NetFlow – UNMS

Introducción


Volver arriba

Desde la versión 0.13.0, UNMS admite la grabación de flujos de datos IP gracias al protocolo NetFlow . Las versiones 5 y 9 de NetFlow son compatibles. Cualquier enrutador que admita el análisis de datos de NetFlow puede usarse para esto, pero se recomienda usar el enrutador que funciona como la puerta de enlace de su red a Internet. El plan es incrementar gradualmente el uso de los datos recopilados de NetFlow en toda una gama de características de UNMS. 
En la versión 0.14.0, es posible habilitar NetFlow en los dispositivos EdgeRouter con un solo clic, a fin de proporcionar datos para el complemento de CRM. 


Configuración 0.14.x +

network.png

En la versión 0.14.0, UNMS introdujo un concepto de puertas de enlace. Esos son dispositivos en el borde de una red y, por lo tanto, son adecuados para medir el rendimiento de datos. Es preferible utilizar los dispositivos Ubiquiti EdgeRouter para utilizar completamente las capacidades de UNMS a este respecto. Para agregar un Gateway, vaya a Configuración -> Red y presione el botón “+ Agregar nuevo gateway”. 

Después de eso, aparecerá una ventana emergente donde se debe seleccionar un dispositivo específico. Una vez que se realiza la selección, se debe seleccionar una interfaz WAN de una lista de todas las interfaces que se encuentran en ese dispositivo.

crear.png

Asegúrese de que “Permitir NetFlow” esté ENCENDIDO para habilitarlo.


Configuración 0.13.x


ATENCIÓN:  En la versión 0.13.0 es necesario habilitar manualmente NetFlow en el dispositivo. La configuración de ejemplo adaptada específicamente para su UNMS se puede encontrar en CONFIGURACIÓN> UNMS> NETFLOW. Preste mucha atención al PUERTO y la dirección IP de la UNMS; por ejemplo, no se puede utilizar FQDN.
konfigurace.png

En el mismo lugar, también puede verificar si UNMS está recibiendo algún dato. Si el flujo de datos está activo, se reflejará en el estado de NetFlow. El valor de las fuentes de datos tiene direcciones IP de todos los enrutadores que contribuyen al envío de estadísticas de NetFlow. El valor de los rangos de IP se utiliza para filtrar el rango de direcciones IP de los dispositivos para los cuales se registra el flujo de datos. Si se incluye la IP de origen o de destino en este rango, se registrará el flujo.

Esta es una configuración de ejemplo para un Ubiquiti EdgeRouter :

configurar
configurar la interfaz de contabilidad de flujo del sistema eth0
configurar el sistema de flujo de contabilidad ingreso-captura post-dnat
establecer la tabla de memoria de flujo de contabilidad de flujo de sistema
configurar el servidor de flujo de red de contabilidad de flujo del sistema 192.168.25.1 puerto 2055
configurar el flujo de sistema contable netflow versión 9
establecer el flujo de sistema netflow motor id-motor 0
configurar el flujo del sistema contable netflow enable-egress engine-id 1
configurar el flujo de red del sistema tiempo de espera de flujo de red intervalo de expiración 60
configurar el flujo de red del sistema tiempo de espera de flujo de red genérico 60
configurar el flujo de red del sistema tiempo de espera de flujo de red icmp 60
establecer el tiempo de espera del flujo de la red de la contabilidad del flujo del sistema vida activa máxima 60
establecer el tiempo de espera del flujo de red del sistema de flujo de flujo tcp-fin 10
establecer el tiempo de espera del flujo de red del sistema de flujo de flujo tcp-generic 60
establecer el tiempo de espera del flujo de red del sistema de flujo de flujo tcp-rst 10
establecer el flujo de red del sistema, el tiempo de espera de flujo de red udp 60
commit 
ahorrar  

