¿Qué es el NetFlow?

Todo administrador de red necesita comprender el tráfico que pasa por ella. Entender como la red está siendo utilizada es la clave para cumplir las normas de QoS. Es esencial saber lo que realmente está pasando en la red y quién y cuánto se está usando de la banda disponible. Todo esto es posible con el nuevo abordaje de gestión de la red por parte de NetFlowl. El nombre del protocolo también posee sus variaciones como netstreams flow, ipfix, etc.

Cuando SNMP apareció en 1988, era la herramienta de gestión de red que proporcionaba un primer nivel de visibilidad para los gestores de red. Con el paso del tiempo, el protocolo fue mejorando y sus limitaciones clave como la falta de seguridad, por ejemplo, fueron corregidas en las versiones posteriores. Sin embargo, en los últimos 20 años, hubo muchos más cambios de comportamiento y de uso de red que los que hubo en las versiones del SNMP. Una red típica hoy soporta más que simples paquetes de datos y algunas aplicaciones. Con la aparición de aplicaciones en tiempo real como VoIP. videoconferencia, streaming multicast y unicast, VPNs, ordenador en nube, e-commerce, spam, trojan y virus, por ejemplo, fue evidente la necesidad de una nueva herramienta para entender el flujo de datos y para gestionar las redes.

Rompiendo los paradigmas del monitoreo

Ya no es suficiente con conocer el uso del link. Los administradores necesitan saber la composición del tráfico y no solo el volumen total para entender y estar seguros de si un tráfico es el esperado o no. Incluso, si es un uso indeseable de la red.

El NetFlow es una tecnología parte integral de IOS de Cisco. Considera los paquetes como parte de un flujo, en vez de solo contarlos. Un flujo, como significa su nombre, tiene un principio, medio y fin. Cuando los paquetes de datos son agrupados como flujos, los administradores son capaces de entender las aplicaciones que están utilizando la red de forma más amplia. Esto naturalmente permite una mejor gestión y una mejor calidad de servicio. Los administradores también son capaces de identificar mejor las áreas de problemas y en consecuencia tomar una acción preventiva.

El NetFlow actualmente fue adoptado por varios fabricantes además de CISCO, ya que se ha convertido en un modelo de facto. Huawei, Juniper, Extreme, Vanguard y muchos otros fabricantes incorporaron en sus enrutadores y switches funcionalidades similares.

Identificación de un NetFlow

El NetFlow identifica los flujos de IP en vez de contar bytes en las interfaces. Un flujo es un haz de paquetes IP que contiene por lo menos 7 campos de identificación:

  • Una dirección de IP de origen común;
  • Una dirección de IP de destino común;
  • Una puerta de origen común;
  • Una puerta de destino común;
  • Mismo protocolo de capa 3;
  • Mismo tipo de servicio (ToS);
  • Misma interfaz lógica;

Nota: Un flujo es unidireccional, y por lo tanto para cada sesión habrá siempre dos flujos. Por ejemplo, semejante a un web browser accediendo a una imagen en el servidor web.

Consciencia de Red con el NetFlow

Basado en estos parámetros, el IOS es capaz de identificar el flujo. Esta información es almacenada en el caché NetFlow y puede ser transferida a un colector para ser analizada en detalle. Así, las implementaciones de análisis NetFlow normalmente se basan en un colector externo previsto de herramientas estadísticas sofisticadas que proporcionan informaciones útiles a los gestores de la red. Los enrutadores por sí solos no son capaces de mostrar los datos contenidos en su caché de flujos de manera sofisticada, ya que el caché de flujos está limitado por la memoria del enrutador.

Cada flujo posee una duración. Si el flujo dejó de estar activo, expiró después de 15 segundos de inactividad. En el caso de un flujo continuo, su información es almacenada siguiendo un modelo en el caché por 30 minutos y es borrada incluso si el tráfico continúa. Para conexiones orientadas a flujos como FTP/Telnet, entre otras, el dato es borrado cuando se finaliza la sesión.

Los flujos activos pueden analizarse mostrando el contenido del caché. Esto permite un completo entendimiento de actividades en la red incluso sin exportaciones de este contenido. Si un dispositivo colector fuese especificado por el usuario, el registro de flujo es exportado a través de los paquetes UDP. Cada paquete UDP contiene un encabezamiento y treinta registros de flujos.

