Le modèle de service a été spécifié de sorte de pouvoir répondre à des besoins bien précis. Il présente différents champs à renseigner permettant de cibler la consommation de la bande passante
Dans l’idéal, chaque service instancié doit répondre à un besoin, par exemple, la mesure du débit généré par le service de messagerie. Dans ce cas, l’utilisateur renseignera les différents champs nécessaires à cette mesure (ip de destination du serveur de messagerie, port SMTP 25….).
Introduction
Les modèles de services Netflow permettent de surveiller le débit moyen généré sur une période définie par une application, une ip source ou une ip de destination et générer des alertes en cas de dépassement des seuils définis. Ils remontent également des données et des graphiques de performance de la même manière que les autres modèles de services.
Netflow est un protocole réseau utilisé pour comptabiliser le trafic du réseau IP. Il a été développé par Cisco Systems. De nos jours, NetFlow est devenu une norme industrielle pris en charge par de nombreux périphériques. Il existe plusieurs versions du protocole, mais les versions les plus courantes sont les versions 5 et 9.
Les flux réseau
NetFlow utilise le concept d’un flux pour capturer des données sur le comportement du réseau, telles que la source et la destination du trafic réseau, les applications utilisant le réseau et la quantité de bande passante allouée à ces applications.
Un flux est une séquence unidirectionnelle de paquets entre une source et une destination donnée, définie par une clé de 7-tuple comprenant les champs suivants:
- Adresse IP source
- Adresse IP de destination
- Source Port
- Le port de destination
- Protocole IP
- Interface de saisie
- Type de service IP
Enregistrements NetFlow
Les informations NetFlow collectées par Flow Publisher sont gérées en créant des enregistrements pour chaque flux. Chaque enregistrement est géré dans le cache NetFlow. Lorsque les paquets sont capturés, les statistiques relatives aux flux actifs sont mises à jour. Une fois qu’un flux a été créé et placé dans le cache NetFlow, il reste actif jusqu’à ce qu’il expire. Une fois l’écoulement écoulé, l’enregistrement de flux est ajouté à un datagramme d’exportation NetFlow pour transmission au collecteur NetFlow.
Prise en charge de NetFlow
En plus de Cisco, de nombreux constructeurs d’équipements réseau offrent une prise en charge de NetFlow sur leurs boitiers. La liste comprend Juniper, Alcatel-Lucent et Nortel, entre autres. En ce qui concerne les plates-formes logicielles, il y a une prise en charge sur serveurs VMWare et sous Linux.
Certains constructeurs utilisent un autre nom pour cette technologie:
- Jflow ou cflowd chez Juniper Networks
- NetStream chez 3Com/HP
- NetStream chez Huawei Technologies
- Cflowd chez Alcatel-Lucent
- Rflow chez Ericsson
- AppFlow chez Citrix
Architecture
Des éléments réseau (commutateurs et routeurs) établissent des statistiques sur les données des flux réseau qu’ils exportent vers des collecteurs. Ces statistiques détaillées peuvent porter sur les nombres de paquets et d’octets, les ports applicatifs, les adresses IP, les champs de qualité de service, les interfaces par lesquelles ils transitent, etc.
L’architecture permettant de collecter les informations sur le trafic du réseau IP est la suivante:
- NetFlow exportateur: Observe les données par paquets, créé des enregistrements du trafic réseau surveillés et transmet ces données au Collecteur NetFlow.
- Collecteur NetFlow: Collecte les enregistrements envoyés par l’exportateur, les stocke dans une base de données locale.
- ServiceNav Box: Récupère les informations collectées par le Collecteur NetFlow
- SNP (Plateforme de supervision) permet de configurer le service NetFlow est d’exploiter les données remontées par la ServiceNav Box
Configuration des équipements réseaux
Il convient de procéder à la configuration des équipements réseaux pour exporter les flux vers le Netflow Collector Storage.
Notre procédure NetFlow, Device Configuration vous met à disposition un grand nombre de procédure d’activation Netflow selon votre périphérique.
Mise en place du NetFlow Collector Storage
Le master proposé peut-être mutualisé et collecter les exports NetFlow et sFlow.
Procedure sFlow: https://coservit.com/servicenav/fr/documentation/sflow-prerequis-et-configuration/
Dimensionnement du NetFlow Collector Storage
Quelle quantité d’espace disque un déploiement NetFlow moyen devrait-il consommer? L’une des plus grandes préoccupations est que l’exportation de NetFlow aura un impact sur la bande passante disponible, les frais généraux du processeur sur les périphériques ou sur les disques durs qui le stockent.
Il est important de noter qu’un export de données de flux réseau peut contenir des enregistrements contenant jusqu’à 30 conversations ou flux . Ceci est important car le volume moyen de NetFlow est directement proportionnel au nombre de sockets TCP / UDP uniques créées par les clients et les serveurs du réseau.
Cette nature agrégée de NetFlow et le fait que les paquets NetFlow sont composés uniquement d’informations d’en-tête IP (c’est-à-dire pas la charge utile de paquets elle-même), expliquent pourquoi l’export ne consomme que 1-2% du débit d’interface. Depuis 2004, les experts de NetFlow de Cisco ont maintenu une règle de base selon laquelle NetFlow créera seulement 1 à 1,5% de débit sur l’interface sur laquelle il est exporté.
