NetFlow

Configuration de NetFlow

Pour implémenter NetFlow sur un routeur :

Étape 1. Configuration de la capture des données NetFlow : NetFlow capture les données issues des paquets entrants et sortants.

Étape 2. Configuration de l'exportation des données NetFlow : l'adresse IP ou le nom d'hôte du collecteur NetFlow doit être spécifié ainsi que le port UDP que le collecteur NetFlow écoute.

Étape 3. Vérification de NetFlow, de son fonctionnement et de ses statistiques : après la configuration de NetFlow, il est possible d'analyser sur une station de travail les données exportées en y exécutant une application telle que SolarWinds NetFlow Traffic Analyzer, Plixer Scrutinizer ou Cisco NetFlow Collector (NFC). Au minimum, il est possible de se baser sur le résultat d'un certain nombre de commandes show exécutées sur le routeur lui-même.

Voici quelques considérations relatives à la configuration de NetFlow :

• Les routeurs Cisco récents, tels que ceux de la série ISR G2, prennent en charge à la fois NetFlow et Flexible NetFlow.

• Les commutateurs Cisco récents, tels que ceux de la série 3560-X, prennent en charge Flexible NetFlow. Toutefois, certains commutateurs Cisco, par exemple ceux appartenant à la série Cisco 2960, ne prennent en charge ni NetFlow ni Flexible NetFlow.

• NetFlow consomme de la mémoire supplémentaire. Si un périphérique réseau Cisco possède des contraintes de mémoire, il est possible de définir au préalable la taille de la mémoire cache de NetFlow de telle sorte qu'elle ne contienne qu'un nombre d'entrées réduit. La taille de la mémoire cache par défaut dépend de la plate-forme.

• La configuration requise par le logiciel NetFlow pour le collecteur NetFlow varie. Par exemple, le logiciel NetFlow Scrutinizer sur un hôte Windows nécessite 4 Go de mémoire vive et 50 Go d'espace disque.

Remarque : ce document porte sur la configuration du protocole NetFlow d'origine (simplement appelé NetFlow dans la documentation Cisco) sur des routeurs Cisco. La configuration de Flexible Netflow sort du cadre de ce cours.

Un flux NetFlow est unidirectionnel. Cela signifie qu'une connexion utilisateur à une application se traduit par l'existence de deux flux NetFlow, à savoir un pour chacune des deux directions. Pour définir les données à capturer pour NetFlow en mode de configuration d'interface :

• Capturez les données NetFlow pour la surveillance des paquets entrants sur l'interface à l'aide de la commande ip flow ingress.

• Capturez les données NetFlow pour la surveillance des paquets sortants sur l'interface à l'aide de la commande ip flow egress.

L'activation de l'envoi des données NetFlow vers le collecteur NetFlow nécessite la configuration d'un certain nombre d'éléments sur le routeur en mode de configuration globale :

• Adresse IP et numéro de port UDP du collecteur NetFlow : utilisez la commande ip flow-export destination ip-address udp-port. Par défaut, le collecteur possède un ou plusieurs ports pour la capture des données NetFlow. Le logiciel permet à l'administrateur de spécifier quel(s) port(s) accepter pour la capture NetFlow. Certains ports UDP généralement attribués sont les suivants : 99, 2055 et 9996.

• (Facultatif) Version de NetFlow à utiliser lors du formatage des enregistrements NetFlow envoyés au collecteur : utilisez la commande ip flow-export version version. NetFlow exporte les données vers UDP dans l'un des cinq formats suivants : 1, 5, 7, 8 et 9. Le format de données d'exportation de la version 9 est le plus polyvalent, mais il n'est pas compatible avec les versions précédentes. La version 1 est la version par défaut si aucune version n'est spécifiée avec la version 5. La version 1 ne doit être utilisée que lorsqu'il s'agit de la seule version du format d'exportation de données NetFlow prise en charge par le collecteur NetFlow.

• (Facultatif) Interface source à utiliser en tant que source des paquets envoyés au collecteur : utilisez la commande ip flow-export source typenumber.

La figure illustre une configuration de base de NetFlow. Le routeur R1 possède l'adresse IP 192.168.1.1 sur l'interface G0/1. Le collecteur NetFlow possède l'adresse IP 192.168.1.3 et est configuré de manière à capturer les données du port UDP 2055. Le trafic d'entrée et de sortie via G0/1 est contrôlé. Les données NetFlow sont envoyées au format de la version 5.