¿Por qué NetFlow es importante?

En 1996, Cisco creó un método en el que las decisiones de enrutamiento se basaban en flujos, es decir, el enrutador no necesitaba consultar su tabla de enrutamiento para realizar un reenvío de paquetes. Los paquetes que pertenecen al mismo flujo son reenviados a la misma ruta. El objetivo principal era acelerar las búsquedas en las tablas de enrutamiento.

Un flujo o flow es un conjunto de paquetes que tienen los mismos valores en los campos claves de identificación, por ejemplo: IP de origen y destino, Puerta de origen y destino, protocolo IP, ToS e Interfaz de entrada (ifindex). Estos campos pueden variar según los protocolos de flujos y versiones utilizadas.

Posteriormente, el valor de la información de un flujo es reconocido y pasa a ser más accesible para los gestores de la red. Este protocolo fue denominado como Netflow. A lo largo de la historia, se ha percibido otra ventaja del uso del Netflow: además de hacer que el enrutamiento sea más rápido, ofrece la capacidad de que el protocolo almacene datos de tráfico de la red, permitiendo, así, el monitoreo del tráfico. Otra observación que debe realizarse es que colocar un medidor pasivo en cada enlace de la red es inviable, por tanto, se definió qué medidores pasivos serían los bordes de la red que exportan los flujos.

Netflow es fundamental para un monitoreo cuantitativo de la red y un análisis detallado del tráfico. Saber de donde procede el tráfico, hacia dónde va o su contenido, y otros elementos es fundamental para conocer el comportamiento de la red en su totalidad.

Arquitectura funcional de flujos

La arquitectura general de funcionamiento de flujos puede entenderse a través de tres componentes principales: Sensores, colectores y sistemas de informes:

Un sensor, también conocido como probe, es un dispositivo configurado para «escuchar» la red y capturar los datos de tráfico. Puede ser un switch, un enrutador, o un firewall configurado para exportar flujo. El sensor controla las conexiones de la red y cuando identifica un determinado tiempo de inactividad (Inactive Timeout) o cuando la conexión alcanza un tiempo límite (Active Timeout), los datos son transmitidos por la red.

Un colector es un software que recibe los datos exportados por los sensores y los escribe en el disco. Es un componente fundamental en la gestión de la infraestructura de redes y además no existe un colector universal, es decir, no existe una modelización.

Un sistema de informes lee los archivos grabados por los colectores y genera informes, gráficos, alarmas y otros.

Versión del Netflow e IPFIX

Netflow versión 1

Netflow sufrió diversas revisiones y actualizaciones a lo largo de la historia, la versión 1 es la más antigua desarrollada por Cisco. Aunque está obsoleta, algunos proveedores todavía ofrecen soporte a esta versión. Por ejemplo, esta versión ofrece el mínimo de información posible en un flow récord, está limitada al IPV4 y no posee campos como el ASN ni máscaras de subredes.

Netflow versión 5

El flow récord de Netflow v5 es el más antiguo, con una amplia implementación en el mercado y que todavía se utiliza actualmente. Esta versión incluye 7 campos clave: IP de origen, IP de destino, puerta de origen (solo TCP y UDP), puerta de destino, Protocolo IP , interfaz de entrada y el Tipo de servicio (ToS). También incluye información de BGP, el IP del Flow exporter (IP de la interfaz en la que fue configurada para enviar el cache flow) y algunas otras características del tráfico. Con el paso del tiempo, apareció la necesidad de obtener más información en el flow récord, como el IPV6, por ejemplo. Sin embargo, el Netflow v5 puede atender la necesidad de varios ambientes de red.

Netflow versión 9

Esta es la versión final de Cisco, la más completa. Está basada en una plantilla y es extensible (flexible). Esta flexibilidad se refiere al hecho de que las informaciones de otros fabricantes pueden ser añadidas arbitrariamente al flow récord de Netflow v9. Las plantillas permiten la flexibilidad del flow récord. Esta es la primera versión que tiene soporte de IPV6.

Debe destacarse algunos beneficios ofrecidos por esta versión:

  • Ofrece un soporte para que independientemente de la empresa desarrolladora de un colector Netflow, esta no necesite reinvertar (recopilar) su software siempre que un nuevo recurso Netflow se implemente.
  • Pueden añadirse nuevos recursos de forma mucho más rápida, sin obstruir las implementaciones actuales y con compatibilidad a implementaciones anteriores.
  • La versión 9 de NetFlow es un mecanismo modelo del IETF para exportar información. (IPFIX IETF [v10])

El IPFIX y otros protocolos de exportación de flujo

Según evolucionaron las versiones de Netflow implementadas en el mercado por Cisco, otras empresas percibieron el beneficio de los datos exportados por flujos. La implementación de Netflow fue una personalización de la propia Cisco, lo que inicialmente no era una necesidad del mercado de redes de computadoras. Por otro lado, con el potencial de análisis que Netflow proporcionaba y con sus versiones de implementación en el mercado, otros fabricantes desarrollaron soluciones similares basadas en flow según sus necesidades de personalización. Se produjo entonces la creación de otros protocolos de exportación de flujos similares al Netflow como el sFlow de HP, el Netstream de Huawei, y el jFlow de Juniper, entre otros.

