Configuration des routeurs
Activez NetFlow sur chaque routeur en effectuant les étapes décrites dans cette rubrique. Vous pouvez configurer les routeurs pour exporter un des protocoles de flux suivants :
nfa1000
Activez NetFlow sur chaque routeur
Network Flow Analysis
en effectuant les étapes décrites dans cette rubrique. Vous pouvez configurer les routeurs pour exporter un des protocoles de flux suivants :- NetFlow v5, v7, v9 et Random Sampled NetFlow
- sFlow version 5
- IPFIX, Jflow, cFlow et NetStream conformes aux normes NetFlow v5, v7 ou v9.
Remarques :
- Configurez le flux de chaque source à exporter vers un seul Harvester. Si le flux d'une source est exporté vers plusieurs Harvesters, divers problèmes surviendront. Si tel est le cas, contactez le Support CA pour obtenir de l'aide.
- NetFlow fournit une vue générale des flux de paquets réseau en créant des enregistrements de flux pour tous les paquets. Les données de ces enregistrements de flux représentent tous les paquets. Les protocoles NetFlow/IPFIX et sFlow donnés en exemple extraient des échantillons à partir de vos flux de paquets, afin de réduire le nombre d'enregistrements de flux générés et de diminuer l'impact sur un collecteur. Plus le taux d'échantillonnage est faible, moins précises sont les données.
- La documentation de Cisco indique que l'échantillon NetFlow n'autorise pas l'échantillonnage aléatoire et peut donc générer des statistiques inexactes en cas de réception de données dans des modèles fixes. Par conséquent, si vous choisissez l'échantillonnage NetFlow v9, vous devez utiliser un échantillon aléatoire de NetFlow. Pour plus d'informations, reportez-vous à la documentation de Cisco correspond à votre matériel et à la version d'IOS.
CA Network Flow Analysis 10.0.2 prend en charge les champs NetFlow supplémentaires SAMPLING_INTERVAL (34) et SAMPLING_ALGORITHM (35) dans le modèle d'options pour les taux d'échantillonnage. Pour le champ SAMPLING_ALGORITHM (35), seul l'algorithme d'échantillonnage aléatoire (0x02) est pris en charge. Un netflow à partir d'un ID de source doit contenir l'un des champs suivants :
- Champs FLOW_SAMPLER_ID(48), FLOW_SAMPLER_MODE (49), FLOW_SAMPLER_RANDOM_INTERVAL (50) ou
- SAMPLING_INTERVAL (34) et SAMPLING_ALGORITHM (35)
Pour que les données provenant de flux non testés apparaissent dans les rapports contenant des données (historiques) de résolution en 15 minutes, vous devez remplir les champs obligatoires suivants :
- Il peut s'agir de l'un des codes suivants :
- 1 - IN_BYTES
- 85 - IN_PERMANENT_BYTES
- 231 - FW_INITIATOR_OCTETS
- 232 - FW_RESPONDER_OCTETS
- 4 - PROTOCOL
- 7 - L4_SRC_PORT
- 8 - IPV4_SRC_ADDR/ 27 - IPV6_SRC_ADDR
- 10 - INPUT_SNMP
- 11 - L4_DST_PORT
- 12 - IPV4_DST_ADDR/ 28 - IPV6_DST_ADDR
- 14 - OUTPUT_SNMP
Procédez comme suit :
- Sauvegardez la configuration actuelle du routeur.
- Configurez l'exportation NetFlow pour chaque interface individuellement.
- Définissez la version d'exportation du flux.
- Définissez l'adresse IP source du flux. Cisco recommande de configurer une interface source de bouclage. Les adresses IP d'interfaces autres que des interfaces de bouclage peuvent changer.
- Définissez l'adresse IP de destination du flux et définissez le port de destination sur 9995. Si vous utilisez une valeur personnalisée pour le port d'écoute de l'Harvester, utilisez cette valeur comme port de destination. Les valeurs de port doivent correspondre pour que le Harvester puisse recevoir les données de flux.
- Définissez le délai d'expiration du flux sur 1 minute.
- Activez le flux pour chaque interface.
- NetFlow v5 ou flux compatible avec v5 :
- Surveillance de plusieurs interfaces sur un routeur : utilisez toutes les entrées et toutes les sorties. Utilisez la même option pour toutes les interfaces. Les valeurs d'entrée et de sortie peuvent varier légèrement à cause des routeurs qui omettent des paquets et des valeurs de types de services changeantes telles que le trafic entre les interfaces.
- Surveillance d'une seule interface sur un routeur : utiliser les entrées et les sorties. Avec cette option, moins de flux totaux sont générés du routeur au Harvester et la charge sur le réseau et le Harvester est moins élevée.
- NetFlow v9 ou flux compatible avec v9 :Le Harvester identifie et déduplique plusieurs flux sur un routeur unique, pour vous permettre d'utiliser les entrées et les sorties sur plusieurs interfaces. Cette option peut s'avérer très efficace pour deux ou trois interfaces. Vous pouvez activer les entrées et les sorties pour toutes les interfaces, mais cette configuration peut représenter une charge supplémentaire inutile pour le Harvester.
- Configurez la persistance de l'index SNMP sur chaque routeur prenant en charge cette fonctionnalité.
Informations complémentaires :
- NetFlow Version 9 Flow-Record Format (Format d'enregistrement de flux NetFlow version 9)