Subido por mmiguel.sto

Boletin Informativo Netflow Tshoot

Anuncio
Centro Nacional de Operación de Redes de Clientes
Código:
Boletín Técnico
Versión 1
Netflow como herramienta de Tshoot
La proxima vez que te pidan identificar el TOS con el cual cierto host o segmento esta siendo
etiquetado, puedes emplear Netflow, con el paso del tiempo econtraras que es una gran herramienta
de troubleshooting.
En los siguientes parrafos se explicaran 2 casos de uso muy comunes donde les puede ser util esta
herramienta y solo se necesitan 4 comandos.
Nivel Privilegiado
 show ip cache verbose flow
 show ip cache flow
Nivel Interface


ip flow ingress
ip flow egress
Centro Nacional de Operación de Redes de Clientes
Código:
Boletín Técnico
Versión 1
Caso 1.
Confirmar que el host 10.150.150.254 está siendo etiquetado con Datos Críticos cuando se comunica
con el host 15.15.15.15. Confirmar que el flujo mantiene el marcado de manera bidireccional.
Lo primero que se tiene que hacer es identificar la interface a través de la cual se alcanza el host
remoto.
Vía ruteo vemos que el Next-Hop es 189.1.1.1, por lo que nuestra interface WAN es la salida hacia la IP
15.15.15.15.
En este caso se habilitara Netflow en dirección de salida para identificar el ToS o DSCP del paquete.
Posterior a habilitar Netflow, se emplea el comando show ip cache verbose flow, donde se observa que
no se tiene marcado del paquete, en la columna TOS "00".
Centro Nacional de Operación de Redes de Clientes
Código:
Boletín Técnico
Versión 1
Posterior a configurar el marcado, se emplea el mismo comando para validar.
Centro Nacional de Operación de Redes de Clientes
Código:
Boletín Técnico
Versión 1
La columna TOS nos indica que se está empleando el TOS 70, este número esta en Hexadecimal, por lo
que empleando la siguiente tabla se puede obtener el DSCP ó AF correspondiente, en este caso en
AF32, por lo que se confirma que ya se etiqueta como Datos Críticos.
Centro Nacional de Operación de Redes de Clientes
Código:
Boletín Técnico
Versión 1
El caso pedía validar que se garantizara de manera bidireccional el etiquetado, por lo que se habilita
Netflow en el sentido de entrada de la interface WAN.
Centro Nacional de Operación de Redes de Clientes
Código:
Boletín Técnico
Versión 1
Se confirma que el flujo es enviado y recibido con el TOS 70, es decir AF32.
Caso 2.
Identificar el puerto involucrado en una conexión telnet y Web al server 15.15.15.15, de antemano se
sabe que serán los puertos 23 y 80, pero se empleara Netflow para confirmar.
Centro Nacional de Operación de Redes de Clientes
Código:
Boletín Técnico
Versión 1
Los campos marcados en rojo nos indican la interface, IP y puerto Origen, así como interface, IP y
puerto destino, también nos indica el tipo de protocolo capa 4 que se emplea, en este caso "06", es
decir TCP bajo la columna Pr. El puerto Origen es el DF95 y el Destino 0017, estos valores están en
Hexadecimal, por lo que empleando la calculadora se encuentran los valores decimales, 57237 y 23, es
decir una conexión Telnet.
Se inicia una conexión Web a la IP 15.15.15.15, Netflow nos arroja la siguiente información.
Se identifica el puerto origen 95E8, destino 0050 y tipo TCP "06", haciendo la conversión a decimal los
puertos son, 38376 y 80.
De este modo Netflow puede apoyar en proporcionar información de marcado, saturación, en que
sentido se tiene perdida de paquetes o tipos de conexión cuando el cliente lo solicite. Cuando se trate
de saturación es importante identificar el sentido de dicha saturación, es decir, si se tiene saturación de
entrada se recomienda habilitar Netflow con el comando "ingress", si se tiene saturación de salida
habilitar con el comando "egress", solo si se quiere revisar un tema de marcado bidireccional o mas
detalles de flujos se tendrá que habilitar en ambos sentidos. Se recomienda de este modo para evitar
perder de vista la información relevante al flujo de interes.
IMPORTANTE, siempre deshabilitar Netflow en caso de que no se esté enviando a un Servidor para
cuestiones de gráficos, ya que se consumen recursos del CPE cuando se deja habilitado
permanentemente.
Descargar