Prsentation - Netflow / Sflow

Version Nov 2011

Orsenna 2011 1
Sommaire
Orsenna 2011 2
Introduction
Prsentation Orsenna
Prsentation de la technologie
Prsentation des produits
Dmonstration du produit FlowMon
Questions et rponses
Orsenna 2011 3
Orsenna : Qui sommes-nous ?
Supervision & Audit Rseau

Intgration produits Supervision.
Dveloppement de PlugIns.
Intgration produits Audit des flux Netflow, Sflow,
Jflow
Produits Complmentaires (Appliance SMS,
Serveur Syslog, Diagnostic Switches , Sondes)
Formation & Rgie de supervision


Orsenna 2011 4
Rfrences
Plus de 500 missions daudit et de supervision depuis 2002.
Type Noms
Banques,
Assurances
FIDEURAM BANK, BANQUE POPULAIRE, GIE Carte
Bancaire, GMF, Caisse des Dpts, Socit Gnrale
Distribution BRICORAMA, RELAY, NICOLAS, AELIA, HISTOIRE
DOR, LANVIN, MAC DONALDS, MIDAS
Industries SCHLUMBERGER, ALCAN, ARCELOR, DANONE, EADS,
STRYKER
Administration ADEME, OPERA DE PARIS, MINISTERE DEFENSE
Ecoles, Universits ENSAE, ENSTA,
Mairies, Conseil Ville TROYES, CG16, CR PACA
Oprateur
CORIOLIS, B3G
Transport COFIROUTE, SERVAIR, APRR, ASF
Orsenna 2011 5
Services autour des produits


Formation
Tuning
Performances
Mises jour
de versions
Installation et
dploiement
Gestion de
projet
Orsenna 2011 6
Mise en uvre
Audit initial , Mise en uvre pr requis
Spcifications dtailles & Architecture
Documentations
Cahier recette

Runion
dinitialisation
du projet
Maquette
(validation
prrequis) /
POC
Exploitation Documentations Formation
Services
Orsenna 2011 7
Contacts Projets Supervision & Audit
Responsable commerciale :
Florence Laprevote : flaprevote@orsenna.fr

Consultant Supervision & Audit :
Jean-Philippe Senckeisen : jpsenckeisen@orsenna.fr

Equipe Technique : helpdesk@orsenna.fr
Denis Chauvicourt
Antoine Cru
Quentin Ozenne
Tlphone : 01.34.93.35.35


Orsenna 2011 8
Questions ?
Q & A
9
SNMP
ICMP
Suivi dutilisation de linfrastructure
Monitoring des compteurs (SNMP)
Monitoring des interfaces (SNMP)
Suivi des flux
Statistiques
applicatives
(Netflow/Sflow,....)
Sondes
Suivi dtaill de linfrastructure
Monitoring + complexe BGP, STP (SNMP)
Monitoring status (SSH)
SNMP
SSH
Suivi temps de rponse
Oprations IP SLA
IP SLA ( Cisco)
Netflow - Techonologie

Cr par Cisco en 1996, Netflow est le standard de fait pour collecter des
donnes IP oprationnelles.

Cest un protocole de niveau 3 (Couche rseau)

La diffrence avec les autres analyseurs de trafic (MRTG) est que Netflow est
tourn vers le niveau application et pas seulement en SNMP. Grce Netflow
on peut dire que 40% de lutilisation de la bande passante est utilis pour le
http, 20% pour

IpFix standardisation de la version 9 de Netflow





Orsenna 2011 10
Netflow - Technologie

Chaque constructeur utilise les mme caractristiques que Netflow en
lappelant diffremment :
Jflow => Juniper
Cflowd => Alcatel-Lucent
NetStreal => 3Com / H3C


Le concept majeur de Netflow est la notion de flux:
Adresses IP source et destination,
Protocole (TCP, UDP, ICMP,),
ToS (Type Of Service)
Ports applicatifs (HTTP, SMTP, DNS,),
Interfaces dentre et de sortie du routeur.


