NETFLOW Prsent par Romain Jourdan Mathias Loyen Jonathan
![Commandes: Visualisation • show ip cache [verbose] flow Affiche les statistiques Net. Flow •](https://slidetodoc.com/presentation_image_h/ed48826ac0f0988c84bc18a75d20e214/image-22.jpg "Commandes: Visualisation • show ip cache [verbose] flow Affiche les statistiques Net. Flow •")
- Slides: 26
NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes
Sommaire • Partie 1 : Problématique de supervision • Partie 2 : Principes et fonctionnement de Netflow • Partie 3 : Configuration et Exploitation
Partie 1 Administration Réseau : Notions, problématiques et solutions
Une notion importante • Métrologie Par définition, la métrologie désigne la science des mesures. Dans le cadre des réseaux informatiques, son objectif est de « connaître et comprendre le réseau afin de pouvoir, non seulement intervenir dans l'urgence en cas de problème, mais aussi anticiper l'évolution du réseau, planifier l'introduction de nouvelles applications et améliorer les performances pour les utilisateurs » (Claudine Chassagne - UREC/CNRS - septembre 1997). .
Les besoins • Différentes problématiques : Quelles sont les machines qui parlent le plus? Quel est le trafic par utilisateur ou groupe? par application? par réseau (interne, externe)? Combien d’utilisateurs sont actifs sur le réseau à l’instant T? D’où vient le trafic? Vers où se dirige-t-il? Des attaques de sécurités?
Les flows • Des solutions : s. Flow de In. Mon LFAP de Riverstone Netflow de CISCO Netflow est disponible sur les routeurs et commutateurs multi-niveaux Cisco (à partir de la version 12. 0 de l’IOS) Mais aussi chez d’autres constructeurs (Juniper). Le standart de l’IETF : IPFIX (IP Flow Information e. Xport) pas encore ratifié
Partie 2 NETFLOW : Principes et fonctionnement
Net. Flow et les Flux • La technologie Net. Flow de Cisco s’appuie sur la notion de flux. • Critères d’un flux - Adresses source et destination - Protocole (TCP, UDP, ICMP. . ) - Type of Service (To. S) - Ports applicatifs - Interfaces d’entrée et de sortie du routeur
Table des flux - Cache • Routeur utilisant Net. Flow : - Maintient en cache une table des flux actifs : Cache Net. Flow - Compte le nombres de paquets et d’octets reçus pour chaque flux. adresse src … Time left Nb pqts Nb Octets 192. 168. 0. 5 5 30 45 46 3 456 3 512 192. 168. 0. 6 23 5 258 192. 168. 0. 2 15 90 5 789 192. 168. 0. 1 11 1234 23 456 192. 168. 0. 9 30 2 124 • Mise à Jour A chaque paquet reçu le routeur met à jour le cache : - Soit en créant une nouvelle entrée - Soit en incrémentant les compteurs d’une entrée existante
Expiration d’un flux • Expiration d’un flux, d’une entrée : Une entrée(une flux) expire quand : - Il a été inactif pendant un certain temps (par défaut 15 sec) - Il a été actif depuis trop longtemps (par défaut 30 min) - Il s’agit d’un flux TCP et les flags FIN ou RST ont été détectés par le routeur. adresse src … Time Left (sec) Active Time (min) 192. 168. 0. 5 5 5 192. 168. 0. 6 30 18 192. 168. 0. 2 0 12 192. 168. 0. 1 29 30 …
Collecte • Lorsqu’un flux a expiré : - Il est supprimé du Cache Net. Flow. - Il peut être exporté vers une machine de collecte au moyen de trames Net. Flow. • Exportation et remontée d’informations - La machine reçoit des trames Net. Flow suivant un protocole défini par Cisco (plusieurs versions existent). - Le routeur regroupe plusieurs flux dans une trame (par économie).
