Faire de la métrologie réseau avec Netflow Analyzer

Dans cet article je vais vous présenter un outil très utile dans l’analyse de réseau et notamment si vous souhaitez avoir une vision d’ensemble du trafic sur le long terme, présenter des graphiques, visualiser la QoS, les protocoles utilisés sur votre réseau … bref avoir une métrologie qui tienne la route. Cet outil peut venir en complément de logiciels permettant des analyses plus ponctuelles, tels que Wireshark ou Tcpdump et aide grandement à la résolution de panne complexe : problèmes de dégradation de débit, problèmes de gestion de la QoS, identification du trafic réseau non souhaité …

L’utilitaire en question s’appelle Netflow Analyzer de ManageEngine, il fait office de collecteur Netflow (v5 et v9) et/ou sflow. Le système de licence fonctionne au nombre d’interfaces que vous souhaitez mettre sous métrologie netflow ( interface physique ou logique). Nous allons installer la version gratuite qui permet de monitorer deux interfaces de manière illimitée, cela vous permettra d’avoir une bonne idée des possibilités de ce logiciel.

 

Installation de Netflow Analyzer

Téléchargez le fichier source à l’adresse suivante puis lancez l’installation :

https://www.manageengine.com/products/netflow/download-free.html

 

 

 

 

 

 

Choisir le port d’écoute pour l’accès à la page http ainsi que le port d’écoute netflow (c’est le port renseigné ci-dessous qu’il faudra configurer sur votre équipement réseau (routeur ou switch) au niveau de la configuration netflow :

 

 

Choisir PostegreSQL si vous n’avez pas de licence pour héberger la base de données sous Microsoft SQL Server :

 

 

 

L’installation est terminée, vous pouvez dès à présent accéder à l’interface web de Netflow Analyzer depuis votre navigateur, le login et mot de passe par défaut sont admin/admin :

 

Une première mise en bouche sur l’utilisation de Netflow Analyzer

L’idée est de surveiller le trafic d’une interface d’un routeur par l’intermédiaire de l’ outil, il faut pour cela effectuer la configuration de netflow sur l’équipement actif. Je vous invite à aller voir mes précédents articles pour cette partie, la configuration consiste à indiquer sur le routeur le serveur faisant office de collecteur Netflow, son port d’écoute en udp (pour nous il s’agit du port 9996 configuré durant l’installation), ce que voulez récupérer comme information et choisir l’interface à monitorer.

Pour les besoins de cet article j’ai mis en place une petite architecture sous gns3 avec deux routeurs, un serveur windows 2012 R2 hébergeant Netflow Analyzer, un DHCP et un Active Directory sous le nom de domaine maquette.fr, et enfin un client Windows 7 rattaché à ce domaine :

 

 

Sur le routeur R2, j’ai appliqué la configuration Netflow v9 et mis sous métrologie le port fa0/0, voyons maintenant ce qui apparaît depuis Netflow Analyzer.

Le première chose que nous apercevons sur la page d’accueil c’est la détection d’une interface par l’outil, et ce en version 9. Nous pouvons également visualiser que le périphérique monitoré à l’adresse IP 1.1.1.2, dans mon cas le routeur R2.

 

 

Sur ce tableau de bord vous pouvez déjà visualiser plusieurs widgets :

  • Les premières conversations
  • La QoS
  • Le top des applications
  • Le top des protocoles

 

Pour aller plus loin, cliquer sur le carré vert représentant l’interface monitorée, cela vous donne accès a beaucoup plus d’informations :

 

La vitesse de l’interface :

 

Le trafic :

 

Les applications qui transitent par le biais de l’interface fa0/0 ( nous voyons ici que c’est essentiellement des applications liées à l’authentification Windows entre mon client Windows 7 et le domaine Active Directory hébergé sur mon serveur Windows 2012 R2) :

 

Le top du trafic par hôte :

 

 

La QoS (le marquage DSCP, ici nous voyons que rien n’est marqué) et les principales conversations avec les protocoles et ports utilisés :

 

Bien évidemment vous pouvez remonter dans le temps pour avoir un état à une date précise, sur plusieurs jours ou plusieurs mois, mais également générer des rapports au format pdf ou csv :

 

 

Les différents menus

 

 

1 . Menu Information

On y retrouve principalement les informations sur le serveur d’hébergement de l’application Netflow Analyzer, le type de licence installé, la version de l’outil, le type de base de données …

2 . Menu tableau de bord

C’est le menu permettant d’accéder à la page d’accueil et aux différents tableaux de bord que vous allez pouvoir personnaliser.

3 . Menu inventaire

Il vous permet d’inventorier les nouvelles interfaces, de modifier les noms ainsi que le débit de chaque interface pour fournir des graphiques se rapprochant le plus de la réalité de votre réseau. Vous pouvez également créer de groupes d’interfaces, d’applications, de QoS.

4. Menu alarmes

Permet de visualiser l’ensemble des alarmes de votre outil (alarmes système ou évènements liés à la supervision de vos interfaces).

5 . Menu mappage

Permet de faire une cartographie de votre réseau (géolocalisation).

6 . Menu flux de travail

Permet de créer des logigrammes de résolution de panne, mais également d’être pro-actif en pouvant pré-programmer des actions en cas de certains comportements des périphériques et des interfaces.

7 . Menu conversation de groupe

Une sorte de système de tchat intégré à l’outil

8 . Menu utilisateur final

9 . Menu rapports

Permet de générer des rapports en fonction de différents critères.

10 . Menu de paramétrage global

Ce menu vous permet de configurer le serveur de messagerie pour l’envoi des mails automatisés, le fuseau horaire, les DNS, les méthodes d’authentification pour l’accès à l’utilitaire (local ou via Active Directory), la conservation des données netflow (durée de rétention), la partie SNMP et SYSLOG, mais encore bien d’autres choses.

11 . Menu vue CCTV

Pour créer des aperçus à afficher sur des murs d’images de type NOC (écrans de supervision dans un openspace par exemple).

12 . Menu liens rapides

Permet de modifier le mot de passe administrateur, l’affichage du tableau de bord, la langue d’affichage, les raccourcis clavier. Donne également l’accès à des vidéos explicatives, au FAQ de Netflow Analyzer.

13 . Menu tableaux de bord

Permet la création de tableaux de bord que vous pourrez personnaliser par l’intermédiaire des widgets mis à disposition.

 

Pour conclure

Netflow Analyzer est un outil puissant, ergonomique et customisable, et pourra vous apporter un réel plus dans l’analyse de votre réseau, je vous le recommande grandement ! Un autre conseil, utilisez cet outil de manière intelligente, ne mettez pas sous métrologie toutes les interfaces  mais seulement celles ou transite le plus gros du trafic ainsi que les points névralgiques de votre réseau.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *