![Page 1: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/1.jpg)
NETFLOW
Présenté par :Romain JourdanMathias Loyen
Jonathan Valdes
![Page 2: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/2.jpg)
Sommaire
• Partie 1 : Problématique de supervision
• Partie 2 : Principes et fonctionnement de Netflow
• Partie 3 : Configuration et Exploitation
![Page 3: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/3.jpg)
Partie 1
Administration Réseau :
Notions, problématiques et solutions
![Page 4: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/4.jpg)
Une notion importante
• Métrologie
Par définition, la métrologie désigne la science des mesures.
Dans le cadre des réseaux informatiques, son objectif est de « connaître et comprendre le réseau afin de pouvoir, non seulement intervenir dans l'urgence en cas de problème, mais aussi anticiper l'évolution du réseau, planifier l'introduction de nouvelles applications et améliorer les performances pour les utilisateurs » (Claudine Chassagne - UREC/CNRS - septembre 1997). .
![Page 5: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/5.jpg)
Les besoins • Différentes problématiques :
Quelles sont les machines qui parlent le plus?
Quel est le trafic par utilisateur ou groupe? par application? par réseau (interne, externe)?
Combien d’utilisateurs sont actifs sur le réseau à l’instant T?
D’où vient le trafic?
Vers où se dirige-t-il?
Des attaques de sécurités?
![Page 6: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/6.jpg)
Les flows • Des solutions :
sFlow de InMon
LFAP de Riverstone
Netflow de CISCO
Netflow est disponible sur les routeurs et commutateurs multi-niveaux Cisco(à partir de la version 12.0 de l’IOS) Mais aussi chez d’autres constructeurs (Juniper).
Le standart de l’IETF : IPFIX (IP Flow Information eXport) pas encore ratifié
![Page 7: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/7.jpg)
Partie 2
NETFLOW :
Principes et fonctionnement
![Page 8: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/8.jpg)
NetFlow et les Flux
• La technologie NetFlow de Cisco s’appuie sur la notion de flux.
• Critères d’un flux- Adresses source et destination- Protocole (TCP, UDP, ICMP..)- Type of Service (ToS)- Ports applicatifs- Interfaces d’entrée et de sortie du routeur
![Page 9: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/9.jpg)
Table des flux - Cache • Routeur utilisant NetFlow :
- Maintient en cache une table des flux actifs : Cache NetFlow- Compte le nombres de paquets et d’octets reçus pour chaque flux.
• Mise à JourA chaque paquet reçu le routeur met à jour le cache :
- Soit en créant une nouvelle entrée- Soit en incrémentant les compteurs d’une entrée existante
adresse src
… Time
left
Nb pqts
Nb Octets
192.168.0.5 5 45 3 456
192.168.0.6 23 5 258
192.168.0.2 15 90 5 789
192.168.0.1 11 1234 23 456
192.168.0.9 30 2 124
192.168.0.5 30 46 3 512
![Page 10: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/10.jpg)
Expiration d’un flux
• Expiration d’un flux, d’une entrée :Une entrée(une flux) expire quand :
- Il a été inactif pendant un certain temps (par défaut 15 sec)- Il a été actif depuis trop longtemps (par défaut 30 min)- Il s’agit d’un flux TCP et les flags FIN ou RST ont été détectés parle routeur.
adresse src
… TimeLeft (sec)
Active Time (min)
…
192.168.0.5 5 5
192.168.0.6 30 18
192.168.0.2 0 12
192.168.0.1 29 30
![Page 11: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/11.jpg)
Collecte
• Lorsqu’un flux a expiré :- Il est supprimé du Cache NetFlow.- Il peut être exporté vers une machine de collecte au moyen de trames NetFlow.
• Exportation et remontée d’informations- La machine reçoit des trames NetFlow suivant un protocole défini par Cisco (plusieurs versions existent).- Le routeur regroupe plusieurs flux dans une trame (par économie).
![Page 12: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/12.jpg)
Protocoles NetFlow • Il existe plusieurs versions : 1, 5, 7, 8
- La version 5 est la plus couramment utilisée.
- La version 7 sert pour les switches Catalyst et diffère peu de la version 5.
- La version 8 introduit les schémas d’agrégation (environ une quinzaine).
• Chaque version apporte des changements et demande une modification des collecteurs.
• Pas de support d’IPv6, du Multicast, MPLS…
![Page 13: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/13.jpg)
Protocole NetFlow v9 • Introduction de la notion de Templates2 Types de données :
- des Template records contenu dans des Template FlowSets.- des Data records contenu dans des Data FlowSets.
