Cisco – Implémenter netflow sur un routeur


Netflow est un mécanisme de collecte de données conçu par Cisco dans le but de réaliser la métrologie des flux en transit sur une infrastructure réseau.

Netflow permet de répondre à différents besoins:

  • Disposer d’une meilleur visibilité sur la nature des flux en transit (peut aider à construire une cartographie des applications).
  • Auditer une infrastructure réseau.
  • Vérifier la bonne application des accords de niveau de service
  • Visualiser et évaluer l’impact de l’évolution des services applicatifs.
  • Détecter des anomalies (goulet d’étranglement, vulnérabilités etc …).
  • Mesurer l’utilisation des ressources (bande passante, profil de QOS, par destination etc ….) afin de mieux évaluer les évolutions nécessaires (capacity planning).
  • Netflow devient également un outil d’aide à la décision en raison des possibilités qu’il offre en terme de monitoring et de la granularité pouvant être atteinte.

Mettre en œuvre le collecteur netflow:

La première étape consiste à configurer le protocole SNMP.

Router(config)#snmp-server community testnetflow RW

Router(config)#snmp-server ifindex persist

Router(config)#snmp-server host 192.168.1.100 testnetflow

Router(config)#snmp ifmib ifalias long

L’étape suivante cvonsiste à mettre en oeuvre le collecteur de flow.

Router(config)# ip flow-cache timeout active 1

Router(config)# ip flow-export source fastethernet 1/2

Router(config)#ip flow-export version 5

Router(config)#ip flow-export destination 192.168.1.100 9996

Router(config)#ip flow-top-talkers

Router(config-flow-top-talkers)# top 200

Router(config-flow-top-talkers)# sort-by bytes

Router(config-flow-top-talkers)#exit

Appliquer la configuration à l’interface utilisée par la collecte des données:

Router(config-if)#interface fa1/2

Router(config-if)#ip address 192.168.1.50 255.255.255.0

Router(config-if)#no ip redirects

Router(config-if)#ip flow ingress

Router(config-if)#ip flow egress

Consulter les informations collectées depuis le routeur:

Ci-dessous un ensemble de commandes permettant de consulter dans un premier temps les statistiques netflow et dans un second temps l’application des paramètres netflow sur le système.

show ip flow top-talkers

La commande “show ip flow top-talkers” permet d’analyser en fonction des plusieurs critères,  la volumétrie des données.

Ces critères sont!

  • Interface source & destination
  • IP source & destination
  • Type de protocole (IP)
  • Port source & destination
  • Le volume de données

