1 / 26

NETFLOW

NETFLOW. Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes. Sommaire. Partie 1 : Problématique de supervision. Partie 2 : Principes et fonctionnement de Netflow. Partie 3 : Configuration et Exploitation. Partie 1. Administration Réseau :

virgo
Download Presentation

NETFLOW

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes

  2. Sommaire • Partie 1 : Problématique de supervision • Partie 2 : Principes et fonctionnement de Netflow • Partie 3 : Configuration et Exploitation

  3. Partie 1 Administration Réseau : Notions, problématiques et solutions

  4. Une notion importante • Métrologie • Par définition, la métrologie désigne la science des mesures. • Dans le cadre des réseaux informatiques, son objectif est de « connaître • et comprendre le réseau afin de pouvoir, non seulement intervenir dans l'urgence • en cas de problème, mais aussi anticiper l'évolution du réseau, planifier • l'introduction de nouvelles applications et améliorer les performances • pour les utilisateurs » • (Claudine Chassagne - UREC/CNRS - septembre 1997)..

  5. Les besoins • Différentes problématiques : Quelles sont les machines qui parlent le plus? Quel est le trafic par utilisateur ou groupe? par application? par réseau (interne, externe)? Combien d’utilisateurs sont actifs sur le réseau à l’instant T? D’où vient le trafic? Vers où se dirige-t-il? Des attaques de sécurités?

  6. Les flows • Des solutions : sFlow de InMon LFAP de Riverstone Netflow de CISCO Netflow est disponible sur les routeurs et commutateurs multi-niveaux Cisco (à partir de la version 12.0 de l’IOS) Mais aussi chez d’autres constructeurs (Juniper). Le standart de l’IETF : IPFIX (IP Flow Information eXport) pas encore ratifié

  7. Partie 2 NETFLOW : Principes et fonctionnement

  8. NetFlow et les Flux • La technologie NetFlow de Cisco s’appuie sur • la notion de flux. • Critères d’un flux • - Adresses source et destination • - Protocole (TCP, UDP, ICMP..) • - Type of Service (ToS) • - Ports applicatifs • - Interfaces d’entrée et de sortie du routeur

  9. Table des flux- Cache • Routeur utilisant NetFlow : • - Maintient en cache une table des flux actifs : Cache NetFlow • - Compte le nombres de paquets et d’octets reçus pour • chaque flux. • Mise à Jour • A chaque paquet reçu le routeur met à jour le cache : • - Soit en créant une nouvelle entrée • - Soit en incrémentant les compteurs d’une entrée existante

  10. Expiration d’un flux • Expiration d’un flux, d’une entrée : • Une entrée(une flux) expire quand : • - Il a été inactif pendant un certain temps (par défaut 15 sec) • - Il a été actif depuis trop longtemps (par défaut 30 min) • - Il s’agit d’un flux TCP et les flags FIN ou RST ont été détectés par • le routeur.

  11. Collecte • Lorsqu’un flux a expiré : • - Il est supprimé du Cache NetFlow. • - Il peut être exporté vers une machine de collecte au moyen de • trames NetFlow. • Exportation et remontée d’informations • - La machine reçoit des trames NetFlow suivant un protocole • défini par Cisco (plusieurs versions existent). • - Le routeur regroupe plusieurs flux dans une trame (par économie).

  12. Protocoles NetFlow • Il existe plusieurs versions : 1, 5, 7, 8 • - La version 5 est la plus couramment utilisée. • - La version 7 sert pour les switches Catalyst et diffère peu • de la version 5. • - La version 8 introduit les schémas d’agrégation (environ une • quinzaine). • Chaque version apporte des changements et • demande une modification des collecteurs. • Pas de support d’IPv6, du Multicast, MPLS…

  13. Protocole NetFlow v9 • Introduction de la notion de Templates • 2 Types de données : • - des Template records contenu dans des Template FlowSets. • - des Data records contenu dans des Data FlowSets. • Trame NetFlow v9 • Contient une entête et une succession de Data FlowSets et/ou • de Templates FlowSets. • Décodage • Pour pouvoir décoder un Data FlowSets, un collecteur doit • préalablement avoir reçu le Template associé

  14. Protocole NetFlow v9 • Format des templates • - Organisation d’un Template FlowSets : - Organisation d’un Template Record : - De nombreux types de champs sont prédéfinis (IPv4, IPv6…) • Nouveaux supports : • - IPv4 Unicast • - IPv4 Multicast • - MPLS • - IPv6 en beta

  15. Partie 3 UTILISERNETFLOW : Mise en place et exploitation des flux Evolutions prévues

  16. L’infrastructure NetFlow Routeur Collecteur Applications • Création • du cache • Agrégation • Export • Collecte • Filtrage • Agrégation • Stockage • Utilisation des données • Présentation des données

  17. Fonctions du collecteur • Fonctions essentielles • - Collecter les enregistrements exportés par les routeurs • - Réaliser une première phase de traitement • - Filtrage • - Agrégation • - Stocker les enregistrements • Le collecteur Cisco: NetFlowCollector (NFC) • - Interface graphique Web • - Possibilités de traitement (tri, graphe…) • Des outils gratuits: IPFlow, FlowTools • - Gèrent la ré-émission (dispatching) • - Pas d’interface graphique

  18. Exemple de traitement NFC Répartition des flux par type sur une période donnée

  19. NetFlow sur NAM • But: Plug’n play • - NAM: Network Analysis Module • - Module additionnel (carte ou boîtier externe) • - Embarque • - un collecteur • - un logiciel d’exploitation des données • - interface Web • Avantages • - Mise en place rapide, simplicité d’utilisation • - Peu de configuration, ne nécessite pas un serveur • Inconvénients • - Performances faibles, coût élevé

  20. Évolutions futures • Support IPV6 • - Incomplet (exports IPV4) • - Prévu en évolution de la version 9 (bêta à ce jour) • Sécurité • - Exports de nouvelles données • - @mac • - longueur des paquets • - TTL… • - Passage automatique en mode « sample » lors • de pic de charge (DOS).

  21. Commandes: configuration • ip route-cache flow Pour chaque interface • ip flow-export version <version> ex : ip flow-export version 5 • ip flow-export destination <address> <port> ex : ip flow-export destination 10.0.0.1 65001 • ip flow-cache timeout active <minutes> Définit le temps en minutes pendant lequel un flux restera en cache avant expiration. 30 minutes par défaut

  22. Commandes: Visualisation • show ip cache [verbose] flow Affiche les statistiques NetFlow • show ip flow export Affiche les statistiques d’export • clear ip cache flow Vide les statistiques NetFlow • clear ip flow stats Vide les statistiques d’Export

  23. Exemple: show ip cache flow

  24. Démonstration Jonathan Romain 192.168.0.254 192.168.1.254 Émet le trafic TCP: HTTP (80) FTP (21) Telnet (23) 192.168.0.1 192.168.1.1 Collecteur NFC (interface Web) Reçoit les exports NetFlow Reçoit le trafic Routeur Cisco 1751 Export NetFlow V5

  25. Conclusion • Un outil performant • - fiable • - évolutif • - roadmap claire • Une stratégie à concevoir • - Utilisation CPU > 15 à 20% pour la v5 et la v9 • - 2 à 5% de plus pour la v8 • - 64 octets par flux en mémoire

  26. Bibliographie • Présentation NetFlow, Christophe Fillot • UTC Compiègne (Causerie Renater 8/1/2004) • Présentations Cisco (www.cisco.com)

More Related