
Para entender por qué los flujos de salida son necesarias con la optimización WAN, usted debe leer el blog sobre las mejores prácticas para Cisco WAAS  informes mediante Netflow. En definitiva, sin los flujos de salida de NetFlow Analyzer software debe utilizar los flujos de entrada para mostrar los datos de salida. Si se comprimen los datos, utilizando los flujos de entrada para mostrar lo que salió de salida no se mostrará la reducción de bytes.

Muchos de nuestros propios clientes de Cisco WAAS y Riverbed Steelhead de hardware y ya que estamos asociado con dos empresas, que periódicamente blog y animan a los vendedores para apoyar lo que yo siento tecnologías necesarias. El apoyo de Riverbed para Cisco NetFlow v9 se ha tardado mucho en llegar. Me alegro de que finalmente han hecho la inversión.

Las pruebas de rendimiento de Riverbed
Keith Schultz publicó un estudio en InfoWorld en Riverbed y Aceleración WAN. Scrutinizer fue utilizado para mostrar los datos de Netflow. Espero Keith utiliza Scrutinizer v7 para la prueba de la presentación de informes de Netflow si vuelve a entrar en el laboratorio.

Jose

IOS 11.CA, 11.1CC
• 7200, 7500 Series y RSP Serie 7200

IOS 12.0, 12.0T, 12.0S, 12.0 (3) T, 12.0 (3) S
• Cisco 1720, 2600, 3600, 4500, 4700, AS5800
• RSP 7000, Serie 7200
• UBR 7200, serie 7500
• RSM Series, MGX8800RPM Series, BPx8650 Series
• AS5300 utiliza IOS 12.0 (3) T, 12.0 (3) S

IOS 12.0 (4) T
• Cisco 1400, 1600, 1720, 2500, 3600, 4500, 4700, AS5300, AS5800
• RSP 7000, Serie 7200
• UBR 7200, serie 7500
• RSM Series, MGX8800RPM Series, BPx8650 Series

IOS 12.0 (4) XE
• Cisco 7100 Series

IOS 12.0 (6) S
• Cisco 1200 Series

IOS 12.3 (1), 12.0 (24), 12.2 (18), S12.3 (2) T
• Cisco 800, 1700, 2600, 3600, 3700, 6400, 7200, 7500, 12000

Algunos de los Dispositivos con capacidades de Netflow:
Cisco 1800, 2800, 3800, 6500, 7200,7300,7500,7600, 10000 y CRS-1
Switches Catalyst de la serie: 4500, 5500, 6500.

Ya que tienes NetFlow Configurado, solamente te falta descargar un colector de NetFlow para empezar ver informes de como se utiliza el hancho de banda en su red.

José

Interesados en probarlo?
Para aquellos interesados en NetFlow ASA Creo que se ofrece de serie en cualquier revisión del código a la serie ASA 5580, en cualquier menor número de modelos ASA tendrá ASA 8.2.x código para habilitar la función. Alguien por favor dígame si estoy equivocado. 

Wireshark no descodifica
Esperemos que alguien en Cisco está trabajando en la descodificación para Wireshark.

Tal vez me traeré a colación en Wireshark Sharkfest en Palo Alto, California el próximo mes! Yeeee JAAAAAA!!. Espero ver a algunos de ustedes allí.

Esto no es lo típico de Netflow
Tres tipos de eventos pueden desencadenar un registro de Netflow.
* Caudal a crear
* Flujo negado
* Desmontaje de Flujo

Por supuesto, la dirección ip de un colector de Netflow tiene que ser introducido en el aparato ASA, junto con algunos otros comandos de ASA, para que envíe los registros de flujo. Utilice el Modular Policy Framework para personalizar los detalles de la funcionalidad de Netflow.

Habilitación de Netflow en la ASA
Usted también tendrá que definir una política de servicio apuntando el flujo de datos al servidor del analizador. En lo siguiente se supone que el ASA se sigue utilizando el valor predeterminado de política mundial.

policy-map global_policy
class class-default
flow-export event-type all destination x.x.x.x

Lo anterior es de la CLI, pero Netflow puede ser configurado en la interfaz gráfica de usuario de Cisco ASDM haciendo clic en:

• Configuración de Firewall-> Servicio de Política de Normas.
• Haga clic en Agregar-> Seleccionar “Utilizar la clase-default como la clase de tráfico” -> siguiente-> Netflow (pestaña) -> Add (comprobar el colector (s) que desea utilizar) -> Fin> Aplicar.

Configuraciones de Cisco ASA para eventos específicos
Ejemplo: Registro de eventos de creación de flujo entre los hosts 10.1.1.1 y 10.2.2.2
El IP del colector Netflow es 192.168.100.1

ASA (config)# flow-export destination inside 192.168.100.1 2055
ASA (config)# flow template timeout-rate 1
ASA (config)# access-list flow_export_acl permit ip host 10.1.1.1 host 10.2.2.2
ASA (config)# class-map flow_export_class
ASA (config-cmap)# match access-list flow_export_acl
ASA (config)# policy-map flow_export_policy
ASA (config-pmap)# class flow_export_class
ASA (config-pmap-c)# flow-export event-type flow-creation destination 192.168.100.1

Configuración de Netflow
Esta página fue muy útil para determinar la configuración de los comandos de arriba para Netflow en el ASA 5580.

Mostrando Netflow
Vaya a la evolución gráfica, como se muestra a continuación en la pagina de Estado de Scrutinizer v7.

Limitaciónes de la version 7
• Muestra los datos en intervalos de 1 minuto sólo por que los promedios no se han terminados a tiempo para el lanzamiento de esta versión. Hasta 5 horas en intervalos de 1 minuto se pueden visualizar mediante el uso de la opción de intervalo ‘Auto’.
• Las interfaces no se muestran en la pagina de Estado. Usted debe navegar a las plantillas antes mencionadas.
• Estas limitaciones están eliminadas en la próxima versión que ya se esta desarrollando.

José