Présentation de Netflow (Cisco)

Introduction

Netflow est une technique mise au point par Cisco, pour réaliser de la métrologie réseau (la ''métrologie'' désigne un ensemble de méthodologies, d'applicatifs et de métriques à surveiller). Le concept majeur de Netflow est la notion de flux. Un flux est caractérisé par les critères suivants :

 

  •       Adresse IP source
  •       Adresse IP destination
  •       Protocole (TCP, UDP, ICMP …)
  •       Ports applicatifs
  •       Type de service
  •       L’interface en entrée et en sortie de l'équipement

Pour qu’un paquet appartienne à un flux, il doit correspondre à tous ces critères simultanément.

Netflow permet donc, de :

  •       Connaitre l’utilisation du réseau par les applications.
  •       Comprendre, qui, quand et où est utilisé le réseau.
  •       Mesurer l’efficacité du réseau et l’utilisation des ressources.
  •       Appréhender l’impact des changements au réseau.
  •       Détecter les anomalies et les vulnérabilités de sécurité de réseau.

 

Les applications

Cette technologie Netfflow peut être utilisée dans une grande variété d’applications. Les applications principales de celle-ci sont présentées dans le tableau suivant:

Application

Description

Analyser les nouvelles applications et leurs impacts sur le réseau.

Identifier la charge réseau des nouvelles applications.

Réduction du trafic WAN

Utilisation des statistiques Netflow pour mesurer le trafic WAN et comprendre qui utilise le réseau.

Troubleshooting

Diagnostiquer les lenteurs réseau grâce aux commandes en ligne ou grâce à des outils de reporting.

Détection du trafic WAN non autorisé

Eviter les Upgrades couteux de bande passante en identifiant les applications responsables de la congestion.

Détection d’anomalie

Netflow peut être employé pour la détection d’anomalie, le diagnostic de problèmes de sécurité.

Validation des paramètres de QoS

Confirmer le bon dimensionnement des paramètres des classes de service.

           

Principe de fonctionnement

Un équipement qui utilise Netflow garde en mémoire une table des flux actifs à un instant donné, et compte le nombre de paquets et d’octets reçus pour chaque flux, cette table se nomme le « cache Netflow ».

A chaque paquet reçu, le routeur met à jour ce cache, soit en créant une nouvelle entrée si le flux n’est pas connu, soit en incrémentant les compteurs correspondant au flux déjà présent dans le cache.

Pour ne pas consommer toute la mémoire de l'équipement avec un ajout incessant de nouveaux flux, celui-ci efface au fur et à mesure les flux considérés comme terminés. Quand un flux a été inactif pendant un certain temps, « inactive timeout », le flux est retiré du cache (en comparant la date actuelle à celle du dernier parquet reçu pour un flux, l'équipement détermine l’inactivité de celui-ci). Un flux peut être également supprimé du cache s’il a été actif trop longtemps, « active timeout », afin que le cache ne garde pas indéfiniment des flux qui ne se terminent jamais. Enfin lorsque l'équipement voit des marqueurs qui signalent la fin d’une connexion TCP comme « RST » ou « FIN », le flux est également supprimé.

Lorsqu’un flux a expiré et est supprimé du cache, il peut être exporté vers une machine de collecte, qui reçoit ainsi des paquets Netflow suivant un protocole bien défini par Cisco. Il en existe plusieurs versions, la dernière étant la version 9. Pour des raisons d’efficacité et d’économie de bande passante, le routeur groupe l’envoi de plusieurs flux dans un même paquet (entre 20 et 30 flux par paquet).

 

 

Pour plus d'informations sur la configuration de Netflow sur Cisco Nexus : Configuration de Netflow pour des équipements Cisco Nexus 7K

Informations supplémentaires