Diapositive 1

1
NETFLOW
Présenté par Romain Jourdan Mathias
Loyen Jonathan Valdes
2
Sommaire

• Partie 1 Problématique de supervision

• Partie 2 Principes et fonctionnement de
  Netflow

• Partie 3 Configuration et Exploitation

3
Partie 1
Administration Réseau Notions,
problématiques et solutions
4
Une notion importante

• Métrologie
• Par définition, la métrologie désigne la science
  des mesures.
• Dans le cadre des réseaux informatiques, son
  objectif est de connaître
• et comprendre le réseau afin de pouvoir, non
  seulement intervenir dans l'urgence
• en cas de problème, mais aussi anticiper
  l'évolution du réseau, planifier
• l'introduction de nouvelles applications et
  améliorer les performances
• pour les utilisateurs
• (Claudine Chassagne - UREC/CNRS - septembre
  1997). .

5
Les besoins

• Différentes problématiques

Quelles sont les machines qui parlent le
plus? Quel est le trafic par utilisateur ou
groupe? par application? par réseau
(interne, externe)? Combien dutilisateurs sont
actifs sur le réseau à linstant T? Doù vient
le trafic? Vers où se dirige-t-il? Des attaques
de sécurités?
6
Les flows

• Des solutions

sFlow de InMon LFAP de Riverstone Netflow de
CISCO
Netflow est disponible sur les routeurs et
commutateurs multi-niveaux Cisco (à partir de la
version 12.0 de lIOS) Mais aussi chez dautres
constructeurs (Juniper).
Le standart de lIETF IPFIX (IP Flow
Information eXport) pas encore ratifié
7
Partie 2
NETFLOW Principes et fonctionnement
8
NetFlow et les Flux

• La technologie NetFlow de Cisco sappuie sur
• la notion de flux.

• Critères dun flux
• - Adresses source et destination
• - Protocole (TCP, UDP, ICMP..)
• - Type of Service (ToS)
• - Ports applicatifs
• - Interfaces dentrée et de sortie du routeur

9
Table des flux - Cache

• Routeur utilisant NetFlow
• - Maintient en cache une table des flux actifs
  Cache NetFlow
• - Compte le nombres de paquets et doctets reçus
  pour
• chaque flux.

adresse src Time left Nb pqts Nb Octets
192.168.0.5 5 45 3 456
192.168.0.6 23 5 258
192.168.0.2 15 90 5 789
192.168.0.1 11 1234 23 456
192.168.0.5 30 46 3 512
192.168.0.9 30 2 124

• Mise à Jour
• A chaque paquet reçu le routeur met à jour le
  cache
• - Soit en créant une nouvelle entrée
• - Soit en incrémentant les compteurs dune
  entrée existante

10
Expiration dun flux

• Expiration dun flux, dune entrée
• Une entrée(une flux) expire quand
• - Il a été inactif pendant un certain temps (par
  défaut 15 sec)
• - Il a été actif depuis trop longtemps (par
  défaut 30 min)
• - Il sagit dun flux TCP et les flags FIN ou RST
  ont été détectés par
• le routeur.

adresse src TimeLeft (sec) Active Time (min)
192.168.0.5 5 5
192.168.0.6 30 18
192.168.0.2 0 12
192.168.0.1 29 30
11
Collecte

• Lorsquun flux a expiré
• - Il est supprimé du Cache NetFlow.
• - Il peut être exporté vers une machine de
  collecte au moyen de
• trames NetFlow.

• Exportation et remontée dinformations
• - La machine reçoit des trames NetFlow suivant un
  protocole
• défini par Cisco (plusieurs versions existent).
• - Le routeur regroupe plusieurs flux dans une
  trame (par économie).

12
Protocoles NetFlow

• Il existe plusieurs versions 1, 5, 7, 8
• - La version 5 est la plus couramment utilisée.
• - La version 7 sert pour les switches Catalyst
  et diffère peu
• de la version 5.
• - La version 8 introduit les schémas
  dagrégation (environ une
• quinzaine).

• Chaque version apporte des changements et
• demande une modification des collecteurs.

• Pas de support dIPv6, du Multicast, MPLS

13
Protocole NetFlow v9

• Introduction de la notion de Templates
• 2 Types de données
• - des Template records contenu dans des Template
  FlowSets.
• - des Data records contenu dans des Data
  FlowSets.

