Netflow es una tecnología de que permite monitorizar las redes de forma gráfica y sencilla, principalmente para saber cómo, quién y en qué se está usando el ancho de banda disponible, detectar y prevenir cuellos de botella, y tomar acciones correctivas o preventivas.
Hay varias aplicaciones que permiten aprovechar esta tecnología, aquí usaremos el software ManageEngine Netflow Analyzer para su uso con routers Cisco.
Introducción
Netflow es una tecnología abierta pero desarrollada por Cisco que permite monitorizar el tráfico de una red y obtener informes que permitan ver en qué estamos gastando el ancho de banda, qué equipos, aplicaciones o protocolos consumen los recursos de la red, y otra información útil para el administrador de la red.
Como la tecnología es abierta, otros fabricantes la implementan, como 3Com, Enterasys, Nortel, Juniper, Alcatel o HP Procurve, entre otros.
En qué consiste
El protocolo consiste en paquetes UDP enviados por los dispositivos previamente configurados que son recogidas por la aplicación (colector Netflow) y almacenadas en la base de datos de la misma para la generación de informes, estadísticas, etc.
Aplicaciones, licencias y precios
Hay que decir que aunque Cisco desarrolla e implementa la tecnología en sus dispositivos, no dispone de una aplicación para su utilización. Hay varias empresas que han desarrollado herramientas para ello, como Fluke Networks NetflowTracker, SolarWinds Netflow Analyzer, y también algunas gratuitas, obviamente no con la misma calidad.
Para este manual usaremos la de ManageEngine, que es la que yo he probado con buenos resultados.
Hay dos versiones, la Professional y la Enterprise. Las diferencias se pueden ver en esta tabla.
Los precios y las licencias van en función del número de interfaces que queremos monitorizar. La versión Professional hasta 10 interfaces cuesta aproximadamente 600€.
Hay una versión gratuita que permite monitorizar sólo 2 interfaces.
Descargar e instalar Netflow Analyzer
Podemos descargar la versión demo desde aquí, completamente funcional durante 30 días, una vez pasado este tiempo, se convertirá en la versión gratuita que sólo permite el uso en 2 interfaces.
La instalación es sencilla, únicamente nos preguntará el puerto de escucha de los datos de Netflow, que tendremos que tener en cuenta para la configuración en el router, por defecto el 9096, y el puerto por el que accederemos vía web a la aplicación, por defecto el 8080.
Una vez instalado, podemos iniciar mediante el navegador el acceso a la aplicación (usuario admin y contraseña admin para iniciar sesión por primera vez).
Comandos de configuración en el router
Una vez instalada la aplicación, configuramos el router para activar el envío de paquetes Netflow a la dirección IP de nuestro colector. A continuación pongo a modo de resumen los comandos para activar Netflow en varias interfaces y enviar el tráfico a un colector Netflow situado en la IP 192.168.9.101:
router#enable
Password:*****
router#configure terminal
router-2621(config)#interface FastEthernet 0/1
router-2621(config-if)#ip route-cache flow
router-2621(config-if)#exit
router-2621(config)#ip flow-export destination 192.168.9.101 9996
router-2621(config)#ip flow-export source FastEthernet 0/1
router-2621(config)#ip flow-export version 5
router-2621(config)#ip flow-cache timeout active 1
router-2621(config)#ip flow-cache timeout inactive 15
router-2621(config)#snmp-server ifindex persist
router-2621(config)#^Z
router#write
router#show ip flow export
router#show ip cache flow
La versión de la exportación debería ser la última soportada por el dispositivo, actualmente la versión 9 para sacar el máximo rendimiento e información.
Es importante también indicar para cada interface el ancho de banda del que dispone esa interfaz con el siguiente comando:
bandwidth <kbps>
Una vez configurado, pasados unos minutos podremos empezar a ver datos en el Netflow Analyzer.
Configuración y monitorización desde el Netflow Analyzer
El uso de la aplicación es muy sencillo e intuitivo, y no necesitamos configurar nada para empezar a obtener información de nuestra red, aunque podríamos programar capturas específicas, filtrar los datos para obtener informes de uso en determinadas horas, días o por determinados equipos, protocolos, o aplicaciones, ver cuánto tráfico se consume por SAP, por Citrix, o por Emule, por ejemplo…
Podemos indicar cuánto tiempo se almacenarán los datos importados para ahorrar espacio en disco, o incluso limitar el espacio consumido por la aplicación.
Una función curiosa es la de poder geolocalizar los dispositivos que estamos administrando mediante Google Maps, lo cual será útil para identificar rápidamente los dispositivos, si administramos varios situados en diferentes ubicaciones:
En las siguientes capturas podemos ver algunos de los informes que nos permite la aplicación, todo muy gráfico y visual. Este sería el informe de la última hora:
Ranking de consumo por equipos:
Gráfico de consumos por dirección de destino:
Informe de consumo por protocolo:
