Joomla Slide Menu by DART Creations

L'analyse des trafics avec Netflow

NetFlow est devenu un standard de facto pour l’analyse des trafics. Il est basé sur l'enregistrement des flux transitants dans les routeurs dans un format simplifié à des fins d'analyses et de statistiques.

 

Alaloop et Netflow

 

netflow_reports

Le portail Alaloop tire parti des informations délivrés par les routeurs aux points clés de l'architecture réseau (Data Center, passerelle Internet, etc.) pour exercer une surveillance active des trafics.

 

Les stratégies d'activation de Netfow sur les équipements d'une architecture réseau sont nombreuses :

  • activation sur tout ou partie des routeurs,
  • combinaison des exports de routeurs d'un même Data Center pour une analyse globale,
  • choix des paramètres d'export (export forcés ou non, format des exports, etc.).

Il est donc nécessaire de définir l'architecture Netflow pour répondre à des besoins précis d'analyse.

 

 

 

 

La suite de cet article fournit les caractéristiques principales de cette technologie pour appréhender son intégration au portail Alaloop.

 

Toutefois, les équipes Alaloop prennent en charge la conception de l'architecture Netflow la plus adaptée à vos objectifs de mesure.

 

Flux Netflow

Un flux « Classical NetFlow » est défini par les critères suivants :

  • adresse IP source et destination

  • protocole (TCP, UDP, ICMP, etc...)

  • port applicatif

  • interface d'entrée et de sortie du routeur.


    Cisco a fait évoluer les possibilités de définition de flux avec « Flexible NetFlow » :

  • Adresse IP source et destination
  • Ports source et destination TCP/User Datagram Protocol (UDP)
  • Champ TOS (Type of Service)
  • Compteurs Paquet / Octets
  • Flow timestamps
  • Numéro d'interface d'entrée et sortie
  • Flags TCP et protocoles encapsulés (TCP/UDP) et Flags TCP individuels
  • Sections de paquets pour une inspection approfondie des paquets
  • Tous les champs de l'en-tête IPv4 incluant IP-ID, TTL ...
  • Les informations de routage (next-hop address, source AS, etc.)

    •  

    Les caches Netflow

    Un équipement supportant NetFlow maintient en mémoire un "cache NetFlow" des flux actifs, et comptabilise le nombre de paquets et d'octets de chaque flux. Pour chaque paquet reçu, il met à jour les compteurs ou crée une nouvelle entrée dans le cache s'il s'agit d'un nouveau flux.

    En dehors du cache principal, NetFlow peut gérer un ensemble de caches secondaires selon des schémas d'agrégation de flux définis en fonction de besoins d'analyse particuliers.

     

    Les exports Netflow

    Les flux enregistrés dans le cache NetFlow expirent (par défaut) si :

    • il a été inactif pendant 15 secondes ;
    • il a été actif pendant plus de 30 minutes. Nous conseillons de positionner cette valeur à 5 minutes (ou 1 minute) afin d'avoir des graphes plus précis ;
    • les flags FIN ou RST sont détectés pour un flux TCP.

    Lorsqu'un flux expire, il est supprimé du cache et peut être exporté vers un collecteur (comme le portail ALALOOP) suivant un protocole qui a subi des évolutions pour prendre en compte de nouveaux besoins d'analyse. La version actuelle la plus utilisée est NetFlow V5. L'adoption de NetFlow V9 par l'IETF sous le nom IPFix, associé à la souplesse de ce format, en fait un format à considérer obligatoirement. La fonctionnalité NetFlow, intégrée à l'IOS, est activable sur la quasi totalité de la gamme des équipements Cisco. Selon l'IOS de l'équipement, le format d'enregistrement supporté pourra différer. La version NetFlow V9 a été introduite dans l'IOS 12.3.

     

    Architecture Netflow d'Alaloop et dimensionnement

     

    NetflowarchitecturePour exploiter les informations NetFlow, il faut mettre en œuvre un collecteur chargé d'enregistrer les informations NetFlow émises par le (ou les) équipement(s), et un analyseur pour produire les tableaux statistiques et les graphes.


    Alaloop NetFlow Portal inclut à la fois la fonction de collecteur et d'analyseur NetFlow pour permettre la production de rapports prêts à l'emploi consultables en ligne ou pour l'impression. Le dimensionnement du portail dépendra du volume de flux Netflow à traiter.


    Versions Netflow supportés

    Grâce à l'utilisation d'IP-Flow, Alaloop gère tous les formats NetFlow incluant NetFlow V9.

    En outre, nous supportons la collecte des données NetFlow :

    • en mode standard (UDP)
    • en mode sécurisé (SCTP). Ce mode sécurisé étant notablement plus gourmand en ressources, il ne sera activé que si réellement nécessaire.

     

    Volumétrie des exports Netflow (Volumétrie de collecte)

    Elle dépend du nombre de flux exportés. Le nombre de flux varie en fonction de :

    • la nature des applications (Le FTP génère moins de flux qu'une application Web);
    • le débit des interfaces des routeurs qui augmente le nombre de flux;
    • les filtres de trafic programmés sur les routeurs qui diminuent le nombre de flux;
    • les options d'export telle que la valeur du TimeOut sur les flux actifs pour améliorer la granularité des mesures qui augmentent (modérément) le volume des exports.

     

    Ces éléments, définis en mode projet, tiennent compte des optimisations nécessaires.

     

    Toutefois, afin de disposer d'hypothèses pour le dimensionnement des collecteurs et des sites d'hébergement, nous appliquons généralement la règle d'ingénierie suivante : le volume d'export NetFlow est voisin de 1% de la bande passante de raccordement du site au réseau WAN.

     

    (*) Remarque importante : nous attirons l'attention sur le fait que cette bande passante est fortement asymétrique (trafic de collecte en « download » du WAN et très peu de trafic vers le WAN) ce qui est généralement l'inverse sur un DATA Center et permet donc d'héberger les collecteurs NetFlow sur ces derniers.

     

    Retour instrumentation Cisco

    Mentions légales

    | Confidentialité

    | Carte du site

    | © Alaloop 2010