Protocole Netflow

Présentation

SNMP vs Netflow

Protocole Netflow = protocole propriétaire CISCO.
La première question que l’on peut se poser est : « A quoi ça sert Netflow ? Avec le protocole SNMP nous pouvons obtenir des graphiques concernant le trafic en temps réel de n’importe quelle interface ! »
Oui, mais en cas de congestion réseau, comment faites-vous pour identifier la source de cette congestion ? Vous faites un SPAN avec un Wireshark afin d’identifier la source de ce problème ? Ça commence à devenir compliquer tout ça et ça prend beaucoup de temps …

La vraie réponse est : Netflow !

Pourquoi ? car il permet d’obtenir des graphiques de bande passante en prenant en compte les paramètres suivant :

– Adresse IP source.
– Adresse IP destination.
– Port source.
– Port destination.
– Type de protocole de niveau 3.
– Class of Service (Cos).
– Interfaces (physique ou logique).

Les composantes NetFlow

Pour ce faire, NetFlow possède 4 composantes :

– Records: Quoi enregistrer ?
– Flow monitors: Appliqué à une interface, Flow-monitor collecte des informations concernant le trafic.
– Flow exporters: exporte le cache de Netflow présent dans notre équipement vers un serveur externe.
– Flow samplers: permets de réduire la charge de travail de notre équipement en n’analysant qu’une partie du trafic via un ratio (Exemple : 1/2 = analyse un paquet sur 2).

Configuration

Méthode CCNP / CCIE

R1(config)# ip cef

R1(config)# flow exporter ipv4flowexport
R1(config-flow-exporter)# source X.X.X.X
R1(config-flow-exporter)# destination X.X.X.X
R1(config-flow-exporter)# dscp 8 (default=0)
R1(config-flow-exporter)# transport udp 1333
 
R1(config)# flow monitor ipv4flow
R1(config-flow-monitor)# description Monitors all IPv4 traffic
R1(config-flow-monitor)# record netflow ipv4 original-input
R1(config-flow-monitor)# statistics packet protocol
R1(config-flow-monitor)# exporter ipv4flowexport

R1(config)# interface FastEthernet0/0
R1(config-if)# ip flow monitor ipv4flow input

Autre Méthode

R1(config)# ip cef
R1(config)# interface FastEthernet 0/1
R1(config-if)# ip flow [ ingress | egress | monitor ]

ou

R1(config)# interface FastEthernet 0/1
R1(config-if)# ip route-cache flow