Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Capa 2 de NetFlow y Exportaciones de Monitoreo de

Anuncio 
Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad
Descargue este capítulo
Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad
Descargue el libro completo
Guía de configuración del Cisco IOS NetFlow, versión 12.2SR (PDF - 5 MB)
Feedback
Contenidos
Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad
Encontrar la información de la característica
Contenido
Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports
Restricciones de NetFlow Layer 2 and Security Monitoring Exports
Información sobre NetFlow Layer 2 and Security Monitoring Exports
NetFlow Layer 2 and Security Monitoring
Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports
Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports
Exportación de datos NBAR
Ventajas de la integración del Netflow NBAR
Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports
Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad
Prerrequisitos
Verificación de NetFlow Layer 2 and Security Monitoring Exports
Restricciones
Configurar el soporte NBAR para las exportaciones de NetFlow
Prerrequisitos
Restricciones
Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports
Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado:
Ejemplo:
Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado:
Ejemplo:
Configurar el soporte NBAR para las exportaciones de NetFlow: Ejemplo:
Referencias adicionales
Documentos Relacionados
Estándares
MIB
RFC
Asistencia Técnica
Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad
Glosario
Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad
Primera publicación: De junio el 19 de 2006
Última actualización: De junio el 11 de 2010
La capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad mejora su capacidad de detectar y
de analizar las amenazas de la red tales como ataques de la negación de servicio (DOS) aumentando el número de campos de
los cuales el Netflow pueda capturar los valores.
NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que atraviesan un router. NetFlow es
el estándar para adquirir los datos de funcionamiento del IP de las redes IP. NetFlow proporciona monitoreo de red y seguridad,
planificación de red, análisis de tráfico y contabilización IP.
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y
advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información
sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada
característica, utilizan la “información de la característica para la capa 2 del Netflow y el monitoreo de la seguridad exporta” la
sección.
Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software
Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el
cisco.com no se requiere.
Contenido
•
Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports
•
Restricciones de NetFlow Layer 2 and Security Monitoring Exports
•
Información sobre NetFlow Layer 2 and Security Monitoring Exports
•
Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports
•
Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports
•
Referencias adicionales
•
Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad
•
Glosario
Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports
Antes de que usted configure la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad, usted debe entender la
Contabilización de Netflow y cómo configurar a su router para capturar las estadísticas de contabilidad del tráfico IP usando el
Netflow. Vea los módulos "Descripción General de NetFlow de Cisco IOS" y "Configuración de NetFlow y NetFlow Data Export"
para obtener más detalles.
En el sistema deben configurarse NetFlow y Cisco Express Forwarding (CEF), CEF distribuido (dCEF) o fast switching.
Restricciones de NetFlow Layer 2 and Security Monitoring Exports
Si usted quiere exportar los datos capturados con el Netflow acoda 2 y característica del monitoreo de la seguridad, usted debe
configurar el Netflow para utilizar el formato de la exportación de datos de la versión 9 del Netflow.
Información sobre NetFlow Layer 2 and Security Monitoring Exports
Para configurar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad, usted debe entender los conceptos
siguientes:
•
NetFlow Layer 2 and Security Monitoring
•
Exportación de datos NBAR
NetFlow Layer 2 and Security Monitoring
Los campos de la capa 2 y de la capa 3 soportados por la capa 2 del Netflow y el aumento de la característica de las
exportaciones del monitoreo de la seguridad la cantidad de información que se puede obtener por el Netflow sobre el tráfico en
su red. Puede utilizar esta nueva información para aplicaciones tales como la ingeniería de tráfico y la facturación basada en
uso.
Los campos del encabezado IP de la capa 3 para los cuales la capa 2 del Netflow y la característica de las exportaciones del
monitoreo de la seguridad captura los valores son como sigue:
•
Campo del Tiempo para vivir (TTL)
•
Campo de la Longitud del paquete
•
Campo ID
•
Campos de código y tipo de ICMP
•
Desplazamiento del fragmento
Vea que “la captura de la información de la capa 3 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta” la
sección para más información sobre éstos los campos de la capa 3.
La capa 2 coloca para qué capa 2 del Netflow y las exportaciones del monitoreo de la seguridad que la característica captura los
valores sea como sigue:
•
Campo de dirección MAC de origen de las tramas que son recibidas por el router Netflow
•
Campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow
•
Campo de ID de VLAN de las tramas que recibe el router de NetFlow
•
Campo de ID de VLAN de las tramas que transmite el router de NetFlow
Vea que “la captura de la información de la capa 2 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta” la
sección para más información sobre éstos los campos de la capa 2.
Los campos de la capa 3 capturados por el Netflow acodan 2 y la característica de las exportaciones del monitoreo de la
seguridad mejora las capacidades del Netflow para identificar los ataques DOS. Los campos de la Capa 2 capturados por la
función NetFlow Layer 2 and Security Monitoring Exports puede ayudar a identificar la trayectoria que el ataque DoS está
tomando a través de la red.
Los campos de la capa 2 y de la capa 3 capturados por el Netflow acodan 2 y la característica de las exportaciones del
monitoreo de la seguridad no es campos claves. Proporcionan información adicional sobre el tráfico de un flujo existente. Los
cambios en los valores de los campos llave de Netflow, como la dirección IP de origen desde un paquete al siguiente paquete,
dan como resultado la creación de un nuevo flujo. Por ejemplo, si el primer paquete capturado por el Netflow tiene una dirección
IP de origen de 10.34.0.2 y el segundo paquete capturado tiene una dirección IP de origen de 172.16.213.65, después el
Netflow creará dos flujos separados.
Muchos ataques DOS consisten en un atacante que envía el mismo tipo de IP datagram una y otra vez en un intento por
abrumar los sistemas de destino. En estos casos el tráfico entrante tiene a menudo características similares, tales como los
mismos valores en cada datagrama para uno o más de los campos que la capa 2 del Netflow y la característica de las
exportaciones del monitoreo de la seguridad pueden capturar.
No existe una forma sencilla de identificar el remitente de muchos ataques DOS ya que la dirección IP de origen del dispositivo
que envía el tráfico se suele falsificar. Sin embargo, usted puede rastrear fácilmente el tráfico a través de la red al router en
quien está llegando capturando la dirección MAC y el VLAN-ID coloca usando la capa 2 del Netflow y el monitoreo de la
seguridad exporta la característica. Si el router en quien el tráfico es Netflow de llegada de los soportes, usted puede configurar
la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica en ella para identificar la interfaz donde está
llegando el tráfico. El cuadro 1 muestra un ejemplo de un ataque en curso.
Figura 1 Ataque DoS que Llega por Internet
Notausted puede analizar los datos capturados por el Netflow directamente del router que usa show ip cache verbose flow el
comando o el motor del colector NetFlow CNS.
Una vez que se deduce que se está produciendo un ataque de negación de servicio (DoS) tras analizar los campos de la Capa
3 en los flujos de NetFlow, se pueden analizar los campos de la Capa 2 de los flujos para detectar la trayectoria que el ataque
de negación de servicio (DoS) está siguiendo a través de la red.
Un análisis de los datos capturados por la función NetFlow Layer 2 and Security Monitoring Exports para el escenario mostrado
en la Figura 1 indica que el ataque DoS está llegando en el Router C porque la dirección MAC de flujo ascendente es desde la
interfaz que conecta el Router C al Switch A. Es también evidente que no hay Routers entre el host de destino (el servidor del
email) y el router del Netflow porque la dirección MAC del destino del tráfico DOS que el router del Netflow está remitiendo al
servidor de correo electrónico es la dirección MAC del servidor del email.
Puede averiguar la dirección MAC que el Host C utiliza para enviar el tráfico al Router C configurando la función NetFlow Layer
2 and Security Monitoring Exports en el Router C. La dirección MAC de origen será del Host C. La dirección MAC de destino
será para la interfaz en el router de NetFlow.
Una vez que usted conoce la dirección MAC que el host c está utilizando y la interfaz en el C del router en las cuales el ataque
DOS del host c está llegando, usted puede atenuar el ataque configurando de nuevo el C del router para bloquear el tráfico del
host c. Si el host c está en una interfaz dedicada, usted inhabilita la interfaz. Si el host c está utilizando una interfaz que lleve el
tráfico de otros usuarios, usted debe configurar su Firewall para bloquear el tráfico del host c pero todavía para permitir que el
tráfico de los otros usuarios atraviese el C del router.
Los “ejemplos de configuración para el Netflow acodan 2 y el monitoreo de la seguridad exporta” la sección tiene dos ejemplos
para usar la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para identificar un ataque en curso y la
trayectoria que el ataque está tomando a través de una red.
Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports
La función NetFlow Layer 2 and Security Monitoring Exports tiene soporte para capturar cinco campos del tráfico IP de la Capa
3 en un flujo:
•
Campo del Tiempo para vivir
•
Campo de la Longitud del paquete
•
Campo ID
•
Tipo y código de ICMP
•
Desplazamiento del fragmento
El cuadro 2 muestra los campos en encabezado del paquete IP.
Figura 2 Campos del Encabezado de Paquete IP
El cuadro 1 describe los campos del encabezado en el cuadro 2.
Campo
Descripción
Versión
Versión del protocolo IP. Si este campo se establece en 4, es un datagrama de
IPv4. Si este campo se establece en 6, es un datagrama de IPv6.
Observela encabezado del IPv6 tiene una diversa estructura de una
encabezado del IPv4.
IHL (Longitud de
Encabezado de
Internet)
La longitud del encabezado de Internet es la longitud de la encabezado de
Internet en el formato de 32 bits de la palabra y señala así al principio de los
datos.
Observeel valor mínimo para una encabezado correcta es 5.
ToS
El Tipo de servicio (ToS) proporciona una indicación de los parámetros
abstractos de la calidad de servicio deseada. Estos parámetros se deben utilizar
para guiar la selección de los parámetros de servicio reales cuando un
dispositivo de networking transmite un datagrama a través de una red
determinada.
Longitud Total
La longitud total es la longitud del datagrama, medida en octetos, incluidos el
encabezado de Internet y los datos.
Identificador (ID)
El valor del campo ID lo ingresa el remitente. Todos los fragmentos de un
datagrama IP tienen el mismo valor en el campo ID. Los datagramas IP
subsiguientes del mismo remitente tendrán diferentes valores en el campo ID.
Es muy común que un host reciba datagramas IP fragmentados desde varios
remitentes simultáneamente. Es también común que un host esté recibiendo
simultáneamente varios datagramas IP del mismo remitente.
El host de destino utiliza el valor del campo ID para asegurarse de que los
fragmentos de un datagrama IP se asignan al mismo buffer de paquetes durante
el proceso de reensamblado del datagrama IP. El valor único del campo ID
también se utiliza para evitar que el host receptor mezcle juntos los fragmentos
de varios datagramas IP del mismo remitente durante el proceso de
reensamblado del datagrama IP.
Indicadores
Secuencia de 3 bits utilizada para definir y seguir los parámetros de la
fragmentación del datagrama IP.
• 001 = El datagrama IP se puede fragmentar. Hay más fragmentos del
datagrama IP actual en tránsito.
• 000 = El datagrama IP se puede fragmentar. Éste es el último fragmento
del datagrama IP actual.
• 010 = El Datagrama IP no se puede fragmentar. Éste es el datagrama IP
completo.
Desplazamiento
del fragmento
Este campo indica a qué parte del datagrama pertenece este fragmento.
TTL (Tiempo de
Funcionamiento)
Este campo indica el tiempo máximo que está permitido que el datagrama
permanezca en el sistema de Internet. Si este campo contiene el valor 0, el
datagrama debe destruirse. Este campo se modifica en el procesamiento de la
cabecera de Internet. El tiempo se mide en unidades de segundo; sin embargo,
dado que cada módulo que procesa un datagrama debe reducir el TTL al menos
en 1 incluso si procesa el datagrama en menos de un segundo, el TTL se debe
considerar solamente como un límite superior del tiempo que puede existir un
datagrama. La intención es hacer los datagramas inentregables ser desechado y
limitar el curso de la vida máximo del datagrama.
Protocolo
Indica el tipo de paquete de transporte incluido en la parte de los datos del
datagrama IP. Los valores comunes son:
1 = ICMP
6 = TCP
17 = UDP
Checksum de
encabezado
Un checksum en el encabezado solamente. Puesto que algunos campos del
encabezado, como el campo de tiempo de funcionamiento, cambian cada vez
que se reenvía un datagrama IP, este valor se recalcula y se verifica en cada
punto de procesamiento del encabezado de Internet.
Dirección IP de
origen
Dirección IP de la estación emisora.
Dirección IP de
destino
Dirección IP de la estación de destino.
Opciones y
Relleno
Las opciones y el relleno pueden o no pueden aparecer en los datagramas. Si
aparecen, deben ser implementadas por todos los módulos de IP (host y
gateways). El aspecto opcional es su transmisión en un datagrama determinado,
no su implementación.
El cuadro 3 muestra los campos en un datagrama ICMP.
Figura 3 Datagrama ICMP
El cuadro 2 interpreta el formato de paquetes en el cuadro 3. datagramas ICMP se lleva adentro la área de datos de un IP
datagram, después del encabezado IP.
Tipo Nombre
Códigos
0
Respuesta de eco
0: Ninguno
1
No asignado
—
2
No asignado
—
3
Destino inalcanzable
0: red inalcanzable.
1: host inalcanzable.
2: protocolo inalcanzable.
3 — Puerto inalcanzable.
4: Fragmentación necesaria y conjunto de bits DF.
5: ruta de origen fallida.
6: red de destino desconocida.
7: host de destino desconocido.
8: Host de origen aislado.
9: la comunicación con la red de destino está prohibida
administrativamente.
10 — La comunicación con el host de destino está
prohibida administrativamente.
11: red de destino inalcanzable para el ToS.
12: Host de destino inalcanzable para el ToS.
4
Apagado de fuente
0: Ninguno.
5
Redireccionar
0: Ninguno.
0: Reorientar el datagrama para la red.
1 — Redirección de datagramas para el host.
2 — Reoriente el datagrama para la TOS y la red.
3 — Reoriente el datagrama para la TOS y recíbalo.
6
Dirección de host alternativa
0: Dirección alternativa para el host.
7
No asignado
—
8
Eco
0: Ninguno.
9
Anuncio del router
0: Ninguno.
10
Selección de router
0: Ninguno.
11
Tiempo excedido
0: tiempo de vida excedido en el tránsito.
12
Problema de parámetro
0: el puntero indica el error.
1 - Falta una opción obligatoria.
2: longitud incorrecta.
13
Grupo fecha/hora
0: Ninguno.
14
Respuesta de indicación de fecha 0: Ninguno.
y hora
15
Solicitud de información
0: Ninguno.
16
Respuesta de información
0: Ninguno.
17
Solicitud de máscara de dirección 0: Ninguno.
18
Respuesta de la máscara de
dirección
0: Ninguno.
19
Reservado (para seguridad)
—
20-29 Reservado (para experimento de
fiabilidad)
—
30
Ruta de seguimiento
—
31
Error de conversión del
datagrama
—
32
Redireccionamiento de host móvil —
33
IPv6 where-are-you
—
34
IPv6 I-am-here
—
35
Solicitud de registro móvil
—
36
Respuesta de registro móvil
—
37255
Reservado
—
Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports
La función NetFlow Layer 2 and Security Monitoring Exports tiene la capacidad de capturar los valores de los campos de
dirección MAC y de ID de VLAN de los flujos. Los dos tipos soportados del VLA N son 802.1q y el protocolo del Cisco InterSwitch Link (ISL). Esta sección explica los conceptos siguientes:
•
Comprensión de los Campos de Dirección MAC de la Capa 2
•
Introducción a los campos ID de VLAN de Capa 2
Comprensión de los Campos de Dirección MAC de la Capa 2
Los nuevos campos de la capa 2 para los cuales la capa 2 del Netflow y la característica de las exportaciones del monitoreo de
la seguridad captura los valores son como sigue:
•
Campo de dirección MAC de origen de las tramas que recibe el router de NetFlow
•
El campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow
•
El campo de ID de VLAN de las tramas que recibe el router de NetFlow
•
El campo de ID de VLAN de las tramas que transmite el router de NetFlow
El cuadro 4 muestra el tipo Ethernet II y los Ethernetes 802,3 formatos de trama. El campo dirección de destino y el campo de
dirección de origen en los formatos de trama son los valores de direcciones MAC que son capturados por el Netflow.
Figura 4 Formatos de Trama de Ethernet tipo II y 802.3
El cuadro 3 explica los campos para los formatos de la trama Ethernet.
Campo
Descripción
Preámbulo
La entrada del campo de preámbulo es un patrón alternativo de 1s y 0s que dice a
las estaciones receptoras que llega una trama. También proporciona un medio
para que las estaciones receptoras sincronicen sus relojes con el flujo de bits de
entrada.
SOF (comienzo El campo SOF contiene un patrón alterno de 1 y 0, terminando con dos bits 1
de trama)
consecutivos que indican que el bit siguiente es el primer bit del primer byte de la
dirección MAC de destino.
Dirección de
destino
La dirección de destino de 48 bits identifica qué estación de la LAN deben recibir la
trama. Los primeros dos bits de la dirección del MAC de destino se reservan para
funciones especiales:
• El primer bit del campo DA indica si la dirección es una dirección individual
(0) o un grupo de direcciones (1).
• El segundo bit indica si el DA global está administrado globalmente (0) o
localmente (1).
Los 46 bits restantes son un valor asignado de forma exclusiva que identifica una
sola estación, un grupo de estaciones definido o todas las estaciones de la red.
Dirección de
origen
La dirección de origen de 48 bits identifica qué estación transmitió la trama. La
dirección de origen es siempre un direccionamiento individual, y el bit más a la
izquierda en el campo SA es siempre 0.
Tipo
Tipo — En una trama del tipo Ethernet II, esta parte de la trama se utiliza para el
campo del tipo. El campo Type se utiliza para identificar el siguiente protocolo de
capa de la trama.
o
Longitud
Longitud — En una trama Ethernet 802,3, esta parte de la trama se utiliza para la
extensión del campo. El campo Longitud se utiliza para indicar la longitud de la
trama Ethernet. El valor puede ser a partir 46 a 1500 bytes.
Datos
(Tipo Ethernet II) 46 a 1500 bytes de dato
o
o
Encabezado y
datos de 802.2
(802.3/802.2) 8 bytes de encabezamiento y 38 a 1492 bytes de dato.
