- Ninguna Categoria
Capa 2 de NetFlow y Exportaciones de Monitoreo de
Anuncio
Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad Descargue este capítulo Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad Descargue el libro completo Guía de configuración del Cisco IOS NetFlow, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad Encontrar la información de la característica Contenido Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports Restricciones de NetFlow Layer 2 and Security Monitoring Exports Información sobre NetFlow Layer 2 and Security Monitoring Exports NetFlow Layer 2 and Security Monitoring Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports Exportación de datos NBAR Ventajas de la integración del Netflow NBAR Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad Prerrequisitos Verificación de NetFlow Layer 2 and Security Monitoring Exports Restricciones Configurar el soporte NBAR para las exportaciones de NetFlow Prerrequisitos Restricciones Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo: Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado: Ejemplo: Configurar el soporte NBAR para las exportaciones de NetFlow: Ejemplo: Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad Glosario Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad Primera publicación: De junio el 19 de 2006 Última actualización: De junio el 11 de 2010 La capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad mejora su capacidad de detectar y de analizar las amenazas de la red tales como ataques de la negación de servicio (DOS) aumentando el número de campos de los cuales el Netflow pueda capturar los valores. NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que atraviesan un router. NetFlow es el estándar para adquirir los datos de funcionamiento del IP de las redes IP. NetFlow proporciona monitoreo de red y seguridad, planificación de red, análisis de tráfico y contabilización IP. Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, utilizan la “información de la característica para la capa 2 del Netflow y el monitoreo de la seguridad exporta” la sección. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere. Contenido • Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports • Restricciones de NetFlow Layer 2 and Security Monitoring Exports • Información sobre NetFlow Layer 2 and Security Monitoring Exports • Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports • Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports • Referencias adicionales • Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad • Glosario Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports Antes de que usted configure la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad, usted debe entender la Contabilización de Netflow y cómo configurar a su router para capturar las estadísticas de contabilidad del tráfico IP usando el Netflow. Vea los módulos "Descripción General de NetFlow de Cisco IOS" y "Configuración de NetFlow y NetFlow Data Export" para obtener más detalles. En el sistema deben configurarse NetFlow y Cisco Express Forwarding (CEF), CEF distribuido (dCEF) o fast switching. Restricciones de NetFlow Layer 2 and Security Monitoring Exports Si usted quiere exportar los datos capturados con el Netflow acoda 2 y característica del monitoreo de la seguridad, usted debe configurar el Netflow para utilizar el formato de la exportación de datos de la versión 9 del Netflow. Información sobre NetFlow Layer 2 and Security Monitoring Exports Para configurar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad, usted debe entender los conceptos siguientes: • NetFlow Layer 2 and Security Monitoring • Exportación de datos NBAR NetFlow Layer 2 and Security Monitoring Los campos de la capa 2 y de la capa 3 soportados por la capa 2 del Netflow y el aumento de la característica de las exportaciones del monitoreo de la seguridad la cantidad de información que se puede obtener por el Netflow sobre el tráfico en su red. Puede utilizar esta nueva información para aplicaciones tales como la ingeniería de tráfico y la facturación basada en uso. Los campos del encabezado IP de la capa 3 para los cuales la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad captura los valores son como sigue: • Campo del Tiempo para vivir (TTL) • Campo de la Longitud del paquete • Campo ID • Campos de código y tipo de ICMP • Desplazamiento del fragmento Vea que “la captura de la información de la capa 3 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta” la sección para más información sobre éstos los campos de la capa 3. La capa 2 coloca para qué capa 2 del Netflow y las exportaciones del monitoreo de la seguridad que la característica captura los valores sea como sigue: • Campo de dirección MAC de origen de las tramas que son recibidas por el router Netflow • Campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow • Campo de ID de VLAN de las tramas que recibe el router de NetFlow • Campo de ID de VLAN de las tramas que transmite el router de NetFlow Vea que “la captura de la información de la capa 2 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta” la sección para más información sobre éstos los campos de la capa 2. Los campos de la capa 3 capturados por el Netflow acodan 2 y la característica de las exportaciones del monitoreo de la seguridad mejora las capacidades del Netflow para identificar los ataques DOS. Los campos de la Capa 2 capturados por la función NetFlow Layer 2 and Security Monitoring Exports puede ayudar a identificar la trayectoria que el ataque DoS está tomando a través de la red. Los campos de la capa 2 y de la capa 3 capturados por el Netflow acodan 2 y la característica de las exportaciones del monitoreo de la seguridad no es campos claves. Proporcionan información adicional sobre el tráfico de un flujo existente. Los cambios en los valores de los campos llave de Netflow, como la dirección IP de origen desde un paquete al siguiente paquete, dan como resultado la creación de un nuevo flujo. Por ejemplo, si el primer paquete capturado por el Netflow tiene una dirección IP de origen de 10.34.0.2 y el segundo paquete capturado tiene una dirección IP de origen de 172.16.213.65, después el Netflow creará dos flujos separados. Muchos ataques DOS consisten en un atacante que envía el mismo tipo de IP datagram una y otra vez en un intento por abrumar los sistemas de destino. En estos casos el tráfico entrante tiene a menudo características similares, tales como los mismos valores en cada datagrama para uno o más de los campos que la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad pueden capturar. No existe una forma sencilla de identificar el remitente de muchos ataques DOS ya que la dirección IP de origen del dispositivo que envía el tráfico se suele falsificar. Sin embargo, usted puede rastrear fácilmente el tráfico a través de la red al router en quien está llegando capturando la dirección MAC y el VLAN-ID coloca usando la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica. Si el router en quien el tráfico es Netflow de llegada de los soportes, usted puede configurar la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica en ella para identificar la interfaz donde está llegando el tráfico. El cuadro 1 muestra un ejemplo de un ataque en curso. Figura 1 Ataque DoS que Llega por Internet Notausted puede analizar los datos capturados por el Netflow directamente del router que usa show ip cache verbose flow el comando o el motor del colector NetFlow CNS. Una vez que se deduce que se está produciendo un ataque de negación de servicio (DoS) tras analizar los campos de la Capa 3 en los flujos de NetFlow, se pueden analizar los campos de la Capa 2 de los flujos para detectar la trayectoria que el ataque de negación de servicio (DoS) está siguiendo a través de la red. Un análisis de los datos capturados por la función NetFlow Layer 2 and Security Monitoring Exports para el escenario mostrado en la Figura 1 indica que el ataque DoS está llegando en el Router C porque la dirección MAC de flujo ascendente es desde la interfaz que conecta el Router C al Switch A. Es también evidente que no hay Routers entre el host de destino (el servidor del email) y el router del Netflow porque la dirección MAC del destino del tráfico DOS que el router del Netflow está remitiendo al servidor de correo electrónico es la dirección MAC del servidor del email. Puede averiguar la dirección MAC que el Host C utiliza para enviar el tráfico al Router C configurando la función NetFlow Layer 2 and Security Monitoring Exports en el Router C. La dirección MAC de origen será del Host C. La dirección MAC de destino será para la interfaz en el router de NetFlow. Una vez que usted conoce la dirección MAC que el host c está utilizando y la interfaz en el C del router en las cuales el ataque DOS del host c está llegando, usted puede atenuar el ataque configurando de nuevo el C del router para bloquear el tráfico del host c. Si el host c está en una interfaz dedicada, usted inhabilita la interfaz. Si el host c está utilizando una interfaz que lleve el tráfico de otros usuarios, usted debe configurar su Firewall para bloquear el tráfico del host c pero todavía para permitir que el tráfico de los otros usuarios atraviese el C del router. Los “ejemplos de configuración para el Netflow acodan 2 y el monitoreo de la seguridad exporta” la sección tiene dos ejemplos para usar la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para identificar un ataque en curso y la trayectoria que el ataque está tomando a través de una red. Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports La función NetFlow Layer 2 and Security Monitoring Exports tiene soporte para capturar cinco campos del tráfico IP de la Capa 3 en un flujo: • Campo del Tiempo para vivir • Campo de la Longitud del paquete • Campo ID • Tipo y código de ICMP • Desplazamiento del fragmento El cuadro 2 muestra los campos en encabezado del paquete IP. Figura 2 Campos del Encabezado de Paquete IP El cuadro 1 describe los campos del encabezado en el cuadro 2. Campo Descripción Versión Versión del protocolo IP. Si este campo se establece en 4, es un datagrama de IPv4. Si este campo se establece en 6, es un datagrama de IPv6. Observela encabezado del IPv6 tiene una diversa estructura de una encabezado del IPv4. IHL (Longitud de Encabezado de Internet) La longitud del encabezado de Internet es la longitud de la encabezado de Internet en el formato de 32 bits de la palabra y señala así al principio de los datos. Observeel valor mínimo para una encabezado correcta es 5. ToS El Tipo de servicio (ToS) proporciona una indicación de los parámetros abstractos de la calidad de servicio deseada. Estos parámetros se deben utilizar para guiar la selección de los parámetros de servicio reales cuando un dispositivo de networking transmite un datagrama a través de una red determinada. Longitud Total La longitud total es la longitud del datagrama, medida en octetos, incluidos el encabezado de Internet y los datos. Identificador (ID) El valor del campo ID lo ingresa el remitente. Todos los fragmentos de un datagrama IP tienen el mismo valor en el campo ID. Los datagramas IP subsiguientes del mismo remitente tendrán diferentes valores en el campo ID. Es muy común que un host reciba datagramas IP fragmentados desde varios remitentes simultáneamente. Es también común que un host esté recibiendo simultáneamente varios datagramas IP del mismo remitente. El host de destino utiliza el valor del campo ID para asegurarse de que los fragmentos de un datagrama IP se asignan al mismo buffer de paquetes durante el proceso de reensamblado del datagrama IP. El valor único del campo ID también se utiliza para evitar que el host receptor mezcle juntos los fragmentos de varios datagramas IP del mismo remitente durante el proceso de reensamblado del datagrama IP. Indicadores Secuencia de 3 bits utilizada para definir y seguir los parámetros de la fragmentación del datagrama IP. • 001 = El datagrama IP se puede fragmentar. Hay más fragmentos del datagrama IP actual en tránsito. • 000 = El datagrama IP se puede fragmentar. Éste es el último fragmento del datagrama IP actual. • 010 = El Datagrama IP no se puede fragmentar. Éste es el datagrama IP completo. Desplazamiento del fragmento Este campo indica a qué parte del datagrama pertenece este fragmento. TTL (Tiempo de Funcionamiento) Este campo indica el tiempo máximo que está permitido que el datagrama permanezca en el sistema de Internet. Si este campo contiene el valor 0, el datagrama debe destruirse. Este campo se modifica en el procesamiento de la cabecera de Internet. El tiempo se mide en unidades de segundo; sin embargo, dado que cada módulo que procesa un datagrama debe reducir el TTL al menos en 1 incluso si procesa el datagrama en menos de un segundo, el TTL se debe considerar solamente como un límite superior del tiempo que puede existir un datagrama. La intención es hacer los datagramas inentregables ser desechado y limitar el curso de la vida máximo del datagrama. Protocolo Indica el tipo de paquete de transporte incluido en la parte de los datos del datagrama IP. Los valores comunes son: 1 = ICMP 6 = TCP 17 = UDP Checksum de encabezado Un checksum en el encabezado solamente. Puesto que algunos campos del encabezado, como el campo de tiempo de funcionamiento, cambian cada vez que se reenvía un datagrama IP, este valor se recalcula y se verifica en cada punto de procesamiento del encabezado de Internet. Dirección IP de origen Dirección IP de la estación emisora. Dirección IP de destino Dirección IP de la estación de destino. Opciones y Relleno Las opciones y el relleno pueden o no pueden aparecer en los datagramas. Si aparecen, deben ser implementadas por todos los módulos de IP (host y gateways). El aspecto opcional es su transmisión en un datagrama determinado, no su implementación. El cuadro 3 muestra los campos en un datagrama ICMP. Figura 3 Datagrama ICMP El cuadro 2 interpreta el formato de paquetes en el cuadro 3. datagramas ICMP se lleva adentro la área de datos de un IP datagram, después del encabezado IP. Tipo Nombre Códigos 0 Respuesta de eco 0: Ninguno 1 No asignado — 2 No asignado — 3 Destino inalcanzable 0: red inalcanzable. 1: host inalcanzable. 2: protocolo inalcanzable. 3 — Puerto inalcanzable. 4: Fragmentación necesaria y conjunto de bits DF. 5: ruta de origen fallida. 6: red de destino desconocida. 7: host de destino desconocido. 8: Host de origen aislado. 9: la comunicación con la red de destino está prohibida administrativamente. 10 — La comunicación con el host de destino está prohibida administrativamente. 11: red de destino inalcanzable para el ToS. 12: Host de destino inalcanzable para el ToS. 4 Apagado de fuente 0: Ninguno. 5 Redireccionar 0: Ninguno. 0: Reorientar el datagrama para la red. 1 — Redirección de datagramas para el host. 2 — Reoriente el datagrama para la TOS y la red. 3 — Reoriente el datagrama para la TOS y recíbalo. 6 Dirección de host alternativa 0: Dirección alternativa para el host. 7 No asignado — 8 Eco 0: Ninguno. 9 Anuncio del router 0: Ninguno. 10 Selección de router 0: Ninguno. 11 Tiempo excedido 0: tiempo de vida excedido en el tránsito. 12 Problema de parámetro 0: el puntero indica el error. 1 - Falta una opción obligatoria. 2: longitud incorrecta. 13 Grupo fecha/hora 0: Ninguno. 14 Respuesta de indicación de fecha 0: Ninguno. y hora 15 Solicitud de información 0: Ninguno. 16 Respuesta de información 0: Ninguno. 17 Solicitud de máscara de dirección 0: Ninguno. 18 Respuesta de la máscara de dirección 0: Ninguno. 19 Reservado (para seguridad) — 20-29 Reservado (para experimento de fiabilidad) — 30 Ruta de seguimiento — 31 Error de conversión del datagrama — 32 Redireccionamiento de host móvil — 33 IPv6 where-are-you — 34 IPv6 I-am-here — 35 Solicitud de registro móvil — 36 Respuesta de registro móvil — 37255 Reservado — Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports La función NetFlow Layer 2 and Security Monitoring Exports tiene la capacidad de capturar los valores de los campos de dirección MAC y de ID de VLAN de los flujos. Los dos tipos soportados del VLA N son 802.1q y el protocolo del Cisco InterSwitch Link (ISL). Esta sección explica los conceptos siguientes: • Comprensión de los Campos de Dirección MAC de la Capa 2 • Introducción a los campos ID de VLAN de Capa 2 Comprensión de los Campos de Dirección MAC de la Capa 2 Los nuevos campos de la capa 2 para los cuales la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad captura los valores son como sigue: • Campo de dirección MAC de origen de las tramas que recibe el router de NetFlow • El campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow • El campo de ID de VLAN de las tramas que recibe el router de NetFlow • El campo de ID de VLAN de las tramas que transmite el router de NetFlow El cuadro 4 muestra el tipo Ethernet II y los Ethernetes 802,3 formatos de trama. El campo dirección de destino y el campo de dirección de origen en los formatos de trama son los valores de direcciones MAC que son capturados por el Netflow. Figura 4 Formatos de Trama de Ethernet tipo II y 802.3 El cuadro 3 explica los campos para los formatos de la trama Ethernet. Campo Descripción Preámbulo La entrada del campo de preámbulo es un patrón alternativo de 1s y 0s que dice a las estaciones receptoras que llega una trama. También proporciona un medio para que las estaciones receptoras sincronicen sus relojes con el flujo de bits de entrada. SOF (comienzo El campo SOF contiene un patrón alterno de 1 y 0, terminando con dos bits 1 de trama) consecutivos que indican que el bit siguiente es el primer bit del primer byte de la dirección MAC de destino. Dirección de destino La dirección de destino de 48 bits identifica qué estación de la LAN deben recibir la trama. Los primeros dos bits de la dirección del MAC de destino se reservan para funciones especiales: • El primer bit del campo DA indica si la dirección es una dirección individual (0) o un grupo de direcciones (1). • El segundo bit indica si el DA global está administrado globalmente (0) o localmente (1). Los 46 bits restantes son un valor asignado de forma exclusiva que identifica una sola estación, un grupo de estaciones definido o todas las estaciones de la red. Dirección