Permet de voir les volutions des flux pour permettre dadapter la politique de
QOS (Quality Of Service).
Orsenna 2011 11
Netflow - Technologie
Netflow permet de :
Connatre lutilisation du rseau par les applications
Comprendre par qui, quand, et o est utilis le rseau
Mesurer lefficacit du rseau et des ressources
Apprhender l'impact des changements au rseau
Dtecter les anomalies et les vulnrabilits de scurit de rseau
Auditer la conformit et les processus business
De rpondre des questions du genre:
Peut-on mettre en place la VOIP ?
Pourquoi mon application / serveur est lent ?

La technologie Netflow peut tre utilise dans une grande varit
dapplications pour :
Surveillance en temps rel du rseau
Analyse des nouvelles applications et leur impact sur le rseau.
Capacity planning
Dtection et classification d'incidents de scurit
Accounting et facturation
Troubleshooting (lenteurs rseaux)





Orsenna 2011 12
Netflow - Technologie
Orsenna 2011 13
Mesures en temps rel depuis
chaque port grce un agent
prsent sur lquipement.
Collecteur et analyseur
NETFLOW
90% des bnfices
dun analyseur rseau
2% - 3% charge CPU
Traffic rseau
augmente de 1% - 3%
= ~10 NetFlow interfaces
Intern
et
Boston
Berlin
Paris, France
= Router
= Switch
NetFlow collecteur
= NetFlow Data
Miroir
Probes, Flow Publisher, FlowMon
Analyse de flux distribue
Serveurs chargs

Voix
Virus
Hacking
Multicast
DNS
Peer-to-peer
Worms
Top hosts,
conversations,
protocols
Evnements
sur le rseau
Limite de la stratgie Top 10
Serveurs chargs

Voix
Virus
Hacking
Multicast
DNS
Peer-to-peer
Worms
Top hosts,
conversations,
protocols
Evnements
sur le rseau
Limite de la stratgie Top 10
22,772
Conversations
sur UNE
MINUTE!
- De 900KB
Exemple MS-SQL Slammer
Sminaire 18
Primtre Prrequis
Exemple : Netflow

Analyse Simple objectifs
Netflow Top 10
Lien Internet
10 Mb/s de trafic charg 20 %
Analyse + Complexe objectifs
Netflow diagnostic Lan
Lien Backbone
Liens 1Gb/s charg 50 %

Sminaire 19
Primtre Prrequis
Exemple : Netflow

Analyse Simple Solution
Flow Monitor
Stockage 15 Go/an

Analyse + Complexe objectifs
Appliance
Stockage 4 To/an

Sflow
Orsenna 2011 20
Switching
ASIC
1 in N
samplin
g
packet header
src/dst
i/f
sampling
parms
forwarding
user
ID
URL
i/f
counters
sFlow
agent
forwardin
g tables
interface
counters
sFlow Datagram
eg 128B rate
pool
src
802.1p/Q
dst
802.1p/Q
next hop
src/dst
mask
AS path
communitie
s
localPref
src/dst
Radius
TACACS
NetFlow /
sFlow
Collector &
Analyzer
Switch/Router
NetFlow
Netflow

Le routeur compte le nombre de paquets et doctets reus pour chaque flux

Ds quil reoit un paquet, le routeur cr une nouvelle entre si le flux nest
pas connu ou bien incrmente le compteur du flux si il est dj prsent.

La mmoire du routeur ntant pas infinie, il faut faire le tri. Pour cela le
routeur retire automatiquement du cache un flux lorsque celui-ci a t inactif
pendant un certain temps (inactive timeout) et le supprime sil a t actif trop
longtemps (active timeout).

Le routeur se sert de la date du dernier paquet reu pour ce flux et la compare
la date actuelle pour connatre linactivit de celui-ci.

Lorsquun flux a expir et est supprim du cache, il peut tre export vers une
machine de collecte.





Orsenna 2011 22
Netflow

Il existe 9 versions du protocole Netflow.

Les versions 2, 3, 4, 6 => pas sorties sur le march (interne chez Cisco).

La version 5 est la plus utilise sur les routeurs (seulement pour IPv4)

La version 7 est spcifique aux Switchs Catalyst.

La dernire version est la 9, elle supporte lIPv6 ainsi que le MPLS.


