Simple Network Management (SNMP)

SNMP Operation
SNMP foi desenvolvido para permitir que os administradores gerenciem os ns, como
servidores, estaes de trabalho, roteadores, switches e dispositivos de segurana, em uma
rede IP. Ele permite que os administradores de rede gerenciar o desempenho da rede,
encontrar e resolver problemas de rede, e planejar o crescimento da rede.
SNMP um protocolo de camada de aplicao que fornece um formato de mensagem para
comunicao entre os gestores e agentes. O sistema SNMP consiste em trs elementos:
gerente SNMP
agentes SNMP (n gerenciado)
Management Information Base (MIB)
Para configurar o SNMP em um dispositivo de rede, primeiro necessrio definir a relao
entre o gerente eo agente.
O gerente SNMP faz parte de um sistema de gerenciamento de rede (NMS). O gerente SNMP
executa o software de gerenciamento SNMP. Como mostrado na figura, o gerente SNMP pode
coletar informaes de um agente SNMP usando o "ficar" ao e pode alterar as configuraes
em um agente usando o "set" de ao. Alm disso, os agentes SNMP pode encaminhar
informaes diretamente para um NMS usando "armadilhas".
O agente SNMP e MIB residir em clientes de dispositivos de rede. Os dispositivos de rede que
devem ser gerenciados, como switches, roteadores, servidores, firewalls, e estaes de
trabalho, so equipadas com um mdulo de software agente SMNP. Loja MIBs dados sobre o
funcionamento do dispositivo e so destinadas a estar disponvel para os usurios remotos
autenticados. O agente SNMP responsvel por fornecer o acesso ao local dos objetos MIB
que reflete os recursos e atividades.
SNMP define como gesto da informao so trocados entre os aplicativos de gerenciamento
de rede e agentes de gerenciamento. SNMP usa UDP, nmero de porta 162, para recuperar e
enviar informaes de gerenciamento.
Agentes SNMP que residem em dispositivos gerenciados coletar e armazenar informaes
sobre o dispositivo e seu funcionamento. Esta informao armazenada por o agente
localmente no MIB. O gerente SNMP usa o agente SNMP para acessar informaes dentro do
MIB.
H dois pedidos SNMP Manager primrias, get e set. A solicitao get usado pela NMS para
consultar o dispositivo para dados. Um pedido conjunto usado pelos NMS para alterar as
variveis de configurao no dispositivo agente. Um pedido conjunto tambm pode iniciar
aes dentro de um dispositivo. Por exemplo, um conjunto pode causar um roteador para
reiniciar, enviar um arquivo de configurao, ou receber um arquivo de configurao. O
gerente SNMP usa os get e set aes para executar as operaes descritas na tabela na Figura
1.
O agente SNMP responde a pedidos SNMP gerente da seguinte forma:

 Obter uma varivel MIB - O agente SNMP executa esta funo em resposta a uma
GetRequest-PDU dos NMS. O agente recupera o valor da varivel MIB solicitado e responde ao
NMS com esse valor.
Definir uma varivel MIB - O agente SNMP executa esta funo em resposta a uma
SetRequest-PDU dos NMS. O agente SNMP altera o valor da varivel MIB para o valor
especificado pelos NMS. Um agente SNMP resposta a um pedido conjunto inclui as novas
configuraes do dispositivo.
A figura 2 ilustra o uso de um GetRequest SNMP para determinar se a interface G0 / 0 para
cima / para cima.
Uma NMS periodicamente o agentes SNMP que residem em dispositivos gerenciados,
consultando o dispositivo para os dados usando a solicitao get. Usando este processo, um
aplicativo de gerenciamento de rede pode coletar informaes para monitorar cargas de
trfego e verificar as configuraes de dispositivos gerenciados de dispositivos. As informaes
podem ser apresentadas atravs de GUI nas NMS. Mdias, mnimos ou mximos pode ser
calculado, os dados podem ser representados graficamente, ou limiares podem ser definidos
para desencadear um processo de notificao quando os limites forem ultrapassados. Por
exemplo, um NMS pode monitorar a utilizao da CPU de um roteador Cisco. As amostras
gerente SNMP o valor periodicamente e apresenta essas informaes em um grfico para o
administrador de rede para usar na criao de uma linha de base.
Peridica polling SNMP tem desvantagens. Em primeiro lugar, existe um atraso entre o
momento em que ocorre um evento e o tempo em que notado (atravs de sondagem) de
NEM. Em segundo lugar, h um trade-off entre a frequncia de consulta e uso de banda.
Para mitigar esses inconvenientes, possvel para os agentes SNMP para gerar e enviar
armadilhas para informar o NMS imediatamente de certos eventos. Armadilhas so
mensagens no solicitadas alerta o gerente SNMP a uma condio ou evento na rede.
Exemplos de condies de reteno incluem, mas no esto limitados a, autenticao
imprpria usurio, reiniciar, status do link (para cima ou para baixo), rastreamento de
endereo MAC, o fechamento de uma conexo TCP, perda de conexo com um vizinho, ou
outros eventos significativos. Notificaes dirigidas armadilha reduzir de rede e agente de
recursos, eliminando a necessidade de alguns dos pedidos de votao SNMP.
A figura 1 ilustra o uso de uma armadilha SNMP para alertar o administrador de rede que
fazem interface G0 / 0 falhou. O software NMS pode enviar o administrador de rede uma
mensagem de texto, abrir uma janela para o software NMS, ou gire o cone roteador vermelho
no GUI NMS.
A troca de todas as mensagens SNMP ilustrada na Figura 2.
Existem diversas verses do SNMP, incluindo:
SNMPv1 - O Simple Network Management Protocol, um padro Internet completa, definido
na RFC 1157.
SNMPv2c - Definido na RFC 1901-1908; utiliza de base comunitria-string-Quadro
Administrativo.
SNMPv3 - protocolo baseado em normas interoperveis originalmente definido na RFC 22732275; fornece acesso seguro aos dispositivos de autenticao e criptografia de pacotes atravs

