Prsentation - Netflow / Sflow Version Nov 2011 Orsenna
20111
Page 2
Sommaire Orsenna 20112 Introduction Prsentation Orsenna
Prsentation de la technologie Prsentation des produits Dmonstration
du produit FlowMon Questions et rponses
Page 3
Orsenna 20113 Orsenna : Qui sommes-nous ? Supervision &
Audit Rseau Intgration produits Supervision. Dveloppement de
PlugIns. Intgration produits Audit des flux Netflow, Sflow, Jflow
Produits Complmentaires (Appliance SMS, Serveur Syslog, Diagnostic
Switches, Sondes) Formation & Rgie de supervision
Page 4
Orsenna 20114 Rfrences Plus de 500 missions daudit et de
supervision depuis 2002. TypeNoms Banques, Assurances FIDEURAM
BANK, BANQUE POPULAIRE, GIE Carte Bancaire, GMF, Caisse des Dpts,
Socit Gnrale DistributionBRICORAMA, RELAY, NICOLAS, AELIA, HISTOIRE
DOR, LANVIN, MAC DONALDS, MIDAS IndustriesSCHLUMBERGER, ALCAN,
ARCELOR, DANONE, EADS, STRYKER AdministrationADEME, OPERA DE PARIS,
MINISTERE DEFENSE Ecoles, UniversitsENSAE, ENSTA, Mairies,
ConseilVille TROYES, CG16, CR PACA Oprateur CORIOLIS, B3G
TransportCOFIROUTE, SERVAIR, APRR, ASF
Page 5
Orsenna 20115 Services autour des produits Formation Tuning
Performances Mises jour de versions Installation et dploiement
Gestion de projet
Page 6
Orsenna 20116 Mise en uvre Audit initial, Mise en uvre pr
requis Spcifications dtailles & Architecture Documentations
Cahier recette Runion dinitialisation du projet Maquette
(validation prrequis) / POC ExploitationDocumentationsFormation
Services
9 SNMP ICMP Suivi dutilisation de linfrastructure Monitoring
des compteurs (SNMP) Monitoring des interfaces (SNMP) Suivi des
flux Statistiques applicatives (Netflow/Sflow,....) Sondes Suivi
dtaill de linfrastructure Monitoring + complexe BGP, STP (SNMP)
Monitoring status (SSH) SNMP SSH Suivi temps de rponse Oprations IP
SLA IP SLA ( Cisco)
Page 10
Netflow - Techonologie Cr par Cisco en 1996, Netflow est le
standard de fait pour collecter des donnes IP oprationnelles. Cest
un protocole de niveau 3 (Couche rseau) La diffrence avec les
autres analyseurs de trafic (MRTG) est que Netflow est tourn vers
le niveau application et pas seulement en SNMP. Grce Netflow on
peut dire que 40% de lutilisation de la bande passante est utilis
pour le http, 20% pour IpFix standardisation de la version 9 de
Netflow Orsenna 201110
Page 11
Netflow - Technologie Chaque constructeur utilise les mme
caractristiques que Netflow en lappelant diffremment : Jflow =>
Juniper Cflowd => Alcatel-Lucent NetStreal => 3Com / H3C Le
concept majeur de Netflow est la notion de flux: Adresses IP source
et destination, Protocole (TCP, UDP, ICMP,), ToS (Type Of Service)
Ports applicatifs (HTTP, SMTP, DNS,), Interfaces dentre et de
sortie du routeur. Permet de voir les volutions des flux pour
permettre dadapter la politique de QOS (Quality Of Service).
Orsenna 201111
Page 12
Netflow - Technologie Netflow permet de : Connatre lutilisation
du rseau par les applications Comprendre par qui, quand, et o est
utilis le rseau Mesurer lefficacit du rseau et des ressources
Apprhender l'impact des changements au rseau Dtecter les anomalies
et les vulnrabilits de scurit de rseau Auditer la conformit et les
processus business De rpondre des questions du genre: Peut-on
mettre en place la VOIP ? Pourquoi mon application / serveur est
lent ? La technologie Netflow peut tre utilise dans une grande
varit dapplications pour : Surveillance en temps rel du rseau
Analyse des nouvelles applications et leur impact sur le rseau.