FCS (Frame
Check
Sequence)
Este campo contiene un valor CRC (verificación por redundancia cíclica) de 32 bits
creado por la estación emisora y recalculado por la estación receptora para
verificar si hay tramas dañadas. FCS se genera para los campos DA, SA, Type y
Data de la trama. El FCS no incluye la porción de datos de la trama.
Introducción a los campos ID de VLAN de Capa 2
NetFlow puede capturar el valor en el campo VLAN ID de las VLANs etiquetadas 802.1q y las VLANs encapsuladas ISL de
Cisco. Esta sección describe los dos tipos de VLA N:
•
Comprensión de VLANs 802.1q
•
Comprensión de Cisco ISL VLANS
Observeel ISL y 802.1q comúnmente se llaman los protocolos del encapsulado de VLAN.
Comprensión de VLANs 802.1q
Los dispositivos que utilizan 802.1q insertan una etiqueta de cuatro bytes en la trama original antes de transmitirla. El cuadro 5
muestra el formato de una trama Ethernet marcada con etiqueta 802.1q.
Figura 5 Trama 802.1q con Etiqueta Ethernet de Tipo II o 802.3
El cuadro 4 describe los campos para los VLA N 802.1q.
Campo
Descripción
DA, SA, tipo o
longitud, datos y
FCS
El cuadro 3 describe estos campos.
TPID (Tag Protocol En este campo de 16 bits se establece el valor 0x8100 para identificar la trama
ID)
como una trama con etiqueta IEEE 802.1Q.
Prioridad
Este campo de 3 bits, también denominado prioridad de usuario, hace
referencia a la prioridad 802.1p. Indica el nivel de prioridad de trama usado para
dar prioridad al tráfico y es capaz de representar 8 niveles (0-7).
Información de
El campo de información de control de la etiqueta 2-byte consiste en dos
Control de Etiqueta subregistros:
• Formato canónico Indentifier (CFI) — Si el valor de este campo 1-bit es
1, después la dirección MAC está en el formato no canónico. Si el valor de
este campo es 0, la dirección MAC está en el formato canónico.
• ID de VLAN: este campo de 12 bits identifica de manera única la VLAN a
la que pertenece la trama. Puede tener un valor a partir de la 0 a 4095.
Comprensión de Cisco ISL VLANS
El ISL es un protocolo de propiedad de Cisco para encapsular las tramas en un troncal VLAN. Los dispositivos que utilizan ISL
añaden un encabezado ISL a la trama. Este proceso se conoce como encapsulación VLAN. 802.1Q es la norma IEEE para
etiquetar tramas en un troncal VLAN. El cuadro 6 muestra el formato de una trama Ethernet encapsulado por ISL de Cisco.
Figura 6 Trama Ethernet con Etiquetado ISL de Cisco
El cuadro 5 describe los campos para los VLA N 802.1q.
Campo
Descripción
DA (dirección de Este campo de 40 bits es una dirección multicast y se fija en 0x01-00-0C-00-00 o
destino)
0x03-00-0c-00-00. El host receptor determina que la trama se encapsulad en ISL
leyendo el campo DA de 40 bits y haciéndolo coincidir con una de las dos
direcciones multicast ISL.
TIPO
Este campo de 4 bits indica el tipo de trama que se encapsula y podría utilizarse
en el futuro para indicar encapsulaciones alternativas.
Códigos TYPE:
USUARIO
•
0000 = Ethernet
•
0001 = Token Ring
•
0010 = FDDI
•
0011 = ATM
Este campo de 4 bits se utiliza para ampliar el significado del campo de tipo de
trama. El valor predeterminado del campo USUARIO es 0000. Para las tramas
Ethernet, los bits 0 y 1 del campo USER indican la prioridad del paquete mientras
pasa a través del switch. Siempre que el tráfico se puede gestionar con más
rapidez, los paquetes con este bit definido deben aprovechar la trayectoria más
rápida. Sin embargo, tales trayectorias no se requieren.
Códigos USER:
•
XX00 = Prioridad normal
•
XX01 = Prioridad 1
•
XX10 = Prioridad 2
•
XX11: máxima prioridad
SA
Este campo de 48 bits es el campo de dirección de origen del paquete ISL.
Debería configurarse en la dirección MAC 802.3 del puerto de switch que
transmite la trama. El dispositivo receptor puede ignorar el campo SA de la trama.
LARGO
Este campo de valor de 16 bits almacena el tamaño de paquete real del paquete
original. El campo LEN representa la longitud en bytes del paquete, excluyendo
los campos DA, TYPE, USER, SA, LEN y FCS. El largo total de los campos
excluidos es de 18 bytes, entonces el campo LEN representa el largo total menos
18 bytes.
AAAA03(SNAP)
El campo AAAA03 SNAP es un valor constante de 24 bits de 0xAAAA03.
HSA
Este campo de 24 bits representa los tres bytes superiores (la parte del ID del
fabricante) del campo SA. Debe incluir el valor 0x00-00-0C.
VLAN
Este campo 15-bit es el LAN virtual ID del paquete. Este valor se utiliza para
marcar las tramas en diversas VLANs.
BPDU
El bit en el campo BPDU se configura para todos los paquetes BPDU que la trama
ISL encapsula. El algoritmo de spanning tree utiliza las BPDUs para obtener
información sobre la topología de la red. Este bit también se define para las
tramas CDP y VTP que se encapsulan.
ÍNDICE
Este campo de 16 bits indica el índice de puerto del origen del paquete cuando
sale del switch. Se usa solamente para diagnóstico y otros dispositivos pueden
configurarlo en cualquier valor. Se ignora en los paquetes recibidos.
RES
Este campo de 16 bits se utiliza cuando los paquetes Token Ring o FDDI están
encapsulados con una trama ISL.
Trama
Encapsulada
Este campo contiene la trama encapsulada de la Capa 2.
FCS
El campo FCS se compone de 4 bytes. Incluye un valor CRC de 32 bits creado
por la estación remitente y recalculado por la estación receptora para verificar si
hay tramas dañadas. El FCS cubre los campos DA, SA, Length/Type y Data.
Cuando se asocia un encabezado ISL a una trama de la Capa 2, se calcula un
nuevo FCS sobre el paquete ISL completo y se añade al final de la trama.
Observela adición del nuevo FCS no altera el FCS original que se contiene
dentro de la trama encapsulada.
Exportación de datos NBAR
El Reconocimiento de aplicaciones basadas en la red (NBAR) es un motor de clasificación que reconoce y clasifica una amplia
variedad de protocolos y de aplicaciones, incluyendo basado en web y otro difícil-a-clasifica las aplicaciones y los protocolos
que utilizan las asignaciones de puertos dinámicas TCP/UDP.
Cuando el NBAR reconoce y clasifica un protocolo o una aplicación, la red se puede configurar para aplicar la asignación de la
aplicación apropiada con ese protocolo.
Con el Cisco IOS Release 12.2(18)ZYA2 en el Catalyst 6500 Series Switch equipado de un acelerador inteligente de los
servicios del supervisor 32/programmable (PISA), el flujo NBAR se puede exportar junto con los expedientes de la exportación
de NetFlow.
El NetFlow feature que reconoce la aplicación integra el NBAR con el Netflow para proporcionar la capacidad de exportar la
Información de la aplicación recogida por el NBAR usando el Netflow. Los ID de la aplicación creados para el atributo de la
versión 9 del Netflow exportan los nombres de la aplicación junto con los atributos estándars tales como dirección IP y
información de puerto TCP/UDP. El colector NetFlow recoge estos flujos basados en la dirección IP de origen y el ID. El ID de
origen refiere a la identificación única para los flujos exportados de un dispositivo determinado.
Los datos NBAR exportados al colector NetFlow contienen la información de mapeo de la aplicación. Usando las opciones de la
exportación de datos de NetFlow, la tabla que contiene los ID de la aplicación asociados a sus nombres de la aplicación se
exporta al colector NetFlow. La tabla de correspondencia se envía usando ip flow-export template options nbar el comando.
La información de mapeo se restaura cada 30 minutos por abandono. Usted puede configurar el intervalo de la restauración
usando ip flow-export template options timeout-rate el comando.
La exportación de NetFlow utiliza varios mecanismos del envejecimiento para manejar el caché de NetFlow. Sin embargo, los
intervalos de la exportación de datos NBAR no utilizan los parámetros del envejecimiento del Netflow.
Ventajas de la integración del Netflow NBAR
Administradores de la red de los permisos NBAR para seguir la variedad de protocolo y la cantidad de tráfico generada por cada
protocolo. El NBAR también permite que ordenen el tráfico en las clases. Estas clases se pueden entonces utilizar para
proporcionar diversos niveles de servicio para el tráfico de la red, de tal modo permitiendo una mejor Administración de redes
proporcionando al nivel correcto de recursos de red para el tráfico de la red.
Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports
Esta sección contiene los siguientes procedimientos:
•
Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad
•
Verificando el Netflow acode 2 y las exportaciones del monitoreo de la seguridad (opcionales)
•
Configurar el soporte NBAR para las exportaciones de NetFlow
Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad
Prerrequisitos
El CEF, el dCEF, o la transferencia rápida para el IP se deben configurar en su sistema antes de que usted configure la capa 2
del Netflow y el monitoreo de la seguridad exporta la característica.
“Verificar la capa 2 del Netflow y la tarea opcionales de las exportaciones del monitoreo de la seguridad” utiliza show ip cache
verbose flow el comando de visualizar los valores de los campos que usted ha configurado la capa 2 del Netflow y el monitoreo
de la seguridad exporta la característica para capturar. Para que usted vea los valores de los campos que usted configuró la
capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad para capturar, su router debe remitir el
tráfico IP que cumple los criterios para estos campos. Por ejemplo, si usted configura ip flow-capture ipid el comando, su
router debe remitir los datagramas IP para capturar los valores IP ID de los datagramas IP en el flujo.
Si usted quiere capturar los valores del campo de desplazamiento del fragmento IP de la capa 3 de las encabezados IP en su
tráfico IP usando ip flow-capture fragment-offset el comando, su router debe ser el Cisco IOS corriente 12.4(2)T o versión
posterior.
PASOS SUMARIOS
1. enable
2. configure terminal
3. ip flow-capture fragment-offset
4. ip flow-capture icmp
5. ip flow-capture ip-id
6. ip flow-capture mac-addresses
7. ip flow-capture packet-length
8. ip flow-capture ttl
9. ip flow-capture vlan-id
10. interface type [número | /port del slot]
11 ip flow ingress
y/o
ip flow egress
12. exit
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita el modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
• Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
Router# configure
terminal
Paso 3
ip flow-capture
fragment-offset
Example:
Router(config)# ip
flow-capture fragmentoffset
(Opcional) habilita la captura del valor del campo de
desplazamiento del fragmento IP del primer IP
datagram hecho fragmentos en un flujo.
Paso 4
ip flow-capture icmp
Example:
Router(config)# ip
flow-capture icmp
Paso 5
ip flow-capture ip-id
Example:
Router(config)# ip
flow-capture ip-id
Paso 6
ip flow-capture macaddresses
Example:
Router(config)# ip
flow-capture macaddresses
Paso 7
ip flow-capture
packet-length
Example:
Router(config)# ip
flow-capture packetlength
Paso 8
ip flow-capture ttl
Example:
Router(config)# ip
flow-capture ttl
Paso 9
ip flow-capture vlanid
Example:
Router(config)# ip
flow-capture vlan-id
(Opcional) le permite para capturar el valor de los
campos del tipo y del código ICMP de los datagramas
ICMP en un flujo.
(Opcional) le permite para capturar el valor del campo
IP-ID del primer IP datagram en un flujo.
(Opcional) le permite para capturar los valores de los
MAC Address de origen y destino del tráfico en un
flujo.
(Opcional) le permite para capturar el mínimo y los
valores máximos de la Longitud del paquete colocan
de los datagramas IP en un flujo.
(Opcional) le permite para capturar el mínimo y los
valores máximos del Tiempo para vivir (TTL) colocan
de los datagramas IP en un flujo.
(Opcional) le permite para capturar el 802.1q o el
campo ISL VLAN-ID de las tramas encapsuladas del
VLA N en un flujo que se reciben o se transmiten en
los puertos troncales.
Paso 10 interface type [number Ingresa en el modo de configuración de la interfaz del
| slot/port]
tipo de interfaz especificado en el comando.
Example:
Router(config)#
interface ethernet 0/0
Paso 11 ip flow ingress
y/o
ip flow egress
Habilita la entrada de recolección de datos de
NetFlow en la interfaz.
y/o
Habilita la salida de recolección de datos de NetFlow
en la interfaz.
Example:
Router(config-if)# ip
flow ingress
and/or
Example:
Router(config-if)# ip
flow egress
Paso 12 exit
Sale del modo de configuración global.
Example:
Router(config)# exit
Verificación de NetFlow Layer 2 and Security Monitoring Exports
Realice esta tarea de verificar la configuración de la capa 2 del Netflow y de las exportaciones del monitoreo de la seguridad.
Restricciones
“Verificar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad” utiliza show ip cache verbose flow el
comando. Las restricciones siguientes se aplican a usar show ip cache verbose flow el comando.
Visualizar la Información Detallada de Caché de NetFlow en Plataformas que Ejecutan Cisco Express Forwarding
Distribuido
En plataformas que ejecutan dCEF, la información de memoria caché de NetFlow se mantiene en cada tarjeta de línea o
procesador de interfaz versátil. Si usted quiere utilizar show ip cache verbose flow el comando de visualizar esta información
sobre una plataforma distribuida, usted debe ingresar el comando en un prompt del linecard.
Cisco 7500 Series Platform
Para mostrar información detallada de la memoria caché de NetFlow mediante el comando en un Cisco 7500 Series Router que
ejecute dCEF distribuido, ingrese la siguiente secuencia de comandos:
Router# if-con slot-number
LC-slot-number# show ip cache verbose flow
Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información
detallada sobre la memoria caché de NetFlow:
Router# execute-on slot-number show ip cache verbose flow
Cisco 12000 Series Platform
Para visualizar información detallada de la memoria caché de NetFlow en un router de Internet Cisco 12000 Series, ingrese la
secuencia de comandos siguiente:
Router# attach slot-number
LC-slot-number# show ip cache verbose flow
Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información
detallada sobre la memoria caché de NetFlow:
Router- ejecutar-enslot-number el flujo prolijo del caché del IP de la demostración.
PASOS SUMARIOS
1. show ip cache verbose flow
PASOS DETALLADOS
Paso 1 show ip cache verbose flow
El producto siguiente muestra que el trabajo de la capa 2 del Netflow y del monitoreo de la seguridad exporta la característica
capturando los valores de los campos de la capa 2 y de la capa 3 en los flujos.
Router# show ip cache verbose flow
IP packet size distribution (25229 total packets):
1-32
64
96
128
160
192
224
256
288
320
352
384
416
448
480
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512
544
576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .206 .793 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 278544 bytes
6 active, 4090 inactive, 17 added
505 ager polls, 0 flow alloc failures
Active flows timeout in 1 minutes
Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
12 active, 1012 inactive, 39 added, 17 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol
Total
Flows
--------
Flows
/Sec
/Flow
/Pkt
/Sec
/Flow
/Flow
TCP-Telnet
1
0.0
362
940
2.7
60.2
0.0
TCP-FTP
1
0.0
362
840
2.7
60.2
0.0
TCP-FTPD
1
0.0
362
840
2.7
60.1
0.1
TCP-SMTP
1
0.0
361
1040
2.7
60.0
0.1
UDP-other
5
0.0
1
66
0.0
1.0
10.6
ICMP
2
0.0
8829
1378
135.8
60.7
0.0
11
0.0
1737
1343
147.0
33.4
4.8
Total:
SrcIf
SrcIPaddress
Port Msk AS
Et0/0.1
10.251.138.218
0015 /0
0
Packets Bytes
DstIf
DstIPaddress
Port Msk AS
NextHop
Et1/0.1
172.16.10.2
0015 /0
MAC: (VLAN id) aaaa.bbbb.cc03
Packets Active(Sec) Idle(Sec)
0
(005)
06 80
0.0.0.0
aaaa.bbbb.cc06
(006)
840
Min plen:
840
Max plen:
Min TTL:
59
Max TTL:
IP id:
Pr TOS Flgs
Pkts
B/Pk
Active
00
65
840
10.8
59
0
Configurar el soporte NBAR para las exportaciones de NetFlow
Realice esta tarea de exportar los datos NBAR al colector NetFlow.
Prerrequisitos
Usted debe habilitar la versión 9 del Netflow y el NBAR antes de que usted configure la exportación de datos NBAR.
Usted debe agregar y configurar los campos siguientes NetFlow de Cisco al software del colector para identificar el flujo
exportados por la característica de la exportación de datos NBAR:
•
campo del app_id como número entero con NumericID de 95
•
campo del app_name como cadena de UTF-8 con NumericID de 96
•
campo del sub_app_id como número entero con NumericID de 97
•
campo del biflowDirection como número entero con NumericID de 239
Observe el campo del biflowDirection proporciona la información sobre el host que inicia la sesión. Los tamaños
de este campo son un byte. El RFC 5103 proporciona los detalles para usar este campo.
Restricciones
El soporte NBAR se puede configurar solamente con el formato de la versión 9 del Netflow. Si usted intenta configurar la
exportación de datos NBAR con otras versiones, el mensaje de error siguiente aparece:
1d00h: %FLOW : Export version 9 not enabled
La exportación de datos NBAR no utiliza los parámetros del envejecimiento del Netflow.
PASOS SUMARIOS
1. enable
2. configure terminal
3. ip flow-export version
4. ip flow-capture nbar
5. ip flow-export template options nbar
6. exit
7. show ip flow export nbar
8. clear ip flow stats nbar
PASOS DETALLADOS
Paso
1
enable
Example:
Router> enable
Paso
2
configure terminal
Paso
3
ip flow-export version 9
Paso
4
ip flow-capture nbar
Paso
5
ip flow-export template
options nbar
Habilita el modo EXEC privilegiado.
• Ingrese su contraseña si se le pide que
lo haga.
Ingresa en el modo de configuración global.
Example:
Router# configure terminal
Example:
Router(config)# ip flowcapture version 9
Example:
Router(config)# ip flowcapture nbar
Permite al formato de la versión 9 para
exportar las entradas del caché de NetFlow.
Le permite para capturar los datos NBAR en
los expedientes de la exportación de NetFlow.
Exporta la información de mapeo de la
aplicación al colector de datos de NetFlow.
Example:
Router(config)# ip flow-export
template options nbar
Paso
6
exit
Paso
7
show ip flow export nbar
Paso
8
clear ip flow stats nbar
Sale del modo de configuración global.