Quel est le volume de flux typique par PC? La réponse est: cela dépend, la tendance semble être d’environ 100 flux / minute par ordinateur, avec un pic de 350
Par exemple, une entreprise compte 1000 noeuds et que chaque noeud génère 200 flux par minute. Cela équivaut à environ 200000 flux en une minute, soit environ 3300 flux par seconde. Pourquoi tant de flux ?
Les applications engendrent beaucoup de flux uniques, en particulier les navigateurs web et la plupart des applications. Voici quelques applications typiques très bavardes:
- Java, Adobe, Anti-virus, navigateurs web
- Skype est très bavard et provoque du trafic vers le DNS
- Flux de pages Web générant des images, des annonces, etc.
- Email vérifiant constamment la boîte de réception
- NetBios
Un flux stockés sur le NetFlow Colletor Storage occupe 150 octets d’espace disque, il est donc préconiser de provisionner 2 Go par jour et par tranche de 100 nœuds:
| Cpu(s) | 4 vCPU |
| RAM | 8 Go |
| Espace disque | 20 Go + 2 Go par jour et par tranche de 100 nœuds |
| Interface réseau | 1 gbps |
Déploiement du NetFlow Collector Storage
Le NetFlow Collector Storage sera créé à partir d’un master ServiceNav Box.
Il convient donc d’appliquer entièrement la documentation de la mise en oeuvre d’une ServiceNav Box.
Configuration du Collector Storage
Connexion au Collector Storage
Une fois que le Collector Storage a démarré sur le système d’exploitation il demande des informations de login, ces informations sont les suivantes :
Login : A demander au support
Mdp : A demander au support
Attention : Ne jamais mettre à jour votre boitier de supervision. Les mises à jour sont pilotées depuis la plateforme centrale.
Téléchargement du script d’installation (non nécessaire à partir de la version 5.0)
Il faut télécharger le script d’installation, pour cela exécutez les commandes suivantes :
sudo su –
cd /root/
ftp -p software.servicenav.io
# Enter login & password
Login : A demander au support
Mdp : A demander au support
cd TOOLS
get xflow_installation.tar
exit
tar xvf xflow_installation.tar
Lancement de l’installeur
Pour lancer l’installeur, exécuter ces trois commandes :
Jusqu’à la version 4.19 incluse
sudo su –
cd /root/xflow_installation
./xflow_installation.pl
A partir de la version 5.0
sudo su –
cd /root/vsb_installation
./xflow_installation.pl
Ensuite suivre les instructions à l’écran :
###### xFLOW COLLECTOR INSTALLATION ######
Copyright CoServIT 2012-2013. All rights reserved.
## Configure your flow Collector
## - Configure the rules
## - Configure the directory
## - Start and save processus n(s)fcapd
## Data retention configuration
## Delete a configuration
## Note : You can exit this program with Ctrl+C
Press any key to continue
Appuyer sur n’importe quelle touche
##### xFLOW COLLECTOR CONFIGURATION #######
Do you want to configure the Flow Collector (y/n) [default : n] :
Tapez « y » puis appuyer sur la touche Entrée pour valider votre choix
NetFlow (n) or sFlow (s) [default = n] :
Nous configurons Netflow, tapez « n » puis appuyer sur la touche Entrée pour valider votre choix
Listening Port : 9995
Renseigner le port de d’écoute que vous avez défini et appuyer sur la touche Entrée pour valider votre choix :
Directory : WAN
Renseigner le nom du répertoire de destination des exports que vous avez défini et appuyer sur la touche Entrée pour valider votre choix
Do you want to save this configuration ? (y/n) [default : n] :
Tapez « y » puis appuyer sur la touche Entrée pour valider votre choix
Do you want to configure the data retention (y/n) [default : n] :
Pour configurer la conservation des données sur le Collector, tapez « y » puis appuyer sur la touche Entrée pour valider votre choix
NetFlow (n) or sFlow (s) [default = n] :
Avant la version 5.0 uniquement : nous configurons Netflow, tapez « n » puis appuyer sur la touche Entrée pour valider votre choix
Data retention in days (example 2 for two days): 2
Renseignez le nombre de jour de conservation des données et appuyer sur la touche Entrée pour valider votre choix
Do you want to save this configuration ? (y/n) [default : n] :
Tapez « y » puis appuyer sur la touche Entrée pour valider votre choix
Configuration du modèle de service NetworkAnalysis-NetFlow
Une fois les prérequis configurés via l’installeur, vous pouvez utilisez le modèle de service NetworkAnalysis-NetFlow en vous reportant à la procédure suivante Comment utiliser notre modèle de service NetworkAnalysis-NetFlow
En cas de dysfonctionnement, contactez le support ou reportez-vous aux rubriques suivantes : « Vérification » et « Debug »
Vérification du Netflow Collector Storage
Après avoir lancé l’installeur, attendez une vingtaine de minute et vérifiez que les fichiers exportés arrivent bien dans le répertoire de destination renseigné en exécutant la commande suivante :
ll /home/coadmin/network_analysis/<directory>
Mise en supervision du NetFlow Collector Storage
En complément de la mise en supervision faite lors de l’installlation du Netflow Collector Storage, ajouter sur l’autosupervision les services basés sur les modèles de services suivants :
- LIN-DirectorySize pour surveiller la taille de vos répertoires de destination.