Capacity planning Dtection et classification d'incidents de scurit
Accounting et facturation Troubleshooting (lenteurs rseaux) Orsenna
201112
Page 13
Netflow - Technologie Orsenna 201113 Mesures en temps rel
depuis chaque port grce un agent prsent sur lquipement. Collecteur
et analyseur NETFLOW
Page 14
90% des bnfices dun analyseur rseau 2% - 3% charge CPU Traffic
rseau augmente de 1% - 3% = ~10 NetFlow interfaces Intern et Boston
Berlin Paris, France = Router = Switch NetFlow collecteur = NetFlow
Data Miroir Probes, Flow Publisher, FlowMon Analyse de flux
distribue
Page 15
Serveurs chargs Voix Virus Hacking Multicast DNS Peer-to-peer
Worms Top hosts, conversations, protocols Evnements sur le rseau
Limite de la stratgie Top 10
Page 16
Serveurs chargs Voix Virus Hacking Multicast DNS Peer-to-peer
Worms Top hosts, conversations, protocols Evnements sur le rseau
Limite de la stratgie Top 10
Page 17
22,772 Conversations sur UNE MINUTE! - De 900KB Exemple MS-SQL
Slammer
Page 18
Sminaire18 Primtre Prrequis Exemple : Netflow Analyse Simple
objectifs Netflow Top 10 Lien Internet 10 Mb/s de trafic charg 20 %
Analyse + Complexe objectifs Netflow diagnostic Lan Lien Backbone
Liens 1Gb/s charg 50 %
Sflow Orsenna 201120 Switching ASIC 1 in N samplin g packet
header src/dst i/f sampling parms forwarding user ID URL i/f
counters sFlow agent forwardin g tables interface counters sFlow
Datagram eg 128Brate pool src 802.1p/Q dst 802.1p/Q next hop
src/dst mask AS path communitie s localPref src/dst Radius TACACS
NetFlow / sFlow Collector & Analyzer Switch/Router
Page 21
NetFlow
Page 22
Netflow Le routeur compte le nombre de paquets et doctets reus
pour chaque flux Ds quil reoit un paquet, le routeur cr une
nouvelle entre si le flux nest pas connu ou bien incrmente le
compteur du flux si il est dj prsent. La mmoire du routeur ntant
pas infinie, il faut faire le tri. Pour cela le routeur retire
automatiquement du cache un flux lorsque celui-ci a t inactif
pendant un certain temps (inactive timeout) et le supprime sil a t
actif trop longtemps (active timeout). Le routeur se sert de la
date du dernier paquet reu pour ce flux et la compare la date
actuelle pour connatre linactivit de celui-ci. Lorsquun flux a
expir et est supprim du cache, il peut tre export vers une machine
de collecte. Orsenna 201122
Page 23
Netflow Il existe 9 versions du protocole Netflow. Les versions
2, 3, 4, 6 => pas sorties sur le march (interne chez Cisco). La
version 5 est la plus utilise sur les routeurs (seulement pour
IPv4) La version 7 est spcifique aux Switchs Catalyst. La dernire
version est la 9, elle supporte lIPv6 ainsi que le MPLS. Orsenna
201123
Page 24
Netflow Vs Sflow Sflow ralise un chantillonnage (choix
personnel => N paquet). Cela consomme donc moins de charge CPU
sur les quipements. Moins de bande passante consomme. Orsenna
201124
Page 25
Netflow Vs Sflow Il est donc moins prcis que NetFlow court
terme. Nanmoins sur une grande priode, nous retrouverons les mmes
rsultats. Orsenna 201125 NetFlow SFlow
Page 26
Netflow Vs Sflow Lequel faut-il utiliser et quel moment ?
NetFlow : analyse prcise du rseau => analyse de scurit par
exemple Sflow : permet davoir une vue sur lutilisation des
ressources du rseau. Nous avons donc ensuite diffrents logiciels et
quipements en fonction des besoins de chaque personne : WUG NetFlow
monitor et Orion Netflow Traffic Analyser : outils de reporting /
statistiques. Scrutinizer et flow analytics : logiciel ddi lanalyse
de flux rseau. FlowMon : quipement ddi lanalyse de flux rseau.
Observer : Analyseur rseau => capture le flux. Orsenna
201126
Page 27
Agent Logiciel / Matriel Pourquoi prendre un agent matriel
plutt quun agent logiciel ? Un ordinateur peut souvent tre dplac,
ce qui rendra lagent indisponible. Moins de maintenance raliser.
Besoin dun PC ddi, ce qui implique un clavier, un cran Orsenna
201127 Agent logiciel
Page 28
Agent Logiciel / Matriel TAP mode cela peut se reprsenter comme
un Y, le flux arrive sur la branche du bas, puis se divise en deux,
une partie reste sur le rseau tandis que lautre va vers lagent
matriel. SPAN mode Mirroring dun port vers un autre. RSPAN mode
Mirroring dun port du routeur vers un port dun autre routeur.
Orsenna 201128
Page 29
Equipements Equipements supportant NetFlow: Adtran NetVanta
3200, 3305, 4305, 5305, 1524, 1624, 3430, 3448, 3130, 340, and 344
Cisco ASA Firewall (IOS version 8.2) ; Catalyst srie
4000/4650/4500/ 6000/6500/7600/7000 NX-OS ; Cisco 800, 1700, 2600,
1800, 2800, 3660, 3800, 7200, 7300, 7500 ; Cisco 10000, 12000,
CRS-1 3Com : 8800 Series Switches Enterasys Router ESX Server avec
Wmware Extreme Networks Router : Alpine 3800 series, BlackDiamond
6800 series, BlackDiamond 8800 series, BlackDiamond 10808,
BlackDiamond 12804C, BlackDiamond 12804R,Summit X450 Series, Summit
i series Juniper Router Mikrotik Router Riverbed Steelhead
Appliance Vyatta Core 6 software Equipements ne supportant pas
NetFlow besoin dun agent matriel ou logiciel: Cisco 2900, 3500,
3660, 3750, Nexus 5000 Netgear Bintec Pour la configuration:
http://www.plixer.com/products/netflow-
sflow/configure-netflow-sflow.phphttp://www.plixer.com/products/netflow-
sflow/configure-netflow-sflow.php Orsenna 201129
Page 30
Equipements Equipements supportant SFlow: 3Com : 4800G Family
AlaxalA Networks : AX7800R ; AX7800S ; AX7700R ; AX5400S
Alcatel-Lucent : OmniSwitch 6850 ; OmniSwitch 9000 series Allied
Telesis : SwitchBlade 7800R series ; SwitchBlade 7800S series ;
SwitchBlade 5400S series Blade Network Technologies : HP 10Gb
Ethernet BL-C Switch ; HP 1:10Gb Ethernet BL-C Switch ; HP GbE2c
Layer2/3 Ethernet Blade Switch Brocade : BigIron series ; FastIron
series ; IronPoint series ; NetIron series ; SecureIron series ;
ServerIron series Comtec Systems : !-Rex 16Gi & 24Gi &
24Gi-Combo Dell : PowerConnect 6200 series ; PowerConnect 8000
series D-Link : DGS-3600 series Enterasys : G-Series ; SecureStack
B3 ; SecureStack C3 Extreme Networks : Alpine 3800 series ;
BlackDiamond 6800 series ; BlackDiamond 8800 series ;BlackDiamond
10808 ; BlackDiamond 12804C ; BlackDiamond 12800R Series ; Summit
X150 Series ; Summit_X250e Series ; Summit X450 Series ; Summit i
series Force10 Networks : C series ; E series H3C : H3C S5800
Series ; H3C S5820X Series ; H3C S7500E Series Switches ; H3C
S9500E Series Switches ; H3C S12500 Series Data Center Switches ;
H3C MSR 20-1X Series Routers Orsenna 201130
Page 31
Equipements Equipements supportant SFlow: Hewlett-Packard :
ProCurve 2610 series ; ProCurve 2800 series ; ProCurve 2900 series
; ProCurve 2910al series ; ProCurve 3400cl series ; ProCurve 3500yl
series ; ProCurve 4200vl series ; ProCurve 5300xl series ; ProCurve
5400zl series ; ProCurve 6200yl series ; ProCurve 6400cl series ;
ProCurve 6600 series ; ProCurve 8212zl ; ProCurve 9300m series ;
ProCurve Routing Switch 9408sl ; ProCurve Wireless Edge Services xl
Module ; ProCurve Wireless Edge Services zl Module ; ProCurve
Access Point 530 Hitachi : GR4000 ; GS4000 ; GS3000 IBM : c-series
; g-series ; m-series ; r-series ; s-series ; x-series ; J08E and
J16E ; J48E InMon Corp. : Virtual Probe Juniper Networks : EX3200
series ; EX4200 series ; EX8200 series MRV : OptiSwitch-MR series
NEC : IP8800/R400 series ; IP8800/S400 series ; IP8800/S300 series
; IP8800/S3640 series ; IP8800/S3640 ER series ; IP8800/S3630
series ; IP8800/S2400 series NETGEAR : GSM7352S-200 ; GSM7328S-200
Open vSwitch : Open vSwitch Vyatta : Vyatta 514 ; Vyatta 2500
series ; Vyatta 3500 series ; Vyatta Core (VC) Routing &
Security Software ; Vyatta Virtual Router, Firewall, VPN XRoads
Networks : EdgeXOS Orsenna 201131
Page 32
Exemple de configuration Orsenna 201132 Configuration de base
CISCO Router> enable passer en mode enable Router# configure
terminal passer en mode configuration Router(config)# ip
flow-export destination permet dexporter le flux vers une
172.16.10.2 9996adresse sur le port 9996 (port dfaut)
Router(config)# ip flow-export version 9 Utilisation de la version
9 de Netflow Router(config)# interface ethernet 0/0
Router(config-if)# ip flow ingress supervision du trafic allant
dans linterface Router(config-if)# ip flow egress supervision du
trafic sortant de linterface Router(config-if)# exit
Router(config-if)# end Vrification 1.show ip flow interface voir la
configuration actuelle du NetFlow 2.show ip cache flow voir les
flux en activits ainsi que la 3.show ip cache verbose flow
ressource utilise
Page 33
Exemple de configuration Orsenna 201133 Configuration de base
Mikrotik :
Page 34
Exemple de configuration Orsenna 201134 Configuration pour
Alcatel Omniswitch (Sflow) : Configuration pour Extreme Network
(Sflow): Configuration pour HP (Sflow) :
Page 35
Ntop Qu'est-ce que Ntop ? Ntop est un outil libre. Cest un
collecteur Nflow/IPfix Il capture et analyse les trames dune
interface. Il permet dobserver une majeure partie des
caractristiques du trafic entrant et sortant. Stockage des
statistiques au format RRD Logo : Lien :
http://www.ntop.org/http://www.ntop.org/ Orsenna 201135
Page 36
Nprobe Qu'est-ce que Nprobe ? Cest un agent logiciel. Idal pour
les devices qui nincorporent pas de faon hardware une sonde
Netflow. Il peut analyser le trafic et gnrer un flux standard
Netflow . Disponible pour Windows, Unix et Mac. Supporte IPv4 et
Ipv6. Possibilit dtre en mode collecteur de flux and en proxy.