Example:
Router(config)# exit
Example:
Router # show ip flow export
nbar
Example:
Router# clear ip flow stats
nbar
Expedientes (opcionales) de la exportación de
las visualizaciones NBAR.
(Opcional) borra las estadísticas de la
Contabilización de Netflow para el NBAR.
Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports
Esta sección proporciona los siguientes ejemplos de configuración:
• Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado:
Ejemplo:
• Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP
Simulado: Ejemplo:
Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP
Simulado: Ejemplo:
El siguiente ejemplo muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para descubrir si la red
está siendo atacada por un host que envía tráfico FTP falso en un intento de desbordar el servidor FTP. Este ataque podría
hacer que los usuarios finales vean una degradación en la capacidad del servidor FTP para aceptar nuevas conexiones o para
dar servicio a las conexiones existentes.
Este ejemplo utiliza la red mostrada en el cuadro 7. host A está enviando los paquetes FTP falsos al servidor FTP.
Este ejemplo también muestra cómo utilizar los datos de la Capa 2 capturados la función NetFlow Layer 2 and Security
Monitoring Exports para conocer dónde se está originando el tráfico y qué trayectoria está tomando la red.
Figura 7 Prueba de Red
La extremidad no pierde de vista las direcciones MAC y los IP Addresses de los dispositivos en su red. Puedes utilizarlos
para analizar los ataques y solucionar problemas.
Observeeste ejemplo no incluye ip flow-capture icmp el comando, que captura el valor de los campos del tipo y del código
ICMP. El uso ip flow-capture icmp del comando se describe en “configurar y con el Netflow acode 2 y las exportaciones del
monitoreo de la seguridad para analizar un ataque simulado del ping de ICMP: Ejemplo.”
R2
!
hostname R2
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc02
ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc03
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 5
ip address 172.16.6.1 255.255.255.0
!
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
R3
!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc04
no ip address
!
interface Ethernet0/0.1
encapsulation dot1Q 5
ip address 172.16.6.2 255.255.255.0
ip accounting output-packets
ip flow ingress
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc05
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.1 255.255.255.0
ip accounting output-packets
ip flow egress
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
R4
!
hostname R4
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc07
ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc06
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.2 255.255.255.0
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
show ip cache verbose flow El comando visualiza los flujos del Netflow que se han capturado del tráfico FTP que el host A
está enviando.
Los campos que tienen los valores capturados por ip flow-capture el comando están en el cuadro 9. Éstos son los campos y
los valores que se utilizan para analizar el tráfico en este ejemplo. Los otros campos capturados por show ip cache verbose
flow el comando se explican en el cuadro 6, el cuadro 7, y el cuadro 8.
R3# show ip cache verbose flow
IP packet size distribution (3596 total packets):
1-32
64
96
128
160
192
224
256
288
320
352
384
416
448
480
.000 .003 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512
544
576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .995 .000 .000 .000 .000 .000 .000 .000
La salida anterior muestra la distribución del porcentaje de los paquetes por tamaño. En esta visualización, el 99,5 por ciento de
los paquetes baja en la gama de tallas 1024-byte, y la caída del 0,3 por ciento en el rango 64-byte.
La siguiente sección de la salida se puede dividir en cuatro porciones. La sección y la tabla correspondientes a cada uno son las
siguientes:
•
Descripciones del campo en la sección del caché de NetFlow de la salida (cuadro 6)
•
Descripciones del campo en la actividad por la sección de protocolo de la salida (cuadro 7)
•
Descripciones del campo en la sección del expediente del Netflow de la salida (cuadro 8)
• Capa 2 del Netflow y campos de las exportaciones del monitoreo de la seguridad en la sección del expediente del
Netflow de la salida (cuadro 9)
IP Flow Switching Cache, 278544 bytes
5 active, 4091 inactive, 25 added
719 ager polls, 0 flow alloc failures
Active flows timeout in 1 minutes
Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
10 active, 1014 inactive, 64 added, 25 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol
Total
Flows
--------
Flows
/Sec
/Flow
/Pkt
/Sec
/Flow
/Flow
TCP-FTP
5
0.0
429
840
6.6
58.1
1.8
Total:
5
0.0
129
835
6.6
17.6
7.9
SrcIf
SrcIPaddress
Port Msk AS
Et0/0.1
0015 /0
10.132.221.111
0
Packets Bytes
DstIf
DstIPaddress
Port Msk AS
NextHop
Et1/0.1
172.16.10.2
0015 /0
MAC: (VLAN id) aaaa.bbbb.cc03
Packets Active(Sec) Idle(Sec)
0
(005)
aaaa.bbbb.cc06
(006)
840
840
Max plen:
Min TTL:
59
Max TTL:
10.251.138.218
0
Et1/0.1
0015 /0
MAC: (VLAN id) aaaa.bbbb.cc03
172.16.10.2
0
(005)
(006)
840
Max plen:
Min TTL:
59
Max TTL:
IP id:
06 80
aaaa.bbbb.cc06
840
Active
00
198
840
41.2
00
198
840
41.2
00
203
840
42.2
59
0
Et0/0.1
10.10.12.1
0
Et1/0.1
0015 /0
MAC: (VLAN id) aaaa.bbbb.cc03
(005)
172.16.10.2
0
aaaa.bbbb.cc06
(006)
840
840
Max plen:
Min TTL:
59
Max TTL:
0
06 80
0.0.0.0
Min plen:
IP id:
B/Pk
59
0.0.0.0
Min plen:
0015 /0
Pkts
0
Et0/0.1
0015 /0
06 80
0.0.0.0
Min plen:
IP id:
Pr TOS Flgs
59
Et0/0.1
0015 /0
10.231.185.254
0
Et1/0.1
0015 /0
MAC: (VLAN id) aaaa.bbbb.cc03
172.16.10.2
0
(005)
0.0.0.0
aaaa.bbbb.cc06
(006)
840
Min plen:
840
Max plen:
Min TTL:
59
Max TTL:
IP id:
00
203
840
42.2
00
203
840
42.2
59
0
Et0/0.1
0015 /0
06 80
10.71.200.138
0
Et1/0.1
0015 /0
MAC: (VLAN id) aaaa.bbbb.cc03
(005)
172.16.10.2
0
0.0.0.0
aaaa.bbbb.cc06
(006)
840
Min plen:
840
Max plen:
Min TTL:
59
Max TTL:
IP id:
06 80
59
0
R3#
El cuadro 6 describe los campos significativos mostrados en la sección del caché de NetFlow de la salida.
Campo
Descripción
bytes
Número de bytes de memoria usados por la memoria caché de NetFlow.
activo
Número de flujos activos en la memoria caché de NetFlow cuando se ingresó este
comando.
desactivado
Número de buffers de flujo que se han asignado en la memoria caché de NetFlow
pero que no se asignaron a un flujo específico cuando se ingresó este comando.
agregado
Número de flujos creados desde el comienzo del periodo de resumen.
sondeo de ager Cantidad de veces el código del Netflow causado las entradas a expirar (utilizado
por los ingenieros de servicio técnico del cliente de Cisco (CSE) para los objetivos
de hacer un diagnóstico).
flow alloc
failures
Número de veces que el código de NetFlow ha intentado asignar un flujo pero no lo
ha conseguido.
última limpieza El período de tiempo transcurrido desde que el comando de EXEC privilegiado
de estadísticas clear ip flow stats se ejecutó por última vez. Formato de salida de tiempo estándar
con horas, minutos y segundos (hh: milímetro: ss) se utiliza para un período de
tiempo inferior a 24 horas. Esta salida de tiempo cambia a horas y días después de
que el tiempo se exceda 24 horas.
El cuadro 7 describe los campos significativos mostrados en la actividad por la sección de protocolo de la salida.
Campo
Descripción
Protocolo
Protocolo IP y el número de puerto conocido. (Refiérase a http://www.iana.org,
Protocol Assignment Number Services, para conocer los últimos valores de RFC.)
Se visualizala nota solamente un pequeño subconjunto de todos los
protocolos.
Flujos del total
Número de flujos de este protocolo desde la última vez se despejaron las
estadísticas.
Flujos/Sec
Número medio de flujos para este protocolo por segundo; igual al número total de
flujos dividido entre el número de segundos de este período de resumen.
Paquetes/flujo
Número medio de paquetes para los flujos de este protocolo; igual a los paquetes
totales para este protocolo dividido entre el número de flujos para este protocolo
durante este período de resumen.
Bytes/Pkt
Número medio de bytes para los paquetes de este protocolo; igual a los bytes
totales para este protocolo divididos entre el número total de paquetes para este
protocolo durante este período de resumen.
Paquetes/seg.
Número medio de paquetes para este protocolo por segundo; igual al número total
de paquetes para este protocolo dividido entre el número de segundos de este
período de resumen.
Active(Sec)/flujo Número de segundos desde el primer paquete al último paquete en un flujo
caducado dividido por el número de flujos totales de este protocolo en este período
de resumen.
Idle(Sec)/flujo
El número de segundos observados del paquete más reciente de cada flujo
nonexpired para este protocolo hasta el tiempo en el cual show ip cache verbose
flow el comando fue ingresado dividió por el número total de flujos para este
protocolo para este periodo de resumen.
El cuadro 8 describe los campos significativos en la sección del expediente del Netflow de la salida.
Campo
Descripción
SrcIf
Interfaz en la que se recibió el paquete.