de origen La dirección de origen de 48 bits identifica qué estación transmitió la trama. La dirección de origen es siempre un direccionamiento individual, y el bit más a la izquierda en el campo SA es siempre 0. Tipo Tipo — En una trama del tipo Ethernet II, esta parte de la trama se utiliza para el campo del tipo. El campo Type se utiliza para identificar el siguiente protocolo de capa de la trama. o Longitud Longitud — En una trama Ethernet 802,3, esta parte de la trama se utiliza para la extensión del campo. El campo Longitud se utiliza para indicar la longitud de la trama Ethernet. El valor puede ser a partir 46 a 1500 bytes. Datos (Tipo Ethernet II) 46 a 1500 bytes de dato o o Encabezado y datos de 802.2 (802.3/802.2) 8 bytes de encabezamiento y 38 a 1492 bytes de dato. FCS (Frame Check Sequence) Este campo contiene un valor CRC (verificación por redundancia cíclica) de 32 bits creado por la estación emisora y recalculado por la estación receptora para verificar si hay tramas dañadas. FCS se genera para los campos DA, SA, Type y Data de la trama. El FCS no incluye la porción de datos de la trama. Introducción a los campos ID de VLAN de Capa 2 NetFlow puede capturar el valor en el campo VLAN ID de las VLANs etiquetadas 802.1q y las VLANs encapsuladas ISL de Cisco. Esta sección describe los dos tipos de VLA N: • Comprensión de VLANs 802.1q • Comprensión de Cisco ISL VLANS Observeel ISL y 802.1q comúnmente se llaman los protocolos del encapsulado de VLAN. Comprensión de VLANs 802.1q Los dispositivos que utilizan 802.1q insertan una etiqueta de cuatro bytes en la trama original antes de transmitirla. El cuadro 5 muestra el formato de una trama Ethernet marcada con etiqueta 802.1q. Figura 5 Trama 802.1q con Etiqueta Ethernet de Tipo II o 802.3 El cuadro 4 describe los campos para los VLA N 802.1q. Campo Descripción DA, SA, tipo o longitud, datos y FCS El cuadro 3 describe estos campos. TPID (Tag Protocol En este campo de 16 bits se establece el valor 0x8100 para identificar la trama ID) como una trama con etiqueta IEEE 802.1Q. Prioridad Este campo de 3 bits, también denominado prioridad de usuario, hace referencia a la prioridad 802.1p. Indica el nivel de prioridad de trama usado para dar prioridad al tráfico y es capaz de representar 8 niveles (0-7). Información de El campo de información de control de la etiqueta 2-byte consiste en dos Control de Etiqueta subregistros: • Formato canónico Indentifier (CFI) — Si el valor de este campo 1-bit es 1, después la dirección MAC está en el formato no canónico. Si el valor de este campo es 0, la dirección MAC está en el formato canónico. • ID de VLAN: este campo de 12 bits identifica de manera única la VLAN a la que pertenece la trama. Puede tener un valor a partir de la 0 a 4095. Comprensión de Cisco ISL VLANS El ISL es un protocolo de propiedad de Cisco para encapsular las tramas en un troncal VLAN. Los dispositivos que utilizan ISL añaden un encabezado ISL a la trama. Este proceso se conoce como encapsulación VLAN. 802.1Q es la norma IEEE para etiquetar tramas en un troncal VLAN. El cuadro 6 muestra el formato de una trama Ethernet encapsulado por ISL de Cisco. Figura 6 Trama Ethernet con Etiquetado ISL de Cisco El cuadro 5 describe los campos para los VLA N 802.1q. Campo Descripción DA (dirección de Este campo de 40 bits es una dirección multicast y se fija en 0x01-00-0C-00-00 o destino) 0x03-00-0c-00-00. El host receptor determina que la trama se encapsulad en ISL leyendo el campo DA de 40 bits y haciéndolo coincidir con una de las dos direcciones multicast ISL. TIPO Este campo de 4 bits indica el tipo de trama que se encapsula y podría utilizarse en el futuro para indicar encapsulaciones alternativas. Códigos TYPE: USUARIO • 0000 = Ethernet • 0001 = Token Ring • 0010 = FDDI • 0011 = ATM Este campo de 4 bits se utiliza para ampliar el significado del campo de tipo de trama. El valor predeterminado del campo USUARIO es 0000. Para las tramas Ethernet, los bits 0 y 1 del campo USER indican la prioridad del paquete mientras pasa a través del switch. Siempre que el tráfico se puede gestionar con más rapidez, los paquetes con este bit definido deben aprovechar la trayectoria más rápida. Sin embargo, tales trayectorias no se requieren. Códigos USER: • XX00 = Prioridad normal • XX01 = Prioridad 1 • XX10 = Prioridad 2 • XX11: máxima prioridad SA Este campo de 48 bits es el campo de dirección de origen del paquete ISL. Debería configurarse en la dirección MAC 802.3 del puerto de switch que transmite la trama. El dispositivo receptor puede ignorar el campo SA de la trama. LARGO Este campo de valor de 16 bits almacena el tamaño de paquete real del paquete original. El campo LEN representa la longitud en bytes del paquete, excluyendo los campos DA, TYPE, USER, SA, LEN y FCS. El largo total de los campos excluidos es de 18 bytes, entonces el campo LEN representa el largo total menos 18 bytes. AAAA03(SNAP) El campo AAAA03 SNAP es un valor constante de 24 bits de 0xAAAA03. HSA Este campo de 24 bits representa los tres bytes superiores (la parte del ID del fabricante) del campo SA. Debe incluir el valor 0x00-00-0C. VLAN Este campo 15-bit es el LAN virtual ID del paquete. Este valor se utiliza para marcar las tramas en diversas VLANs. BPDU El bit en el campo BPDU se configura para todos los paquetes BPDU que la trama ISL encapsula. El algoritmo de spanning tree utiliza las BPDUs para obtener información sobre la topología de la red. Este bit también se define para las tramas CDP y VTP que se encapsulan. ÍNDICE Este campo de 16 bits indica el índice de puerto del origen del paquete cuando sale del switch. Se usa solamente para diagnóstico y otros dispositivos pueden configurarlo en cualquier valor. Se ignora en los paquetes recibidos. RES Este campo de 16 bits se utiliza cuando los paquetes Token Ring o FDDI están encapsulados con una trama ISL. Trama Encapsulada Este campo contiene la trama encapsulada de la Capa 2. FCS El campo FCS se compone de 4 bytes. Incluye un valor CRC de 32 bits creado por la estación remitente y recalculado por la estación receptora para verificar si hay tramas dañadas. El FCS cubre los campos DA, SA, Length/Type y Data. Cuando se asocia un encabezado ISL a una trama de la Capa 2, se calcula un nuevo FCS sobre el paquete ISL completo y se añade al final de la trama. Observela adición del nuevo FCS no altera el FCS original que se contiene dentro de la trama encapsulada. Exportación de datos NBAR El Reconocimiento de aplicaciones basadas en la red (NBAR) es un motor de clasificación que reconoce y clasifica una amplia variedad de protocolos y de aplicaciones, incluyendo basado en web y otro difícil-a-clasifica las aplicaciones y los protocolos que utilizan las asignaciones de puertos dinámicas TCP/UDP. Cuando el NBAR reconoce y clasifica un protocolo o una aplicación, la red se puede configurar para aplicar la asignación de la aplicación apropiada con ese protocolo. Con el Cisco IOS Release 12.2(18)ZYA2 en el Catalyst 6500 Series Switch equipado de un acelerador inteligente de los servicios del supervisor 32/programmable (PISA), el flujo NBAR se puede exportar junto con los expedientes de la exportación de NetFlow. El NetFlow feature que reconoce la aplicación integra el NBAR con el Netflow para proporcionar la capacidad de exportar la Información de la aplicación recogida por el NBAR usando el Netflow. Los ID de la aplicación creados para el atributo de la versión 9 del Netflow exportan los nombres de la aplicación junto con los atributos estándars tales como dirección IP y información de puerto TCP/UDP. El colector NetFlow recoge estos flujos basados en la dirección IP de origen y el ID. El ID de origen refiere a la identificación única para los flujos exportados de un dispositivo determinado. Los datos NBAR exportados al colector NetFlow contienen la información de mapeo de la aplicación. Usando las opciones de la exportación de datos de NetFlow, la tabla que contiene los ID de la aplicación asociados a sus nombres de la aplicación se exporta al colector NetFlow. La tabla de correspondencia se envía usando ip flow-export template options nbar el comando. La información de mapeo se restaura cada 30 minutos por abandono. Usted puede configurar el intervalo de la restauración usando ip flow-export template options timeout-rate el comando. La exportación de NetFlow utiliza varios mecanismos del envejecimiento para manejar el caché de NetFlow. Sin embargo, los intervalos de la exportación de datos NBAR no utilizan los parámetros del envejecimiento del Netflow. Ventajas de la integración del Netflow NBAR Administradores de la red de los permisos NBAR para seguir la variedad de protocolo y la cantidad de tráfico generada por cada protocolo. El NBAR también permite que ordenen el tráfico en las clases. Estas clases se pueden entonces utilizar para proporcionar diversos niveles de servicio para el tráfico de la red, de tal modo permitiendo una mejor Administración de redes proporcionando al nivel correcto de recursos de red para el tráfico de la red. Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports Esta sección contiene los siguientes procedimientos: • Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad • Verificando el Netflow acode 2 y las exportaciones del monitoreo de la seguridad (opcionales) • Configurar el soporte NBAR para las exportaciones de NetFlow Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad Prerrequisitos El CEF, el dCEF, o la transferencia rápida para el IP se deben configurar en su sistema antes de que usted configure la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica. “Verificar la capa 2 del Netflow y la tarea opcionales de las exportaciones del monitoreo de la seguridad” utiliza show ip cache verbose flow el comando de visualizar los valores de los campos que usted ha configurado la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para capturar. Para que usted vea los valores de los campos que usted configuró la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad para capturar, su router debe remitir el tráfico IP que cumple los criterios para estos campos. Por ejemplo, si usted configura ip flow-capture ipid el comando, su router debe remitir los datagramas IP para capturar los valores IP ID de los datagramas IP en el flujo. Si usted quiere capturar los valores del campo de desplazamiento del fragmento IP de la capa 3 de las encabezados IP en su tráfico IP usando ip flow-capture fragment-offset el comando, su router debe ser el Cisco IOS corriente 12.4(2)T o versión posterior. PASOS SUMARIOS 1. enable 2. configure terminal 3. ip flow-capture fragment-offset 4. ip flow-capture icmp 5. ip flow-capture ip-id 6. ip flow-capture mac-addresses 7. ip flow-capture packet-length 8. ip flow-capture ttl 9. ip flow-capture vlan-id 10. interface type [número | /port del slot] 11 ip flow ingress y/o ip flow egress 12. exit PASOS DETALLADOS Paso 1 Comando o acción Propósito enable Habilita el modo EXEC privilegiado. Example: Router> enable Paso 2 configure terminal • Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Example: Router# configure terminal Paso 3 ip flow-capture fragment-offset Example: Router(config)# ip flow-capture fragmentoffset (Opcional) habilita la captura del valor del campo de desplazamiento del fragmento IP del primer IP datagram hecho fragmentos en un flujo. Paso 4 ip flow-capture icmp Example: Router(config)# ip flow-capture icmp Paso 5 ip flow-capture ip-id Example: Router(config)# ip flow-capture ip-id Paso 6 ip flow-capture macaddresses Example: Router(config)# ip flow-capture macaddresses Paso 7 ip flow-capture packet-length Example: Router(config)# ip flow-capture packetlength Paso 8 ip flow-capture ttl Example: Router(config)# ip flow-capture ttl Paso 9 ip flow-capture vlanid Example: Router(config)# ip flow-capture vlan-id (Opcional) le permite para capturar el valor de los campos del tipo y del código ICMP de los datagramas ICMP en un flujo. (Opcional) le permite para capturar el valor del campo IP-ID del primer IP datagram en un flujo. (Opcional) le permite para capturar los valores de los MAC Address de origen y destino del tráfico en un flujo. (Opcional) le permite para capturar el mínimo y los valores máximos de la Longitud del paquete colocan de los datagramas IP en un flujo. (Opcional) le permite para capturar el mínimo y los valores máximos del Tiempo para vivir (TTL) colocan de los datagramas IP en un flujo. (Opcional) le permite para capturar el 802.1q o el campo ISL VLAN-ID de las tramas encapsuladas del VLA N en un flujo que se reciben o se transmiten en los puertos troncales. Paso 10 interface type [number Ingresa en el modo de configuración de la interfaz del | slot/port] tipo de interfaz especificado en el comando. Example: Router(config)# interface ethernet 0/0 Paso 11 ip flow ingress y/o ip flow egress Habilita la entrada de recolección de datos de NetFlow en la interfaz. y/o Habilita la salida de recolección de datos de NetFlow en la interfaz. Example: Router(config-if)# ip flow ingress and/or Example: Router(config-if)# ip flow egress Paso 12 exit Sale del modo de configuración global. Example: Router(config)# exit Verificación de NetFlow Layer 2 and Security Monitoring Exports Realice esta tarea de verificar la configuración de la capa 2 del Netflow y de las exportaciones del monitoreo de la seguridad. Restricciones “Verificar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad” utiliza show ip cache verbose flow el comando. Las restricciones siguientes se aplican a usar show ip cache verbose flow el comando. Visualizar la Información Detallada de Caché de NetFlow en Plataformas que Ejecutan Cisco Express Forwarding Distribuido En plataformas que ejecutan dCEF, la información de memoria caché de NetFlow se mantiene en cada tarjeta de línea o procesador de interfaz versátil. Si usted quiere utilizar show ip cache verbose flow el comando de visualizar esta información sobre una plataforma distribuida, usted debe ingresar el comando en un prompt del linecard. Cisco 7500 Series Platform Para mostrar información detallada de la memoria caché de NetFlow mediante el comando en un Cisco 7500 Series Router que ejecute dCEF distribuido, ingrese la siguiente secuencia de comandos: Router# if-con slot-number LC-slot-number# show ip cache verbose flow Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información detallada sobre la memoria caché de NetFlow: Router# execute-on slot-number show ip cache verbose flow Cisco 12000 Series Platform Para visualizar información detallada de la memoria caché de NetFlow en un router de Internet Cisco 12000 Series, ingrese la secuencia de comandos siguiente: Router# attach slot-number LC-slot-number# show ip cache verbose flow Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información detallada sobre la memoria caché de NetFlow: Router- ejecutar-enslot-number el flujo prolijo del caché del IP de la demostración. PASOS SUMARIOS 1. show ip cache verbose flow PASOS DETALLADOS Paso 1 show ip cache verbose flow El producto siguiente muestra que el trabajo de la capa 2 del Netflow y del monitoreo de la seguridad exporta la característica capturando los valores de los campos de la capa 2 y de la capa 3 en los flujos. Router# show ip cache verbose flow IP packet size distribution (25229 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .206 .793 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes 6 active, 4090 inactive, 17 added 505 ager polls, 0 flow alloc failures Active flows timeout in 1 minutes Inactive flows timeout in 10 seconds IP Sub Flow Cache, 25736 bytes 12 active, 1012 inactive, 39 added, 17 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 1 0.0 362 940 2.7 60.2 0.0 TCP-FTP 1 0.0 362 840 2.7 60.2 0.0 TCP-FTPD 1 0.0 362 840 2.7 60.1 0.1 TCP-SMTP 1 0.0 361 1040 2.7 60.0 0.1 UDP-other 5 0.0 1 66 0.0 1.0 10.6 ICMP 2 0.0 8829 1378 135.8 60.7 0.0 11 0.0 1737 1343 147.0 33.4 4.8 Total: SrcIf SrcIPaddress Port Msk AS Et0/0.1 10.251.138.218 0015 /0 0 Packets Bytes DstIf DstIPaddress Port Msk AS NextHop Et1/0.1 172.16.10.2 0015 /0 MAC: (VLAN id) aaaa.bbbb.cc03 Packets Active(Sec) Idle(Sec) 0 (005) 06 80 0.0.0.0 aaaa.bbbb.cc06 (006) 840 Min plen: 840 Max plen: Min TTL: 59 Max TTL: IP id: Pr TOS Flgs Pkts B/Pk Active 00 65 840 10.8 59 0 Configurar el soporte NBAR para las exportaciones de NetFlow Realice esta tarea de exportar los datos NBAR al colector NetFlow. Prerrequisitos Usted debe habilitar la versión 9 del Netflow y el NBAR antes de que usted configure la exportación de datos NBAR. Usted debe agregar y configurar los campos siguientes NetFlow de Cisco al software del colector para identificar el flujo exportados por la característica de la exportación de datos NBAR: • campo del app_id como número entero con NumericID de 95 • campo del app_name como cadena de UTF-8 con NumericID de 96 • campo del sub_app_id como número entero con NumericID de 97 • campo del biflowDirection como número entero con NumericID de 239 Observe el campo del biflowDirection proporciona la información sobre el host que inicia la sesión. Los tamaños de este campo son un byte. El RFC 5103 proporciona los detalles para usar este campo. Restricciones El soporte NBAR se puede configurar solamente con el formato de la versión 9 del Netflow. Si usted intenta configurar la exportación de datos NBAR con otras versiones, el mensaje de error siguiente aparece: 1d00h: %FLOW : Export version 9 not enabled La exportación de datos NBAR no utiliza los parámetros del envejecimiento del Netflow. PASOS SUMARIOS 1. enable 2. configure terminal 3. ip flow-export version 4. ip flow-capture nbar 5. ip flow-export template options nbar 6. exit 7. show ip flow export nbar 8. clear ip flow stats nbar PASOS DETALLADOS Paso 1 enable Example: Router> enable Paso 2 configure terminal Paso 3 ip flow-export version 9 Paso 4 ip flow-capture nbar Paso 5 ip flow-export template options nbar Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Example: Router# configure terminal Example: Router(config)# ip flowcapture version 9 Example: Router(config)# ip flowcapture nbar Permite al formato de la versión 9 para exportar las entradas del caché de NetFlow. Le permite para capturar los datos NBAR en los expedientes de la exportación de NetFlow. Exporta la información de mapeo de la aplicación al colector de datos de NetFlow. Example: Router(config)# ip flow-export template options nbar Paso 6 exit Paso 7 show ip flow export nbar Paso 8 clear ip flow stats nbar Sale del modo de configuración global. Example: Router(config)# exit Example: Router # show ip flow export nbar Example: Router# clear ip flow stats nbar Expedientes (opcionales) de la exportación de las visualizaciones NBAR. (Opcional) borra las estadísticas de la Contabilización de Netflow para el NBAR. Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports Esta sección proporciona los siguientes ejemplos de configuración: • Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo: • Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado: Ejemplo: Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo: El siguiente ejemplo muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para descubrir si la red está siendo atacada por un host que envía tráfico FTP falso en un intento de desbordar el servidor FTP. Este ataque podría hacer que los usuarios finales vean una degradación en la capacidad del servidor FTP para aceptar nuevas conexiones o para dar servicio a las conexiones existentes. Este ejemplo utiliza la red mostrada en el cuadro 7. host A está enviando los paquetes FTP falsos al servidor FTP. Este ejemplo también muestra cómo utilizar los datos de la Capa 2 capturados la función NetFlow Layer 2 and Security Monitoring Exports para conocer dónde se está originando el tráfico y qué trayectoria está tomando la red. Figura 7 Prueba de Red La extremidad no pierde de vista las direcciones MAC y los IP Addresses de los dispositivos en su red. Puedes utilizarlos para analizar los ataques y solucionar problemas. Observeeste ejemplo no incluye ip flow-capture icmp el comando, que captura el valor de los campos del tipo y del código ICMP. El uso ip flow-capture icmp del comando se describe en “configurar y con el Netflow acode 2 y las exportaciones del monitoreo de la seguridad para analizar un ataque simulado del ping de ICMP: Ejemplo.” R2 ! hostname R2 ! interface Ethernet0/0 mac-address aaaa.bbbb.cc02 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet1/0 mac-address aaaa.bbbb.cc03 no ip address ! interface Ethernet1/0.1 encapsulation dot1Q 5 ip address 172.16.6.1 255.255.255.0 ! ! router rip version 2 network 172.16.0.0 no auto-summary ! R3 ! hostname R3 ! ip flow-capture fragment-offset ip flow-capture packet-length ip flow-capture ttl ip flow-capture vlan-id ip flow-capture ip-id ip flow-capture mac-addresses ! interface Ethernet0/0 mac-address aaaa.bbbb.cc04 no ip address ! interface Ethernet0/0.1 encapsulation dot1Q 5 ip address 172.16.6.2 255.255.255.0 ip accounting output-packets ip flow ingress ! interface Ethernet1/0 mac-address aaaa.bbbb.cc05 no ip address ! interface Ethernet1/0.1 encapsulation dot1Q 6 ip address 172.16.7.1 255.255.255.0 ip accounting output-packets ip flow egress ! router rip version 2 network 172.16.0.0 no auto-summary ! R4 ! hostname R4 ! interface Ethernet0/0 mac-address aaaa.bbbb.cc07 ip address 172.16.10.1 255.255.255.0 ! interface Ethernet1/0 mac-address aaaa.bbbb.cc06 no ip address ! interface Ethernet1/0.1 encapsulation dot1Q 6 ip address 172.16.7.2 255.255.255.0 ! router rip version 2 network 172.16.0.0 no auto-summary ! show ip cache verbose flow El comando visualiza los flujos del Netflow que se han capturado del tráfico FTP que el host A está enviando. Los campos que tienen los valores capturados por ip flow-capture el comando están en el cuadro 9. Éstos son los campos y los valores que se utilizan para analizar el tráfico en este ejemplo. Los otros campos capturados por show ip cache verbose flow el comando se explican en el cuadro 6, el cuadro 7, y el cuadro 8. R3# show ip cache verbose flow IP packet size distribution (3596 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .003 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .995 .000 .000 .000 .000 .000 .000 .000 La salida anterior muestra la distribución del porcentaje de los paquetes por tamaño. En esta visualización, el 99,5 por ciento de los paquetes baja en la gama de tallas 1024-byte, y la caída del 0,3 por ciento en el rango 64-byte. La siguiente sección de la salida se puede dividir en cuatro porciones. La sección y la tabla correspondientes a cada uno son las siguientes: • Descripciones del campo en la sección del caché de NetFlow de la salida (cuadro 6) • Descripciones del campo en la actividad por la sección de protocolo de la salida (cuadro 7) • Descripciones del campo en la sección del expediente del Netflow de la salida (cuadro 8) • Capa 2 del Netflow y campos de las exportaciones del monitoreo de la seguridad en la sección del expediente del Netflow de la salida (cuadro 9) IP Flow Switching Cache, 278544 bytes 5 active, 4091 inactive, 25 added 719 ager polls, 0 flow alloc failures Active flows timeout in 1 minutes Inactive flows timeout in 10 seconds IP Sub Flow Cache, 25736 bytes 10 active, 1014 inactive, 64 added, 25 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-FTP 5 0.0 429 840 6.6 58.1 1.8 Total: 5 0.0 129 835 6.6 17.6 7.9 SrcIf SrcIPaddress Port Msk AS Et0/0.1 0015 /0 10.132.221.111 0 Packets Bytes DstIf DstIPaddress Port Msk AS NextHop Et1/0.1 172.16.10.2 0015 /0 MAC: (VLAN id) aaaa.bbbb.cc03 Packets Active(Sec) Idle(Sec) 0 (005) aaaa.bbbb.cc06 (006) 840 840 Max plen: Min TTL: 59 Max TTL: 10.251.138.218 0 Et1/0.1 0015 /0 MAC: (VLAN id) aaaa.bbbb.cc03 172.16.10.2 0 (005) (006) 840 Max plen: Min TTL: 59 Max TTL: IP id: 06 80 aaaa.bbbb.cc06 840 Active 00 198 840 41.2 00 198 840 41.2 00 203 840 42.2 59 0 Et0/0.1 10.10.12.1 0 Et1/0.1 0015 /0 MAC: (VLAN id) aaaa.bbbb.cc03 (005) 172.16.10.2 0 aaaa.bbbb.cc06 (006) 840 840 Max plen: Min TTL: 59 Max TTL: 0 06 80 0.0.0.0 Min plen: IP id: B/Pk 59 0.0.0.0 Min plen: 0015 /0 Pkts 0 Et0/0.1 0015 /0 06 80 0.0.0.0 Min plen: IP id: Pr TOS Flgs 59 Et0/0.1 0015 /0 10.231.185.254 0 Et1/0.1 0015 /0 MAC: (VLAN id) aaaa.bbbb.cc03 172.16.10.2 0 (005) 0.0.0.0 aaaa.bbbb.cc06 (006) 840 Min plen: 840 Max plen: Min TTL: 59 Max TTL: IP id: 00 203 840 42.2 00 203 840 42.2 59 0 Et0/0.1 0015 /0 06 80 10.71.200.138 0 Et1/0.1 0015 /0 MAC: (VLAN id) aaaa.bbbb.cc03 (005) 172.16.10.2 0 0.0.0.0 aaaa.bbbb.cc06 (006) 840 Min plen: 840 Max plen: Min TTL: 59 Max TTL: IP id: 06 80 59 0 R3# El cuadro 6 describe los campos significativos mostrados en la sección del caché de NetFlow de la salida. Campo Descripción bytes Número de bytes de memoria usados por la memoria caché de NetFlow. activo Número de flujos activos en la memoria caché de NetFlow cuando se ingresó este comando. desactivado Número de buffers de flujo que se han asignado en la memoria caché de NetFlow pero que no se asignaron a un flujo específico cuando se ingresó este comando. agregado Número de flujos creados desde el comienzo del periodo de resumen. sondeo de ager Cantidad de veces el código del Netflow causado las entradas a expirar (utilizado por los ingenieros de servicio técnico del cliente de Cisco (CSE) para los objetivos de hacer un diagnóstico). flow alloc failures Número de veces que el código de NetFlow ha intentado asignar un flujo pero no lo ha conseguido. última limpieza El período de tiempo transcurrido desde que el comando de EXEC privilegiado de estadísticas clear ip flow stats se ejecutó por última vez. Formato de salida de tiempo estándar con horas, minutos y segundos (hh: milímetro: ss) se utiliza para un período de tiempo inferior a 24 horas. Esta salida de tiempo cambia a horas y días después de que el tiempo se exceda 24 horas. El cuadro 7 describe los campos significativos mostrados en la actividad por la sección de protocolo de la salida. Campo Descripción Protocolo Protocolo IP y el número de puerto conocido. (Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer los últimos valores de RFC.) Se visualizala nota solamente un pequeño subconjunto de todos los protocolos. Flujos del total Número de flujos de este protocolo desde la última vez se despejaron las estadísticas. Flujos/Sec Número medio de flujos para este protocolo por segundo; igual al número total de flujos dividido entre el número de segundos de este período de resumen. Paquetes/flujo Número medio de paquetes para los flujos de este protocolo; igual a los paquetes totales para este protocolo dividido entre el número de flujos para este protocolo durante este período de resumen. Bytes/Pkt Número medio de bytes para los paquetes de este protocolo; igual a los bytes totales para este protocolo divididos entre el número total de paquetes para este protocolo durante este período de resumen. Paquetes/seg. Número medio de paquetes para este protocolo por segundo; igual al número total de paquetes para este protocolo dividido entre el número de segundos de este período de resumen. Active(Sec)/flujo Número de segundos desde el primer paquete al último paquete en un flujo caducado dividido por el número de flujos totales de este protocolo en este período de resumen. Idle(Sec)/flujo El número de segundos observados del paquete más reciente de cada flujo nonexpired para este protocolo hasta el tiempo en el