Analyse de trafic VoIP. Totalement configurable par lutilisateur.
Compatible avec les collecteurs des constructeurs Fluke, Cisco,
Dartware, AdventNet, Plixer, SolarWinds Logo : Lien :
http://www.ntop.org/nProbe.htmlhttp://www.ntop.org/nProbe.html
Orsenna 201136
Page 37
Nprobe Qu'est-ce que Nprobe ? Orsenna 201137
Page 38
WhatsUP Flow Publisher Qu'est-ce que Flow Publisher ? Cest un
agent logiciel. Il permet l'analyse du trafic rseau pour chaque
priphrique et segment du rseau. De dterminer les utilisateurs,
applications ou sources de trafic qui consomment de la bande
passante. Recevoir des alertes en temps rel lorsque les paramtres
de trafic surveills dpassent des seuils dfinis. Assurer que les
applications de l'entreprise disposent de toute la bande passante
ncessaire. Accder plus de 40 rapports mobiles et Web pour
l'tablissement d'une base de rfrence et l'analyse. Cre des
enregistrements compatibles NetFlow v1, v5 ou v9 partir du trafic
brut Logo : Lien :
http://fr.whatsupgold.com/products/flow_publisher/http://fr.whatsupgold.com/products/flow_publisher/
Orsenna 201138
Page 39
WhatsUP Flow Publisher Orsenna 201139 Le commutateur transmet
le trafic mis en miroir l'agent Flow Publisher L'agent transmet les
enregistrements NetFlow au collecteur Flow Monitor Le point d'accs
test transmet le trafic bidirectionnel l'agent Flow Publisher
L'agent serveur transmet les enregistrements NetFlow au collecteur
de Flow Monitor Agent Flow Publisher sur PC Collecteur de WhatsUp
Gold et Flow Monitor Serveur avec l'agent Flow Publisher
install
Page 40
FlowMon Qu'est-ce que FlowMon ? Cest un agent matriel. Il est
bas sur les technologies NetFlow V5/V9 Donne des informations sur
qui communique avec qui ? Pendant combien de temps ? Quel protocol
? Combien cela prend de bande passante ? Une solution pour tout
types de rseau. Logo : Lien :
http://www.invea-tech.com/network-solutionshttp://www.invea-tech.com/network-solutions
Demo : online demo (login:flowmon, password: flowmondemo)online
demo Orsenna 201140
Page 41
FlowMon Architecture Orsenna 201141
Page 42
FlowMon Rapports : Facilement personnalisable Envoi automatique
en format PDF Orsenna 201142
Page 43
Nmon - Nbox Qu'est-ce que la Nbox ? Cest un agent matriel. Il
analyse le flux rseau => analyse et export de donnes. Permet
danalyser la disponibilit, la performance et les problme sur le
rseau. nBox inclut une sonde Netflow (nProbe) ainsi quun collecteur
(ntop) pour les flux NetFlow v5/v9/Ipfix. Logo : Lien :
http://www.nmon.net/nBox_nmon.htmlhttp://www.nmon.net/nBox_nmon.html
Orsenna 201143
Page 44
Network Instruments - Observer Orsenna 201144 Logo : Lien :
http://www.netinst.com/products/observer/http://www.netinst.com/products/observer/
Qu'est-ce que Observer ? Cest un outil qui capture les flux rseau,
il ny a donc pas dagent. A partir de cela il va raliser des
graphiques.