Diferencia entre UNMS y CRM NetFlow


  • UNMS no cuenta el tráfico de servicio entre el servidor de UNMS y los dispositivos en la cantidad total de datos transferidos. Esto puede llevar a algunas diferencias con respecto a la medición de la UCRM, según la ubicación del servidor UNMS en la topología de la red.
  • La UNMS recientemente no cuenta ninguna comunicación de difusión, ya que puede conducir a un descubrimiento de direcciones IP desconocidas que no existen. Además, los diferentes protocolos de descubrimiento pueden distorsionar los datos transferidos.
  • Antes de la integración de UCRM con UNMS, era importante dónde se ubican los dos servidores en la topología de la red, ya que los datos se miden en el enrutador y se envían periódicamente al servidor. Si el servidor está dentro del rango medido, el proceso de enviar los datos en sí está aumentando el flujo de datos en la red. Por otro lado, si el servidor está fuera de la red, esto no sucede.
  • NetFlow usa el protocolo UDP para enviar los datos y, si el servidor de UNMS estaba detrás de Internet, podría producirse una pérdida de paquetes. Tenga en cuenta que estamos trabajando en una mejor solución donde los datos se transferirán de forma segura a través de WebSocket ya abierto, lo que lo hace seguro y más confiable incluso en la nube.
  • Puede haber una diferencia notable si el rango de IP monitoreado en UNMS no cubre las direcciones de todos los dispositivos que se deben medir.
  • Cuando un paquete duplicado de NetFlow llega a UNMS en 30 segundos, no se cuenta. En UCRM, esos paquetes sí cuentan.
  • Es fundamental asegurarse de que todos los dispositivos estén correctamente conectados a un sitio del cliente y que la UNMS conozca todas sus direcciones IP.
Consejo del usuario:  Debe haber un mínimo de direcciones IP en la sección Dispositivos desconocidos, ya que son direcciones de dispositivos en la red que UNMS no puede emparejar con ningún dispositivo. Si hay algunos valores en esta sección, es posible que los datos de NetFlow no sean precisos. 

Pantalla de dirección IP


La primera característica relacionada con NetFlow es la pantalla de direcciones IP desconocidas. Cualquier flujo en una dirección IP está en el rango monitorizado, y al mismo tiempo, es no parte de cualquier interfaz supervisada por la UNMS, aparecerá en esta pantalla. Se mostrará una fila en esta pantalla con información sobre el volumen de datos transferidos durante el último mes. Puede usar el botón ‘AGREGAR COMO DISPOSITIVO’ para conectar este dispositivo a UNMS o crear una entrada de dispositivo de terceros a partir de él.

ip.png

Datos transferidos


Los datos transferidos son una función disponible en UNMS 0.13.0+. Es el volumen de datos transferidos para un cliente específico (recuerde que estamos utilizando el término cliente en un significado de topología de red, no como un término comercial para un cliente). Puede verlo como el elemento ‘ Uso ‘ en la esquina superior izquierda del gráfico. El valor se actualiza cada 5 minutos y muestra la cantidad de datos transferidos durante la última hora. Alternativamente, puede mostrar la cantidad de datos transferidos durante el último día o mes, en cuyo caso se actualiza cada hora.

cliente.png

Además, los datos de NetFlow serán un elemento muy importante en la futura integración de UNMS con la UCRM. La información proporcionada se utilizará para calcular el volumen de datos transferidos por cliente.




Solución de problemas


  1. En el enrutador de donde provienen los datos de NetFlow, verifique a qué dirección IP y puerto apunta el servicio NetFlow.
  2. Regrese al servidor UNMS y descubra cuál es la IP de su instancia de UNMS. Ejecute ‘ sudo route‘ y busque la interfaz por defecto. Luego use el comando ‘ sudo ifconfig INTERFACE‘ para obtener la dirección IP.
  3. Averigüe qué puerto utiliza el servicio NetFlow. El comando es ‘ sudo docker ps‘. Compare el valor del paso 1 con los valores que adquirió en los pasos 2 y 3.
  4. Regrese al enrutador y ejecute tcpdump para averiguar si los datos de NetFlow se están enviando sudo tcpdump -i any -n port NFport, el valor de NFport debe coincidir con el puerto en el que se ejecuta el servicio de NetFlow.
  5. Ejecute la misma prueba en el servidor UNMS para asegurarse de que los datos de NetFlow se reciban allí.
  6. Verifique la configuración de su enrutador y asegúrese de que NetFlow esté configurado para una única interfaz (WAN).

Si todos esos puntos están bien, inicie un hilo en nuestro foro de la comunidad para obtener asistencia adicional.

NOTA: UNMS leerá el valor de Configuración-> UNMS-> Nombre de host / IP de UNMS, lo resolverá en una dirección IP y lo escribirá en la puerta de enlace . Cuando se cambia esa IP, UNMS puede reconocerla y reescribir el valor en la puerta de enlace en consecuencia. Si la puerta de enlace ve UNMS bajo una dirección diferente a la mencionada anteriormente, la configuración de NetFlow no funcionará.