Port Msk AS Número del puerto de origen (mostrado en formato hexadecimal), máscara de la
dirección IP y número del sistema autónomo. Se establece siempre en 0 en los flujos
MPLS.
SrcIPaddress Ésta es la dirección IP de origen del tráfico en los cinco flujos. El tráfico está utilizando
cinco diversos IP Source Address
DstIf
•
10.132.221.111
•
10.251.138.218
•
10.10.12.1
•
10.231.185.254
•
10.71.200.138
Interface from which the packet was transmitted.
Observesi un asterisco (*) sigue inmediatamente el campo de DstIf, el flujo que
es mostrado es un flujo de la salida.
Port Msk AS Número del puerto de origen (mostrado en formato hexadecimal), máscara de la
dirección IP y número del sistema autónomo. El valor de este campo se fija siempre a
0 en los flujos del Multiprotocol Label Switching (MPLS).
DstIPaddress Es la dirección IP de destino del tráfico.
La nota172.17.10.2 es la dirección IP del servidor FTP.
NextHop
La dirección del salto siguiente del Border Gateway Protocol (BGP). Se establece
siempre en 0 en los flujos MPLS.
Banda
Número de puerto "conocido" del protocolo IP, mostrado en formato hexadecimal.
(Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer
los últimos valores de RFC.)
ToS
Tipo de servicio, mostrado en formato hexadecimal.
B/Pk
Cantidad media de bytes observados de los paquetes vistos de este flujo.
Flgs
Indicadores TCP, mostrados en formato hexadecimal. Este valor es el resultado de la
aplicación de la operación lógica bitwise OR a los indicadores TCP de todos los
paquetes del flujo.
Pkts
Número de paquetes de este flujo.
Activo
Tiempo que el flujo ha estado activo.
El cuadro 9 describe los campos y los valores para la Clasificación de tráfico del Netflow y los campos de identificación para el
Netflow registran la sección de la salida.
Campo
Descripción
MAC
Éstas son las direcciones MAC de origen y destino del tráfico. La dirección MAC de
origen y de destino se lee de izquierda a derecha en la salida.
•
El tráfico se está recibiendo desde la dirección MAC aaa.bbb.cc03.
Observeesta dirección MAC es la interfaz 1/0.1 en el r2 del router.
•
El tráfico se está transmitiendo a la dirección MAC aaa.bbb.cc06.
Observeesta dirección MAC es la interfaz 1/0.1 en el router R4.
ID de
VLAN
Min plen
Éstos son los IDs de VLAN de origen y destino. Los IDs de VLAN de origen y destino se
leen de izquierda a derecha en la salida.
•
El tráfico se está recibiendo desde VLAN 5.
•
El tráfico se está transmitiendo a VLAN 6.
Ésta es la Longitud del paquete mínima para los paquetes capturados en los cinco flujos.
El valor actual es 840.
Max plen
Ésta es la longitud máxima de paquetes para los paquetes capturados en los cinco flujos.
El valor actual es 840.
TTL
Mínimo
Éste es el Tiempo para vivir mínimo (TTL) para los paquetes capturados en los cinco
flujos.
El valor actual es 59.
TTL
máximo
Éste es TTL máximo para los paquetes capturados en los cinco flujos.
ID de IP
Éste es el campo del identificador IP para el tráfico en los cinco flujos.
El valor actual es 59.
El valor actual es 0.
El hecho de que la capa 3 TTL, el identificador, y los campos de la Longitud del paquete en los cinco flujos tengan los mismos
valores es una buena indicación que este tráfico es un ataque DOS. Si estos datos hubieran sido capturados del tráfico real, los
valores serían típicamente diferentes. El hecho de que los cinco de estos flujos tengan un valor de TTL de 59 indica que este
tráfico está originando de las puntas que son la misma distancia lejos del R3. El tráfico del usuario real estaría llegando
normalmente de muchas diversas distancias lejos; por lo tanto los valores de TTL serían diferentes.
Si este tráfico se identifica como ataque DOS (basado en los datos capturados en la capa 3 coloca), usted puede utilizar la
información de la capa 2 en los flujos para identificar la trayectoria que el tráfico está tomando a través de la red. En este
ejemplo, el tráfico se está enviando al R3 en la VLAN 5 por parte del R2. Puede demostrar que el R2 está transmitiendo el
tráfico sobre la interfaz 1/0.1 porque la dirección MAC de origen (aaaa.bbb.cc03) pertenece a 1/0.1 en el R2. Usted puede
identificar que el R3 está transmitiendo el tráfico usando el VLA N 6 en la interfaz 1/0.1 para interconectar 1/0.1 en el R4 porque
la dirección MAC del destino (aaaa.bbbb.cc06) pertenece para interconectar 1/0.1 en el R4.
Usted puede utilizar esta información para desarrollar un plan para atenuar este ataque. Una manera posible de atenuar este
ataque está configurando una lista de acceso IP ampliado que bloquee el tráfico FTP de cualquier host con una dirección de
origen que esté en la red de 10.0.0.0. Otra solución posible es configurar una ruta predeterminado para la red 10.0.0.0 que
apunte a la interfaz nula en el router.
Advierta cada uno de tráfico de estos bloques de las soluciones de los hosts legítimos en la red de 10.0.0.0. Por lo tanto
estas soluciones solamente se deben utilizar de forma temporal mientras se identifica el punto de origen del ataque y
se decide cómo detenerlo allí.
Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP
Simulado: Ejemplo:
El ejemplo siguiente muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para saber que la red
está siendo atacada por tráfico ICMP. Utiliza la red mostrada en el cuadro 7. host A está enviando los paquetes muy grandes
del ping de ICMP al servidor FTP.
R2
!
hostname R2
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc02
ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc03
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 5
ip address 172.16.6.1 255.255.255.0
!
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
R3
!
hostname R3
!
ip flow-capture fragment-offset
ip flow-capture packet-length
ip flow-capture ttl
ip flow-capture vlan-id
ip flow-capture icmp
ip flow-capture ip-id
ip flow-capture mac-addresses
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc04
no ip address
!
interface Ethernet0/0.1
encapsulation dot1Q 5
ip address 172.16.6.2 255.255.255.0
ip accounting output-packets
ip flow ingress
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc05
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.1 255.255.255.0
ip accounting output-packets
ip flow egress
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
R4
!
hostname R4
!
interface Ethernet0/0
mac-address aaaa.bbbb.cc07
ip address 172.16.10.1 255.255.255.0
!
interface Ethernet1/0
mac-address aaaa.bbbb.cc06
no ip address
!
interface Ethernet1/0.1
encapsulation dot1Q 6
ip address 172.16.7.2 255.255.255.0
!
router rip
version 2
network 172.16.0.0
no auto-summary
!
show ip cache verbose flow El comando visualiza los flujos del Netflow que se han capturado del tráfico ICMP que el host A
está enviando.
Los campos que tienen sus valores capturados por ip flow-capture el comando se explican en el cuadro 13. Éstos son los
campos y los valores que se utilizan para analizar el tráfico en este ejemplo. Los otros campos capturados por show ip cache
verbose flow el comando se explican en el cuadro 10, el cuadro 11 y el cuadro 12.
R3# show ip cache verbose flow
IP packet size distribution (5344 total packets):
1-32
64
96
128
160
192
224
256
288
320
352
384
416
448
480
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512
544
576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .166 .832 .000 .000 .000 .000 .000 .000
La salida anterior muestra la distribución del porcentaje de los paquetes por tamaño. En esta visualización, el 16,6 por ciento de
los paquetes baja en la caída de la gama de tallas 1024-byte y del 83,2 por ciento en el rango 1536-byte.
La siguiente sección de la salida se puede dividir en cuatro secciones. La sección y la tabla correspondientes a cada uno son
las siguientes:
•
Descripciones del campo en la sección del caché de NetFlow de la salida (cuadro 10)
•
Descripciones del campo en la actividad por la sección de protocolo de la salida (cuadro 11)
•
Descripciones del campo en la sección del expediente del Netflow de la salida (cuadro 12)
• Capa 2 del Netflow y campos de las exportaciones del monitoreo de la seguridad en la sección del expediente del
Netflow de la salida (cuadro 13)
IP Flow Switching Cache, 278544 bytes
3 active, 4093 inactive, 7 added
91 ager polls, 0 flow alloc failures
Active flows timeout in 1 minutes
Inactive flows timeout in 10 seconds
IP Sub Flow Cache, 25736 bytes
7 active, 1017 inactive, 17 added, 7 added to flow
0 alloc failures, 0 force free
1 chunk, 0 chunks added
last clearing of statistics 00:01:13
Protocol
Total
Flows
--------
Flows
/Sec
/Flow
/Pkt
/Sec
/Flow
/Flow
ICMP
2
0.0
1500
1378
42.8
11.4
10.9
Total:
2
0.0
600
1378
42.9
11.5
10.8
SrcIf
SrcIPaddress
Packets Bytes
DstIf
Packets Active(Sec) Idle(Sec)
DstIPaddress
Pr TOS Flgs
Pkts
Port Msk AS
Et0/0.1
0000 /0
10.106.1.1
0
Min plen:
Et1/0.1
172.16.10.2
0
(005)
59
ICMP type:
8
01 00
0.0.0.0
aaaa.bbbb.cc06
1500
Min TTL:
Max plen:
B/Pk
Active
10
391
1500
8.6
00
1950
1354
8.6
(006)
1500
Max TTL:
59
ICMP code:
0
13499
Et0/0.1
0000 /0
NextHop
0800 /0
MAC: (VLAN id) aaaa.bbbb.cc03
IP id:
Port Msk AS
10.106.1.1
Et1/0.1
0
0000 /0
MAC: (VLAN id) aaaa.bbbb.cc03
Min plen:
(005)
772
172.16.10.2
0
01 00
0.0.0.0
aaaa.bbbb.cc06
(006)
Max plen:
1500
Min TTL:
59
Max TTL:
59
ICMP type:
0
ICMP code:
0
IP id:
13499
FO:
185
R3#
El cuadro 10 describe los campos significativos mostrados en las líneas del caché de NetFlow de la salida.
