Présentation
SNMP vs Netflow
Protocole Netflow = protocole propriétaire CISCO.
La première question que l’on peut se poser est : « A quoi ça sert Netflow ? Avec le protocole SNMP nous pouvons obtenir des graphiques concernant le trafic en temps réel de n’importe quelle interface ! »
Oui, mais en cas de congestion réseau, comment faites-vous pour identifier la source de cette congestion ? Vous faites un SPAN avec un Wireshark afin d’identifier la source de ce problème ? Ça commence à devenir compliquer tout ça et ça prend beaucoup de temps …
La vraie réponse est : Netflow !
Pourquoi ? car il permet d’obtenir des graphiques de bande passante en prenant en compte les paramètres suivant :
– Adresse IP source.
– Adresse IP destination.
– Port source.
– Port destination.
– Type de protocole de niveau 3.
– Class of Service (Cos).
– Interfaces (physique ou logique).
Les composantes NetFlow
Pour ce faire, NetFlow possède 4 composantes :
– Records: Quoi enregistrer ?
– Flow monitors: Appliqué à une interface, Flow-monitor collecte des informations concernant le trafic.
– Flow exporters: exporte le cache de Netflow présent dans notre équipement vers un serveur externe.
– Flow samplers: permets de réduire la charge de travail de notre équipement en n’analysant qu’une partie du trafic via un ratio (Exemple : 1/2 = analyse un paquet sur 2).
Configuration
Méthode CCNP / CCIE
R1(config)# ip cef R1(config)# flow exporter ipv4flowexport R1(config-flow-exporter)# source X.X.X.X R1(config-flow-exporter)# destination X.X.X.X R1(config-flow-exporter)# dscp 8 (default=0) R1(config-flow-exporter)# transport udp 1333 R1(config)# flow monitor ipv4flow R1(config-flow-monitor)# description Monitors all IPv4 traffic R1(config-flow-monitor)# record netflow ipv4 original-input R1(config-flow-monitor)# statistics packet protocol R1(config-flow-monitor)# exporter ipv4flowexport R1(config)# interface FastEthernet0/0 R1(config-if)# ip flow monitor ipv4flow input
Autre Méthode
R1(config)# ip cef R1(config)# interface FastEthernet 0/1 R1(config-if)# ip flow [ ingress | egress | monitor ] ou R1(config)# interface FastEthernet 0/1 R1(config-if)# ip route-cache flow
[contentcropnow]
R1(config)# ip flow-export source vlan40 R1(config)# ip flow-export version 9 R1(config)# ip flow-export destination X.X.X.X 2055 2055 = port udp 2055
Ces deux méthodes fonctionnent, à vous de me dire là qu’elles vous préfèrent.
Vérification
R1# show flow record R1# show flow monitor R1# show flow exporter R1# show flow interface R1# show ip flow export R1# show ip cache flow
NetFlow Collector
Collector payant :
– Cisco NetFlow Collector.
– Fluke Networks.
– SolarWinds.
Collector gratuit :
– IPFlow
– NTOP
– NetFlow Monitor
En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseau, profitez-en pour naviguer dans la barre de menu !
FingerInTheNet.com
Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet
Félicitations !
La fonctionnalité NetFlow a l’air très intéressante. Mais, l’article manque d’explications. Ça serait utile de traiter un exemple concret ; avec, à l’appui, un petit schéma d’architecture.
1 – Quel est l’intérêt de la commande « ip cef » ?
2 – La premiere méthode est basée sur « flow exporter » et « flow monitor » ; alors que la deuxième méthode est basée uniquement sur « ip flow-export ». Est-ce que ça veut dire que « ip flow-export » est équivalent à « flow exporter + flow monitor » ?
3 – Les numéros de port 1333 et 2055 correspondent à quoi et sont définis sur quels équipements ?
4 – Quel est l’intérêt de la commande « ip route-cache flow » ?