[lacnog] Blog Post - Monitoreo IPv4 e IPv6 en equipos Cisco

Jue Ago 20 10:29:51 BRT 2015

Carlos:

Según Cisco, teóricamente el proceso de “inspección“ de los paquetes que pasa por una interfaz para hacer el registro del Flow no consume mucha CPU porque solo mira “en paralelo” solo el encabezado ip de los paquetes (donde esta todo lo que necesita observar, protocolos capa 4, orígenes y destinos, estado, etc), no desencapsula nada.

Después si hay algo de consumo en el mantenimiento de la base y en el proceso de armado de estadísticas y envío a los colectores, pero si el consumo de recursos no depende tanto del tráfico sino de los Flows activos, o sea si tenes 1 Giga de Voip seguramente consumirás mucho mas cpu que 1 Giga de trafico estándar (http, smtp, etc).

También se ve que influye el nivel de equipamiento... no encuentro algo actualizado que indique tablas de consumo por Netflow, acá hay un paper pero de equipos medios antiguos y de perfiles medios.

Por ejemplo, un router Cisco 3845 con 65000 flujos activos, sin habilitar Netflow consume 13 % de CPU y habilitando Netflow 9 con envío de estadísticas a un colector pasa a consumir 33%.

http://www.cisco.com/c/dam/en/us/solutions/collateral/service-provider/secure-infrastructure/net_implementation_white_paper0900aecd80308a66.pdf

Los equipos en los que tengo levantado Netflow son de perfil medio y tienen levantado algunos perfiles de seguridad por lo que no puedo discriminar mucho el consumo específico, así que no puedo asegurar nada.

Otra cosa que se puede hacer es hacer Span en algun puerto de un Switch que pase ese tráfico y poner en un Server una sonda Netflow que trabaje en promiscuo ... esto hace todo el trabajo fuera del router pero necesitar un Server dedicado con una sonda Netflow promiscua (recibe copia de todo el trafico y hace las estadisticas Netflow mirando el encabezado IP de los paquetes...)

Saludos

Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

From: Carlos Martinez-Cagnazzo 
Sent: Wednesday, August 19, 2015 11:13 PM
To: Jose Luis Gaspoz ; Latin America and Caribbean Region Network Operators Group 
Subject: Re: [lacnog] Blog Post - Monitoreo IPv4 e IPv6 en equipos Cisco

Jose Luis, 

como manejan el tema del sampling? el tema con el netflow ha sido siempre que es una excelente herramienta de medición pero en enlaces de mucho ancho de banda genera muchísima carga en los routers.

s2

-Carlos

2015-08-19 12:21 GMT-03:00 Jose Luis Gaspoz <gaspozj en is.com.ar>:

  Alejandro:

  Se podría levantar netflow V9 simultaneamente en IPv4 e IPv6 , asi podes tener las estadísticas que quieras en ambos protocolos.

  Depende del IOS que tengas necesitas levantarlo de forma estandar o via flexible netflow.... tambien el colector debería soportar IPv4 e IPv6

  Para Cisco IOS (15.x), necesitarías configurar "flexible netflow"

  Un ejemplo de configuración seria mas o menos asi:

  RCasaCentral# configure terminal
  RCasaCentral(config)# flow exporter EXPORTER-1
  RCasaCentral(config-flow-exporter)# description Exportar al colector
  RCasaCentral(config-flow-exporter)# destination x.x.x.x
  RCasaCentral(config-flow-exporter)# transport udp 9001
  RCasaCentral(config-flow-exporter)# template data timeout 300
  RCasaCentral(config-flow-exporter)# flow monitor FLOW-MONITOR-V4
  RCasaCentral(config-flow-monitor)# exporter EXPORTER-1
  RCasaCentral(config-flow-monitor)# record netflow ipv4 original-input
  RCasaCentral(config-flow-monitor)# cache timeout active 300
  RCasaCentral(config-flow-monitor)# flow monitor FLOW-MONITOR-V6
  RCasaCentral(config-flow-monitor)# exporter EXPORTER-1
  RCasaCentral(config-flow-monitor)# record netflow ipv6 original-input
  RCasaCentral(config-flow-monitor)# cache timeout active 300
  RCasaCentral(config)# interface Gigaethernet 0/0
  RCasaCentral(config-if)# ip flow monitor FLOW-MONITOR-V4 input
  RCasaCentral(config-if)# ip flow monitor FLOW-MONITOR-V4 output
  RCasaCentral(config-if)# ipv6 flow monitor FLOW-MONITOR-V6 input
  RCasaCentral(config-if)# ipv6 flow monitor FLOW-MONITOR-V6 output
  RCasaCentral(config-if)# exit
  RCasaCentral(config)# snmp-server ifindex persist

  Si el colector escucha puertos distintos a los flujos de IPv6 e IPv4 habria que levantar otro exporter o si son maquinas distintas (ej llamado EXPORTER-2) y configurar el flow monitor FLOW-MONITOR-V6 que apunte a ese exporter.

  Acá un ejemplo de flexible netflow
  https://supportforums.cisco.com/document/105221/ipv6-flexible-netflow-configuration-example

  Espero haberte sido útil

  Saludos

  Ing. Jose Luis Gaspoz
  Internet Services S.A.
  Tel: 0342-4565118
  Cel: 342-5008523

  -----Mensaje original----- From: Alejandro Acosta
  Sent: Tuesday, August 18, 2015 5:19 PM
  To: Latin America and Caribbean Region Network Operators Group
  Subject: [lacnog] Blog Post - Monitoreo IPv4 e IPv6 en equipos Cisco 

  (** disculpen duplicados **)

  Hola,
  Este breve mensaje es para compartir este post recientemente publicado:

  http://www.labs.lacnic.net/site/monitoreo-ipv4-ipv6-cisco

  Se aceptan sugerencias, quejas, recomendaciones, etc, etc, a la lista
  o a mi personalmente.

  Saludos,

  Alejandro Acosta

  _______________________________________________
  LACNOG mailing list
  LACNOG en lacnic.net
  https://mail.lacnic.net/mailman/listinfo/lacnog
  Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 

  _______________________________________________
  LACNOG mailing list
  LACNOG en lacnic.net
  https://mail.lacnic.net/mailman/listinfo/lacnog
  Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

-- 

--
=========================
Carlos M. Martinez-Cagnazzo
http://cagnazzo.me
=========================
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20150820/045a681c/attachment.html>