Según fue aumentando el número de competidores, la comunidad de red verificó las ventajas relacionadas con la implementación e introducción en el mercado de un protocolo de exportación de flujo modelo, entonces surge el IPFIX.

Al inicio de los años 2000, el IETF (Internet Engineering Task Force) creó un grupo de trabajo para determinar los modelos de formato de los flujos. Este grupo eligió usar como base el Netflow v9, realizando pocas modificaciones. Cisco todavía estaba envuelta de cierta forma en el proyecto, solo que como miembro en vez de como institución controladora. La versión más reciente del modelo de flujo de red se denomina IP Flow Information eXport (IPFIX).

Algunos beneficios proporcionados por el Netflow

Para un monitoreo cuantitativo de la red, Netflow es fundamental para un análisis estratificado del tráfico. Se separaron algunos beneficios importantes proporcionados por Netflow y sus respectivas justificaciones de implementación.

Monitoreo de tráfico de aplicaciones

Normalmente, las puertas de origen y de destino son campos clave en un flujo. Con esta identificación de la puerta es posible hacer la traducción a la aplicación y, con ello, identificar el tráfico de cada aplicación dentro de una red. Esta visibilidad es extremadamente relevante para las justificaciones de implementación y costos.

Además, pensando en una perspectiva más técnica, la posibilidad de identificación del tráfico por aplicación eleva mucho la capacidad de solución de problemas del equipo técnico. Por ejemplo, si la red «está lenta» debido a alguna aplicación no homologada, Netflow proporciona la visibilidad de qué comunicación (flujo/flujos) está generando este tráfico y en el flow identificar las puertas y consecuentemente las correlaciona con la aplicación. A partir de esto, el equipo de TI puede realizar el bloqueo de estas puertas de comunicación, creando una ACL, por ejemplo.

Validación de políticas QoS

El Type of Service (ToS) es uno de los campos que normalmente se utilizan como llave. En este sentido es posible clasificar el tráfico de cada marcación e inspeccionar si el contenido del tráfico de alguna marcación específica corresponde a las políticas de QoS que fueron establecidas.

Planeamiento de capacidad

La planificación de la capacidad es una organización sistemática que tiene como objetivo equilibrar el uso de recursos de red para que no estén subutilizados, es decir, que la demanda generada por el uso de estos recursos esté cerca de la capacidad de la infraestructura de la red. Además, equilibrar todos estos aspectos de las finanzas también forma parte del ámbito de este plan.

En este sentido, para que todo el proceso tenga éxito, es necesario saber la capacidad actual del parque tecnológico, para, a través del análisis predictivo, entender cuáles son los requisitos esenciales de capacidad para la futura demanda.

Con la información de tráfico recolectada por la exportación de flujos es posible identificar el tráfico de cada uno de los flujos, compararlos con la banda de los links existentes y verificar tráficos de subredes debido a los rangos de IP, entre varios otros elementos de la red.

La información de IP de origen y destino en el Flow es muy valiosa para la realización de un análisis forense en la red, identificar IP ofensores de la red y direcciones sospechosas. Además, si la red se segmenta, es posible realizar la identificación a través de los rangos de IP y monitorear el tráfico de localidades de redes, departamentos y otras informaciones.

Esta planificación está unida a las políticas de gobernanza corporativa de la empresa. En este sentido, la TI se convierte en una aliada fundamental en las decisiones de negocio. Además, guía la institución hacia los caminos correctos, ofreciendo decisiones mucho más asertivas.

Ingeniería de tráfico

En el mundo de los proveedores de acceso a Internet (ISP) es muy importante verificar el tráfico por ASN, el tráfico destinado a un peering BGP, el tráfico destinado a links de tránsito, los tráficos destinados a CDN, los tráficos destinados a sus puntos de cambio de tráfico (PTT) y otros.

Netflow proporciona esta visibilidad. Además, uno de los principales objetivos de un proveedor que está empezando un negocio en el que está creciendo la cantidad de sus clientes es la adquisición de CDN. Sin embargo, para ello es importante justificar el tráfico y el Netflow puede hacer posible diversos tipos de análisis de tráfico para esta comprobación, además de cubrir algunos otros requisitos que precisan ser atendidos.

Consideraciones finales

Por tanto, es innegable la importancia de una herramienta robusta y flexible de análisis de tráfico basada en la exportación de flujos IP. En este sentido, Telcomanager desarrolló TRAFip, una herramienta poderosa y robusta de análisis de tráfico que actúa en diversas categorías de redes y ayuda a miles de gestores de TI en los temas citados en este artículo y en otros.

Teniendo esto en cuenta, Telcomanager que está desde el 2002 en el mercado, líder de América Latina en el sector de software para la gestión de redes, ofrece soluciones inteligentes con una metodología única e innovadora para el monitoreo de datos, lo que proporciona una visión completa de su infraestructura, permitiendo que su empresa controle los principales aspectos de su red en tiempo real.

Publicado el 20/07/2022