Bonjour à tous,
Nous revoilà avec cette fois-ci une technologie fraichement installée chez Maxnod. Il s'agit du sFlow ou aussi connu sous le nom des protocoles concurrents NetFlow ou encore xFlow, jFlow, cFlow, ... Le sFlow est un des plus utilisés avec le netFlow.
Il faut faire attention aux effets de bord lors de l'implémentation de votre sFlow, il risque d'avoir une augmentation de la conso de RAM ainsi que de la bande passante.
Précaution à prendre: Attention avec les switchs HP qui ne note pas pas la config "flow" lors de la relecture de la conf (bug peut-être corrigé ce jour). Ne pas mettre en "flow" le port d'une machine de collecte, il y a un risque de bouclage.
- Dans nos tests nous avons:
192.168.1.1 serveur 192.168.1.10 Switch1 192.168.1.11 Switch2
- On lance l'écoute sur un serveur appelé collecteur:
sfcapd -D -p 6343 -n 192.168.1.10,192.168.1.10,<Dossier enregistrement pour le 1er switch> 192.168.1.11,192.168.1.11,<Dossier enregistrement pour le Nème switch>
- SfCapd créer un fichier par IP source spécifié, on peux désormais analyser les fichiers:
nfdump -r /sflow/20/nfcapd.201810230815 -o "fmt:%ts %td %pr %sap -> %dap %flg %tos %pkt %byt %fl %in %out"
Voila il reste plus qu'a intégrer les résultats dans une page web. La suite prochainement.
ATTENTION: Nous venons de nous rendre compte que le sflow sur les switchs Netberg pose problème et "surcharge" le switch de manière invisible. Cela a eu pour conséquence, la perte de connaissance de certaines Mac adresse et la distribution du flux en unknow unicast!