da rede. Ela inclui os seguintes recursos de segurana: integridade mensagem para garantir
que um pacote no foi adulterado em trnsito; autenticao para determinar se a mensagem
proveniente de uma fonte vlida, e de criptografia para evitar que o contedo de uma
mensagem de ser lido por uma fonte no autorizada.
Todas as verses utilizam gerenciadores SNMP, agentes e MIBs. Software Cisco IOS suporta as
trs verses anteriores. Verso 1 uma soluo de legado e no costuma ser encontrado em
redes de hoje; portanto, este curso centra-se em verses 2c e 3.
Ambos SNMPv1 e SNMPv2c usar uma forma de base comunitria de segurana. A comunidade
de gestores capazes de acessar MIB do agente definida por uma ACL e senha.
Ao contrrio de SNMPv1, SNMPv2c inclui um mecanismo de recuperao em massa e
mensagem de erro mais detalhada de relatrios para as estaes de gerenciamento. O
mecanismo de recuperao em massa recupera tabelas e grandes quantidades de
informaes, minimizando o nmero de round-trips necessrios. A melhoria de tratamento de
erros SNMPv2c inclui cdigos de erro expandidas que distinguem os diferentes tipos de
condies de erro. Estas condies so relatados atravs de um nico cdigo de erro no
SNMPv1. Cdigos de retorno de erro no SNMPv2c incluem o tipo de erro.
Nota: SNMPv1 e SNMPv2c oferecem recursos de segurana mnimos. Especificamente,
SNMPv1 e SNMPv2c pode nem autenticar a origem de uma mensagem de gerenciamento,
nem fornecer criptografia. SNMPv3 mais atualmente descrito no RFC 3410-3415. Acrescenta
mtodos para garantir a transmisso segura de dados crticos entre os dispositivos
gerenciados.
SNMPv3 fornece para ambos os modelos de segurana e nveis de segurana. Um modelo de
segurana uma estratgia de autenticao configurado para um usurio e do grupo em que o
usurio reside. A nvel de segurana o nvel permitido de segurana dentro de um modelo de
segurana. A combinao do nvel de segurana eo modelo de segurana determinar qual
mecanismo de segurana usado quando manusear um pacote SNMP. Modelos de segurana
disponveis so SNMPv1, SNMPv2c e SNMPv3.
A figura identifica as caractersticas das diferentes combinaes de modelos de segurana e os
nveis.
Um administrador de rede deve configurar o agente SNMP para usar a verso SNMP apoiado
pela estao de gerenciamento. Porque um agente pode se comunicar com vrios
gerenciadores SNMP, possvel configurar o software para suportar comunicaes usando
SNMPv1, SNMPv2c, ou SNMPv3.
Para SNMP para operar, os NMS deve ter acesso ao MIB. Para garantir que os pedidos de
acesso so vlidas, alguma forma de autenticao devem estar no local.
SNMPv1 e SNMPv2c usar seqncias de comunidade que controlam o acesso ao MIB. Cordas
comunitrios so senhas em texto puro. Strings da comunidade SNMP autenticar o acesso a
objetos MIB.
Existem dois tipos de seqncias de comunidade:
somente leitura (ro) - Fornece acesso s variveis MIB, mas no permite que essas variveis
para ser mudado, s ler. Porque a segurana mnima na verso 2c, muitas organizaes usam
SNMPv2c no modo de somente leitura.

 Leia e escrita (rw) - Fornece ler e escrever o acesso a todos os objetos do MIB.
Para visualizar ou definir as variveis MIB, o usurio deve especificar a string de comunidade
apropriada para acesso de leitura ou gravao. Jogue a animao na figura para ver como
SNMP opera com a string de comunidade.
Nota: senhas em texto puro no so consideradas um mecanismo de segurana. Isso ocorre
porque as senhas em texto puro so altamente vulnerveis a ataques man-in-the-middle, em
que esto comprometidos com a captura de pacotes.
O MIB organiza variveis hierarquicamente. Variveis MIB permitir que o software de gesto
para monitorar e controlar o dispositivo de rede. Formalmente, a MIB define cada varivel
como um ID de objeto (OID). OIDs identificar objetos gerenciados no MIB hierarquia. O MIB
organiza os OIDs com base em padres RFC em uma hierarquia de OIDs, geralmente mostrado
como uma rvore.
A rvore MIB para qualquer dispositivo dado inclui alguns ramos com variveis comuns a
muitos dispositivos de rede e alguns ramos com variveis especficas para esse dispositivo ou
fornecedor.
RFCs definir algumas variveis pblicas comuns. A maioria dos dispositivos implementar essas
variveis MIB. Alm disso, fornecedores de equipamentos de redes, como Cisco, pode definir
os seus prprios ramos particulares da rvore para acomodar novas variveis especficas de
seus aparelhos. A Figura 1 mostra partes da estrutura MIB definidos pela Cisco Systems, Inc.
Nota como o OID pode ser descrito em palavras ou nmeros para ajudar a localizar uma
varivel em particular na rvore. OIDs pertencentes a Cisco, como mostrado na Figura 1, so
numeradas da seguinte forma:....... Iso (1) org (3) dod (6) internet (1) Privado (4) empresas (1)
cisco (9 ). Este apresentado como 1.3.6.1.4.1.9.
Porque a CPU um dos recursos fundamentais, deve ser medido de forma contnua.
Estatsticas de CPU devem ser compilados com o NMS e grficos. Observando a utilizao da
CPU durante um perodo de tempo prolongado permite ao administrador estabelecer uma
estimativa de linha de base para a utilizao da CPU. Os limiares podem ento ser definido em
relao a esta linha de base. Quando a utilizao da CPU exceder o limite, as notificaes so
enviadas. Uma ferramenta grfica SNMP pode agentes SNMP periodicamente votao, como
um roteador, e um grfico dos valores recolhidos. A Figura 2 ilustra a utilizao de amostras de
router CPU durante o perodo de algumas semanas de 5 minutos.
Os dados so recuperados atravs do utilitrio snmpget, emitidas nos NMS. Usando o utilitrio
snmpget, pode-se obter manualmente os valores para a mdia da percentagem de CPU
ocupado. O utilitrio snmpget requer que a verso SNMP, a comunidade correta, o endereo
IP do dispositivo de rede para consultar, eo nmero OID so definidos. A Figura 3 demonstra a
utilizao do utilitrio snmpget gratuito, que permite uma recuperao rpida de informao a
partir da MIB.
A Figura 3 mostra um longo comando com vrios parmetros, incluindo:
-v2c - verso do SNMP
-c comunidade - SNMP senha, chamada de corda da comunidade
10.250.250.14 - endereo IP do dispositivo monitorado

 1.3.6.1.4.1.9.2.1.58.0 - OID da MIB varivel

A ltima linha mostra a resposta. O resultado mostra uma verso abreviada da varivel MIB.
Em seguida, ele lista o valor real na MIB local. Neste caso, a mdia mvel exponencial de 5
minutos do percentual CPU ocupada de 11 por cento. O utilitrio oferece alguns insights
sobre os mecanismos bsicos de como SNMP funciona. No entanto, trabalhar com nomes de
variveis MIB longas como 1.3.6.1.4.1.9.2.1.58.0 pode ser problemtico para o usurio mdio.
Mais comumente, a equipe de operaes de rede usa um produto de gerenciamento de rede
com uma interface grfica fcil de usar, com toda a varivel de dados MIB nomear
transparente para o usurio.
O site Cisco SNMP Navigator permite que um administrador de rede para obter detalhes sobre
um determinado OID investigao. A Figura 4 mostra um exemplo associado a uma mudana
de configurao em um switch Cisco 2960.
Um administrador de rede pode configurar SNMPv2 para obter informaes sobre a rede a
partir de dispositivos de rede. Como mostrado na figura, os passos bsicos para a configurao
do SNMP esto todos em modo de configurao global.
. Passo 1 (Obrigatrio) Configure a string de comunidade e nvel de acesso (somente leitura ou
leitura e escrita) com o SNMP no servidor ro cordas comunidade | comando rw.
Etapa 2 (opcional). Documento a localizao do dispositivo usando o comando de texto
localizao SNMP-servidor.
Passo 3. (Opcional) Documentar o contato do sistema usando o comando contato texto snmpservidor.
Passo 4 (Opcional) Restringir o acesso a hosts SNMP NMS (gerente SNMP) que so permitidos
por uma ACL:. Definir a ACL e, em seguida, fazer referncia a ACL com o comando access-listnumber-ou-nome string de comunidade snmp-servidor. Esse comando pode ser usado tanto
para especificar uma string de comunidade e de restringir o acesso via SNMP ACLs. Passo 1 e
Passo 4 podem ser combinados em um passo, se desejado; o dispositivo de rede Cisco
combina os dois comandos em um, se eles forem inseridos separadamente.
. Passo 5 (Opcional) Especifique o destinatrio das operaes de interceptao SNMP com o
snmp-servidor host host-id [verso {1 | 2c | 3 [auth | noauth | priv]}] comando comunidade
cordas. Por padro, nenhum gerente armadilha est definido.
Passo 6. (Opcional) Ative armadilhas sobre um agente SNMP com o snmp-server permitir
armadilhas comando de notificao-tipos. Se nenhum tipo de notificao armadilha so
especificados neste comando, ento todos os tipos de armadilhas so enviados. necessrio o
uso repetido deste comando se um subconjunto especfico de tipos de armadilhas desejada.
Nota: Por padro, o SNMP no possui armadilhas definido. Sem este comando, os gerentes
SNMP deve pesquisar para todas as informaes relevantes.
Existem vrias solues de software para visualizao de sada SNMP. Para nossos propsitos,
o Kiwi Syslog Server exibe mensagens SNMP associados traps SNMP.
PC1 e R1 so configurados para demonstrar a sada em um gerente SNMP como relacionada
com traps SNMP.

Como mostrado na Figura 1, o PC1 atribudo o endereo de IP 192.168.1.3/24. O Servidor

Kiwi Syslog est instalado no PC1.
Depois de R1 configurado, sempre que ocorre um evento que qualifica como uma armadilha,
as traps SNMP so enviadas para o gerente SNMP. Por exemplo, se uma interface trata-se, de
uma armadilha enviado para o servidor. As alteraes de configurao do roteador tambm
desencadear traps SNMP para ser enviado para o gerente SNMP. Uma lista de mais de 60 tipos
de notificao armadilha pode ser visto com o snmp-server permitir armadilhas? comando. Na
configurao de R1, nenhum tipo de notificao armadilha so especificados no snmp-server
permitir armadilhas comando de notificao-tipos, de modo que todas as armadilhas so
enviados.
Na Figura 2, uma caixa de seleo est marcada no menu de configurao para indicar que o
administrador de rede quer software gerenciador SNMP para ouvir traps SNMP na porta UDP
162.
Na Figura 3, a linha superior da sada de trap SNMP apresentado indica que a interface
GigabitEthernet0 / 0 estado alterado para cima. Alm disso, cada vez que o modo de
configurao global introduzido a partir do modo EXEC privilegiado, uma armadilha
recebido pelo gerente SNMP, como mostrado na linha destacada.
Para verificar a configurao SNMP, use qualquer uma das variaes do comando do modo
EXEC privilegiado show de SNMP. O comando mais til simplesmente o comando show
SNMP, como ele exibe as informaes que so de interesse comum ao examinar a
configurao SNMP. A menos que haja uma configurao SNMPv3 envolvidos, para a maior
parte das outras opes de comando exibir apenas partes selecionadas da sada do comando
show snmp. A Figura 4 mostra um exemplo de sada mostram snmp.
A sada de comando show snmp no exibe as informaes relativas cadeia de comunidade
SNMP, ou, se for o caso, a ACL associada. Figura 5 mostra a string de comunidade SNMP e
informao ACL, usando o comando show de comunidade SNMP.
Use o Syntax Checker na Figura 6 para configurar e verificar SNMP em R1.
Enquanto SNMP muito til para a monitorizao e resoluo de problemas, como a mostrada
na figura, pode tambm criar as vulnerabilidades de segurana. Por esta razo, antes de
implementar SNMP, estar consciente das melhores prticas de segurana.
Ambos SNMPv1 e SNMPv2c contar com strings da comunidade SNMP em texto simples para
autenticar o acesso a objetos MIB. Estas seqncias de comunidade, como acontece com
todas as senhas, devem ser cuidadosamente escolhidos para garantir que eles no so muito
fceis de decifrar. Alm disso, seqncias de comunidade deve ser alterado em intervalos
regulares e de acordo com as polticas de segurana de rede. Por exemplo, as cordas devem
ser mudadas quando um administrador de rede muda papis ou deixa a empresa. Se o SNMP
usado apenas para monitorar dispositivos, use somente leitura comunidades.
Certifique-se de que as mensagens SNMP no se espalhou alm dos consoles de
gerenciamento. ACLs deve ser usado para impedir que mensagens SNMP de ir alm dos
dispositivos necessrios. ACL tambm deve ser usado nos dispositivos monitorados para
limitar o acesso apenas para sistemas de gesto.

SNMPv3 recomendado porque fornece autenticao de segurana e criptografia. H um

nmero de outro modo de configurao global ordena que um administrador de rede pode
implementar para tirar vantagem da autenticao e criptografia de apoio em SNMPv3:
O grupo nomedogrupo snmp-server {v1 | v2c | v3 {auth | noauth | priv}} comando cria um
novo grupo SNMP no dispositivo.
O snmp-server usurio nome de usurio nomedogrupo v3 [criptografado] [auth {md5 | sha}
auth-senha] [priv {des | 3des | aes {128 | 192 | 256}} priv-password] comando usado para
adicionar um novo usurio ao grupo SNMP especificado no comando do grupo groupname
snmp-servidor.
Nota: A configurao SNMPv3 est fora do escopo do currculo CCNA.

NetFlow Operation
NetFlow uma tecnologia Cisco IOS que fornece estatsticas sobre os pacotes que fluem
atravs de um roteador ou switch Cisco multicamadas. NetFlow o padro para a coleta de
dados operacionais IP de redes IP.
Historicamente, a tecnologia NetFlow foi desenvolvido porque os profissionais de rede
precisava de um mtodo simples e eficiente para rastreamento TCP / IP flui na rede, e SNMP
no foi suficiente para esses fins. Enquanto SNMP tenta fornecer uma ampla gama de recursos
e opes de gerenciamento de rede, NetFlow est focada em fornecer estatsticas sobre os
pacotes IP que flui atravs de dispositivos de rede.
NetFlow fornece dados para permitir a rede e monitoramento de segurana, planejamento de
rede, anlise de trfego para incluir a identificao de gargalos da rede e contabilidade IP para
efeitos de facturao. Por exemplo, na figura, PC 1 se conecta ao PC 2, utilizando um aplicativo
como o HTTPS. NetFlow pode monitorar a conexo do aplicativo, byte rastreamento e
contagem de pacotes para que o fluxo de aplicao individual. Em seguida, ele empurra as
estatsticas sobre a um servidor externo chamado um coletor NetFlow.
NetFlow tornou-se um padro de monitoramento, e agora amplamente apoiada na indstria
de networking.
NetFlow Flexvel a mais recente tecnologia NetFlow. NetFlow flexvel melhora em "NetFlow
original", adicionando a capacidade de personalizar os parmetros de anlise de trfego para
as necessidades especficas de um administrador de rede. NetFlow flexvel facilita a criao de
mais configuraes complexas para anlise de trfego e exportao de dados atravs do uso
de componentes de configurao reutilizveis.
NetFlow flexvel usa o formato de exportao Verso 9. A caracterstica que distingue o
formato de exportao NetFlow Verso 9 que ele baseado em modelo. Os modelos
fornecem um design extensvel para o formato de gravao, um recurso que permite
melhorias futuras para Netflow servios sem a necessidade de alteraes simultneas para o
formato de fluxo registro bsico. importante notar que muitos comandos NetFlow flexveis
teis foram introduzidos com o Cisco IOS verso 15.1.

H muitos usos potenciais das estatsticas que NetFlow fornece; no entanto, a maioria das
organizaes usam NetFlow para alguns ou todos os seguintes objetivos de coleta de dados
importantes:
Medio de que est usando os recursos de rede que para que finalidade.
Contabilidade e cobrando de volta de acordo com o nvel de utilizao de recursos.
Usando a informao de medio para fazer o planejamento da rede mais eficaz para que a
alocao de recursos ea implantao bem alinhado com as necessidades do cliente.
Utilizar a informao para melhor estrutura e personalizar o conjunto de aplicaes e
servios disponveis para atender as necessidades do usurio e requisitos de atendimento ao
cliente.
Ao comparar a funcionalidade do SNMP para NetFlow, uma analogia para SNMP pode ser um
software de controle remoto para um veculo no tripulado; enquanto que uma analogia para
NetFlow uma conta de telefone simples, porm detalhada. Registros telefnicos fornecer
chamar-a-chamada e estatsticas agregadas que permitem que a pessoa pagar a conta para
rastrear as chamadas longas, chamadas freqentes, ou as chamadas que no deveriam ter sido
feitas.
Em contraste com SNMP, netflow usa um modelo "baseado-empurrar". O coletor
simplesmente escuta o trfego NetFlow, e os dispositivos de rede so responsveis por enviar
dados NetFlow para o coletor, com base em mudanas em seu cache de fluxo. Outra diferena
entre NetFlow e SNMP que NetFlow s rene estatsticas de trfego, como mostrado na
figura, enquanto SNMP tambm pode coletar muitos outros indicadores de desempenho, tais
como erros de interface, uso de CPU e uso de memria. Por outro lado, as estatsticas de
trfego recolhidos usando NetFlow tem muito mais granularidade do que as estatsticas de
trfego que podem ser coletados usando SNMP.
Nota: No confunda propsito e resultados com o de hardware e software de captura de
pacotes do NetFlow. Considerando pacote captura recorde toda a informao possvel sair ou
entrar em um dispositivo de rede para anlise posterior, NetFlow metas informao estatstica
especfica.
Quando Cisco procurou criar NetFlow, dois critrios fundamentais orientaram em sua criao:
NetFlow deve ser completamente transparente para os aplicativos e dispositivos na rede.
NetFlow no deveria ter que ser apoiado e executado em todos os dispositivos na rede para
funcionar.
A realizao destes critrios de projeto garantiu que NetFlow muito fcil de implementar nas
redes modernas mais complexos.
Nota: Apesar de NetFlow simples de implementar e transparente para a rede, ele consome
mais memria no dispositivo Cisco, porque as lojas NetFlow registrar informaes em "cache"
no dispositivo. O tamanho padro de este cache varia de acordo com a plataforma, eo
administrador pode ajustar este valor.
NetFlow quebra comunicaes TCP / IP para fins de registro estatstico utilizando o conceito de
um fluxo. Um fluxo um fluxo unidirecional de pacotes entre um sistema de origem especfico
e um destino especfico. A figura apresenta o conceito de fluxo.