Campo
Descripción
bytes
Número de bytes de memoria usados por la memoria caché de NetFlow.
activo
Número de flujos activos en la memoria caché de NetFlow cuando se ingresó este
comando.
desactivado
Número de buffers de flujo que se han asignado en la memoria caché de NetFlow
pero que no se asignaron a un flujo específico cuando se ingresó este comando.
agregado
Número de flujos creados desde el comienzo del periodo de resumen.
sondeo de ager Cantidad de veces el código del Netflow causado las entradas a expirar (utilizado
por los ingenieros de servicio técnico del cliente de Cisco (CSE) para los objetivos
de hacer un diagnóstico).
flow alloc
failures
Número de veces que el código de NetFlow ha intentado asignar un flujo pero no lo
ha conseguido.
última limpieza El período de tiempo transcurrido desde que el comando de EXEC privilegiado
de estadísticas clear ip flow stats se ejecutó por última vez. Formato de salida de tiempo estándar
con horas, minutos y segundos (hh: milímetro: ss) se utiliza para un período de
tiempo inferior a 24 horas. Esta salida de tiempo cambia a horas y días después de
que el tiempo se exceda 24 horas.
El cuadro 11 describe los campos significativos mostrados en la actividad por las líneas del protocolo de la salida.
Campo
Descripción
Protocolo
Protocolo IP y el número de puerto conocido. (Refiérase a http://www.iana.org,
Protocol Assignment Number Services, para conocer los últimos valores de RFC.)
Se visualizala nota solamente un pequeño subconjunto de todos los
protocolos.
Flujos del total
Número de flujos de este protocolo desde la última vez se despejaron las
estadísticas.
Flujos/Sec
Número medio de flujos para este protocolo por segundo; igual al número total de
flujos dividido entre el número de segundos de este período de resumen.
Paquetes/flujo
Número medio de paquetes para los flujos de este protocolo; igual a los paquetes
totales para este protocolo dividido entre el número de flujos para este protocolo
durante este período de resumen.
Bytes/Pkt
Número medio de bytes para los paquetes de este protocolo; igual a los bytes
totales para este protocolo divididos entre el número total de paquetes para este
protocolo durante este período de resumen.
Paquetes/seg.
Número medio de paquetes para este protocolo por segundo; igual al número total
de paquetes para este protocolo dividido entre el número de segundos de este
período de resumen.
Active(Sec)/flujo El número de segundos del primer paquete al paquete más reciente de un flujo
expirado dividió por el número total de flujos para este protocolo para este periodo
de resumen.
Idle(Sec)/flujo
El número de segundos observados del paquete más reciente de cada flujo
nonexpired para este protocolo hasta el tiempo en el cual show ip cache verbose
flow el comando fue ingresado dividió por el número total de flujos para este
protocolo para este periodo de resumen.
El cuadro 12 describe los campos significativos en las líneas del expediente del Netflow de la salida.
Campo
Descripción
SrcIf
Interfaz en la que se recibió el paquete.
Port Msk AS Número del puerto de origen (mostrado en formato hexadecimal), máscara de la
dirección IP y número del sistema autónomo. En los flujos MPLS el valor de este
campo siempre se establece en 0.
SrcIPaddress Dirección IP del dispositivo que transmitió el paquete. El host de envío está utilizando
10.106.1.1 como la dirección IP de origen.
DstIf
Interface from which the packet was transmitted.
Observesi un asterisco (*) sigue inmediatamente el campo de DstIf, el flujo que
es mostrado es un flujo de la salida.
Port Msk AS Máscara del número de puerto de destino (visualizado en el formato hexadecimal), de
la dirección IP, y sistema autónomo. Se establece siempre en 0 en los flujos MPLS.
DstIPaddress Dirección IP del dispositivo de destino.
NextHop
La dirección de siguiente salto de BGP. Se establece siempre en 0 en los flujos
MPLS.
Banda
Número de puerto "conocido" del protocolo IP, mostrado en formato hexadecimal.
(Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer
los últimos valores de RFC.)
ToS
Tipo de servicio, mostrado en formato hexadecimal.
B/Pk
Cantidad media de bytes observados de los paquetes vistos de este flujo.
Flgs
Indicadores TCP, mostrados en formato hexadecimal. Este valor es el resultado de la
aplicación de la operación lógica bitwise OR a los indicadores TCP de todos los
paquetes del flujo.
Pkts
Número de paquetes de este flujo.
Activo
Tiempo que el flujo ha estado activo.
El cuadro 13 describe los campos y los valores para la Clasificación de tráfico del Netflow y los campos de identificación para el
Netflow registran las líneas de la salida.
Campo
Descripción
MAC
Éstas son las direcciones MAC de origen y destino del tráfico. La dirección MAC de
origen y de destino se lee de izquierda a derecha en la salida.
•
El tráfico se está recibiendo desde la dirección MAC aaa.bbb.cc03.
Observeesta dirección MAC es la interfaz 1/0.1 en el r2 del router.
•
El tráfico se está transmitiendo a la dirección MAC aaa.bbb.cc06.
Observeesta dirección MAC es la interfaz 1/0.1 en el router R4.
ID de
VLAN
Min plen
Éstos son los IDs de VLAN de origen y destino. Los IDs de VLAN de origen y destino se
leen de izquierda a derecha en la salida.
•
El tráfico se está recibiendo desde VLAN 5.
•
El tráfico se está transmitiendo a VLAN 6.
Ésta es la Longitud del paquete mínima para los paquetes capturados en los dos flujos.
El valor actual para el primer flujo es 1500.
El valor actual para el segundo flujo es 772.
Max plen
Ésta es la longitud máxima de paquetes para los paquetes capturados en los dos flujos.
El valor actual para el primer flujo es 1500.
El valor actual para el segundo flujo es 1500.
TTL
Mínimo
Éste es el Tiempo para vivir mínimo (TTL) para los paquetes capturados en los dos
flujos.
El valor actual es 59.
TTL
máximo
Éste es TTL máximo para los paquetes capturados en los dos flujos.
ID de IP
Éste es el campo del identificador IP para el tráfico en los flujos. El valor actual es 13499
para los dos flujos.
El valor actual es 59.
Tipo ICMP Éste es el campo del tipo del Internet Control Message Protocol (ICMP) del datagrama
ICMP capturado en el primer flujo.
El valor es: 8
Código
ICMP
Éste es el campo del código ICMP del datagrama ICMP capturado en el segundo flujo.
FO
Éste es el valor del campo del desplazamiento del fragmento del primer datagrama
fragmentado en el segundo flujo.
El valor es: 0
El valor es: 185
Hay dos flujos ICMP mostrados en la salida. Usted puede decir que son del mismo datagrama ICMP porque tienen el mismo
valor de campo IP ID de 13499. Cuando dos flujos ICMP tienen el mismo valor IP ID, el datagrama ICMP que era analizado se
ha hecho fragmentos. El primer flujo tiene el campo definido del tipo ICMP a 8, que indica que esto es un datagrama del pedido
de eco ICMP (ping). El valor de 185 en el campo del desplazamiento del fragmento (FO) en el segundo flujo muestra adonde
este fragmento será puesto en la memoria intermedia del servidor FTP como el servidor vuelve a montar el datagrama ICMP. El
valor de 185 es aplicable solamente al primer fragmento de este datagrama. Los valores subsiguientes serán mayores porque
tienen en cuenta los fragmentos anteriores.
El valor de 0 en el campo del tipo ICMP del segundo flujo no significa que este flujo es una respuesta de eco ICMP como
demostraciones del cuadro 2. En este caso el valor de campo del tipo ICMP se fija a 0 porque los encabezados ICMP para los
fragmentos de los datagramas ICMP no tienen los campos del tipo y del código. El valor predeterminado de 0 se inserta en
lugar de otro.
Observesi estos datos fueran capturados de un ataque real ICMP, tendría probablemente más de un flujo.
Aunque, usted no pueda descubrir los tamaños originales del datagrama ICMP de la información mostrada por show ip cache
verbose flow, el hecho de que fuera bastante grande ser hecho fragmentos adentro transita es una buena indicación que esto
no es un datagrama normal ICMP. Note los valores en los campos del mínimo y de la longitud máxima de paquetes para ambos
flujos. Los valores para ambos campos se fijan a 1500 para el primer flujo. El valor para la Longitud del paquete mínima se fija a
772 y el valor para la longitud máxima de paquetes se fija a 1500 para el segundo flujo.
