top of page
Foto do escritorInternational IT

NetFlow e IPFIX: Monitoreo y Análisis de Tráfico de Red

NetFlow e IPFIX son dos protocolos de recopilación de información de tráfico de red que permiten a los administradores monitorear y analizar el tráfico de red. Ambos estándares se utilizan ampliamente para ayudar a los administradores de TI a comprender y optimizar el rendimiento de sus redes.



¿Qué es NetFlow?


NetFlow es un protocolo de red desarrollado originalmente por Cisco para recopilar información de tráfico IP y monitorear datos de telemetría de red. Los conmutadores o enrutadores habilitados para NetFlow generan estas estadísticas de tráfico agregadas que brindan visibilidad sobre la utilización del ancho de banda, las conexiones de comunicación y las actividades de los clientes.


El formato más común utilizado es NetFlow v5. Para respaldar la demanda de extraer un conjunto de datos más amplio, el formato IPFIX surgió entre una variedad de formatos propietarios como jFlow, sFlow o NetStream.


¿Para qué se utiliza NetFlow?


El monitoreo del tráfico genera estadísticas que representan datos de flujo en la red. Las operaciones de red y seguridad comprenden quién se comunica con quién, cuándo, durante cuánto tiempo y con qué frecuencia. En el lenguaje de un entorno de redes de datos, las direcciones IP, los volúmenes de datos, el tiempo, los puertos y los protocolos se monitorean y esto se puede enriquecer con mediciones de latencia y datos de la capa de aplicación para una variedad de protocolos.


Recopilación de NetFlow


Cuando se envía una solicitud de un cliente al servidor, el dispositivo con capacidad de exportación de NetFlow activo examina el encabezado del paquete y crea un registro de flujo. El registro de flujo contiene información sobre las direcciones IP y los puertos de origen y destino, el número de protocolo, la cantidad de bytes y paquetes, y toda la demás información de Capa 3 y Capa 4. Las comunicaciones de red de datos individuales se identifican por las direcciones IP de origen y destino, los puertos y número de protocolo.


Las estadísticas de NetFlow son proporcionadas por dispositivos de red (enrutadores, conmutadores) o por sondas de hardware independientes especializadas. Las sondas se conectan de manera transparente a la red monitoreada como dispositivos pasivos, lo que crea un flujo de estadísticas preciso y detallado a partir de la copia del tráfico de la red. Este enfoque se utiliza para superar varias limitaciones de rendimiento y características del monitoreo de NetFlow basado en enrutadores.


Estatísticas de monitoramento de fluxo de rede visualizadas no dashboard do Flowmon
Estadísticas de monitoreo de flujo de red vistas en el tablero de Flowmon

Siempre es importante consultar la documentación del enrutador/conmutador para asegurarse de que sea compatible con NetFlow y, de ser así, qué versión. A menudo es necesario probar si esto sucede. Los datos de NetFlow extraídos de enrutadores o conmutadores son una abstracción del propio tráfico de red. Las estadísticas de flujo se crean como una agregación de tráfico de red que contiene datos básicos de telemetría L3/L4 del encabezado IP, como IP, puerto o protocolo o tipo de servicio. El contenido de la comunicación no se almacena, por lo que la tasa de agregación alcanzable es de aproximadamente 500:1 en comparación con el almacenamiento de seguimientos de paquetes completos. Esto significa que el ancho de banda exportado por NetFlow consume alrededor del 0,2 %.


¿Qué es IPFIX?


IPFIX (Internet Protocol Flow Information Export) es un protocolo estándar que se utiliza para recopilar y exportar información de flujo de red. Al aprovechar el formato IPFIX flexible, puede enriquecer los campos de datos de NetFlow con información de la capa de aplicación de la carga útil del paquete para brindar una comprensión más profunda del tráfico de la red mientras mantiene la relación de agregación de 250:1 o 0,4 % al 0,5 % del ancho de banda. Esto brinda detalles relevantes al tiempo que mantiene la escalabilidad, brinda información sobre la comunicación de datos, informes flexibles y resolución de problemas operativos y detección de incidentes de seguridad efectivos. Este enfoque permite manejar hasta el 95% de los incidentes de red.


