Cisco Netflow Generator (NGA), une nouvelle appliance pour générer des mesures Netflow
2 min read
Cisco a récemment annoncé un nouveau produit destiné à renforcer notre capacité à faire de la métrologie Netflow. Il s’agit d’un boitier dédié (appliance) qui répond au doux nom de Netflow Generator Appliance (NGA). Son principe est très simple: on envoie vers les 4 ports 10GB de ce boitier du trafic recopié par SPAN session ou boitier TAP, et il effectue des mesures de flux de type Flexible Netflow (ou IPFIX) qu’il envoie à une ou plusieurs applications compatibles Netflow. C’est simple, non ?
Oui, c’est simple … mais on vante depuis longtemps la possibilité de faire du Netflow sur presque tous les routeurs et commutateurs Cisco … et même en hardware le plus souvent… On a vraiment besoin d’un boitier dédié ?
Oui, dans certains cas.
NGA est un boitier à hautes performances: 2 CPUs, 16GB de RAM, 1TB de disque, 4 ports 10Gb en entrée, 1 port Gb en sortie. Tout çà uniquement dédié à mesurer des flux, ce qui permet de mesurer entre 100.000 et 200.000 flux par seconde, et d’envoyer les mesures jusqu’à 6 destinations différentes. NGA est donc pertinent dans toutes les situations de gros volumes de trafic, c’est à dire le Data Center et le campus, ou lorsqu’il n’est pas possible ou souhaitable d’utiliser le Netflow natif.
Dans les Data Center équipés de Nexus 5000, NGA est indispensable car la gamme Nexus 5000 ne supporte pas nativement la technologie Netflow. Le Nexus 7000 supporte Netflow mais il est souvent utilisé en mode “sampled”, c’est-à-dire que les seul un paquet sur 100 ou 1000 est mesuré. Ce n’est pas optimum par exemple si on fait du Netflow à des fins de sécurité, ou pour faire de la facturation. On pourra donc facilement avec un boitier NGA effectuer des mesures exhaustives de trafic sur l’ensemble du réseau du Data Center en redirigeant (ERSPAN) les flux copiés des Nexus 5000 vers les Nexus 7000 et en envoyant le tout vers les le boitier NGA, comme illustré ci-dessous. Une alternative serait d’utiliser un boitier TAP pour agréger les flux des Nexus 7000 et 5000 et d’envoyer le tout vers les 4 ports du NGA.
Dans les environnements Campus ou il est possible d’activer Netflow directement sur les ports des commutateurs (Catalyst 6500 par exemple), l’utilisation de NGA présente deux avantages:
- la performance du commutateur ne sera jamais impactée par les mesures Netflow, quel que soit le volume de trafic
- la configuration de Netflow est plus facile, car elle est faite en une seule fois sur le NGA, au lieu de devoir être dupliquée sur plusieurs commutateurs et/ou ports.
Le boitier NGA est simple à configurer, soit en mode ligne de commande, soit au moyen de son interface graphique. La syntaxe de l’interface ligne de commande est identique à celle de l’IOS. On y retrouve, tout comme dans l’interface graphique, les concepts familiers de:
- Flow Record pour définir les champs qui identifient un flux (en Netflow V9)
- Flow Exporter pour définir le ou les destinataire des mesures netflow
- Flow Monitor pour appliquer un Flow Record sur un ou plusieurs des ports d’entrée de NGA, définir les paramètres du cache, et envoyer les mesures vers un Flow Exporter
Les mesures Netflow exportées par le NGA sont de type Netflow V5, V9 ou IPFIX. Elles sont évidement compatibles avec n’importe quelle application Netflow, en particulier la sonde Cisco Prime NAM (présentée ici), et le nouveau produit Cisco Prime Assurance Manager (présenté ici).
Pour en savoir plus sur NGA, suivez ce lien. A noter une étude de cas très intéressante, dans un environnement incluant à la fois des Nexus 5000, des Catalyst et des UCS.