Acerca de NetFlow
En Fireware v12.3 o superior, puede configurar el Firebox como un exportador de NetFlow para obtener más información sobre su tráfico de red. Por ejemplo, puede utilizar los datos de NetFlow para resolver problemas de rendimiento de la red o investigar problemas de seguridad. NetFlow es un protocolo que se utiliza para recolectar y analizar el tráfico de red IP.
Cuando configura NetFlow en el Firebox, especifica las interfaces que se van a monitorizar. También especifica la dirección IP de un servidor conocido como colector. El Firebox monitorea las interfaces seleccionadas y envía flujos de datos conocidos como registros de flujo de red al colector para su análisis. El colector ejecuta una aplicación de terceros que utiliza el protocolo NetFlow para registrar y analizar el tráfico de red. Muchas aplicaciones de terceros admiten el protocolo NetFlow. El Firebox en sí mismo no muestra ni analiza los registros de flujo.
En el Firebox, puede seleccionar monitorizar el tráfico de entrada, que es el tráfico que llega a una interfaz. Para el tráfico de paso, el Firebox monitorea el tráfico bidireccional si selecciona monitorizar tanto las interfaces de entrada como de salida. En Fireware v12.5 o superior, también puede seleccionar la monitorización del tráfico de salida, que es el tráfico que sale de una interfaz.
Puede seleccionar monitorizar el tráfico generado por el Firebox (generado automáticamente), que es el tráfico de salida generado por el propio Firebox. En el Fireware v12.5 o superior, también se puede seleccionar la monitorización del tráfico destinado al propio Firebox.
Las interfaces físicas, VLAN, de puente, inalámbricas y de agregación de enlaces son compatibles en todas las zonas (De confianza, Externas, Opcionales y Personalizadas).
Para más información sobre el protocolo NetFlow, consulte RFC 3954.
Para configurar NetFlow en el Firebox, consulte Configurar NetFlow.
Para configurar el NetFlow en el colector, consulte nuestras Guías de Integración o la documentación proporcionada por su servicio de colector NetFlow.
Flujos y Registros de Flujo
Un flujo neto o flujo, consiste en paquetes que comparten estos atributos:
- Interfaz
- Dirección IP de origen
- Dirección IP de destino
- Protocolo IP
- Puerto de origen
- Puerto de destino
- Tipo de Servicio (ToS)
El Firebox exporta un registro de flujo al colector después de que el flujo termina. Un registro de flujo contiene información granular sobre el flujo, que incluye:
- Sellos de tiempo para el comienzo y el final del flujo
- Número de bytes y paquetes en el flujo
- Índice de la interfaz de entrada y salida
- Información del encabezado de la capa 3
- Información de enrutamiento de la capa 3
Un flujo puede terminar normal o anormalmente. Un flujo termina normalmente si:
- Aparece un nuevo tráfico para un flujo, que restablece el temporizador de envejecimiento
- La sesión TCP termina
- El flujo excede el Valor de Tiempo de Espera del Flujo Activo
El Tiempo de Espera del Flujo Activo es la cantidad de tiempo que una conexión activa debe esperar antes de que se termine. En la configuración de Firebox NetFlow, recomendamos que especifique un valor de Tiempo de Espera de Flujo Activo que sea inferior al valor de Tiempo de Espera de Flujo Activo del colector. Esto ayuda a evitar la pérdida de datos. Si el valor de Tiempo de Flujo Activo es menor en el colector, éste podría dejar de escuchar mientras el Firebox está enviando datos. De forma predeterminada, el valor de Tiempo de Flujo Activo en el Firebox es de 1800 segundos.
Fireware admite las versiones V5 y V9 de NetFlow. Para monitorizar el tráfico IPv6 y ver las direcciones IP posteriores a NAT en los registros de flujo, debe usar V9.
Direcciones IP Posteriores a NAT
En Fireware v12.7.1 o superior, las direcciones IP para eventos NAT y NAT-T (NAT traversal) aparecen en los registros de flujo si selecciona V9 en la configuración de Firebox NetFlow.
En el registro de flujo, X-Src y X-Dst indican las direcciones posteriores a NAT de origen y destino. Puede utilizar eventos NAT para identificar qué clientes de la red local generaron tráfico.
Tráfico de Egreso
Para capturar el tráfico que sale de una interfaz, puede seleccionar la opción Egresar en Fireware v12.5 o superior.
Por ejemplo, si tiene un interruptor interno sin NetFlow, habilite la salida de NetFlow en la interfaz interna de Firebox a la que se conecta el interruptor. Esto captura el tráfico que sale de la interfaz interna del Firebox, que incluye el tráfico enviado al interruptor.
Duplicar Datos
En el Firebox, si selecciona tanto Ingreso como Egreso para múltiples interfaces, tenga en cuenta que podría recolectar datos duplicados de NetFlow.
Para evitar la duplicación de datos, seleccione Entrada o Egreso, pero no ambos.
Seguridad
El Firebox envía los registros de flujo al colector con UDP. La información en un flujo aparece en texto transparente. No hay autenticación entre el Firebox y el colector, y el transporte de paquetes no está cifrado.
Asegúrese de que la red entre el Firebox y el colector sea de confianza. Si el Firebox debe atravesar una red menos segura o Internet, le recomendamos que utilice una VPN para proteger los datos de NetFlow.
Impacto en el Rendimiento
NetFlow puede disminuir el rendimiento y la tasa de conexión de su Firebox debido a los recursos necesarios para recolectar y registrar los flujos. Para reducir los impactos en el rendimiento, limite el número de interfaces que monitoriza.
Para redes de empresas a gran escala, o si el Firebox está bajo una carga significativa, también puede considerar el modo de muestreo. En el modo de muestreo, el Firebox selecciona aleatoriamente 1 de cada n paquetes para muestrear. Por ejemplo, si se especifica un modo de Muestreo de 100, el Firebox muestrea 1 de cada 100 paquetes.
El modo de muestreo es menos preciso porque no todos los paquetes son muestreados. Por esta razón, no recomendamos el modo de Muestreo para las redes pequeñas.
Soporte del FireCluster
En un FireCluster activo/pasivo, NetFlow opera solo en el miembro activo del clúster.
En un FireCluster activo/activo, NetFlow opera en ambos miembros del clúster. Un flujo solo es monitorizado por el miembro del clúster que es propietario del flujo.
La comunicación entre los miembros del FireCluster no es monitorizada.
Restricciones
Las interfaces virtuales BOVPN y las interfaces de bucle invertido no son compatibles.
Si una interfaz física recibe solo paquetes VLAN etiquetados, esa interfaz no aparece en la lista de interfaces de la configuración de NetFlow. En su lugar aparece la interfaz VLAN que corresponde a esos paquetes VLAN etiquetados.
Puede configurar todos los ajustes de NetFlow excepto los de la interfaz en una plantilla de configuración.
Guías de Integración
Proporcionamos estas guías para ayudarle a integrar el Firebox con los servicios NetFlow de terceros:
- Guía de Integración de Firebox NetFlow y Plixer Scrutinizer
- Guía de Integración de Firebox NetFlow y PRTG
- Guía de Integración de Firebox NetFlow y SolarWinds NetFlow Traffic Analyzer
Resolución de problemas
Para resolver los problemas de NetFlow, le recomendamos que utilice una herramienta de captura de paquetes para verificar que el Firebox está enviando tráfico. Si el Firebox está enviando tráfico, consulte la documentación proporcionada por su servicio de colector NetFlow para resolver los problemas del colector.