Orsenna 2011 23
Netflow Vs Sflow
Sflow ralise un chantillonnage (choix personnel => N paquet).

Cela consomme donc moins de charge CPU sur les quipements.

Moins de bande passante consomme.






Orsenna 2011 24
Netflow Vs Sflow
Il est donc moins prcis que NetFlow court terme. Nanmoins sur une grande
priode, nous retrouverons les mmes rsultats.




Orsenna 2011 25
NetFlow SFlow
Netflow Vs Sflow


Lequel faut-il utiliser et quel moment ?
NetFlow : analyse prcise du rseau => analyse de scurit par exemple
Sflow : permet davoir une vue sur lutilisation des ressources du rseau.



Nous avons donc ensuite diffrents logiciels et quipements en fonction des
besoins de chaque personne :

WUG NetFlow monitor et Orion Netflow Traffic Analyser : outils de reporting / statistiques.
Scrutinizer et flow analytics : logiciel ddi lanalyse de flux rseau.
FlowMon : quipement ddi lanalyse de flux rseau.
Observer : Analyseur rseau => capture le flux.





Orsenna 2011 26
Agent Logiciel / Matriel
Pourquoi prendre un agent matriel plutt quun agent logiciel ?
Un ordinateur peut souvent tre dplac, ce qui rendra lagent indisponible.
Moins de maintenance raliser.
Besoin dun PC ddi, ce qui implique un clavier, un cran











Orsenna 2011 27
Agent
logiciel
Agent Logiciel / Matriel










TAP mode cela peut se reprsenter comme un Y, le flux arrive sur la branche du bas,
puis se divise en deux, une partie reste sur le rseau tandis que lautre va vers lagent
matriel.
SPAN mode Mirroring dun port vers un autre.
RSPAN mode Mirroring dun port du routeur vers un port dun autre routeur.





Orsenna 2011 28
Equipements
Equipements supportant NetFlow:
Adtran NetVanta 3200, 3305, 4305, 5305, 1524, 1624, 3430, 3448, 3130, 340, and 344
Cisco ASA Firewall (IOS version 8.2) ; Catalyst srie 4000/4650/4500/
6000/6500/7600/7000 NX-OS ; Cisco 800, 1700, 2600, 1800, 2800, 3660, 3800, 7200, 7300, 7500 ;
Cisco 10000, 12000, CRS-1
3Com : 8800 Series Switches
Enterasys Router
ESX Server avec Wmware
Extreme Networks Router : Alpine 3800 series, BlackDiamond 6800 series, BlackDiamond 8800
series, BlackDiamond 10808, BlackDiamond 12804C , BlackDiamond 12804R ,Summit X450
Series , Summit i series
Juniper Router
Mikrotik Router
Riverbed Steelhead Appliance
Vyatta Core 6 software

Equipements ne supportant pas NetFlow besoin dun agent matriel ou
logiciel:
Cisco 2900, 3500, 3660, 3750, Nexus 5000
Netgear
Bintec
Pour la configuration: http://www.plixer.com/products/netflow-
sflow/configure-netflow-sflow.php

Orsenna 2011 29
Equipements
Equipements supportant SFlow:
3Com : 4800G Family
AlaxalA Networks : AX7800R ; AX7800S ; AX7700R ; AX5400S
Alcatel-Lucent : OmniSwitch 6850 ; OmniSwitch 9000 series
Allied Telesis : SwitchBlade 7800R series ; SwitchBlade 7800S series ; SwitchBlade 5400S series
Blade Network Technologies : HP 10Gb Ethernet BL-C Switch ; HP 1:10Gb Ethernet BL-C Switch ;
HP GbE2c Layer2/3 Ethernet Blade Switch
Brocade : BigIron series ; FastIron series ; IronPoint series ; NetIron series ; SecureIron series ;
ServerIron series
Comtec Systems : !-Rex 16Gi & 24Gi & 24Gi-Combo
Dell : PowerConnect 6200 series ; PowerConnect 8000 series
D-Link : DGS-3600 series
Enterasys : G-Series ; SecureStack B3 ; SecureStack C3
Extreme Networks : Alpine 3800 series ; BlackDiamond 6800 series ; BlackDiamond 8800 series
;BlackDiamond 10808 ; BlackDiamond 12804C ; BlackDiamond 12800R Series ; Summit X150
Series ; Summit_X250e Series ;
Summit X450 Series ; Summit i series
Force10 Networks : C series ; E series
H3C : H3C S5800 Series ; H3C S5820X Series ; H3C S7500E Series Switches ; H3C S9500E Series
Switches ; H3C S12500 Series Data Center Switches ; H3C MSR 20-1X Series Routers