cual show ip cache verbose flow el comando fue ingresado dividió por el número total de flujos para este protocolo para este periodo de resumen. El cuadro 8 describe los campos significativos en la sección del expediente del Netflow de la salida. Campo Descripción SrcIf Interfaz en la que se recibió el paquete. Port Msk AS Número del puerto de origen (mostrado en formato hexadecimal), máscara de la dirección IP y número del sistema autónomo. Se establece siempre en 0 en los flujos MPLS. SrcIPaddress Ésta es la dirección IP de origen del tráfico en los cinco flujos. El tráfico está utilizando cinco diversos IP Source Address DstIf • 10.132.221.111 • 10.251.138.218 • 10.10.12.1 • 10.231.185.254 • 10.71.200.138 Interface from which the packet was transmitted. Observesi un asterisco (*) sigue inmediatamente el campo de DstIf, el flujo que es mostrado es un flujo de la salida. Port Msk AS Número del puerto de origen (mostrado en formato hexadecimal), máscara de la dirección IP y número del sistema autónomo. El valor de este campo se fija siempre a 0 en los flujos del Multiprotocol Label Switching (MPLS). DstIPaddress Es la dirección IP de destino del tráfico. La nota172.17.10.2 es la dirección IP del servidor FTP. NextHop La dirección del salto siguiente del Border Gateway Protocol (BGP). Se establece siempre en 0 en los flujos MPLS. Banda Número de puerto "conocido" del protocolo IP, mostrado en formato hexadecimal. (Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer los últimos valores de RFC.) ToS Tipo de servicio, mostrado en formato hexadecimal. B/Pk Cantidad media de bytes observados de los paquetes vistos de este flujo. Flgs Indicadores TCP, mostrados en formato hexadecimal. Este valor es el resultado de la aplicación de la operación lógica bitwise OR a los indicadores TCP de todos los paquetes del flujo. Pkts Número de paquetes de este flujo. Activo Tiempo que el flujo ha estado activo. El cuadro 9 describe los campos y los valores para la Clasificación de tráfico del Netflow y los campos de identificación para el Netflow registran la sección de la salida. Campo Descripción MAC Éstas son las direcciones MAC de origen y destino del tráfico. La dirección MAC de origen y de destino se lee de izquierda a derecha en la salida. • El tráfico se está recibiendo desde la dirección MAC aaa.bbb.cc03. Observeesta dirección MAC es la interfaz 1/0.1 en el r2 del router. • El tráfico se está transmitiendo a la dirección MAC aaa.bbb.cc06. Observeesta dirección MAC es la interfaz 1/0.1 en el router R4. ID de VLAN Min plen Éstos son los IDs de VLAN de origen y destino. Los IDs de VLAN de origen y destino se leen de izquierda a derecha en la salida. • El tráfico se está recibiendo desde VLAN 5. • El tráfico se está transmitiendo a VLAN 6. Ésta es la Longitud del paquete mínima para los paquetes capturados en los cinco flujos. El valor actual es 840. Max plen Ésta es la longitud máxima de paquetes para los paquetes capturados en los cinco flujos. El valor actual es 840. TTL Mínimo Éste es el Tiempo para vivir mínimo (TTL) para los paquetes capturados en los cinco flujos. El valor actual es 59. TTL máximo Éste es TTL máximo para los paquetes capturados en los cinco flujos. ID de IP Éste es el campo del identificador IP para el tráfico en los cinco flujos. El valor actual es 59. El valor actual es 0. El hecho de que la capa 3 TTL, el identificador, y los campos de la Longitud del paquete en los cinco flujos tengan los mismos valores es una buena indicación que este tráfico es un ataque DOS. Si estos datos hubieran sido capturados del tráfico real, los valores serían típicamente diferentes. El hecho de que los cinco de estos flujos tengan un valor de TTL de 59 indica que este tráfico está originando de las puntas que son la misma distancia lejos del R3. El tráfico del usuario real estaría llegando normalmente de muchas diversas distancias lejos; por lo tanto los valores de TTL serían diferentes. Si este tráfico se identifica como ataque DOS (basado en los datos capturados en la capa 3 coloca), usted puede utilizar la información de la capa 2 en los flujos para identificar la trayectoria que el tráfico está tomando a través de la red. En este ejemplo, el tráfico se está enviando al R3 en la VLAN 5 por parte del R2. Puede demostrar que el R2 está transmitiendo el tráfico sobre la interfaz 1/0.1 porque la dirección MAC de origen (aaaa.bbb.cc03) pertenece a 1/0.1 en el R2. Usted puede identificar que el R3 está transmitiendo el tráfico usando el VLA N 6 en la interfaz 1/0.1 para interconectar 1/0.1 en el R4 porque la dirección MAC del destino (aaaa.bbbb.cc06) pertenece para interconectar 1/0.1 en el R4. Usted puede utilizar esta información para desarrollar un plan para atenuar este ataque. Una manera posible de atenuar este ataque está configurando una lista de acceso IP ampliado que bloquee el tráfico FTP de cualquier host con una dirección de origen que esté en la red de 10.0.0.0. Otra solución posible es configurar una ruta predeterminado para la red 10.0.0.0 que apunte a la interfaz nula en el router. Advierta cada uno de tráfico de estos bloques de las soluciones de los hosts legítimos en la red de 10.0.0.0. Por lo tanto estas soluciones solamente se deben utilizar de forma temporal mientras se identifica el punto de origen del ataque y se decide cómo detenerlo allí. Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado: Ejemplo: El ejemplo siguiente muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para saber que la red está siendo atacada por tráfico ICMP. Utiliza la red mostrada en el cuadro 7. host A está enviando los paquetes muy grandes del ping de ICMP al servidor FTP. R2 ! hostname R2 ! interface Ethernet0/0 mac-address aaaa.bbbb.cc02 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet1/0 mac-address aaaa.bbbb.cc03 no ip address ! interface Ethernet1/0.1 encapsulation dot1Q 5 ip address 172.16.6.1 255.255.255.0 ! ! router rip version 2 network 172.16.0.0 no auto-summary ! R3 ! hostname R3 ! ip flow-capture fragment-offset ip flow-capture packet-length ip flow-capture ttl ip flow-capture vlan-id ip flow-capture icmp ip flow-capture ip-id ip flow-capture mac-addresses ! interface Ethernet0/0 mac-address aaaa.bbbb.cc04 no ip address ! interface Ethernet0/0.1 encapsulation dot1Q 5 ip address 172.16.6.2 255.255.255.0 ip accounting output-packets ip flow ingress ! interface Ethernet1/0 mac-address aaaa.bbbb.cc05 no ip address ! interface Ethernet1/0.1 encapsulation dot1Q 6 ip address 172.16.7.1 255.255.255.0 ip accounting output-packets ip flow egress ! router rip version 2 network 172.16.0.0 no auto-summary ! R4 ! hostname R4 ! interface Ethernet0/0 mac-address aaaa.bbbb.cc07 ip address 172.16.10.1 255.255.255.0 ! interface Ethernet1/0 mac-address aaaa.bbbb.cc06 no ip address ! interface Ethernet1/0.1 encapsulation dot1Q 6 ip address 172.16.7.2 255.255.255.0 ! router rip version 2 network 172.16.0.0 no auto-summary ! show ip cache verbose flow El comando visualiza los flujos del Netflow que se han capturado del tráfico ICMP que el host A está enviando. Los campos que tienen sus valores capturados por ip flow-capture el comando se explican en el cuadro 13. Éstos son los campos y los valores que se utilizan para analizar el tráfico en este ejemplo. Los otros campos capturados por show ip cache verbose flow el comando se explican en el cuadro 10, el cuadro 11 y el cuadro 12. R3# show ip cache verbose flow IP packet size distribution (5344 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .166 .832 .000 .000 .000 .000 .000 .000 La salida anterior muestra la distribución del porcentaje de los paquetes por tamaño. En esta visualización, el 16,6 por ciento de los paquetes baja en la caída de la gama de tallas 1024-byte y del 83,2 por ciento en el rango 1536-byte. La siguiente sección de la salida se puede dividir en cuatro secciones. La sección y la tabla correspondientes a cada uno son las siguientes: • Descripciones del campo en la sección del caché de NetFlow de la salida (cuadro 10) • Descripciones del campo en la actividad por la sección de protocolo de la salida (cuadro 11) • Descripciones del campo en la sección del expediente del Netflow de la salida (cuadro 12) • Capa 2 del Netflow y campos de las exportaciones del monitoreo de la seguridad en la sección del expediente del Netflow de la salida (cuadro 13) IP Flow Switching Cache, 278544 bytes 3 active, 4093 inactive, 7 added 91 ager polls, 0 flow alloc failures Active flows timeout in 1 minutes Inactive flows timeout in 10 seconds IP Sub Flow Cache, 25736 bytes 7 active, 1017 inactive, 17 added, 7 added to flow 0 alloc failures, 0 force free 1 chunk, 0 chunks added last clearing of statistics 00:01:13 Protocol Total Flows -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow ICMP 2 0.0 1500 1378 42.8 11.4 10.9 Total: 2 0.0 600 1378 42.9 11.5 10.8 SrcIf SrcIPaddress Packets Bytes DstIf Packets Active(Sec) Idle(Sec) DstIPaddress Pr TOS Flgs Pkts Port Msk AS Et0/0.1 0000 /0 10.106.1.1 0 Min plen: Et1/0.1 172.16.10.2 0 (005) 59 ICMP type: 8 01 00 0.0.0.0 aaaa.bbbb.cc06 1500 Min TTL: Max plen: B/Pk Active 10 391 1500 8.6 00 1950 1354 8.6 (006) 