¿Para qué se utiliza IPFIX?


Estos datos le permiten analizar la estructura del tráfico, identificar puntos finales que transfieren grandes cantidades de datos o solucionar problemas de red y configuraciones incorrectas. En otras palabras, representa un nivel de detalle suficiente para manejar alrededor del 80% de los incidentes de red. Sin embargo, el nivel de detalle contenido en los datos de NetFlow puede no ser suficiente para la resolución de problemas, el análisis forense o la supervisión del rendimiento.


Dados obtidos do IPFIX. além das estatísticas do netflow, os dados do aplicativo (nome do host, tempo médio de ida e volta e tempo médio de resposta do servidor) estão visíveis nas colunas 9, 10 e 11.
información IPFIX. Además de las estadísticas de NetFlow, los datos de la aplicación (nombre de host, tiempo promedio de ida y vuelta y tiempo promedio de respuesta del servidor) están visibles en las columnas 9, 10 y 11.



Lista de patrón de flujo


NetFlow viene en muchos estándares y formas patentadas, cada una de las cuales varía en cuanto a funcionalidad y facilidad de uso.


  • NetFlow v5: el estándar original de Cisco para el monitoreo de flujo compatible con muchos enrutadores y conmutadores. Formato fijo y conjunto de atributos centrados en la información de red L3/L4. En desuso ahora debido a muchas limitaciones, como la falta de información de tráfico de IPv6 o la falta de extensibilidad. Con el apoyo de muchas herramientas y aplicaciones de monitoreo.

  • NetFlow v9: estándar de monitoreo de flujo extendido que aborda las limitaciones de la versión 5. Ofrece monitoreo de tráfico IPv6, información L2 como direcciones MAC o etiquetas VLAN.

  • NetFlow flexible: un estándar de Cisco, similar a NetFlow versión 9, con más flexibilidad en la configuración de exportación de flujo y personalización en campos clave (cómo se agregan los paquetes a los flujos) y qué información se exporta. Flexible NetFlow extiende el monitoreo a L7 a través de la tecnología NBAR2 que identifica la aplicación por carga útil.

  • IPFIX (NetFlow v10): estándar internacional independiente que permite a los proveedores de herramientas de monitoreo basadas en flujo, como Flowmon Probe, definir sus propias extensiones de protocolo para exportar cualquier información literaria de L2 a L7. Flowmon es pionero en esta tecnología y ofrece visibilidad de muchos protocolos de aplicaciones, con un crecimiento continuo en el alcance de los protocolos admitidos. Esta es una tecnología crucial que le permite brindar una visibilidad de red única sin la necesidad de una captura continua de paquetes, integrar NetOps y SecOps en una sola plataforma y escalar en un entorno de múltiples 100G. En el entorno de Cisco, IPFIX se conoce comúnmente como NetFlow v10, estandarizado por IETF.

  • jFlow: estándar de Juniper para monitoreo de flujo disponible en v5 y v9. La principal diferencia en comparación con NetFlow es que las marcas de tiempo de los datos de flujo exportados se conservan durante toda la sesión de red, lo que requiere un manejo ligeramente diferente por parte del recopilador. En general, este patrón es compatible con NetFlow.

  • NetStream: estándar de Huawei para monitoreo de flujo disponible en las versiones 5 y 9. Este estándar es compatible con NetFlow.

  • cflow: estándar de Alcatel-Lucent para el control de flujo disponible en las versiones 5 y 9. Este estándar es compatible con NetFlow, pero generalmente solo está disponible como datos de flujo muestreados.

  • NEL / NSEL: NEL significa Registro de eventos de red, que se refiere a los registros de traducción de direcciones de red. NSEL significa Registro de eventos de seguridad de red, que se refiere a los registros de firewall producidos por Cisco ASA. NetFlow v9 se usa para transportar estos registros al recopilador, pero estos datos no se pueden considerar NetFlow reales ya que la información proporcionada en NEL o NSEL no es capaz de reconstruir un gráfico de tráfico de red real.

  • sFlow: Es una tecnología estándar de la industria para monitorear redes de alta velocidad. A diferencia de NetFlow, esta tecnología no funciona con el concepto de almacenamiento en caché de flujo y agregación de metadatos extraídos de paquetes a flujos. Los encabezados de muestra se codifican en un formato similar a NetFlow y se exportan al recopilador. Debido a las altas tasas de muestreo (típicamente 1:1000), estos datos no son lo suficientemente precisos para manejar la detección de anomalías en la red. Por otro lado, estos datos son fáciles de producir ya que el estándar sFlow es compatible con los conmutadores empresariales de nivel de entrada.

  • NetFlow Lite: Es la versión de Cisco de sFlow con todos los pros y contras relacionados con esta tecnología.

  • FlowLogs : es una nueva tecnología emergente que ofrecen las plataformas de nube pública para permitir el monitoreo del tráfico de la red utilizando un enfoque basado en el flujo. Los registros de flujo generalmente vienen a través de API especiales de plataformas en la nube específicas que se entregan en formato CSV o JSON, que deben convertirse a formatos de flujo tradicionales para la recopilación y el procesamiento posterior en plataformas de monitoreo de tráfico estándar. En Amazon AWS, esta tecnología se llama VPC FlowLogs. En Microsoft Azure, esta tecnología se conoce como NSG FlowLogs.


Dispositivos habilitados para transmisión


  • Equipos de red (enrutadores/conmutadores) : Cisco, HP, Huawei, Juniper Networks, Alcatel, Exteme Networks y más

  • Firewalls, UTM, balanceadores de carga e hipervisores : Check Point, Palo Alto, Sonic Wall, VMware, balanceadores de carga Kemp y más

  • Agentes de paquetes y conmutadores : Ixia, Gigamon, Cubro, etc.


Ventajas y beneficios NetFlow e IPFIX


  • Introduzca una visibilidad profunda en entornos virtuales, híbridos y en la nube

  • Detecte anomalías como servicios que no responden, ataques de ransomware, falsificación de IP o escaneo de puertos

  • Evalúe el tráfico cifrado para simplificar la aplicación de las políticas de seguridad

  • Identifique los principales consumidores de ancho de banda para ahorrar presupuesto de infraestructura

  • Supervise la latencia de las aplicaciones SaaS como Office 365, Salesforce o Google Apps

  • Realice un seguimiento de la experiencia del usuario, identifique cuellos de botella y problemas de latencia de la aplicación

  • Detecte la degradación del servicio que puede afectar las operaciones de misión crítica

  • Informes avanzados para adelantarse a los incidentes de red

  • Observe la actividad del dispositivo y haga cumplir las políticas de seguridad, incluido BYOD

  • Comprender el incidente de la red, la causa raíz y los servicios afectados

  • Tome las decisiones más efectivas sobre la infraestructura del servidor y las necesidades de capacidad

  • Realice un seguimiento de los datos históricos para conocer las tendencias y tomar decisiones proactivas


Monitoreo NetFlow e IPFIX avanzado con Flowmon


Flowmon le permite identificar la causa raíz de los problemas, le brinda una visibilidad completa de la red y detecta fácilmente las amenazas de seguridad gracias a su motor de inteligencia artificial y su flexibilidad inigualable.

Video en portugués.

Obtenga una solución completa con un soporte excelente.


  • Maximice la inversión : Flowmon es hasta 500 veces más escalable que el análisis de paquetes.

  • Compatibilidad de datos : compatible con todos los entornos para una integración perfecta.

  • Soporte galardonado : Servicio al cliente 24/7, calificado 5/5 por Gartner Peer Insights

 

Entre en contacto con Internacional IT para obtener más detalles o para ejecutar una prueba de la solución Flowmon en su entorno.

720 visualizações

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page