• Trame NetFlow v9Contient une entête et une succession de Data FlowSets et/ou
de Templates FlowSets.
• DécodagePour pouvoir décoder un Data FlowSets, un collecteur doit
préalablement avoir reçu le Template associé
Packet
header
Template
FlowSet
Template
FlowSet
Data
FlowSet
… Template
FlowSet
Data
FlowSet
![Page 14: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/14.jpg)
Protocole NetFlow v9
• Format des templates- Organisation d’un Template FlowSets :
- Organisation d’un Template Record :- De nombreux types de champs sont prédéfinis (IPv4, IPv6…)
• Nouveaux supports :- IPv4 Unicast- IPv4 Multicast- MPLS- IPv6 en beta
FlowSet Header
Template Record 1
Template Record 1
… Template Record N
FlowSet ID
FlowSet Length
Template ID
Field Count
Field 1 Type
Field 1 Length
…
Field N Type
Field N Length
[…]
![Page 15: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/15.jpg)
Partie 3
UTILISER NETFLOW :
Mise en place et exploitation des fluxEvolutions prévues
![Page 16: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/16.jpg)
L’infrastructure NetFlow
Routeur Collecteur Applications
-Création du cache-Agrégation-Export
-Collecte-Filtrage-Agrégation-Stockage
-Utilisation des données-Présentation des données
![Page 17: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/17.jpg)
Fonctions du collecteur
• Fonctions essentielles- Collecter les enregistrements exportés par les routeurs- Réaliser une première phase de traitement
- Filtrage- Agrégation
- Stocker les enregistrements
• Le collecteur Cisco: NetFlowCollector (NFC)- Interface graphique Web- Possibilités de traitement (tri, graphe…)
• Des outils gratuits: IPFlow, FlowTools- Gèrent la ré-émission (dispatching)- Pas d’interface graphique
![Page 18: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/18.jpg)
Exemple de traitement NFC
Répartition des flux par type sur une période donnée
![Page 19: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/19.jpg)
NetFlow sur NAM
• But: Plug’n play- NAM: Network Analysis Module- Module additionnel (carte ou boîtier externe)- Embarque
- un collecteur- un logiciel d’exploitation des données
- interface Web
• Avantages- Mise en place rapide, simplicité d’utilisation- Peu de configuration, ne nécessite pas un serveur
• Inconvénients- Performances faibles, coût élevé
![Page 20: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/20.jpg)
Évolutions futures
• Support IPV6- Incomplet (exports IPV4)- Prévu en évolution de la version 9 (bêta à ce jour)
• Sécurité- Exports de nouvelles données
- @mac- longueur des paquets- TTL…
- Passage automatique en mode « sample » lors de pic de charge (DOS).
![Page 21: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/21.jpg)
Commandes: configuration
• ip route-cache flowPour chaque interface
• ip flow-export version <version> ex : ip flow-export version 5
• ip flow-export destination <address> <port>ex : ip flow-export destination 10.0.0.1 65001
• ip flow-cache timeout active <minutes>Définit le temps en minutes pendant lequel un flux
restera en cache avant expiration. 30 minutes par défaut
![Page 22: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/22.jpg)
Commandes: Visualisation
• show ip cache [verbose] flowAffiche les statistiques NetFlow
• show ip flow exportAffiche les statistiques d’export
• clear ip cache flowVide les statistiques NetFlow
• clear ip flow statsVide les statistiques d’Export
![Page 23: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/23.jpg)
Exemple: show ip cache flow
![Page 24: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/24.jpg)
Démonstration
192.168.0.254 192.168.1.254
192.168.1.1192.168.0.1
Jonathan Romain
Routeur Cisco 1751Export NetFlow V5
Collecteur NFC(interface Web)
Reçoit les exportsNetFlow
Reçoit le trafic
Émet le trafic
TCP:HTTP (80)FTP (21)
Telnet (23)
![Page 25: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/25.jpg)
Conclusion
• Un outil performant- fiable- évolutif
- roadmap claire
• Une stratégie à concevoir- Utilisation CPU > 15 à 20% pour la v5 et la v9- 2 à 5% de plus pour la v8
- 64 octets par flux en mémoire
![Page 26: NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes](https://reader036.vdocuments.site/reader036/viewer/2022081419/551d9da5497959293b8d7699/html5/thumbnails/26.jpg)
Bibliographie
• Présentation NetFlow, Christophe Fillot UTC Compiègne (Causerie Renater 8/1/2004)
• Présentations Cisco (www.cisco.com)