
<HTML><HEAD></HEAD>

<BODY dir=ltr>

<DIV dir=ltr>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">

<DIV>Carlos:</DIV>

<DIV> </DIV>

<DIV>Según Cisco, teóricamente el proceso de “inspección“ de los paquetes que 

pasa por una interfaz para hacer el registro del Flow no consume mucha CPU 

porque solo mira “en paralelo” solo el encabezado ip de los paquetes (donde esta 

todo lo que necesita observar, protocolos capa 4, orígenes y destinos, estado, 

etc), no desencapsula nada.</DIV>

<DIV> </DIV>

<DIV>Después si hay algo de consumo en el mantenimiento de la base y en el 

proceso de armado de estadísticas y envío a los colectores, pero si el consumo 

de recursos no depende tanto del tráfico sino de los Flows activos, o sea si 

tenes 1 Giga de Voip seguramente consumirás mucho mas cpu que 1 Giga de trafico 

estándar (http, smtp, etc).</DIV>

<DIV> </DIV>

<DIV>También se ve que influye el nivel de equipamiento... no encuentro algo 

actualizado que indique tablas de consumo por Netflow, acá hay un paper pero de 

equipos medios antiguos y de perfiles medios.</DIV>

<DIV> </DIV>

<DIV>Por ejemplo, un router Cisco 3845 con 65000 flujos activos, sin habilitar 

Netflow consume 13 % de CPU y habilitando Netflow 9 con envío de estadísticas a 

un colector pasa a consumir 33%.</DIV>

<DIV> </DIV>

<DIV><A 

title=http://www.cisco.com/c/dam/en/us/solutions/collateral/service-provider/secure-infrastructure/net_implementation_white_paper0900aecd80308a66.pdf 

href="http://www.cisco.com/c/dam/en/us/solutions/collateral/service-provider/secure-infrastructure/net_implementation_white_paper0900aecd80308a66.pdf">http://www.cisco.com/c/dam/en/us/solutions/collateral/service-provider/secure-infrastructure/net_implementation_white_paper0900aecd80308a66.pdf</A></DIV>

<DIV> </DIV>

<DIV>Los equipos en los que tengo levantado Netflow son de perfil medio y tienen 

levantado algunos perfiles de seguridad por lo que no puedo discriminar mucho el 

consumo específico, así que no puedo asegurar nada.</DIV>

<DIV> </DIV>

<DIV>Otra cosa que se puede hacer es hacer Span en algun puerto de un Switch que 

pase ese tráfico y poner en un Server una sonda Netflow que trabaje en promiscuo 

... esto hace todo el trabajo fuera del router pero necesitar un Server dedicado 

con una sonda Netflow promiscua (recibe copia de todo el trafico y hace las 

estadisticas Netflow mirando el encabezado IP de los paquetes...)</DIV>

<DIV> </DIV>

<DIV>Saludos</DIV>

<DIV> </DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">Ing. Jose 

Luis Gaspoz<BR>Internet Services S.A.<BR>Tel: 0342-4565118<BR>Cel: 

342-5008523</DIV>

<DIV 

style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>

<DIV style="FONT: 10pt tahoma">

<DIV> </DIV>

<DIV style="BACKGROUND: #f5f5f5">

<DIV style="font-color: black"><B>From:</B> <A title=carlosm3011@gmail.com 

href="mailto:carlosm3011@gmail.com">Carlos Martinez-Cagnazzo</A> </DIV>

<DIV><B>Sent:</B> Wednesday, August 19, 2015 11:13 PM</DIV>

<DIV><B>To:</B> <A title=gaspozj@is.com.ar href="mailto:gaspozj@is.com.ar">Jose 

Luis Gaspoz</A> ; <A title=lacnog@lacnic.net 

href="mailto:lacnog@lacnic.net">Latin America and Caribbean Region Network 

Operators Group</A> </DIV>

<DIV><B>Subject:</B> Re: [lacnog] Blog Post - Monitoreo IPv4 e IPv6 en equipos 

Cisco</DIV></DIV></DIV>

<DIV> </DIV></DIV>

<DIV 

style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>

<DIV dir=ltr>Jose Luis, 

<DIV> </DIV>

<DIV>como manejan el tema del sampling? el tema con el netflow ha sido siempre 

que es una excelente herramienta de medición pero en enlaces de mucho ancho de 

banda genera muchísima carga en los routers.</DIV>

<DIV> </DIV>

<DIV>s2</DIV>

<DIV> </DIV>

<DIV>-Carlos</DIV></DIV>

<DIV class=gmail_extra>

<DIV> </DIV>

<DIV class=gmail_quote>2015-08-19 12:21 GMT-03:00 Jose Luis Gaspoz <SPAN 

dir=ltr><<A href="mailto:gaspozj@is.com.ar" 

target=_blank>gaspozj@is.com.ar</A>></SPAN>:<BR>

<BLOCKQUOTE class=gmail_quote 

style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Alejandro:<BR><BR>Se 

  podría levantar netflow V9 simultaneamente en IPv4 e IPv6 , asi podes tener 

  las estadísticas que quieras en ambos protocolos.<BR><BR>Depende del IOS que 

  tengas necesitas levantarlo de forma estandar o via flexible netflow.... 