En la estación colectora, es necesario un analizador de flujos para procesar los datos de los flujos exportados en tiempo real. Los analizadores de flujos pueden ser sistemas open source o sistemas de hardware/software comerciales.

Recursos Clave

Los administradores creativos pueden utilizar el protocolo NetFlow de diferentes maneras para obtener valiosas informaciones sobre sus redes, por ejemplo:

  • Monitoreo de banda y análisis de tráfico
  • Análisis da red y gestión de seguridad
  • Monitoreo de aplicaciones
  • Seguimiento de la migración de aplicaciones
  • Validación de QoS
  • Planeamiento de capacidad
  • Identificación de worms y malwares
  • Análisis de tráfico de VPN y comportamiento de acceso remoto
  • Cálculo del coste total de la propiedad de aplicaciones

Monitoreo de banda y análisis de tráfico con NetFlow

Con los datos de NetFlow debidamente analizados, un administrador de red puede realmente entender de qué está compuesto su tráfico. Es extremamente fácil descubrir que aplicación o usuario está utilizando grandes volúmenes de banda, cuáles son los protocolos más populares y cuáles son las utilizaciones de entrada y de salida de banda.

Es simple filtrar o agregar datos en el colector de NetFlow y generar informes específicos. Estas operaciones se basan en la combinación de los siguientes criterios:

  • Direcciones IP de origen y destino;
  • Interfaces de entrada o salida;
  • Puertas de origen o destino;
  • Dispositivos por los que pasen tráfico;
  • Sistemas autónomos de origen o destino;
  • Protocolos utilizados;
  • Marcadores utilizados durante la comunicación;
  • Tipo de servicio;

La salida del filtro puede ser posteriormente restringida a fechas y horarios específicos. Esto permite una visión extremamente vinculada a la utilización de la red y posee varias aplicaciones como el planeamiento del uso del aplicativo, análisis, supervisión de incidentes, etc.

Análisis da red y gestión de seguridad

La seguridad de red es un estado fundamental y comprende políticas de personal, detención de intrusos, firewalls, y comportamiento de análisis de red. De estas políticas, la creación de políticas de uso apropiado de tecnología responde a las tres primeras.

Muchas veces se olvida la vigilancia y esto puede hacer que la red sea vulnerable a ciertas amenazas que no fueron detectadas y clasificadas.

Si su red es fundamental para la empresa, la vigilancia proactiva de anomalías es esencial. El NetFlow posee las herramientas para hacerlo.

Aunque parezca extraño, la mayoría de las redes en operación, incluso en compañías grandes y organizadas, muestran una serie de aplicaciones desconocidas enviando datos y utilizando banda. Algunas de ellas son de importancia crucial para el negocio de la empresa y desconocidas por los administradores de redes. Esto es consecuencia de una forma cultural de trabajo de un área de TI que normalmente no se da cuenta ni se preocupa con las necesidades de tráfico de nuevas aplicaciones recién implantadas.

Monitoreo de aplicaciones

La capacidad de monitoreo de aplicaciones es fundamental cuando la mayoría de los servicios se entregan a través de la red. El NetFlow permite que los administradores vean el consumo de banda basados en cualquier combinación de puertas, direcciones, protocolos, dispositivos, interfaces o tipos de servicios.

También puedes agrupar aplicaciones y mapearlas para los usuarios, agrupar banda IP o cualquier parámetro disponible para construir diferentes matrices de tráfico. Así, entenderás perfectamente el tráfico real que está pasando por su red. Incluyendo cuál es el origen y cuál es el destino.

Todo esto permite un conocimiento detallado sobre la utilización de recursos que están siendo suministrados. Los bloqueos se vuelven claros y se identifican las aplicaciones que no necesitan más de soporte. El tráfico para localidades específicas puede monitorearse a través de las informaciones de puerta, protocolo y dirección IP-

Cuando hablamos de gestión de aplicaciones de misiones críticas tales como aplicaciones ERP, videoconferencias, aplicaciones web based, mensajes instantáneos, SMTP y otras muchas aplicaciones, es importante garantizar el acceso necesario a la banda para funcionar eficientemente. Los usuarios pueden quejarse de que las páginas están tardando demasiado en abrirse, que los formularios no se están abriendo o que los datos que están importando no están funcionando.

Sin embargo, la gestión con NetFlow consigue verificar e identificar este embotellamiento. Puede suceder que en un determinado nivel de utilización, en que el servidor de banco de datos puede tener un nivel de utilización considerado adecuado, se convierta en un atasco. Por ejemplo, si está en el banco de datos o en los servidores web de la red. También es importante entender que los atascos pueden cambiar o que pueden surgir nuevos. Es decir, la gestión de aplicaciones es un proceso continuo. En un determinado nivel de uso, en que el servidor del banco de datos podría tener un nivel de uso considerado adecuado, esto se convertiría en un atasco.

Agilidad de resolución

Sin esta tecnología una gran cantidad de tentativas y errores, y posiblemente gastos innecesarios serían necesarios antes de alcanzar un rendimiento satisfactorio. Al mismo tiempo que gestores de red experimentan un ambiente de alto riesgo de incidencia de errores. Mientras esto ocurre, puede haber pérdidas más serias si los usuarios, por ejemplo, tuviesen que paralizar sus trabajos. La peor situación para un gestor de redes es no conseguir explicar o justificar claramente los costes de red para los responsables finales de la administración de la compañía. Con el NetFlow, las estimaciones de trabajo basadas en tentativas y errores son totalmente eliminadas.

Umbrales de monitoreo de aplicaciones al contrario que umbrales de links

Con los colectores del NetFlow, los administradores pueden determinar los umbrales de uso de banda para cada tráfico de una único aplicación, al contrario de determinar el umbral de utilización del link. Esto garantizará que ninguna aplicación se quede “sedienta” por banda y que una posible escasez de banda sea corregida a tiempo. El resultado es un ambiente operativo más confiable para todas las aplicaciones.

Rastreo de la migración de aplicaciones

Las capturas de estadísticas de migración de aplicaciones es uno de los usos más interesante del NetFlow. En una situación en que la empresa este migrando de una versión de software a otra y ambas versiones están rodando simultáneamente, el NetFlow, por ejemplo, puede mostrar instantáneamente, detallándolo a través de informes, cuantos usuarios (y cuales) están todavía utilizando la aplicación antigua. Este tipo de información es de gran importancia en las reuniones de control de esta migración de software y puede hacer más fácil la aceptación por parte del usuario.

Validación de QoS

Alcanzar el nivel de QoS es, en la mayoría de los casos críticos, prácticamente una implementación de QoS. Es una situación dinámica, un administrador de redes necesita herramientas que ayuden a documentar el QoS e inferir si este ha sido alcanzado, además, necesita de ayuda en el proceso de solución de problemas. El NetFlow es una herramienta ideal para hacer esto.

Una vez que se entienda el comportamiento del tráfico, podemos escribir las declaraciones de QoS apropiadas. En un ambiente de homeoffice o trabajo remoto, durante el día se utilizan más los servicios de voz y durante la noche se requiere más banda para backup, despejar banco de datos y otras actividades. Estos diferentes requisitos pueden ser entendidos y verificados de forma más clara con el NetFlow y similares.

Otra ejemplo en el que se utiliza el NetFlow para monitorear el QoS es en las redes MPLS, donde no se puede examinar simplemente las configuraciones de los enrutadores para determinar el QoS. En este caso, el NetFlow consigue medir el QoS de la red. La causa correcta del atasco puede ser fácilmente determinada con las informaciones concluyentes del NetFlow, .

Utilizando el NetFlow para planear la capacidad

Aunque muchos dicen que SNMP puede gestionar de forma eficiente, es importante decir que el NetFlow es de lejos mucho más flexible. Permite observar quién está utilizando la red y cuánto de banda está siendo utilizado. Incluso si el uso de la banda está dentro de los umbrales establecidos, su aplicación crítica puede no estar consiguiendo utilizar la banda necesaria para que funcione correctamente. En este caso, es posible utilizar el NetFlow para mejorar la gestión de banda disponible. Las grandes empresas también utilizan el protocolo para determinar el uso de banda por departamentos, para propósitos de división por centros de costes.