Para NetFlow, que construdo em torno de TCP / IP, a origem eo destino so definidos por
seus endereos IP da camada de rede e os seus nmeros de origem da camada de transporte e
portos de destino.
Tecnologia NetFlow viu vrias geraes que fornecem mais sofisticao na definio de fluxos
de trfego, mas "NetFlow originais" fluxos distintos, utilizando uma combinao de sete
campos. No caso de um desses campos variam em valor a partir de um outro pacote, os
pacotes pode ser determinado com segurana a ser de diferentes fluxos:
Endereo IP de origem
Endereo IP de destino
nmero da porta de origem
nmero da porta de destino
Camada 3 tipo de protocolo
Tipo de Servio (TOS) marcao
Entrada de interface lgica
O primeiro dos quatro campos netflow usa para identificar um fluxo deve ser familiar. A fonte
e endereos IP de destino, alm dos portos de origem e destino, identificar a conexo entre
origem e aplicao de destino. O tipo de protocolo de camada 3 identifica o tipo de cabealho
que segue o cabealho IP (geralmente TCP ou UDP, mas outras opes incluem ICMP). O byte
ToS no cabealho IPv4 contm informaes sobre como os dispositivos devem aplicar-se a
qualidade do servio (QoS) regras para os pacotes em que o fluxo.
NetFlow flexvel suporta mais opes com registros de dados de fluxo. NetFlow flexvel
permite que um administrador para definir registros para um cache monitor de fluxo flexvel
NetFlow, especificando os campos necessrios e opcionais definidos pelo usurio para
personalizar a coleta de dados para atender s necessidades especficas. Ao definir os registros
para um cache monitor de fluxo flexvel NetFlow, eles so referidos como registros definidos
pelo usurio. Os valores em campos opcionais so adicionados ao fluxo para fornecer
informaes adicionais sobre o trfego nos fluxos. A alterao no valor de um campo opcional
no cria um novo fluxo.
Para implementar NetFlow em um roteador:
. Passo 1 captura de dados Configure NetFlow - NetFlow captura dados de entrada (entrada) e
egresso pacotes (de sada).
. Passo 2 exportao de dados Configure NetFlow - O endereo IP ou o nome do coletor
NetFlow devem ser especificados ea porta UDP para que o coletor NetFlow escuta.
. Passo 3 Verifique NetFlow, seu funcionamento e as estatsticas - Aps configurar NetFlow, os
dados exportados podem ser analisados em uma estao de trabalho executando uma
aplicao, tal como SolarWinds NetFlow Traffic Analyzer, Plixer Scrutinizer, ou Cisco NetFlow
Collector (NFC). Minimamente, pode-se contar com a sada a partir de um nmero de
comandos de exibio no prprio router.

Algumas consideraes de configurao NetFlow incluem:

Os roteadores mais novos da Cisco, como a srie ISR G2, apoiar tanto NetFlow e NetFlow
flexvel.
Novos switches da Cisco, como os switches da srie 3560-X, apoiar NetFlow flexvel; no
entanto, alguns switches Cisco, tais como Cisco switches da Srie 2960, no suportam NetFlow
ou NetFlow flexvel.
NetFlow consome memria adicional. Se um dispositivo de rede Cisco tem restries de
memria, o tamanho do cache do NetFlow pode ser pr-definido para que ele contm um
nmero menor de entradas. O tamanho do cache padro depende da plataforma.
requisitos de software NetFlow para o coletor NetFlow variar. Por exemplo, o software
Scrutinizer NetFlow em um host Windows requer 4 GB de RAM e 50 GB de espao em disco.
Nota: O foco aqui a configurao do roteador Cisco do NetFlow originais (chamados
simplesmente de NetFlow na documentao Cisco). A configurao do Netflow flexvel est
alm do escopo deste curso.
Um fluxo NetFlow unidirecional. Isto significa que uma ligao de utilizador para um pedido
existe como dois fluxos NetFlow, um para cada sentido. Para definir os dados a serem
capturados para NetFlow no modo de configurao de interface:
Captura de dados NetFlow para monitorar os pacotes de entrada na interface com o
comando a entrada de fluxo de ip.
Captura de dados NetFlow para monitorar os pacotes de sada na interface com o comando
sada fluxo de ip.
Para permitir que os dados NetFlow para ser enviado para o coletor de NetFlow, h vrios
itens para configurar o roteador no modo de configurao global:
endereo do NetFlow coletor IP eo nmero da porta UDP - Use o comando udp-port ipendereo IP de destino de fluxo de exportao. O coletor tem uma ou mais portas, por padro,
para a captura de dados NetFlow. O software permite que o administrador especifique qual
porta ou portas de aceitar para NetFlow captura. Algumas portas UDP comuns so alocados
99, 2055, e 9996.
Verso (Opcional) NetFlow a seguir ao formatar os registros NetFlow enviados para o coletor
- Use o comando ip verso verso de fluxo de exportao. Exporta dados NetFlow em UDP em
um dos cinco formatos (1, 5, 7, 8 e 9). Verso 9 o formato de dados de exportao mais
verstil, mas no compatvel com verses anteriores. Verso 1 a verso padro, se a verso
no for especificado com a Verso 5. Verso 1 deve ser usado somente quando a nica
verso do formato de exportao de dados NetFlow que suportado pelo software coletor
NetFlow.
(Opcional) Interface Fonte para usar como a fonte dos pacotes enviados para o coletor - Use
o comando ip flow-export tipo do produto de origem.
A figura mostra uma configurao bsica NetFlow. Router R1 tem o endereo IP 192.168.1.1 na
interface G0 / 1. O coletor NetFlow tem o endereo IP de 192.168.1.3 e configurado para
capturar os dados na porta UDP 2055 trfego egresso. Ingress e atravs G0 / 1 monitorados.
Dados NetFlow enviado em formato Verso 5.

Depois verifica-se que NetFlow est funcionando corretamente, a coleta de dados pode
comear no coletor NetFlow. Verificao Netflow feito atravs da anlise das informaes
armazenadas no coletor NetFlow. No mnimo, verifique o cache NetFlow local em um roteador
para garantir que o router est a recolher os dados.
NetFlow foi configurado no roteador R1 da seguinte forma:
endereo IP 192.168.1.1/24 em G0 / 1
O trfego de sada de ingresso e monitorado por NetFlow
coletor NetFlow em 192.168.1.3/24
porta de captura NetFlow UDP 2055
NetFlow verso 5 formato de exportao
Para exibir um resumo das estatsticas de contabilidade NetFlow, bem como o protocolo que
utiliza o maior volume de trfego, e ver que abriga entre esta fluxos de trfego, use o comando
de fluxo de cache show ip no modo EXEC privilegiado EXEC usurio ou. Este comando
inserido em R1 para verificar a configurao NetFlow, como visto na Figura 1. Os detalhes
sada do comando que usa o protocolo o maior volume de trfego e entre que hospeda flui
esse trfego. A tabela da Figura 1 descreve os campos significativos mostrados no fluxo de
comutao de linhas de cache do display.
A sada, na parte superior da tela confirma que o router est a recolher dados. A primeira
entrada destacada apresenta uma contagem de 178.617 pacotes monitorados por NetFlow. O
fim das estatsticas mostra a sada cerca de trs fluxos, o destaque correspondente a uma
conexo HTTPS activa entre o coletor NetFlow e R1. Tambm mostra o porta-fonte (SRCP) e da
porta de destino (DSTP) em hexadecimal.
Nota: Hexadecimal 01BB igual ao decimal 443, a porta TCP conhecido por HTTPS.
A Figura 2 descreve os campos significativas nos fluxos de mudar linhas de cache de sada do
comando de fluxo de cache show ip.
A Figura 3 descreve os campos significativos na atividade por linhas de protocolo de sada do
comando fluxo cache show ip.
A Figura 4 descreve os campos significativos nas linhas de recordes NetFlow da sada do
comando fluxo cache show ip.
Embora a sada do comando de fluxo de cache show ip confirma que o router est a recolher
dados, para garantir que NetFlow configurado nas interfaces corretas nas direes corretas,
use o comando interface de fluxo show ip, como mostrado na Figura 5.
Para verificar a configurao dos parmetros de exportao, use o comando show ip fluxo de
exportao, mostrado na Figura 5. A primeira linha mostra que destacou NetFlow ativado
com verso 5 formato de exportao. O ltimo destaque linhas na Figura 5 mostram que os
fluxos de 1764 foram exportados na forma de 532 datagramas UDP para o coletor NetFlow em
192.168.1.3 atravs da porta 2055.

Use o Syntax Checker na Figura 6 para configurar e verificar NetFlow em R1.