  tambien el colector debería soportar IPv4 e IPv6<BR><BR>Para Cisco IOS (15.x), 

  necesitarías configurar "flexible netflow"<BR><BR>Un ejemplo de configuración 

  seria mas o menos asi:<BR><BR>RCasaCentral# configure 

  terminal<BR>RCasaCentral(config)# flow exporter 

  EXPORTER-1<BR>RCasaCentral(config-flow-exporter)# description Exportar al 

  colector<BR>RCasaCentral(config-flow-exporter)# destination 

  x.x.x.x<BR>RCasaCentral(config-flow-exporter)# transport udp 

  9001<BR>RCasaCentral(config-flow-exporter)# template data timeout 

  300<BR>RCasaCentral(config-flow-exporter)# flow monitor 

  FLOW-MONITOR-V4<BR>RCasaCentral(config-flow-monitor)# exporter 

  EXPORTER-1<BR>RCasaCentral(config-flow-monitor)# record netflow ipv4 

  original-input<BR>RCasaCentral(config-flow-monitor)# cache timeout active 

  300<BR>RCasaCentral(config-flow-monitor)# flow monitor 

  FLOW-MONITOR-V6<BR>RCasaCentral(config-flow-monitor)# exporter 

  EXPORTER-1<BR>RCasaCentral(config-flow-monitor)# record netflow ipv6 

  original-input<BR>RCasaCentral(config-flow-monitor)# cache timeout active 

  300<BR>RCasaCentral(config)# interface Gigaethernet 

  0/0<BR>RCasaCentral(config-if)# ip flow monitor FLOW-MONITOR-V4 

  input<BR>RCasaCentral(config-if)# ip flow monitor FLOW-MONITOR-V4 

  output<BR>RCasaCentral(config-if)# ipv6 flow monitor FLOW-MONITOR-V6 

  input<BR>RCasaCentral(config-if)# ipv6 flow monitor FLOW-MONITOR-V6 

  output<BR>RCasaCentral(config-if)# exit<BR>RCasaCentral(config)# snmp-server 

  ifindex persist<BR><BR><BR>Si el colector escucha puertos distintos a los 

  flujos de IPv6 e IPv4 habria que levantar otro exporter o si son maquinas 

  distintas (ej llamado EXPORTER-2) y configurar el flow monitor FLOW-MONITOR-V6 

  que apunte a ese exporter.<BR><BR>Acá un ejemplo de flexible netflow<BR><A 

  href="https://supportforums.cisco.com/document/105221/ipv6-flexible-netflow-configuration-example" 

  rel=noreferrer 

  target=_blank>https://supportforums.cisco.com/document/105221/ipv6-flexible-netflow-configuration-example</A><BR><BR>Espero 

  haberte sido útil<BR><BR>Saludos<BR><BR>Ing. Jose Luis Gaspoz<BR>Internet 

  Services S.A.<BR>Tel: 0342-4565118<BR>Cel: 342-5008523<BR><BR>-----Mensaje 

  original----- From: Alejandro Acosta<BR>Sent: Tuesday, August 18, 2015 5:19 

  PM<BR>To: Latin America and Caribbean Region Network Operators 

  Group<BR>Subject: [lacnog] Blog Post - Monitoreo IPv4 e IPv6 en equipos Cisco 

  <DIV class=HOEnZb>

  <DIV class=h5><BR><BR>(** disculpen duplicados **)<BR><BR>Hola,<BR>Este breve 

  mensaje es para compartir este post recientemente publicado:<BR><BR><A 

  href="http://www.labs.lacnic.net/site/monitoreo-ipv4-ipv6-cisco" 

  rel=noreferrer 

  target=_blank>http://www.labs.lacnic.net/site/monitoreo-ipv4-ipv6-cisco</A><BR><BR>Se 

  aceptan sugerencias, quejas, recomendaciones, etc, etc, a la lista<BR>o a mi 

  personalmente.<BR><BR>Saludos,<BR><BR>Alejandro 

  Acosta<BR><BR><BR>_______________________________________________<BR>LACNOG 

  mailing list<BR><A href="mailto:LACNOG@lacnic.net" 

  target=_blank>LACNOG@lacnic.net</A><BR><A 

  href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel=noreferrer 

  target=_blank>https://mail.lacnic.net/mailman/listinfo/lacnog</A><BR>Cancelar 

  suscripcion: <A href="https://mail.lacnic.net/mailman/options/lacnog" 

  rel=noreferrer 

  target=_blank>https://mail.lacnic.net/mailman/options/lacnog</A> 

  <BR><BR>_______________________________________________<BR>LACNOG mailing 

  list<BR><A href="mailto:LACNOG@lacnic.net" 

  target=_blank>LACNOG@lacnic.net</A><BR><A 

  href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel=noreferrer 

  target=_blank>https://mail.lacnic.net/mailman/listinfo/lacnog</A><BR>Cancelar 

  suscripcion: <A href="https://mail.lacnic.net/mailman/options/lacnog" 

  rel=noreferrer 

  target=_blank>https://mail.lacnic.net/mailman/options/lacnog</A><BR></DIV></DIV></BLOCKQUOTE></DIV><BR><BR 

clear=all>

<DIV> </DIV>-- <BR>

<DIV class=gmail_signature>

<DIV dir=ltr>--<BR>=========================<BR>Carlos M. 

Martinez-Cagnazzo<BR><A href="http://cagnazzo.name" target=_blank>h</A>ttp://<A 

href="http://cagnazzo.me" 

target=_blank>cagnazzo.me</A><BR>=========================</DIV></DIV></DIV></DIV></DIV></DIV></BODY></HTML>