• Trame NetFlow v9
• Contient une entête et une succession de Data
  FlowSets et/ou
• de Templates FlowSets.

Packet header Template FlowSet Template FlowSet Data FlowSet Template FlowSet Data FlowSet

• Décodage
• Pour pouvoir décoder un Data FlowSets, un
  collecteur doit
• préalablement avoir reçu le Template associé

14
Protocole NetFlow v9

• Format des templates
• - Organisation dun Template FlowSets

FlowSet Header Template Record 1 Template Record 1 Template Record N
FlowSet ID
FlowSet Length
Template ID
Field Count
Field 1 Type
Field 1 Length

Field N Type
Field N Length

- Organisation dun Template Record - De
nombreux types de champs sont prédéfinis
(IPv4, IPv6)

• Nouveaux supports
• - IPv4 Unicast
• - IPv4 Multicast
• - MPLS
• - IPv6 en beta

15
Partie 3
UTILISER NETFLOW Mise en place et
exploitation des flux Evolutions prévues
16
Linfrastructure NetFlow
Routeur
Collecteur
Applications

• Création
• du cache
• Agrégation
• Export

• Collecte
• Filtrage
• Agrégation
• Stockage

• Utilisation des données
• Présentation des données

17
Fonctions du collecteur

• Fonctions essentielles
• - Collecter les enregistrements exportés par les
  routeurs
• - Réaliser une première phase de traitement
• - Filtrage
• - Agrégation
• - Stocker les enregistrements

• Le collecteur Cisco NetFlowCollector (NFC)
• - Interface graphique Web
• - Possibilités de traitement (tri, graphe)

• Des outils gratuits IPFlow, FlowTools
• - Gèrent la ré-émission (dispatching)
• - Pas dinterface graphique

18
Exemple de traitement NFC
Répartition des flux par type sur une période
donnée
19
NetFlow sur NAM

• But Plugn play
• - NAM Network Analysis Module
• - Module additionnel (carte ou boîtier externe)
• - Embarque
• - un collecteur
• - un logiciel dexploitation des données
• - interface Web

• Avantages
• - Mise en place rapide, simplicité dutilisation
• - Peu de configuration, ne nécessite pas un
  serveur

• Inconvénients
• - Performances faibles, coût élevé

20
Évolutions futures

• Support IPV6
• - Incomplet (exports IPV4)
• - Prévu en évolution de la version 9 (bêta à ce
  jour)

• Sécurité
• - Exports de nouvelles données
• - _at_mac
• - longueur des paquets
• - TTL
• - Passage automatique en mode  sample  lors
• de pic de charge (DOS).

21
Commandes configuration
ip route-cache flow Pour chaque interface
ip flow-export version ltversiongt ex ip
flow-export version 5 ip flow-export
destination ltaddressgt ltportgt ex ip
flow-export destination 10.0.0.1 65001 ip
flow-cache timeout active ltminutesgt Définit le
temps en minutes pendant lequel un flux restera
en cache avant expiration. 30 minutes par défaut
22
Commandes Visualisation
show ip cache verbose flow Affiche les
statistiques NetFlow show ip flow
export Affiche les statistiques dexport
clear ip cache flow Vide les statistiques
NetFlow clear ip flow stats Vide les
statistiques dExport
23
Exemple show ip cache flow
24
Démonstration
Jonathan
Romain
192.168.0.254
192.168.1.254
Émet le trafic TCP HTTP (80) FTP
(21) Telnet (23)
192.168.1.1
192.168.0.1
Collecteur NFC (interface Web) Reçoit les
exports NetFlow Reçoit le trafic
Routeur Cisco 1751 Export NetFlow V5
25
Conclusion

• Un outil performant
• - fiable
• - évolutif
• - roadmap claire

• Une stratégie à concevoir
• - Utilisation CPU gt 15 à 20 pour la v5 et la v9
• - 2 à 5 de plus pour la v8
• - 64 octets par flux en mémoire

26
Bibliographie

• Présentation NetFlow, Christophe Fillot
• UTC Compiègne (Causerie Renater 8/1/2004)

• Présentations Cisco (www.cisco.com)