Configuration du flexible netflow (FNF) sous CISCO

Le FNF est une évolution (next-generation) du traditional netflow (TNF) et permet d’afficher plus d’informations sur les couches 2,3 et 4 du modèle OSI et ce avec de meilleurs performances, il permet ainsi d’avoir une meilleure visibilité sur ce qui se passe sur le réseau. Les informations collectées (via le record) peuvent être ensuite envoyées à un analyseur de trafic : l’exporter ou le collecteur (client lourd ou léger).

Voici quelques noms de collecteurs permettant d’analyser le trafic netflow :

– HP IMC avec le module NTA (Windows)

– Solarwinds (Windows)

– Cisco Netflow Collector (Linux, Solaris)

– Netflow Monitor (Linux)

– IPFlow (Linux, FreeBSD, Solaris)

 
Spécification du n° de version de netflow à activer sur l’équipement

 

routeur(config)#ip flow-export version 9 (cette version correspondant à un format flexible et extensible

 

Configuration du collecteur (flow exporter)

 

routeur(config)#flow exporter exp1
routeur(config-flow-exporter)#destination <adresse ip du collecteur>
routeur(config-flow-exporter)#transport udp <port udp utilisé par le collecteur>

 

Configuration du record (ce que nous voulons envoyer au collecteur)

routeur(config)#flow record rec1
routeur(config-flow-record)#match ipv4 source address
routeur(config-flow-exporter)#match ipv4 destination address
routeur(config-flow-record)#match transport destination-port
routeur(config-flow-exporter)#match transport source-port
routeur(config-flow-record)#collect timestamp sys-uptime first
routeur(config-flow-exporter)#collect timestamp sys-uptime last
routeur(config-flow-record)#collect counter bytes
routeur(config-flow-exporter)#collect counter packets

 

Configuration du monitor (concaténation exporter + record)

routeur(config)#flow monitor mon1
routeur(config-flow-monitor)#record rec1
routeur(config-flow-monitor)#exporter exp1

 

Application du monitoring sur l’interface

 

routeur(config)#interface g0/1
routeur(config-if)#ip flow monitor mon1 input

 

Visualisation du cache netflow

routeur#show flow monitor mon1 cache

 

 

Capture

 

Nous retrouvons ici les informations que nous avons configuré dans le record.

 

Tableau des matériels CISCO compatibles avec le FNF (vs TNF)

FNF-TNF

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *