Netflow
NetFlow es un protocolo de red desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria para monitorización de tráfico de red, y actualmente está soportado para varias plataformas además de Cisco IOS y NXOS, como por ejemplo en dispositivos de fabricantes como Juniper, Enterasys Switches, y en sistemas operativos como Linux, FreeBSD, NetBSD y OpenBSD.
Descripción del protocolo[editar]
Los dispositivos con Netflow habilitado, cuando activan la característica de Netflow, generan "registros de netflow" que consisten en pequeños trozos de información que envían a un dispositivo central o servidor de Netflow (o colector Netflow), que es quien recibe información de los dispositivos (o sondas Netflow) y la almacena y procesa.
Esa información se transmite mediante el protocolo netflow, basado en UDP o SCTP. Cada registro de netflow es un paquete pequeño que contiene una capacidad mínima de información, pero en ningún caso contiene los datos crudos o en bruto del tráfico, es decir, no envía el "payload" del tráfico que circula por el colector sino solo datos estadísticos.
Existen varias diferencias entre la versión de implementación del Netflow original, por lo que algunas versiones incorporan algunos datos más, pero en líneas generales, el Netflow básico envía al menos la siguiente información.
Se ha definido el flujo de network de numerosas maneras. La definición tradicional de Cisco implica una clave séptuple en que el flujo se define como una secuencia unidireccional de paquetes que comparten los siguientes 7 valores:
- Dirección IP de origen.
- Dirección IP de destino.
- Puerto UDP o TCP de origen.
- Puerto UDP o TCP de destino.
- Protocolo IP.
- Interfaz (SNMP ifIndex)
- Tipo de servicio IP
Con el tiempo, otros fabricantes han diseñado sistemas similares para sus dispositivos de red, con diferentes nombres pero su propósito es semejante: [1]
- Jflow o cflowd de Juniper Networks[2]
- NetStream de 3Com/H3C|HP
- NetStream de Huawei Technology
- Cflowd de Alcatel-Lucent
- Rflow de Ericsson
- AppFlow Citrix[3]
Normas[editar]
- RFC 3334 - Auditoría basada en políticas.
- RFC 3954 - NetFlow versión 9.
- RFC 3955 - Protocolos candidatos para el «Protocolo de Internet para la Exportación de Información de Flujo» (IPFIX).[nota 1]
- RFC 5101 - Especificación del protocolo de IPFIX para el intercambio de información de flujo de tráfico.
- RFC 5102 - Modelo de información para IPFIX.
- RFC 5103 - Exportación bidireccional usando IPFIX.
- RFC 5153 - Directrices para la aplicación de IPFIX.
- RFC 5470 - Arquitectura de IPFIX.
- RFC 5471 - Pautas para las pruebas de IPFIX.
- RFC 5472 - Pertinencia de IPFIX.
- RFC 5473 - Disminución de redundancia tanto en IPFIX como en reportes de muestreo de paquetes (PSAMP).
Notas[editar]
- ↑ La versión 9 de Cisco NetFlow fue la base del IPFIX
Referencias[editar]
- ↑ Solarwinds. «What is NetFlow?» (en inglés). Consultado el 20 de marzo de 2016.
- ↑ «J-Flow». IBM Knowledge Center (en inglés). Consultado el 20 de marzo de 2016.
- ↑ Citrix (2011). «AppFlow: next-generation application performance monitoring» (pdf) (en inglés). Consultado el 20 de marzo de 2016.
Enlaces externos[editar]
- nfdump/nfcapd Proyecto OpenSource de colector Netflow
- NetFlow/FloMA: Pointers and Software Provided by SWITCH. - Una de las listas más completas de herramientas opensource e investigación.
- FloCon - La conferencia anual del CERT/CC sobre Netflow y otros sistemas de análisis de flujos de red.
- Información básica de Netflow en la web de Cisco.
- Lista de software relacionada con análisis de tráfico / flujos
- Especificaciones de AppFlow