- Lin-ProcessName pour surveiller la bonne exécution des processus nfcapd
Debug
Tâches effectuées par le script :
- Création d’une ACL autorisant l’écoute sur le port renseigné
- Création du répertoire de destination renseigné
- Lancement du processus NetFlow
- Création d’une tâche cron de surveillance du processus netflow
- Création d’un fichier initialisation de relance du processus en cas de redémarrage du Collector
- Création d’une tâche de suppression et de rétention des données
Création d’une ACL autorisant l’écoute sur le port renseigné
Vérifier que la règle ait bien été créée en exécutant la commande suivante :
Résultat attendu : Présence de la règle par feu autorisant le port renseigné lors de l’installation.
iptables -L
Si la règle n’est pas présente, exécutez les commandes suivantes :
sudo su –
iptables -A INPUT -p udp –dport <listening_port> -j ACCEPT
/etc/init.d/iptables.sh restart
Vérifiez à nouveau, en cas de problème, contactez le support.
Création du répertoire de destination renseigné
Par défaut l’installeur créé les répertoires de destination sous « /home/coadmin/network_analysis ». Vérifiez que le répertoire ait bien été créé en exécutant la commande suivante : « Résultat attendu : Présence du répertoire renseigné lors de l’installation.
sudo su –
ll /home/coadmin/network_analysis/<directory>
Si le répertoire n’existe pas, exécutez les commandes suivantes :
sudo su –
mkdir//home/coadmin/network_analysis/<directory>
chmod -R 777 /home/coadmin/network_analysis/<directory>
chown coadmin:coadmin /home/coadmin/network_analysis/<directory>
Vérifiez à nouveau, en cas de problème, contactez le support.
Lancement du processus NetFlow
L’installeur lance le processus netflow en se basant sur le port d’écoute et le répertoire de destination renseignés.
Vérifiez que le processus soit bien en cours d’exécution en exécutant la commande suivante :
ps -aux | grep nfcapd
et vérifiez également la concordance du port d’écoute et du répertoire de destination avec ceux renseignés lors de l’installation.
sudo su –
nfcapd -w -D -l /home/coadmin/network_analysis/<directory> -p <listening_port>
Vérifiez à nouveau, en cas de problème, contactez le support.
Création d’un fichier réinitialisation du processus netflow en cas de redémarrage du Collector
(sans impact sur l’initialisation et le fonctionnement du Collector)
L’installeur créé un fichier de réinitialisation du processus netflow en cas de redémarrage du Collector.
Vérifier la bonne configuration en exécutant la commande suivante :
sudo su –
ll /etc/rc0.d/
En cas de problème, contactez le support.
Création d’une tâche cron de surveillance du processus netflow (sans impact sur l’initialisation du Collector)
L’installeur créé une tâche cron qui exécute toute les minutes une commande de vérification du processus et de relance de celui-ci si besoin.
Vérifier la création de la tâche en exécutant la commande suivante :
crontab -l
En cas de problème, contactez le support.
Création d’une tâche de suppression des données
Si vos données ne sont pas supprimées ou que la rétention des données ne correspond pas à ce qui a été renseigné pendant l’installation, exécutez la commande suivante :
more /usr/local/nagios/libexec/nfcapd_deleteCache.sh
Si le retour de commande ne correspond pas ou que le nombre de jour de rétention ne correspond pas à ce qui a été défini lors de l’installation, contactez le support.
Vérification des exports.
Pour rappel, les fichiers nfcapd sont générés par le processus nfcapd et sont alimentés en continu par vos exporter NetFlow, cela signifie que la présence de ces fichiers n’indique pas forcément que les exports se présentent bien au Collector.
Pour vérifier, exécutez la commande suivante :
sudo su –
ll /home/coadmin/network_analysis/<directory>
En cas d’absence de fichiers, reprenez les étapes de vérification ou contactez le support.
Si les configurations sont correctes et que les fichiers ont une taille égale à 276 octets, cela qui signifie que les fichiers ne contiennent pas de données, deux causes possibles :
- Les exports ne se présentent pas au Collector Storage
- Les exports se présentent bien au Collector mais ne contiennent pas de données
Dans ce cas, contactez le support ou exécutez les commandes de vérifications suivantes :
tcpdump -i <interface> src <ip_netflow_exporter>
Ex :
Sudo su -
tcpdump -i ens160 src 192.168.238.156
Si les exports se présentent, vous devriez avoir des informations de connexions de vos NetFlow Exporter vers le Collector sur le port défini (pour info, l’exemple ci-dessus est relatif à des exports sFlow)
En cas de problème vérifiez la configuration sur vos NetFlow Exporter ou contactez le support.