Protocoles Net. Flow • Il existe plusieurs versions : 1, 5, 7, 8 - La version 5 est la plus couramment utilisée. - La version 7 sert pour les switches Catalyst et diffère peu de la version 5. - La version 8 introduit les schémas d’agrégation (environ une quinzaine). • Chaque version apporte des changements et demande une modification des collecteurs. • Pas de support d’IPv 6, du Multicast, MPLS…
Protocole Net. Flow v 9 • Introduction de la notion de Templates 2 Types de données : - des Template records - des Data records contenu dans des Template Flow. Sets. contenu dans des Data Flow. Sets. • Trame Net. Flow v 9 Contient une entête et une succession de Data Flow. Sets et/ou de Templates Flow. Sets. Packet header Template Flow. Set Data Flow. Set … Template Flow. Set Data Flow. Set • Décodage Pour pouvoir décoder un Data Flow. Sets, un collecteur doit préalablement avoir reçu le Template associé
Protocole Net. Flow v 9 • Format des templates - Organisation d’un Template Flow. Sets : Flow. Set Template Header Record 1 … Template Record N - Organisation d’un Template Record : Flow. Set ID - De nombreux types de champs sont Flow. Set Length prédéfinis (IPv 4, IPv 6…) Template ID • Nouveaux supports : - IPv 4 Unicast - IPv 4 Multicast - MPLS - IPv 6 en beta Field Count Field 1 Type Field 1 Length … Field N Type Field N Length […]
Partie 3 UTILISER NETFLOW : Mise en place et exploitation des flux Evolutions prévues
L’infrastructure Net. Flow Routeur -Création du cache -Agrégation -Export Collecteur -Collecte -Filtrage -Agrégation -Stockage Applications -Utilisation des données -Présentation des données
Fonctions du collecteur • Fonctions essentielles - Collecter les enregistrements exportés par les routeurs - Réaliser une première phase de traitement - Filtrage - Agrégation - Stocker les enregistrements • Le collecteur Cisco: Net. Flow. Collector (NFC) - Interface graphique Web - Possibilités de traitement (tri, graphe…) • Des outils gratuits: IPFlow, Flow. Tools - Gèrent la ré-émission (dispatching) - Pas d’interface graphique
Exemple de traitement NFC Répartition des flux par type sur une période donnée
Net. Flow sur NAM • But: Plug’n play - NAM: Network Analysis Module - Module additionnel (carte ou boîtier externe) - Embarque - un collecteur - un logiciel d’exploitation des données - interface Web • Avantages - Mise en place rapide, simplicité d’utilisation - Peu de configuration, ne nécessite pas un serveur • Inconvénients - Performances faibles, coût élevé
Évolutions futures • Support IPV 6 - Incomplet (exports IPV 4) - Prévu en évolution de la version 9 (bêta à ce jour) • Sécurité - Exports de nouvelles données - @mac - longueur des paquets - TTL… - Passage automatique en mode « sample » lors de pic de charge (DOS).
Commandes: configuration • ip route-cache flow Pour chaque interface • ip flow-export version <version> ex : ip flow-export version 5 • ip flow-export destination <address> <port> ex : ip flow-export destination 10. 0. 0. 1 65001 • ip flow-cache timeout active <minutes> Définit le temps en minutes pendant lequel un flux restera en cache avant expiration. 30 minutes par défaut
Commandes: Visualisation • show ip cache [verbose] flow Affiche les statistiques Net. Flow • show ip flow export Affiche les statistiques d’export • clear ip cache flow Vide les statistiques Net. Flow • clear ip flow stats Vide les statistiques d’Export
Exemple: show ip cache flow
Démonstration Jonathan Romain 192. 168. 0. 254 192. 168. 1. 254 192. 168. 0. 1 Émet le trafic TCP: HTTP (80) FTP (21) Telnet (23) 192. 168. 1. 1 Routeur Cisco 1751 Export Net. Flow V 5 Collecteur NFC (interface Web) Reçoit les exports Net. Flow Reçoit le trafic
Conclusion • Un outil performant - fiable - évolutif - roadmap claire • Une stratégie à concevoir - Utilisation CPU > 15 à 20% pour la v 5 et la v 9 - 2 à 5% de plus pour la v 8 - 64 octets par flux en mémoire
Bibliographie • Présentation Net. Flow, Christophe Fillot UTC Compiègne (Causerie Renater 8/1/2004) • Présentations Cisco (www. cisco. com)
Collecteur netflow
Mireille jourdan
Aude jourdan fraysse
Prsent simple
Simple prsent
Former le conditionnel
Present siple
Prsent continuous
Kupolveida kapenes mikēnās
Traffic accounting
Ipfix probe
Moloch netflow
Netflow probe hardware
Hadoop netflow
Cisco netflow to xml
Cisco show top talkers
Romain rolland výslovnost
Basilique aemilia reconstitution
Romain maton
La voie sacrée rome
Salararius
Stacey smydo
Romain sonneville
Romain cartier gay
Romain rolland ztracená generace
Romain bosa
Cirque romain fonction