1500 Max TTL: 59 ICMP code: 0 13499 Et0/0.1 0000 /0 NextHop 0800 /0 MAC: (VLAN id) aaaa.bbbb.cc03 IP id: Port Msk AS 10.106.1.1 Et1/0.1 0 0000 /0 MAC: (VLAN id) aaaa.bbbb.cc03 Min plen: (005) 772 172.16.10.2 0 01 00 0.0.0.0 aaaa.bbbb.cc06 (006) Max plen: 1500 Min TTL: 59 Max TTL: 59 ICMP type: 0 ICMP code: 0 IP id: 13499 FO: 185 R3# El cuadro 10 describe los campos significativos mostrados en las líneas del caché de NetFlow de la salida. Campo Descripción bytes Número de bytes de memoria usados por la memoria caché de NetFlow. activo Número de flujos activos en la memoria caché de NetFlow cuando se ingresó este comando. desactivado Número de buffers de flujo que se han asignado en la memoria caché de NetFlow pero que no se asignaron a un flujo específico cuando se ingresó este comando. agregado Número de flujos creados desde el comienzo del periodo de resumen. sondeo de ager Cantidad de veces el código del Netflow causado las entradas a expirar (utilizado por los ingenieros de servicio técnico del cliente de Cisco (CSE) para los objetivos de hacer un diagnóstico). flow alloc failures Número de veces que el código de NetFlow ha intentado asignar un flujo pero no lo ha conseguido. última limpieza El período de tiempo transcurrido desde que el comando de EXEC privilegiado de estadísticas clear ip flow stats se ejecutó por última vez. Formato de salida de tiempo estándar con horas, minutos y segundos (hh: milímetro: ss) se utiliza para un período de tiempo inferior a 24 horas. Esta salida de tiempo cambia a horas y días después de que el tiempo se exceda 24 horas. El cuadro 11 describe los campos significativos mostrados en la actividad por las líneas del protocolo de la salida. Campo Descripción Protocolo Protocolo IP y el número de puerto conocido. (Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer los últimos valores de RFC.) Se visualizala nota solamente un pequeño subconjunto de todos los protocolos. Flujos del total Número de flujos de este protocolo desde la última vez se despejaron las estadísticas. Flujos/Sec Número medio de flujos para este protocolo por segundo; igual al número total de flujos dividido entre el número de segundos de este período de resumen. Paquetes/flujo Número medio de paquetes para los flujos de este protocolo; igual a los paquetes totales para este protocolo dividido entre el número de flujos para este protocolo durante este período de resumen. Bytes/Pkt Número medio de bytes para los paquetes de este protocolo; igual a los bytes totales para este protocolo divididos entre el número total de paquetes para este protocolo durante este período de resumen. Paquetes/seg. Número medio de paquetes para este protocolo por segundo; igual al número total de paquetes para este protocolo dividido entre el número de segundos de este período de resumen. Active(Sec)/flujo El número de segundos del primer paquete al paquete más reciente de un flujo expirado dividió por el número total de flujos para este protocolo para este periodo de resumen. Idle(Sec)/flujo El número de segundos observados del paquete más reciente de cada flujo nonexpired para este protocolo hasta el tiempo en el cual show ip cache verbose flow el comando fue ingresado dividió por el número total de flujos para este protocolo para este periodo de resumen. El cuadro 12 describe los campos significativos en las líneas del expediente del Netflow de la salida. Campo Descripción SrcIf Interfaz en la que se recibió el paquete. Port Msk AS Número del puerto de origen (mostrado en formato hexadecimal), máscara de la dirección IP y número del sistema autónomo. En los flujos MPLS el valor de este campo siempre se establece en 0. SrcIPaddress Dirección IP del dispositivo que transmitió el paquete. El host de envío está utilizando 10.106.1.1 como la dirección IP de origen. DstIf Interface from which the packet was transmitted. Observesi un asterisco (*) sigue inmediatamente el campo de DstIf, el flujo que es mostrado es un flujo de la salida. Port Msk AS Máscara del número de puerto de destino (visualizado en el formato hexadecimal), de la dirección IP, y sistema autónomo. Se establece siempre en 0 en los flujos MPLS. DstIPaddress Dirección IP del dispositivo de destino. NextHop La dirección de siguiente salto de BGP. Se establece siempre en 0 en los flujos MPLS. Banda Número de puerto "conocido" del protocolo IP, mostrado en formato hexadecimal. (Refiérase a http://www.iana.org, Protocol Assignment Number Services, para conocer los últimos valores de RFC.) ToS Tipo de servicio, mostrado en formato hexadecimal. B/Pk Cantidad media de bytes observados de los paquetes vistos de este flujo. Flgs Indicadores TCP, mostrados en formato hexadecimal. Este valor es el resultado de la aplicación de la operación lógica bitwise OR a los indicadores TCP de todos los paquetes del flujo. Pkts Número de paquetes de este flujo. Activo Tiempo que el flujo ha estado activo. El cuadro 13 describe los campos y los valores para la Clasificación de tráfico del Netflow y los campos de identificación para el Netflow registran las líneas de la salida. Campo Descripción MAC Éstas son las direcciones MAC de origen y destino del tráfico. La dirección MAC de origen y de destino se lee de izquierda a derecha en la salida. • El tráfico se está recibiendo desde la dirección MAC aaa.bbb.cc03. Observeesta dirección MAC es la interfaz 1/0.1 en el r2 del router. • El tráfico se está transmitiendo a la dirección MAC aaa.bbb.cc06. Observeesta dirección MAC es la interfaz 1/0.1 en el router R4. ID de VLAN Min plen Éstos son los IDs de VLAN de origen y destino. Los IDs de VLAN de origen y destino se leen de izquierda a derecha en la salida. • El tráfico se está recibiendo desde VLAN 5. • El tráfico se está transmitiendo a VLAN 6. Ésta es la Longitud del paquete mínima para los paquetes capturados en los dos flujos. El valor actual para el primer flujo es 1500. El valor actual para el segundo flujo es 772. Max plen Ésta es la longitud máxima de paquetes para los paquetes capturados en los dos flujos. El valor actual para el primer flujo es 1500. El valor actual para el segundo flujo es 1500. TTL Mínimo Éste es el Tiempo para vivir mínimo (TTL) para los paquetes capturados en los dos flujos. El valor actual es 59. TTL máximo Éste es TTL máximo para los paquetes capturados en los dos flujos. ID de IP Éste es el campo del identificador IP para el tráfico en los flujos. El valor actual es 13499 para los dos flujos. El valor actual es 59. Tipo ICMP Éste es el campo del tipo del Internet Control Message Protocol (ICMP) del datagrama ICMP capturado en el primer flujo. El valor es: 8 Código ICMP Éste es el campo del código ICMP del datagrama ICMP capturado en el segundo flujo. FO Éste es el valor del campo del desplazamiento del fragmento del primer datagrama fragmentado en el segundo flujo. El valor es: 0 El valor es: 185 Hay dos flujos ICMP mostrados en la salida. Usted puede decir que son del mismo datagrama ICMP porque tienen el mismo valor de campo IP ID de 13499. Cuando dos flujos ICMP tienen el mismo valor IP ID, el datagrama ICMP que era analizado se ha hecho fragmentos. El primer flujo tiene el campo definido del tipo ICMP a 8, que indica que esto es un datagrama del pedido de eco ICMP (ping). El valor de 185 en el campo del desplazamiento del fragmento (FO) en el segundo flujo muestra adonde este fragmento será puesto en la memoria intermedia del servidor FTP como el servidor vuelve a montar el datagrama ICMP. El valor de 185 es aplicable solamente al primer fragmento de este datagrama. Los valores subsiguientes serán mayores porque tienen en cuenta los fragmentos anteriores. El valor de 0 en el campo del tipo ICMP del segundo flujo no significa que este flujo es una respuesta de eco ICMP como demostraciones del cuadro 2. En este caso el valor de campo del tipo ICMP se fija a 0 porque los encabezados ICMP para los fragmentos de los datagramas ICMP no tienen los campos del tipo y del código. El valor predeterminado de 0 se inserta en lugar de otro. Observesi estos datos fueran capturados de un ataque real ICMP, tendría probablemente más de un flujo. Aunque, usted no pueda descubrir los tamaños originales del datagrama ICMP de la información mostrada por show ip cache verbose flow, el hecho de que fuera bastante grande ser hecho fragmentos adentro transita es una buena indicación que esto no es un datagrama normal ICMP. Note los valores en los campos del mínimo y de la longitud máxima de paquetes para ambos flujos. Los valores para ambos campos se fijan a 1500 para el primer flujo. El valor para la Longitud del paquete mínima se fija a 772 y el valor para la longitud máxima de paquetes se fija a 1500 para el segundo flujo. Si este tráfico se identifica como ataque DOS basado en los datos capturados en los campos de la capa 3, usted puede utilizar la información de la capa 2 en los flujos para identificar la trayectoria que el tráfico está tomando a través de la red. En este ejemplo, el tráfico se está enviando al R3 en la VLAN 5 por parte del R2. Puede demostrar que el R2 está transmitiendo el tráfico sobre la interfaz 1/0.1 porque la dirección MAC de origen (aaaa.bbb.cc03) pertenece a 1/0.1 en el R2. Puede demostrar que R3 está transmitiendo el tráfico con VLAN 6 en la interfaz 1/0.1 a la interfaz 1/0.1 de R4, ya que la dirección MAC de destino (aaaa.bbbb.cc06) pertenece a la interfaz 1/0.1 do R4. Se puede utilizar esta información para atenuar este ataque. Una manera posible de atenuar este ataque está configurando una lista de acceso IP ampliado que bloquee el tráfico ICMP de cualquier host con una dirección de origen que esté en la red de 10.0.0.0. Otra solución posible es configurar una ruta predeterminado para la red 10.0.0.0 que apunte a la interfaz nula en el router. Advierta cada uno de tráfico de estos bloques de las soluciones de los hosts legítimos en la red de 10.0.0.0. Por lo tanto estas soluciones se deben utilizar solamente temporalmente mientras que usted identifica el punto de origen del ataque y deciden a cómo pararlo allí. Configurar el soporte NBAR para las exportaciones de NetFlow: Ejemplo: Las demostraciones del siguiente ejemplo cómo configurar el soporte NBAR para las exportaciones de NetFlow: Router(config)# ip flow-export version 9 Router(config)# ip flow-capture nbar Router(config)# ip flow-export template options nbar Router# exit El siguiente ejemplo muestra la salida de muestra show ip flow export nbar del comando: Router # show ip flow export nbar Nbar netflow is enabled 10 nbar flows exported 0 nbar flows failed to export due to lack of internal buffers El siguiente ejemplo muestra cómo borrar los datos NBAR de las estadísticas de la Contabilización de Netflow: Router # clear ip flow stats nbar Referencias adicionales Las secciones siguientes proporcionan referencias relacionadas con NetFlow Layer 2 and Security Monitoring Exports. Documentos Relacionados Tema relacionado Título del documento Descripción General de NetFlow de Cisco IOS Descripción General de NetFlow de Cisco IOS Lista de las características documentadas en el título Mapa de Ruta de Funciones de NetFlow de del libro Cisco IOS Descripción del NBAR Clasificar el tráfico de la red usando el NBAR Configurar el NBAR Configurar el NBAR usando el MQC Configurar el NBAR usando el descubrimiento del protocolo Habilitar el descubrimiento del protocolo Comandos del Netflow Referencia de comandos del Cisco IOS NetFlow Información para instalar, iniciar y configurar el CNS NetFlow Collection Engine Documentación del motor de la colección del Netflow del Cisco CNS Estándares Estándares Título No hay estándares nuevos o modificados asociados a esta función — MIB MIB Link del MIB Hay MIB no nuevo o Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y modificado asociado a conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se esta característica encuentra en la siguiente URL: http://www.cisco.com/cisco/web/LA/support/index.html RFC RFC Título 5103 Exportación del flujo bidireccional usando la exportación de la información de flujo IP (IPFIX) Asistencia Técnica Descripción Link El sitio Web del Soporte técnico de Cisco http://www.cisco.com/cisco/web/LA/support/index.html dispone de miles de páginas de contenido técnico que se puede buscar, incluidos links a productos, tecnologías, soluciones, consejos técnicos y herramientas. Los usuarios registrados de cisco.com pueden iniciar sesión desde esta página para acceder a otros contenidos. Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad El cuadro 14 enumera las características en este módulo y proporciona los links a la información de la configuración específica. Solamente las características que fueron introducidas o modificadas en el Cisco IOS Releases12.2(1) o 12.0(3)S o una versión posterior aparecen en la tabla. Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para obtener información detallada sobre cuándo se insertó el soporte para un comando específico, vea la documentación de referencia de comandos. Para la información sobre una característica en esta tecnología que no se documente aquí, vea el mapa de ruta de las características del Cisco IOS NetFlow. Las imágenes de Cisco IOS Software son específicas de una Cisco IOS Software Release, un conjunto de funciones y una plataforma. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas e imágenes de Cisco IOS Software. Acceda el Cisco Feature Navigator en http://www.cisco.com/cisco/web/LA/support/index.html. Debe tener una cuenta en Cisco.com. Si no dispone de una cuenta o ha olvidado el nombre de usuario o la contraseña, haga clic en Cancel en el cuadro de diálogo de login y siga las instrucciones que aparecen. Observelas listas del cuadro 14 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función. Nombre de la función Versiones Información de la Configuración de la Función Capa 2 de NetFlow y Exportaciones de 12.3(14)T La capa 2 del Netflow y el monitoreo de la Monitoreo de Seguridad 12.2(33)SRA seguridad exporta la característica habilita la captura de los valores de los campos en la capa 2 y la capa 3 de tráfico IP para el análisis el considerar y de Seguridad. Las secciones siguientes proporcionan información acerca de esta función: • NetFlow Layer 2 and Security Monitoring • Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad • Verificación de NetFlow Layer 2 and Security Monitoring Exports Los siguientes comandos fueron modificados por esta función: ip flowcapture, ip flow-export y show ip cache verbose flow. Soporte para capturar el valor del campo del desplazamiento del fragmento de las encabezados IP agregadas a la capa 2 del Netflow y a las exportaciones1 del monitoreo de la seguridad 12.4(2)T fragment-offset La palabra clave para ip flow-capture los permisos del comando que capturan el valor del campo de desplazamiento del fragmento IP del primer IP datagram hecho fragmentos en un flujo. Netflow que reconoce la aplicación 12.2(18)ZYA2 El NetFlow feature que reconoce la aplicación habilita la captura de la Información de la aplicación recogida por PISA NBAR y exportaciones usando la versión 9 del Netflow. Las secciones siguientes proporcionan información acerca de esta función: • Exportación de datos NBAR • Configurar el soporte NBAR para las exportaciones de NetFlow Los siguientes comandos fueron modificados por esta función: ip flowcapture ip flow-export template options show ip flow export, y clear ip flow stats. 1 esto es una mejora de menor importancia. Las mejoras de menor importancia no se suelen enumerar en Feature Navigator. Glosario paquete de exportación: un tipo de paquete creado por un dispositivo (por ejemplo, un router) con los servicios de NetFlow habilitados. El paquete se dirige a otro dispositivo (por ejemplo, NetFlow Collection Engine). El paquete contiene estadísticas de NetFlow. El otro dispositivo procesa el paquete (analiza, agrega y almacena la información de los flujos de IP). flujo: conjunto de paquetes con los mismos ajustes de dirección IP de origen, dirección IP de destino, protocolo, puertos de origen y destino y tipo de servicio y la misma interfaz en la que se monitorea el flujo. Los flujos de entrada se asocian a la interfaz de entrada, y los flujos de salida se asocian a la interfaz de salida. NBAR — Un motor de clasificación en Cisco IOS Software que reconoce una amplia variedad de aplicaciones, incluyendo basado en web y el cliente/las aplicaciones del servidor. NetFlow: Función de contabilización de Cisco IOS que mantiene la información por flujo. Agregación del Netflow — Un NetFlow feature que le deja resumir los datos de exportación de NetFlow en un router del Cisco IOS antes de que los datos se exporten a un sistema de la recolección de datos de NetFlow tal como el motor de la colección del Netflow. Esta función disminuye los requisitos de ancho de banda de los datos de exportación de NetFlow y reduce los requisitos de plataforma para los dispositivos de recopilación de datos de NetFlow. NetFlow Collection Engine (antes NetFlow FlowCollector): Aplicación de Cisco que se utiliza con NetFlow en Cisco Routers y Catalyst Series Switches. NetFlow Collection Engine recopila los paquetes del router que ejecuta NetFlow y los decodifica, agrega y almacena. Puede generar informes de diversas agregaciones que se pueden configurar en NetFlow Collection Engine. Netflow v9: versión 9 del formato de exportación de NetFlow. Un medio flexible y extensible para llevar los registros de NetFlow de un nodo de red a un recolector. La versión 9 de NetFlow tiene tipos de registro definibles y es autodescriptiva para una configuración más sencilla de NetFlow Collection Engine. Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental. © 2009-2010 Cisco Systems, Inc. All rights reserved. © 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto 2013 http://www.cisco.com/cisco/web/support/LA/107/1073/1073897_nf_lay2_sec_mon_exp_ps6922_TSD_Products_Configuration_Guide_Chapter.html
0
Anuncio
Documentos relacionados
Descargar
Anuncio
Añadir este documento a la recogida (s)
Puede agregar este documento a su colección de estudio (s)
Iniciar sesión Disponible sólo para usuarios autorizadosAñadir a este documento guardado
Puede agregar este documento a su lista guardada
Iniciar sesión Disponible sólo para usuarios autorizados