Um coletor NetFlow um host que est executando o software de aplicao. Este software
especializada em manipulao de dados NetFlow crus. Este coletor pode ser configurado para
receber informaes NetFlow de muitos dispositivos de rede. Coletores NetFlow agregar e
organizar dados NetFlow como prescrito pelo administrador de rede dentro das limitaes do
software.
Em um coletor NetFlow, os dados NetFlow escrito para uma unidade, em intervalos
especificados. O administrador pode executar vrios sistemas de recolha ou threads
simultaneamente. Por exemplo, diferentes cortes de dados podem ser armazenados para
apoiar o planejamento contra faturamento; um coletor NetFlow pode facilmente produzir os
esquemas de agregao apropriadas.
A figura 1 ilustra um coletor NetFlow passivamente escutando para datagramas NetFlow
exportados. A aplicao coletor NetFlow fornece uma alta performance, fcil de usar soluo,
escalvel para acomodar o consumo de dados de exportao NetFlow de vrios dispositivos. O
uso pretendido por uma organizao varia, mas muitas vezes o objetivo apoiar os fluxos
crticos associados com aplicaes de consumo. Estes incluem contabilidade, faturamento e
planejamento e monitoramento de rede.
Existem vrios colectores NetFlow no mercado. Estas ferramentas permitem a anlise de
trfego na rede, mostrando a parte superior (ou mais ativo) anfitries, aplicativos mais usados,
e outros meios de medir os dados de trfego, como mostrado na Figura 2. Um coletor NetFlow
exibe os tipos de trfego (web, e-mail , FTP, peer-to-peer, etc) na rede, bem como os
dispositivos que enviam e recebem a maior parte do trfego. A coleta de dados fornece um
administrador de rede com dados sobre top talkers, os melhores anfitries, e os principais
ouvintes. Como os dados so preservados ao longo do tempo, aps o fato, anlises de trfego
de rede pode determinar uso da rede tendncias.
Baseado no uso de analisadores de NetFlow, um administrador de rede capaz de identificar:
Quem so os principais oradores e para quem eles esto falando?
Quais sites so rotineiramente visitou eo que baixado?
Quem est gerando mais trfego?
Existe a largura de banda suficiente para suportar a atividade de misso crtica?
Quem est monopolizando a largura de banda?
A quantidade de informao que pode ser analisado por um coletor NetFlow varia de acordo
com a verso do NetFlow utilizada, porque os diferentes formatos de exportao NetFlow
consistem em distintos tipos de registros NetFlow. Um registro NetFlow contm informaes
especficas sobre o trfego real que compe um fluxo NetFlow.
Um coletor NetFlow fornece visualizao em tempo real e anlise de dados de fluxo
registradas e agregados. Os roteadores e switches suportados pode ser especificado, bem
como o esquema de agregao eo intervalo de tempo para armazenar dados antes da prxima
anlise peridica. Pode-se classificar e visualizar os dados de uma maneira que faz sentido para
os usurios: grficos de barras, grficos de pizza, ou histogramas dos relatrios ordenados. Os

dados podem ser exportados para planilhas, como o Microsoft Excel, para anlise mais
detalhada, tendncias e gerao de relatrios.
Plixer Internacional desenvolvido o software Scrutinizer NetFlow Analyzer. Scrutinizer uma
das muitas opes para a captura e anlise de dados NetFlow em um coletor NetFlow.
Lembre-se da configurao a partir do tpico anterior:
endereo IP 192.168.1.1/24 em G0 / 1
entrada e sada de trfego monitorado para NetFlow
coletor NetFlow em 192.168.1.3/24
porta de captura NetFlow UDP 2055
NetFlow verso 5 formato de exportao
O software Scrutinizer foi instalado no coletor NetFlow em 192.168.1.3/24.
A Figura 1 mostra a interface do software ao abrir a aplicao Scrutinizer.
A Figura 2 mostra o resultado de clicar na guia Status aps a aplicao est em execuo. O
software exibe uma mensagem: Fluxos detectado, por favor aguarde enquanto Scrutinizer
prepara os relatrios iniciais.
A Figura 3 mostra a tela Status depois de alguns minutos. Router R1 foi configurado com o
nome de domnio cisco.com.
A configurao do SNMP da seo anterior ainda est ativo no R1. O software Scrutinizer foi
configurado com o batonaug comunidade SNMP na aba Configuraes de administrador.
Quando a ligao SNMP sob R1.cisco.com no painel esquerdo clicado, a exibio na Figura 4
aparece. Isso mostra uma anlise de trfego bsico para R1 comunicada ao coletor NetFlow via
SNMPv2c. O Router Traffic Grapher Multi (MRTG) um software livre que muitos
administradores de rede usar para anlise bsica de trfego. A aplicao Scrutinizer integra
MRTG e os grficos na Figura 4 so produzidas pelo MRTG. O grfico superior reflete a entrada
de trfego eo grfico inferior reflete o trfego de sada para a interface G0 / 1 em R1.
Finalmente, na Figura 5 a guia Painel exibe dados NetFlow efectivos notificados para Top Hosts
e Principais Aplicaes. O software Scrutinizer tem dezenas desses aparelhos disponveis para
a exibio de vrias categorizaes de dados. Na Figura 5, o anfitrio superior R1, com a
maior quantidade de trfego entre R1 eo coletor NetFlow. A aplicao de topo HTTPS,
seguido por SNMP, HTTP, SSH, ICMP, e NetBIOS.