Identificando Worms y Malware

En muchas empresas, los servidores de email y sus cuentas son instalados en un solo servidor. Con el NetFlow, es posible identificar el tráfico SMTP y verificar el número de flujos que se intercambian entre los usuarios, facilitando el envío de señales de alerta y hasta de suspensión de cuentas indebidas.

El NetFlow puede detectar y analizar muchos ataques de “Denial of Service”, pudiendo ser bloqueados por firewall y tratados de otra manera. Mientras los firewalls e IDS son la primera línea de defensa contra tales ataques, el NetFlow es un arma valiosa que puede ser utilizada a posterior como herramienta de análisis de eventos, una vez que la información estará almacenada en el banco de datos.

Análisis del tráfico VPN y de los usuarios remotos

El NetFlow también ha tenido éxito en descubrir el uso del tráfico de las VPNs. Un análisis cuidadoso hace el uso de la red más transparente y permite que las VPNs puedan tener más (o menos) banda de acuerdo con las necesidades de una determinada área de la empresa.

Identificar el tráfico de los usuarios que estén trabajando remotamente o en homeoffice es fácil con el NetFlow porque todo transita en túneles GRE. También es fácil distinguir diferentes tipos de tránsito – voz, SMTP, HTTP y otras aplicaciones – los administradores pueden crear reglas de QoS más rígidas. Incluso algunas de esas reglas, por ejemplo, pueden dar más soporte para la voz durante el día o más banda para backup de datos por la noche.

Cálculo del coste total de la propiedad de aplicaciones (TCO)

La mayoría de las empresas calculan el TCO antes de que la aplicación sea liberada para un gran número de usuarios. Los costes de WAN son una parte importante de TCO. Un método simple es probar la aplicación en un laboratorio y evaluar el tráfico generado con el NetFlow. Esto proporciona la medida justa del tráfico de WAN y ayuda a evitar sorpresas desagradables.

Algunos otros ejemplos específicos donde el NetFlow ha sido utilizado para el cálculo de TCO son:

  • Cálculo del coste de implantar una gran cantidad de cámaras de seguridad IP para supervisar locales remotos;
  • Cisco, por ejemplo, ha utilizado el NetFlow para calcular el coste-beneficio de implantar 50.000 teléfonos IP en sus oficinas dispersadas por el mundo, comparado con el coste de uso de servicios de RPTC;
  • Varias empresas han escogido hospedar los servidores de sistemas de gestión en locales próximos a los usuarios para minimizar el tráfico WAN. Esa decisión se basó en un estudio de TCO que comparaba una única localidad remota en la red WAN en relación a varios servidores en los segmentos de LAN propagados en diferentes localidades.
  • En muchos casos, el NetFlow se usa para dividir el coste de acceso a la red entre varios departamentos de una organización. Se trata de una manera simple de calcular la relación entre el tráfico de diferentes departamentos y el cálculo de los costes de red de acceso

¿El NetFlow es útil para aquellos usuarios que sólo usan LAN?

¡La respuesta a esta pregunta es sí! Aunque la mayoría de su trabajo ocurra dentro de la LAN, si estás lidiando con aplicaciones pesadas y complejas, el rendimiento de la red será siempre un problema. Las aplicaciones como VoIP, videoconferencia, streaming de medios, SMTP, acceso a banco de datos, gestión de contenidos, entre otras, poseen diferentes características de uso de la red y requisitos. Identificar estos requisitos ayuda a los gestores de red a suministrar un mejor servicio. Los cálculos de TCO solo son posibles si el tráfico actual es conocido y si los virus y malwares tienen comportamientos iguales en cualquier lugar dentro de la red.

Resumen

Los gestores de TI, en la mayoría de las organizaciones, están siempre bajo presión para entregar aplicaciones de misión crítica y contenidos en toda la organización. La Calidad de Servicio se ha vuelto fundamental y los diferentes tipos de servicios ofrecidos solo aumentan. Dentro de estas circunstancias el NetFlow se ha convertido en una herramienta esencial para garantizar la aceptación del rendimiento de aplicaciones y gobernanza corporativa.