Si este tráfico se identifica como ataque DOS basado en los datos capturados en los campos de la capa 3, usted puede utilizar
la información de la capa 2 en los flujos para identificar la trayectoria que el tráfico está tomando a través de la red. En este
ejemplo, el tráfico se está enviando al R3 en la VLAN 5 por parte del R2. Puede demostrar que el R2 está transmitiendo el
tráfico sobre la interfaz 1/0.1 porque la dirección MAC de origen (aaaa.bbb.cc03) pertenece a 1/0.1 en el R2. Puede demostrar
que R3 está transmitiendo el tráfico con VLAN 6 en la interfaz 1/0.1 a la interfaz 1/0.1 de R4, ya que la dirección MAC de
destino (aaaa.bbbb.cc06) pertenece a la interfaz 1/0.1 do R4.
Se puede utilizar esta información para atenuar este ataque. Una manera posible de atenuar este ataque está configurando una
lista de acceso IP ampliado que bloquee el tráfico ICMP de cualquier host con una dirección de origen que esté en la red de
10.0.0.0. Otra solución posible es configurar una ruta predeterminado para la red 10.0.0.0 que apunte a la interfaz nula en el
router.
Advierta cada uno de tráfico de estos bloques de las soluciones de los hosts legítimos en la red de 10.0.0.0. Por lo tanto
estas soluciones se deben utilizar solamente temporalmente mientras que usted identifica el punto de origen del
ataque y deciden a cómo pararlo allí.
Configurar el soporte NBAR para las exportaciones de NetFlow: Ejemplo:
Las demostraciones del siguiente ejemplo cómo configurar el soporte NBAR para las exportaciones de NetFlow:
Router(config)# ip flow-export version 9
Router(config)# ip flow-capture nbar
Router(config)# ip flow-export template options nbar
Router# exit
El siguiente ejemplo muestra la salida de muestra show ip flow export nbar del comando:
Router # show ip flow export nbar
Nbar netflow is enabled
10 nbar flows exported
0 nbar flows failed to export due to lack of internal buffers
El siguiente ejemplo muestra cómo borrar los datos NBAR de las estadísticas de la Contabilización de Netflow:
Router # clear ip flow stats nbar
Referencias adicionales
Las secciones siguientes proporcionan referencias relacionadas con NetFlow Layer 2 and Security Monitoring Exports.
Documentos Relacionados
Tema relacionado
Título del documento
Descripción General de NetFlow de Cisco IOS
Descripción General de NetFlow de Cisco IOS
Lista de las características documentadas en el título Mapa de Ruta de Funciones de NetFlow de
del libro
Cisco IOS
Descripción del NBAR
Clasificar el tráfico de la red usando el NBAR
Configurar el NBAR
Configurar el NBAR usando el MQC
Configurar el NBAR usando el descubrimiento del
protocolo
Habilitar el descubrimiento del protocolo
Comandos del Netflow
Referencia de comandos del Cisco IOS
NetFlow
Información para instalar, iniciar y configurar el CNS
NetFlow Collection Engine
Documentación del motor de la colección del
Netflow del Cisco CNS
Estándares
Estándares
Título
No hay estándares nuevos o modificados asociados a esta función
—
MIB
MIB
Link del MIB
Hay MIB no nuevo o Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y
modificado asociado a conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se
esta característica
encuentra en la siguiente URL:
http://www.cisco.com/cisco/web/LA/support/index.html
RFC
RFC Título
5103 Exportación del flujo bidireccional usando la exportación de la información de flujo IP (IPFIX)
Asistencia Técnica
Descripción
Link
El sitio Web del Soporte técnico de Cisco
http://www.cisco.com/cisco/web/LA/support/index.html
dispone de miles de páginas de contenido
técnico que se puede buscar, incluidos links a
productos, tecnologías, soluciones, consejos
técnicos y herramientas. Los usuarios
registrados de cisco.com pueden iniciar
sesión desde esta página para acceder a
otros contenidos.
Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la
seguridad
El cuadro 14 enumera las características en este módulo y proporciona los links a la información de la configuración específica.
Solamente las características que fueron introducidas o modificadas en el Cisco IOS Releases12.2(1) o 12.0(3)S o una versión
posterior aparecen en la tabla.
Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para obtener información
detallada sobre cuándo se insertó el soporte para un comando específico, vea la documentación de referencia de comandos.
Para la información sobre una característica en esta tecnología que no se documente aquí, vea el mapa de ruta de las
características del Cisco IOS NetFlow.
Las imágenes de Cisco IOS Software son específicas de una Cisco IOS Software Release, un conjunto de funciones y una
plataforma. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas e imágenes de Cisco IOS
Software. Acceda el Cisco Feature Navigator en http://www.cisco.com/cisco/web/LA/support/index.html. Debe tener una cuenta
en Cisco.com. Si no dispone de una cuenta o ha olvidado el nombre de usuario o la contraseña, haga clic en Cancel en el
cuadro de diálogo de login y siga las instrucciones que aparecen.
Observelas listas del cuadro 14 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica
dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de
dicha serie de versiones de software de Cisco IOS también soportan esa función.
Nombre de la función
Versiones
Información de la Configuración de la
Función
Capa 2 de NetFlow y Exportaciones de 12.3(14)T
La capa 2 del Netflow y el monitoreo de la
Monitoreo de Seguridad
12.2(33)SRA seguridad exporta la característica habilita la
captura de los valores de los campos en la
capa 2 y la capa 3 de tráfico IP para el
análisis el considerar y de Seguridad.
Las secciones siguientes proporcionan
información acerca de esta función:
• NetFlow Layer 2 and Security
Monitoring
• Configuración de la Capa 2 de
NetFlow y las Exportaciones de
Monitoreo de Seguridad
• Verificación de NetFlow Layer 2 and
Security Monitoring Exports
Los siguientes comandos fueron
modificados por esta función: ip flowcapture, ip flow-export y show ip cache
verbose flow.
Soporte para capturar el valor del
campo del desplazamiento del
fragmento de las encabezados IP
agregadas a la capa 2 del Netflow y a
las exportaciones1 del monitoreo de la
seguridad
12.4(2)T
fragment-offset La palabra clave para ip
flow-capture los permisos del comando
que capturan el valor del campo de
desplazamiento del fragmento IP del primer
IP datagram hecho fragmentos en un flujo.
Netflow que reconoce la aplicación
12.2(18)ZYA2 El NetFlow feature que reconoce la
aplicación habilita la captura de la
Información de la aplicación recogida por
PISA NBAR y exportaciones usando la
versión 9 del Netflow.
Las secciones siguientes proporcionan
información acerca de esta función:
•
Exportación de datos NBAR
• Configurar el soporte NBAR para las
exportaciones de NetFlow
Los siguientes comandos fueron
modificados por esta función: ip flowcapture ip flow-export template options
show ip flow export, y clear ip flow stats.
1 esto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator.
Glosario
paquete de exportación: un tipo de paquete creado por un dispositivo (por ejemplo, un router) con los servicios de NetFlow
habilitados. El paquete se dirige a otro dispositivo (por ejemplo, NetFlow Collection Engine). El paquete contiene estadísticas de
NetFlow. El otro dispositivo procesa el paquete (analiza, agrega y almacena la información de los flujos de IP).
flujo: conjunto de paquetes con los mismos ajustes de dirección IP de origen, dirección IP de destino, protocolo, puertos de
origen y destino y tipo de servicio y la misma interfaz en la que se monitorea el flujo. Los flujos de entrada se asocian a la
interfaz de entrada, y los flujos de salida se asocian a la interfaz de salida.
NBAR — Un motor de clasificación en Cisco IOS Software que reconoce una amplia variedad de aplicaciones, incluyendo
basado en web y el cliente/las aplicaciones del servidor.
NetFlow: Función de contabilización de Cisco IOS que mantiene la información por flujo.
Agregación del Netflow — Un NetFlow feature que le deja resumir los datos de exportación de NetFlow en un router del Cisco
IOS antes de que los datos se exporten a un sistema de la recolección de datos de NetFlow tal como el motor de la colección
del Netflow. Esta función disminuye los requisitos de ancho de banda de los datos de exportación de NetFlow y reduce los
requisitos de plataforma para los dispositivos de recopilación de datos de NetFlow.
NetFlow Collection Engine (antes NetFlow FlowCollector): Aplicación de Cisco que se utiliza con NetFlow en Cisco Routers y
Catalyst Series Switches. NetFlow Collection Engine recopila los paquetes del router que ejecuta NetFlow y los decodifica,
agrega y almacena. Puede generar informes de diversas agregaciones que se pueden configurar en NetFlow Collection Engine.
Netflow v9: versión 9 del formato de exportación de NetFlow. Un medio flexible y extensible para llevar los registros de NetFlow
de un nodo de red a un recolector. La versión 9 de NetFlow tiene tipos de registro definibles y es autodescriptiva para una
configuración más sencilla de NetFlow Collection Engine.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word
partner does not imply a partnership relationship between Cisco and any other company. (1005R)
Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any
examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only.
Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental.
© 2009-2010 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1073/1073897_nf_lay2_sec_mon_exp_ps6922_TSD_Products_Configuration_Guide_Chapter.html
Documentos relacionados
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Desarrollo del mantenimiento de red
Cisco IOS NetFlow: El sistema más completo y eficiente de controlar
Cisco IOS NetFlow: El sistema más completo y eficiente de controlar
Práctica de laboratorio: Recopilación y análisis de datos de NetFlow
Práctica de laboratorio: Recopilación y análisis de datos de NetFlow
Actividad de clase: Elaboración del registro
Actividad de clase: Elaboración del registro
Actividad de clase: Propuesta de trabajo a distancia
Actividad de clase: Propuesta de trabajo a distancia
Descargar
Anuncio
Anuncio