Page 45
Solarwinds Orion Netflow Traffic Analyser Orsenna 201145
Qu'est-ce que Netflow Traffic Analyser ? Cest un outil de reporting
/ statistique. Logo : Lien :
http://www.solarwinds.com/products/orion/nta/http://www.solarwinds.com/products/orion/nta/
Page 46
Ipswitch Flow Monitor Orsenna 201146 Qu'est-ce que Flow Monitor
? Cest un outil de reporting / statistique. Logo : Lien :
http://www.whatsupgold.com/products/whatsup-gold-
plugins/flow-monitor/
http://www.whatsupgold.com/products/whatsup-gold-
plugins/flow-monitor/
Page 47
PRTG - Traffic Grapher Orsenna 201147 Qu'est-ce que Traffic
Grapher ? Il est dot dun serveur web intgr => permet daccder aux
graphiques et aux tableaux partir dun navigateur web. Utilise trois
mthodes de surveillance : SNMP pour les compteur de trafic. Analyse
des paquets rseau entrants/sortants qui transitent sur la carte
rseau dun ordinateur => capture de paquets. Analyse des paquets
Cisco NetFlow Fiabilit de la surveillance du rseau (plus de 100 000
utilisateurs chaque jour) Classification du trafic rseau en
fonction de l'adresse IP, du protocole et d'autres paramtres
Fonctionne avec la plupart des commutateurs, routeurs, pare-feu et
autres quipements rseau Poste de surveillance permettant la
supervision de plusieurs milliers de sondes Version Freeware
disponible pour les petits rseaux Logo : Lien :
http://www.paessler.com/http://www.paessler.com/
Page 48
PRTG - Traffic Grapher Orsenna 201148
Page 49
Plixer - Scrutinizer Qu'est-ce que Scrutinizer NetFlow &
sFlow Analyser ? Logiciel ddi lanalyse de flux (fonctions prcises
et pousses). Logiciel permettant de fournir des informations
concernant le rseau (bande passante, graphique, rpartion des
charges). Scrutinizer peut recevoir des flux d'un nombre illimit
d'interfaces. Scrutinizer s'intgre avec le logiciel WhatsUp
Professional d'Ipswitch. Logo : Lien :
http://www.plixer.com/products/scrutinizer.phphttp://www.plixer.com/products/scrutinizer.php
Orsenna 201149
Page 50
Plixer - Scrutinizer Orsenna 201150 Links change color based on
utilization Mouse over link and ALT tag gives full interface name
(e.g. ifAlias) Arrow on link gives highest utilization direction
Click on link for top talkers for the last 6 minutes for that
direction Cartographie
Page 51
Plixer - Scrutinizer Orsenna 201151 Charges
Page 52
Plixer Flow Analytics Qu'est-ce que Flow Analytics ? Cest un
add-on pour Scrutinizer. Permet darchiver les donnes NetFlow aprs
24 heures. Identification des applications, conversations, flux,
protocoles plus facilement. Dclencher des alarmes en fonction de
seuils. Possibilit de mettre des alarmes et de crer des rapports.
Nouvelle fentre pour voir directement les problmes du rseau. Logo :
Lien :
http://www.plixer.com/products/netflow-sflow/flow-analytics.phphttp://www.plixer.com/products/netflow-sflow/flow-analytics.php
Orsenna 201152
Page 53
Logiciels NTA (Solarwinds) => 1,5 12 K (par device et
illimit) FlowMonitor (Ipswitch) => 100 230 (par source)
Scrutinizer (Plixer) => 3 10 K (5 sources / illimit ) Appliances
FlowMon (Invea) => 5 20 K ( illimit, 1 10TB) Orsenna 201153
Budget :
NBAR Nbar Network Based Application Recognition Permet de
saffranchir des limites des ACL peut identifier des applications ou
des URLs. Nbar reconnait les applications utilisant les ports TCP
et UDP. Classification approfondie : HTTP et ICA (Citrix
applications). Orsenna 201159
Page 60
NBAR La dcouverte dapplications et de protocoles est une
fonction associe NBAR. NBAR collecte les statistiques sur les
applications prsentes sur le rseau. Orsenna 201160
Page 61
NBAR La technologie NBAR est apparue sur les routeurs 7200 et
ensuite sur les Catalyst 6500. NBAR hardware est apparu sur le
Catalyst 6500 sous la forme dune carte supervisor (Engine 32 PISA)
: Orsenna 201161