Cisco France Blog
Partager

IPv6 Congress Paris


20 February 2012


Le v6 Congress est maintenant terminé et c’est l’occasion de faire un point sur le réseau déployé par Cisco à cette occasion. En l’occurrence il s’agissait d’une couverture wireless avec la toute dernière version des controlleurs permettant un support IPv6 (voir le post de Vincent pour plus de détails), et d’un routeur ASR 1000 en version IOS 3.5S, la toute dernière version la aussi.

Le réseau ouvert aux participants du v6 Congress et du MPLS Congress offrait deux SSID, l’un configuré en dual stack et l’autre en IPv6 only. Ces deux SSID se terminaient sur deux interfaces de L’ASR1000:

  • L’interface correspondant au SSID dual stack avait une configuration des plus classiques, avec un NAT44 et un stateless IPv6 et une configuration stateless DHCPv6 pour fournir les adresses IPv6 des serveurs DNS.
  • L’interface correspondant au SSID IPv6-only était elle un peu plus nouvelle puisque permettant de tester la fonction NAT64.

Pour ce qui concerne les statistiques des clients IPv4/IPv6, on se reportera la aussi aux statistiques publiées sur le post de Vincent.

Nous en avons profité pour intégrer également certaines des fonctions de Application Velocity and Control (AVC), en l’occurence la découverte des applications avec le tout nouveau moteur d’inspection disponible dans IOS appelé NBAR2 et le couplage avec Flexible Netflow. L’association de NBAR2 et Flexible NetFlow permet d’avoir des statistiques ainsi que le nom des applications.

Une première application est d’activer NBAR2 dans un simple but de découverte des applications les plus utilisées sur le réseau. Ceci se configure par une simple ligne:

interface GigabitEthernet0/0/2
 description to Colt uplink
 ip address 195.68.42.166 255.255.255.252
 ip nat outside
 ip nbar protocol-discovery

D’ailleurs un petit extrait du top-n des applications à un certain moment de la journée de mercredi révèle des choses interessantes:

ASR-1000#sh ip nbar protocol-discovery stats max-bit-rate 

 GigabitEthernet0/0/2 

 Last clearing of "show ip nbar protocol-discovery" counters 00:10:24

                            Input                    Output                  
                            -----                    ------                  
   Protocol                 5min Max Bit Rate (bps)  5min Max Bit Rate (bps) 
   ------------------------ ------------------------ ------------------------
   itunes                   7215000                  113000                  
   http                     6371000                  442000                  
   ssl                      685000                   713000                  
   ssh                      1087000                  80000                   
   secure-imap              899000                   215000                  
   secure-http              517000                   289000                  
   dht                      266000                   246000                  
   isakmp                   367000                   145000                  
   skype                    234000                   175000                  
   imap                     38000                    302000                  
   stmf                     225000                   36000                   
   msft-gc                  219000                   8000                    
   flash-video              152000                   6000                    
   cuseeme                  131000                   10000                   
   binary-over-http         126000                   7000                    
   stun-nat                 80000                    52000                   
   ms-sql-m                 104000                   13000                   
   ipsec                    84000                    21000                   
   gmail                    80000                    17000                   
   windows-update           77000                    20000                   
   smtp                     6000                     84000                   
   youtube                  82000                    3000                    
   rtmp                     65000                    6000                    
   dns                      42000                    25000                   
   video-over-http          58000                    3000                    
   orbix-loc-ssl            34000                    12000                   
   activesync               39000                    3000                    
   pop3                     29000                    4000                    
   icmp                     16000                    14000                   
   google-accounts          21000                    8000                    
   bittorrent               24000                    3000                    
   xmpp-client              21000                    5000                    
   h323                     16000                    3000                    
   virtual-places           15000                    3000                    
   encrypted-emule          15000                    3000                    
   ipv6-icmp                12000                    4000                    
   msn-messenger            9000                     6000                    
   flashyahoo               12000                    1000                    
   ppstream                 6000                     6000                    
   teredo-ipv6-tunneled     6000                     6000         

[SNIP]

On peut ensuite aller plus loin et configurer Flexible NetFlow avec NBAR2 pour avoir des statistiques plus précises. Ainsi on peut configurer un premier cache pour les applications tournant sur IPv4 et un autre cache pour les applications tournant sur IPv6. Cela permet d’avoir des statistiques différenciées pour IPv4 et IPv6.

Un petit exemple :

!---------------------------------------------------------------------------------------
! FLOW RECORD
! What data do I want to meter?
! First define the flow record that you want.
! match are used to identify key fields, ie, those fields used to define what is a flow
! collect is used to define what fields we want to monitor
!
!---------------------------------------------------------------------------------------
flow record NBAR2-IPv6
 match ipv6 protocol
 match application name
 collect counter bytes
 collect counter packets
!
!
flow record NBAR2-IPv4
 match ipv4 protocol
 match application name
 collect counter bytes
 collect counter packets
!
!
!---------------------------------------------------------------------------------------
! FLOW EXPORTER
! Where do I want my data sent?
!---------------------------------------------------------------------------------------
flow exporter MYEXPORT
 destination 
 transport udp 10000
!
!       
!---------------------------------------------------------------------------------------
! FLOW MONITOR
! Creates a new NetFlow cache
! Attach the flow record
! Exporter is attached to the cache
! Potential sampling configuration
!---------------------------------------------------------------------------------------
flow monitor NBAR2-IPv6-MONITOR
 cache entries 200000
 record NBAR2-IPv6
 exporter MYEXPORT
! 
!
flow monitor NBAR2-IPv4-MONITOR
 cache entries 200000
 record NBAR2-IPv4
 exporter MYEXPORT
!   
!
interface GigabitEthernet0/0/2
 description to Colt uplink
 ip address 195.68.42.166 255.255.255.252
 ip nat outside
 ip nbar protocol-discovery
 ip flow monitor NBAR2-IPv4-MONITOR input
 ip flow monitor NBAR2-IPv4-MONITOR output
 ipv6 flow monitor NBAR2-IPv6-MONITOR input
 ipv6 flow monitor NBAR2-IPv6-MONITOR output
 ipv6 address 2001:920:0:1::29/127
 ipv6 nd ra suppress all
 nat64 enable
!

Un extrait des stats collectées le dernier jour dans la matinée pour IPv4 :

ASR-1000#sh flow monitor NBAR2-IPv4-MONITOR cache format table
  Cache type:                               Normal (Platform cache)
  Cache size:                               200000
  Current entries:                              41

  Flows added:                                1302
  Flows aged:                                 1261
    - Active timeout      (  1800 secs)         14
    - Inactive timeout    (    15 secs)       1247

IP PROT  APP NAME                               bytes        pkts
=======  ================================  ==========  ==========
     17  port sybase                            23782         171
      6  cisco flash-video                     633774         716
      6  port secure-http                    38635348       55469
     17  cisco snmp                             64962         719
      6  port ftp                            62644614       67584
      6  port irc                                 228           3
     17  cisco dht                           41102731      264182
      6  port imap                            1283116        1987
      6  cisco yahoo-voip-over-sip                165           2
     17  port secure-http                    30539953       59339
      6  port http                         1030943137     1349806
     17  cisco openvpn                        3156766        8014
      6  cisco itunes                       349228920      396738
      6  port ndmp                                468           4
     17  port sip                                  94           3
     17  cisco tcpoverdns                       48237         422
      6  cisco google-accounts                   4660          32
      6  cisco gmail                          2127268        4266
      1  prot icmp                            2915803       31215
     17  cisco teredo-ipv6-tunneled            104111        1108
      6  port secure-imap                    36397961      109440
     17  port dns                             8685580       80705

[SNIP]

Et pour IPv6 :

ASR-1000#sh flow monitor NBAR2-IPv6-MONITOR cache format table
  Cache type:                               Normal (Platform cache)
  Cache size:                               200000
  Current entries:                              12

  Flows added:                                 505
  Flows aged:                                  493
    - Active timeout      (  1800 secs)          5
    - Inactive timeout    (    15 secs)        488

APP NAME                          IP PROT       bytes        pkts
================================  =======  ==========  ==========
prot ipv6-icmp                         58        1488          13
port imap                               6         420           4
port http                               6   244146295      420711
cisco google-accounts                   6        8169          27
cisco gmail                             6    10434130       18970
port secure-imap                        6        1150          13
port dns                               17      740421        4683
cisco unknown                          17        1059          11
cisco ssl                               6    35167410       68051
cisco gtalk-chat                        6       19547          74
port xmpp-client                        6         615           3
cisco unknown                           6     4724668       28125
cisco bittorrent                        6       12767          66

[SNIP]

L’utilisation des fonctions de Application Velocity and Control (AVC) permet d’avoir une meilleure vision de ce qui se passe sur le réseau, aussi bien en IPv4 qu’en IPv6. Beaucoup de choses sont apparues récemment d’ailleurs concernant IPv6. Pour plus d’information on se reportera à la page AVC sur Cisco.com.

Tags:
Laisser un commentaire