NetFlow est un protocole développé par Cisco utilisé pour collecter des informations sur le trafic transitant par les appareils d'un réseau. Les informations collectées à partir du trafic IP NetFlow pour identifier un flux comprennent :
- Adresse IP source
- Adresse IP de destination
- Port d'alimentation
- Le port de destination
- Protocole de couche 3
- Classe de service (CoS) : moyen de gérer le trafic dans un réseau en regroupant des types de trafic similaires (par exemple, courrier électronique, streaming vidéo, transferts de fichiers volumineux, etc.) et en considérant que chaque groupe constitue une classe avec sa propre priorité.
- Entrée d'interface
En collectant ces informations et en les analysant, les utilisateurs peuvent obtenir de nombreuses informations sur le réseau et les utiliser à de nombreuses autres fins, notamment la surveillance de la bande passante , le dépannage des performances du réseau et la détection d'anomalies.
En savoir plus sur l'analyse et la collecte NetFlow
Composants NetFlow
Lorsque NetFlow est déployé sur un réseau, il existe généralement deux composants principaux : Flow Exporter et Flow Collector. Flow Exporter stocke les informations de flux à envoyer au Flow Collector. Les exportateurs de flux sont généralement configurés sur un périphérique tel qu'un routeur ou un commutateur et, dans certains cas, il peut y avoir plusieurs exportateurs pour différents flux. D'autre part, le Flow Collector reçoit les enregistrements de flux du Flow Exporter, les traite et peut analyser ces informations pour les présenter à l'utilisateur sous une forme appropriée.
Remarque : Dans certains cas, Flow Collector n'effectue pas d'analyse des logs. Au lieu de cela, Flow Collector reçoit simplement les journaux et une autre application effectue l'analyse.
NetFlow et partenaires
Il est important de souligner ici que bien que NetFlow ait été développé par Cisco, il est également pris en charge par d'autres fournisseurs. Dans le même temps, d'autres fournisseurs disposent également de leurs propres versions de NetFlow, notamment J-Flow de Juniper et NetStream de Huawei. De plus, il existe un protocole IETF pour transférer les informations de flux IP sur le réseau - IP Flow Information Export (IPFIX) - basé sur NetFlow version 9 de Cisco.
Remarque : Certaines versions de NetFlow sont devenues obsolètes. Les versions 5, 7 et 9 de NetFlow sont les versions les plus couramment utilisées.
Ci-dessous, une liste des meilleurs outils de collecte et d'analyse NetFlow disponibles aujourd'hui.
(Comme mentionné précédemment, les Flow Collectors reçoivent des enregistrements de Flow Exporter et analysent ces enregistrements pour produire des informations raisonnables. Plus de détails suivront plus tard).
Liste des meilleurs outils de collecte et d'analyse NetFlow d'aujourd'hui
1. Analyseur de trafic Solarwinds NetFlow
Solarwinds NetFlow Traffic Analyzer (NTA) est un outil d'analyse du trafic réseau et de la bande passante, prenant en charge diverses technologies de flux, notamment NetFlow, J-Flow, IPFIX et NetStream.
Solarwinds NTA peut fournir un aperçu de l'utilisation de la bande passante sur le réseau, comme les adresses IP ou les applications qui consomment le plus de bande passante à un moment donné. Il peut analyser les modèles de trafic à un certain intervalle de temps et est donc capable d'effectuer une enquête sur le trafic réseau.
Solarwinds NTA a un prix de départ de 1 875 $ (43 500 000 VND) et peut surveiller 100 facteurs (avec un essai gratuit de 30 jours). Une autre chose à noter est que Solarwinds NTA doit s'intégrer à Solarwinds Network Performance Monitor (NPM) pour remplir sa fonction.
Cela signifie prendre en compte le coût (et les exigences) de Solarwinds NPM ainsi que le coût de Solarwinds NTA. Solarwinds NPM propose également un essai gratuit de 30 jours et le coût d'achat d'une licence coûte à partir de 2 895 $ (67 150 000 VND), en suivant 100 facteurs.
Téléchargez un essai gratuit de 30 jours de Solarwinds NetFlow Traffic Analyzer .
2. Moniteur réseau PRTG
PRTG Network Monitor est une solution de surveillance réseau tout-en-un, comprenant la surveillance des performances, de la bande passante, des applications et des serveurs, etc. Le plus gros avantage est que la surveillance NetFlow est activée par défaut dans l'outil - aucune installation complémentaire ou mise à niveau n'est requise. PRTG Network Monitor peut analyser différentes versions de NetFlow (v5, v9), les normes de l'industrie (Internet Protocol Flow Information Export - IPFIX) et d'autres technologies telles que sFlow ou J-Flow.
L'une des applications de surveillance NetFlow disponibles sur PRTG Network Monitor est l'analyse de l'utilisation de la bande passante. Par exemple, les utilisateurs peuvent déterminer la quantité de bande passante utilisée par d'autres serveurs, protocoles et applications. Cela peut être très utile pour résoudre les problèmes liés aux performances du réseau.
Dans une configuration PRTG NetFlow, le Flow Collector est différent du logiciel d'analyse. Un Flow Collector peut être n’importe quel ordinateur qui reçoit des rapports de flux des exportateurs et sur lequel une sonde PRTG est installée. Le logiciel d'analyse est PRTG Network Monitor, où le Flow Collector (système avec sonde PRTG) est configuré comme capteur.
PRTG Network Monitor est disponible en deux versions : Freeware et Commercial. La version Freeware est un moniteur réseau PRTG entièrement fonctionnel, permettant aux utilisateurs de surveiller jusqu'à 100 capteurs. Si vous souhaitez surveiller plus de 100 capteurs, vous devrez acheter une licence pour la version commerciale (le prix de départ est de 1 600 $, équivalent à 37 112 000 VND) pour surveiller 500 capteurs. Vous pouvez vous référer à cet outil sur paessler.com.
3. Scrutateur
Plus qu'un simple outil d'analyse NetFlow, Scrutinizer est un système de réponse aux incidents entièrement fonctionnel qui peut être utilisé pour analyser le trafic réseau et signaler les incidents de sécurité. Il peut collecter et analyser des données provenant de différents types de flux, notamment NetFlow, J-Flow, NetStream et IPFIX. Cela signifie que Scrutinizer peut être utilisé pour les périphériques réseau de Cisco et d'autres fournisseurs.
Scrutinizer peut fournir une visibilité dans les environnements physiques et virtuels. Il dispose également de fonctionnalités de reporting rapides et avancées, prend en charge plusieurs utilisateurs et est évolutif grâce à sa structure de style distribué.
Scrutinizer propose 3 options de déploiement : matériel, machine virtuelle et logiciel en tant que service (SaaS). Vous pouvez essayer Scrutinizer gratuitement pendant 30 jours, après quoi le produit passe à la version gratuite. La version gratuite permet jusqu'à 5 heures de collecte de données sur un nombre illimité d'appareils avant la réinitialisation, ce qui signifie que les données historiques sont perdues et que tout recommence à zéro.
4. Analyseur ManageEngine NetFlow
ManageEngine dispose d'un moteur de collecte et d'analyse NetFlow similaire aux autres solutions évoquées précédemment. NetFlow Analyzer prend également en charge de nombreuses technologies de flux telles que NetFlow, J-Flow et NetStream, dans le but principal d'analyser le trafic réseau et de surveiller la bande passante.
ManageEngine NetFlow Analyzer intègre des fonctionnalités intéressantes telles que des tableaux de bord personnalisables, une application iPhone pour une surveillance à tout moment et en tout lieu et des capacités de reporting sur Cisco Medianet et Cisco WAAS.
ManageEngine fournit une démo en ligne pour l'outil NetFlow Analyzer. Ceci est utile car les utilisateurs peuvent l'essayer avant de décider de télécharger ou d'acheter une licence. NetFlow Analyzer est disponible en deux versions : essentielle et distribuée. Les deux versions sont disponibles pour un essai gratuit de 30 jours. Le prix de licence le plus bas pour la version Essential est de 495 $ (11 482 000 VND), qui permet de surveiller 10 interfaces. Il existe également une version gratuite, permettant de surveiller 2 interfaces sans aucune licence.
Téléchargez la version gratuite ici .
5. nProbe et ntopng
ntopng est un outil open source pour surveiller le trafic réseau. Il fonctionne en collectant les paquets sortant d'une interface et en les analysant pour fournir des informations utiles telles que les Top X talkers – les hôtes et les applications qui consomment le plus de bande passante.
ntopng peut se connecter à nProbe, un collecteur NetFlow/IPFIX. De cette manière, nProbe agit comme un collecteur de flux, recevant les enregistrements des exportateurs de flux et envoyant ces informations à ntopng pour analyser les informations, puis les présenter dans un format lisible par l'homme.
Bien que ntopng dispose d'une version gratuite (version communautaire), une licence est requise pour utiliser nProbe (sauf si l'utilisateur est une ONG ou un établissement d'enseignement). nProbe est disponible en deux versions : Standard et Pro avec plugins. La version Standard coûte 149,95 € (3 950 000 VND) et la version Pro avec Plugins coûte 299,95 € (7 895 000 VND).
Cet article traitait de NetFlow et d'autres technologies liées aux flux. Ils sont utiles pour analyser le trafic réseau, résoudre les problèmes de performances et surveiller la bande passante.
L'article met également en évidence plusieurs outils pouvant être utilisés pour collecter et analyser les journaux NetFlow, notamment Scrutinizer, PRTG Network Monitor et ntopng/nProbe. D'autres outils que l'article n'a pas mentionnés comme NFDUMP ou EHNT sont open source et gratuits. La raison pour laquelle ces outils ne sont pas abordés dans cet article est qu'ils sont limités à NetFlow (contrairement à d'autres outils pouvant prendre en charge NetFlow, J-Flow, NetStream, etc.)
En résumé, si vous recherchez une solution qui effectue une collecte et une analyse NetFlow rigoureuses, et qui est évolutive à différentes plates-formes et protocoles, vous devez utiliser Solarwinds NetFlow Traffic Analyzer (inclus avec Network Performance Monitor).
Si vous êtes davantage intéressé par l'analyse NetFlow en tant que module complémentaire à votre solution de surveillance réseau, essayez PRTG Network Monitor ou ManageEngine NetFlow Analyzer. Si vous êtes intéressé par l'évolutivité et l'analyse de sécurité, Scrutinizer pourrait être ce que vous recherchez. Enfin, si vous souhaitez une solution peu coûteuse avec des fonctionnalités open source, pensez à ntopng ou nProbe.
J'espère que vous trouverez le bon choix !
En savoir plus :