NetFlow é uma ferramenta que foi desenvolvida pela empresa Cisco Systems no ano de 1996 e provê informações detalhadas do comportamento da rede.

É uma ferramenta muito útil para análise do tráfego da rede e monitora todo o tráfego IP que passa pelas interfaces do equipamento configurado com NetFlow e possibilita a capacidade de planejamento com maior precisão para assegurar que os recursos da rede estão sendo utilizados apropriadamente para seu devido fim. Normalmente a maioria dos administradores de rede quando estão com a utilização de seus links muito alta já pensam em contratar um link com maior capacidade. Essa ferramenta auxilia nessa tomada de decisão, pois vai mostrar a importância do tráfego que está ocupando quase toda a largura de banda, deixando muitas vezes a rede lenta e os usuários irritados.

Conforme podemos observar na Figura 1, o Netflow é suportado por equipamentos Cisco que são voltados para pequenas empresas como é o caso da serie 800, a até equipamentos de alta capacidade de comutação de pacotes como é o caso da serie 12000.

Figura 1: Lista dos equipamentos Cisco com suporte ao NetFlow.

Os dados coletados pelo NetFlow podem ser analisados em tempo real, acessando a console do equipamento e digitando os comandos show respectivos para visualização das informações ou pode ser configurado para um servidor que está executando um software de análise conhecido como “Network Collector”. Netflow prove informação de cada fluxo IP individual que esteja atravessando um switch ou um roteador e exporta esse pacote em um formato NetFlow Data Export e envia para o servidor que está executando o software de análise. Alguns softwares de análise são Peakflow (ferramenta proprietária desenvolvida pela empresa Arbor Networks), NetQoS Reporter Analyser e ferramentas open source como a OSU flow-tools(desenvolvida pela sprintered.net).

O dados são coletados de cada pacote são os seguintes:

· Endereço IP de origem.
· Endereço IP de destino.
· Porta de origem.
· Porta de destino.
· Tipo de protocolo da camada 3.
· Tipo de serviço.
· Interface de origem do tráfego.

Configurando o NetFlow:

Basicamente a configuração dessa ferramenta é realizada com os seguintes comandos:

1. Acesse o roteador e entre no modo privilegiado, através do comando enable;

Exemplo – Router> enable

2. Acesse o modo de configuração global, através do comando configure terminal;

Exemplo – Router# configure terminal

3. Acesso o modo de configuração da interface da rede local, através do comando interface;

Exemplo – Router(config)# interface Ethernet0

4. Atribua um endereço e máscara de sub-rede para a interface, através do comando ip address;

Exemplo – Router(config-if)# ip address 192.168.1.1 255.255.255.0

5. Habilite na inteface o NetFlow:

Exemplo – Router(config-if)# ip route cache flow

6. Habilite para que o roteador exporte os dados coletados para um servidor (você precisa especificar o endereço do servidor e uma porta UDP para transferência dos dados ):

Exemplo – Router(config) ip flow-export destination 192.168.1.10 9991

Analisando as estatísticas dos dados coletados pelo NetFlow:

Para verificar as estatísticas dos pacotes coletados digite:

1) show ip route cache flow: mostra as estatísticas do NetFlow.

2) sh ip flow export: mostra as estatísticas dos dados exportados.

Exemplo da Saida do NetFlow:

Router# sh ip cache flow

IP packet size distribution (161 total packets):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480.000 .509 .024 .000 .000 .000 .000 .012 .000 .000 .000 .000 .000 . 000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .453 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes

166 active, 3930 inactive, 2 added 360 ager polls, 0 flow alloc failures

Active flows timeout in 30 minutes

Inactive flows timeout in 15 seconds

IP Sub Flow Cache, 25800 bytes

0 active, 1024 inactive, 0 added, 0 added to flow

0 alloc failures, 0 force free 1 chunk, 0 chunks added

last clearing of statistics 00:00:02

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)

/Flows /Sec /Flow /Pkt /Sec /Flow /Flow
UDP-other 1 0.1 1 112 0.1 0.0 15.9

Total: 1 0.1 1 112 0.1 0.0 15.9

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Et01 192.168.1.92 Di1 207.46.109.92 06 136F 0747 4

Vi2 207.46.109.92 Et0 200.138.215.78 06 0747 136F 3


A saída do comando nos mostra informações da interface de origem do tráfego, endereço IP de origem, interface de destino do tráfego, endereço IP de destino, porta de origem (no formato hexadecimal), porta de destino (no formato hexadecimal) e quantidade de pacotes.