Orsenna 2011 30
Equipements
Equipements supportant SFlow:
Hewlett-Packard : ProCurve 2610 series ; ProCurve 2800 series ; ProCurve 2900 series ; ProCurve
2910al series ; ProCurve 3400cl series ; ProCurve 3500yl series ; ProCurve 4200vl series ; ProCurve
5300xl series ; ProCurve 5400zl series ; ProCurve 6200yl series ; ProCurve 6400cl series ;
ProCurve 6600 series ; ProCurve 8212zl ; ProCurve 9300m series ; ProCurve Routing Switch
9408sl ; ProCurve Wireless Edge Services xl Module ; ProCurve Wireless Edge Services zl Module
; ProCurve Access Point 530
Hitachi : GR4000 ; GS4000 ; GS3000
IBM : c-series ; g-series ; m-series ; r-series ; s-series ; x-series ; J08E and J16E ; J48E
InMon Corp. : Virtual Probe
Juniper Networks : EX3200 series ; EX4200 series ; EX8200 series
MRV : OptiSwitch-MR series
NEC : IP8800/R400 series ; IP8800/S400 series ; IP8800/S300 series ; IP8800/S3640 series ;
IP8800/S3640 ER series ; IP8800/S3630 series ; IP8800/S2400 series
NETGEAR : GSM7352S-200 ; GSM7328S-200
Open vSwitch : Open vSwitch
Vyatta : Vyatta 514 ; Vyatta 2500 series ; Vyatta 3500 series ; Vyatta Core (VC) Routing & Security
Software ; Vyatta Virtual Router, Firewall, VPN
XRoads Networks : EdgeXOS

Orsenna 2011 31
Exemple de configuration
Orsenna 2011 32
Configuration de base CISCO

Router> enable passer en mode enable
Router# configure terminal passer en mode configuration
Router(config)# ip flow-export destination permet dexporter le flux vers une
172.16.10.2 9996 adresse sur le port 9996 (port dfaut)

Router(config)# ip flow-export version 9 Utilisation de la version 9 de Netflow
Router(config)# interface ethernet 0/0
Router(config-if)# ip flow ingress supervision du trafic allant dans
linterface
Router(config-if)# ip flow egress supervision du trafic sortant de
linterface
Router(config-if)# exit
Router(config-if)# end


Vrification

1. show ip flow interface voir la configuration actuelle du
NetFlow
2. show ip cache flow voir les flux en activits ainsi que la
3. show ip cache verbose flow ressource utilise

Exemple de configuration
Orsenna 2011 33
Configuration de base Mikrotik :
Exemple de configuration
Orsenna 2011 34
Configuration pour Alcatel Omniswitch (Sflow) :







Configuration pour Extreme Network (Sflow):








Configuration pour HP (Sflow) :

Ntop
Qu'est-ce que Ntop ?
Ntop est un outil libre.
Cest un collecteur Nflow/IPfix
Il capture et analyse les trames dune interface.
Il permet dobserver une majeure partie des caractristiques du trafic entrant et sortant.
Stockage des statistiques au format RRD








Logo :

Lien : http://www.ntop.org/




Orsenna 2011 35
Nprobe
Qu'est-ce que Nprobe ?
Cest un agent logiciel.
Idal pour les devices qui nincorporent pas de faon hardware une sonde Netflow.
Il peut analyser le trafic et gnrer un flux standard Netflow .
Disponible pour Windows, Unix et Mac.
Supporte IPv4 et Ipv6.
Possibilit dtre en mode collecteur de flux and en proxy.
Analyse de trafic VoIP.
Totalement configurable par lutilisateur.
Compatible avec les collecteurs des constructeurs Fluke, Cisco, Dartware, AdventNet, Plixer,
SolarWinds


Logo :

Lien : http://www.ntop.org/nProbe.html





Orsenna 2011 36
Nprobe
Qu'est-ce que Nprobe ?


Orsenna 2011 37
WhatsUP Flow Publisher
Qu'est-ce que Flow Publisher ?
Cest un agent logiciel.
Il permet l'analyse du trafic rseau pour chaque priphrique et segment du rseau.
De dterminer les utilisateurs, applications ou sources de trafic qui consomment de la bande
passante.
Recevoir des alertes en temps rel lorsque les paramtres de trafic surveills dpassent des seuils
dfinis.
Assurer que les applications de l'entreprise disposent de toute la bande passante ncessaire.
Accder plus de 40 rapports mobiles et Web pour l'tablissement d'une base de rfrence et
l'analyse.
Cre des enregistrements compatibles NetFlow v1, v5 ou v9 partir du trafic brut

Logo :

Lien : http://fr.whatsupgold.com/products/flow_publisher/





Orsenna 2011 38
WhatsUP Flow Publisher
Orsenna 2011 39
TAP
Switch
Le commutateur
transmet le trafic
mis en miroir
l'agent Flow
Publisher
L'agent transmet les
enregistrements
NetFlow au collecteur
Flow Monitor
Le point d'accs test
transmet
le trafic bidirectionnel
l'agent Flow Publisher
L'agent serveur
transmet les
enregistrements
NetFlow au
collecteur de Flow
Monitor
`
Agent Flow
Publisher sur
PC
`
Collecteur de
WhatsUp Gold
et Flow
Monitor
Serveur avec l'agent
Flow Publisher
install

FlowMon
Qu'est-ce que FlowMon ?
Cest un agent matriel.
Il est bas sur les technologies NetFlow V5/V9
Donne des informations sur qui communique avec qui ? Pendant combien de temps ? Quel
protocol ? Combien cela prend de bande passante ?
Une solution pour tout types de rseau.







Logo :

Lien : http://www.invea-tech.com/network-solutions
Demo : online demo (login:flowmon, password: flowmondemo)





Orsenna 2011 40
FlowMon
Architecture







Orsenna 2011 41


FlowMon
Rapports :
Facilement personnalisable
Envoi automatique en format PDF









Orsenna 2011 42






Nmon - Nbox
Qu'est-ce que la Nbox ?
Cest un agent matriel.
Il analyse le flux rseau => analyse et export de donnes.
Permet danalyser la disponibilit, la performance et les problme sur le rseau.
nBox inclut une sonde Netflow (nProbe) ainsi quun collecteur (ntop) pour les flux NetFlow
v5/v9/Ipfix.







Logo :


Lien : http://www.nmon.net/nBox_nmon.html






Orsenna 2011 43
Network Instruments - Observer
Orsenna 2011 44













Logo :

Lien : http://www.netinst.com/products/observer/






Qu'est-ce que Observer ?
Cest un outil qui capture les flux rseau, il ny a donc pas dagent.
A partir de cela il va raliser des graphiques.







Solarwinds Orion Netflow Traffic Analyser
Orsenna 2011 45
Qu'est-ce que Netflow Traffic Analyser ?
Cest un outil de reporting / statistique.












Logo :

Lien : http://www.solarwinds.com/products/orion/nta/

Ipswitch Flow Monitor
Orsenna 2011 46
Qu'est-ce que Flow Monitor ?
Cest un outil de reporting / statistique.












Logo :

Lien : http://www.whatsupgold.com/products/whatsup-gold-
plugins/flow-monitor/
PRTG - Traffic Grapher
Orsenna 2011 47
Qu'est-ce que Traffic Grapher ?
Il est dot dun serveur web intgr => permet daccder aux graphiques et aux tableaux
partir dun navigateur web.
Utilise trois mthodes de surveillance :
SNMP pour les compteur de trafic.
Analyse des paquets rseau entrants/sortants qui transitent sur la carte rseau dun
ordinateur => capture de paquets.
Analyse des paquets Cisco NetFlow
Fiabilit de la surveillance du rseau (plus de 100 000 utilisateurs chaque jour)
Classification du trafic rseau en fonction de l'adresse IP, du protocole et d'autres paramtres
Fonctionne avec la plupart des commutateurs, routeurs, pare-feu et autres quipements
rseau
Poste de surveillance permettant la supervision de plusieurs milliers de sondes
Version Freeware disponible pour les petits rseaux

Logo :

Lien : http://www.paessler.com/





PRTG - Traffic Grapher
Orsenna 2011 48




Plixer - Scrutinizer
Qu'est-ce que Scrutinizer NetFlow & sFlow Analyser ?

Logiciel ddi lanalyse de flux (fonctions prcises et pousses).
Logiciel permettant de fournir des informations
concernant le rseau (bande passante, graphique,
rpartion des charges).
Scrutinizer peut recevoir des flux d'un
nombre illimit d'interfaces.
Scrutinizer s'intgre avec le logiciel
WhatsUp Professional d'Ipswitch.




Logo :

Lien : http://www.plixer.com/products/scrutinizer.php




Orsenna 2011 49
Plixer - Scrutinizer


Orsenna 2011 50
Links change color based on utilization
Mouse over link and ALT tag gives full interface name (e.g. ifAlias)
Arrow on link gives highest utilization direction
Click on link for top talkers for the last 6 minutes for that direction
Cartographie
Plixer - Scrutinizer
Orsenna 2011 51
Charges
Plixer Flow Analytics
Qu'est-ce que Flow Analytics ?
Cest un add-on pour Scrutinizer.
Permet darchiver les donnes NetFlow
aprs 24 heures.
Identification des applications, conversations,
flux, protocoles plus facilement.
Dclencher des alarmes en fonction de seuils.
Possibilit de mettre des alarmes et de crer
des rapports.
Nouvelle fentre pour voir directement les
problmes du rseau.


Logo :

Lien : http://www.plixer.com/products/netflow-sflow/flow-analytics.php




Orsenna 2011 52
Logiciels

NTA (Solarwinds) => 1,5 12 K (par device et illimit)

FlowMonitor (Ipswitch) => 100 230 (par source)

Scrutinizer (Plixer) => 3 10 K (5 sources / illimit )

Appliances

FlowMon (Invea) => 5 20 K ( illimit , 1 10TB)




Orsenna 2011 53
Budget :
Orsenna 2011 54
Questions ?
Q & A
55
Contacts Projets Supervision
Responsable commerciale :
Florence Laprevote : flaprevote@orsenna.fr

Consultant Supervision & Audit :
Jean-Philippe Senckeisen : jpsenckeisen@orsenna.fr

Equipe Technique : helpdesk@orsenna.fr
Denis Chauvicourt
Antoine Cru
Quentin Ozenne
Tlphone : 01.34.93.35.35


Orsenna 2011 56
Dmonstration
57
Actualits - ORSENNA
58
Contacts Projets Supervision
Responsable commerciale :
Florence Laprevote : flaprevote@orsenna.fr

Consultant Supervision & Audit :
Jean-Philippe Senckeisen : jpsenckeisen@orsenna.fr

Equipe Technique : helpdesk@orsenna.fr
Denis Chauvicourt
Antoine Cru
Quentin Ozenne
Tlphone : 01.34.93.35.35


NBAR
Nbar Network Based Application Recognition

Permet de saffranchir des limites des ACL peut identifier des applications
ou des URLs.

Nbar reconnait les applications utilisant les ports TCP et UDP.

Classification approfondie : HTTP et ICA (Citrix applications).

Orsenna 2011 59
NBAR
La dcouverte dapplications et de protocoles est une fonction associe NBAR.

NBAR collecte les statistiques sur les applications prsentes sur le rseau.
Orsenna 2011 60
NBAR
La technologie NBAR est apparue sur les routeurs 7200 et ensuite sur les
Catalyst 6500.

NBAR hardware est apparu sur le Catalyst 6500 sous la forme dune carte
supervisor (Engine 32 PISA) :
Orsenna 2011 61
NBAR
Orsenna 2011 62