aghiles#show ip flow top-talkers

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP Bytes

Fa1/2         192.168.1.100   Fa1/2         213.186.33.19   06 86FB 0050  6694

Fa1/2         192.168.1.100   Fa1/2*        213.186.33.19   06 86FB 0050  6694

Fa1/2         192.168.1.100   Fa1/2         94.23.214.78    06 86FA 0050  1235

Fa1/2         192.168.1.100   Fa1/2*        94.23.214.78    06 86FA 0050  1235

Fa1/2         192.168.1.100   Fa1/2         188.62.225.133  11 3B76 1240   507

Fa1/2         192.168.1.100   Fa1/2*        188.62.225.133  11 3B76 1240   507

Fa1/2         192.168.1.100   Fa1/2*        58.152.209.8    11 3B76 1240   428

Fa1/2         192.168.1.100   Fa1/2         58.152.209.8    11 3B76 1240   428

Fa1/2         192.168.1.100   Fa1/2*        82.60.63.144    11 3B76 1B5B   428

Fa1/2         192.168.1.100   Fa1/2         82.60.63.144    11 3B76 1B5B   428

Fa1/2         192.168.1.100   Fa1/2*        82.43.225.169   11 3B76 E1F2   428

Fa1/2         192.168.1.100   Fa1/2         82.43.225.169   11 3B76 E1F2   428

Fa1/2         192.168.1.100   Fa1/2*        99.29.166.82    11 3B76 1876   413

Fa1/2         192.168.1.100   Fa1/2         99.29.166.82    11 3B76 1876   413

Fa1/2         192.168.1.100   Fa1/2         151.49.235.42   11 3B76 1080   413

Fa1/2         192.168.1.100   Fa1/2*        151.49.235.42   11 3B76 1080   413

Fa1/2         192.168.1.100   Fa1/2         222.42.74.252   11 3B76 3FFC   381

Fa1/2         192.168.1.100   Fa1/2*        222.42.74.252   11 3B76 3FFC   381

Fa1/2         192.168.1.100   Fa1/2*        59.137.202.61   11 3B76 104C   334

Fa1/2         192.168.1.100   Fa1/2         59.137.202.61   11 3B76 104C   334

Fa1/2         192.168.1.100   Fa1/2         190.174.30.94   11 3B76 5C90   334

–More—

show ip flow export

La commende “show ip flow export” permet de consulter différents paramètres faisant référence à l’émission des informations netflow  à destination du serveur de colllecte.

Les paramètres sont :

  • La version utilisée : 3 5 ou 9
  • L’adresse du serveur et le port d’écoute
  • Un ensemble de statistiques sur l’état et l’utilisation de protocole

Router#sh ip flow export

Flow export v5 is enabled for main cache

Exporting flows to 192.168.1.100 (9996)

Exporting using source interface Vlan1

Version 5 flow records

0 flows exported in 0 udp datagrams

0 flows failed due to lack of export packet

0 export packets were sent up to process level

0 export packets were dropped due to no fib

0 export packets were dropped due to adjacency issues

0 export packets were dropped due to fragmentation failures

0 export packets were dropped due to encapsulation fixup failures

sh ip flow interface:

Voir sur quelle interface et appliquée la collecte et dans quel sens sont collectées les données (dans notre cas, les deux).

Router#sh ip flow interface

interface fa1/2

ip flow ingress

ip flow egress

Consulter les informations collectées depuis un analyseur de flux Netflow:

Afin de pouvoir visualiser le résultat de ma collecte de flux,  j’ai procédé à l’installation d’un outil de collecte netflow (une démo de netflow analyser). L’objectif de ce tuto n’étant pas son installation et son utilisation, une simple capture d’écran permettant d’observer le type de données collectées est fournie.

Diagnostiquer netflow :

Ci-dessous un ensemble de commande permettant d’aider au diagnostique du processus en cas d’anomalie.

debug ip flow export

La commande ci-dessous permet d’observer si les paquets netflow sont bien émis à destination du collecteur.

aghiles# debug ip flow export

IP Flow export mechanism debugging is on

aghiles#

*Mar  1 00:33:24.591: IPFLOW: Sending export pak to 192.168.1.100 port 9996

*Mar  1 00:33:30.591: IPFLOW: Sending export pak to 192.168.1.100 port 9996

Consulter l’état du processus IP FLOW

aghiles#show processes | include IP Fflow

178 Mwe 60C6743C            0          2       0 5540/6000   0 IP Flow Backgrou

179 Lwe 60C7D3C8           12         21     571 5612/6000   0 IP Flow Top Talk

La commande show udp :

Attention cette commande n’est disponible qu’à partir de la version 12.4(11) de l’IOS

Cette commande permet de consulter l’état d’une session UDP s’exécutant par-dessus le système. Elle permet principalement de vérifier que le processus est bien opérationnel au niveau de la couche transport.

La commande debug snmp packets:

La commande suivante fournie les informations sur les différents échanges de paquets SNMP entre le collecteur et la sonde de  corrélation.

aghiles#debug snmp pack7ets

SNMP packet debugging is on

aghiles#

*Mar  1 01:06:02.947: SNMP: Packet received via UDP from 192.168.1.100 on FastEthernet1/2

*Mar  1 01:06:02.959: SNMP: Get request, reqid 158, errstat 0, erridx 0

ifAdminStatus.3 = NULL TYPE/VALUE

*Mar  1 01:06:02.967:

Incoming SNMP packet

*Mar  1 01:06:02.971: v1 packet

*Mar  1 01:06:02.971: community string: testnetflow

*Mar  1 01:06:02.971: SNMP: Response, reqid 158, errstat 0, erridx 0

ifAdminStatus.3 = 1

*Mar  1 01:06:02.975: SNMP: Packet sent via UDP to 192.168.1.100

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *