NfSen

Fiche logiciel validé
  • Création ou MAJ importante : 11/04/13
  • Correction mineure : 11/04/13
Mots-clés
Pour aller plus loin

NfSen : interface web d'affichage de flux réseau traversant des éléments actifs

Description
Fonctionnalités générales

NfSen permet de générer des graphes qui correspondent au trafic réseau circulant sur des éléments actifs, tels les commutateurs, les routeurs, les serveurs. Il est nécessaire que ces éléments supportent le protocole "Netflow" (développé par Cisco) ou le protocole "Sflow", pour récolter des données de trafic.

NfSen se présente sous la forme d'une interface web permettant la consultation de la volumétrie des données de trafic des éléments actifs qui sont récupérées par le collecteur associé à Nfdump.

NfSen vous permet de tirer avantage de l’utilisation des commandes shell Nfdump directement depuis l'interface Web et l’outil donne un rendu graphique constitué des données de trafic (volumétrie, nombre de flows, nombre de paquets TCP, etc..) NetFlow ou Sflow.

Autres fonctionnalités

NfSen permet:

  • l'affichage des données réseaux, Flows, Packets et Bytes en utilisant RRD (Round Robin Database),
  • la navigation aisée entre les différentes données issues du réseau,
  • la possibilité de sélectionner des plages horaires,
  • la gestion de "profiles" contenant les données d'une plage horaire ou des données enregistrées en continue,
  • un système d'alarmes par la définition de conditions,
  • la possibilité d'utiliser des "plugins" ou de créer ses propres "plugins" pour l'analyse avancée des flux réseaux.
Interopérabilité

Nécessite des données issues de sources NetFlow ou SFlow, récupérées sur votre serveur par le collecteur Nfdump (que ce soit IPV4 ou IPV6).

Les équipement Cisco peuvent être configurés pour collecter des statistiques de trafic IP et les exporter vers un collecteur Netflows.

Les autres éléments actifs du réseau peuvent généralement exporter des paquets SFlow vers un collecteur SFlow.

Sflow est un équivalent à NetFlow, avec une licence libre de droits, et fonctionne en mode statistique par interface réseau.. http://www.sflow.org/

Pour vos serveurs, vous pouvez installer une sonde fprobe, mais attention, vous devrez rendre compatible fprobe avec NFDump lors de la compilation de ce dernier.

Contexte d'utilisation dans mon laboratoire/service

NfSen est en exploitation sur plusieurs sites de l'OSU Pytheas.

Installé sur une VM Debian Squeeze, la machine contient également Nfdump compilé avec l'option "sflow".

Sur le site A nous récupérons les données SFlow de trois équipements qui englobent l'ensemble du trafic réseau du parc.
- Le routeur (Extreme Network)
- Le Firewall (Fortinet)
- Les baies serveurs (switch HP)

Nous avons fait plusieurs profiles NfSen partant de méthodes différentes, tels que:
- Trafics par Vlan
- Trafics par Machine
- Trafics par ports
- Trafics entre plage IP A et plage IP B

Nous utilisons le collecteur le plus proche de la source. Par exemple, pour les Vlans, le Routeur, pour le WAN, le firewall, et ainsi de suite.

En valeur ajoutée, quelques plugins de la communauté NfSen tels que PortTracker et SURFmap. Vous trouverez bon nombre de plugins sur le sourceforge de NfSen Plugins

Nous commençons à utiliser les possibilités d'alarmes.

Le stockage des données Sflow récupérées se fait sur une baie de disques.

Nous comptons environ 50Go de données Sflow par profile "Live" pour un an d'utilisation, sur un parc d'environ 600 machines.

Limitations, difficultés, fonctionnalités importantes non couvertes
  • Le paquet Nfdump disponible dans les dépôts Debian Squeeze n'est pas compatible avec les sources SFlow.
    Vous devrez donc le compiler avec l'option --enable-nfprofile --enable-sflow

  • La configuration des sources SFlow/Netflow peut s'avérer très complexe. Cet aspect ne sera pas traité ici et il est important de se renseigner auprès de la documentation de vos éléments actifs.

  • Le netflow de certains firewalls (NSEL) ne fonctionne pas sur toutes les versions de Nfdump.

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Unix - Linux. Testé sur Debian 5 et 6.

Plates-formes

Plateformes Unix - Linux
Package NfSen proposé en archive tar.gz

Logiciels connexes
  • PHP et Perl:
    NfSen est écrit en PHP et en Perl et devrait donc marcher sur tous les systèmes *NIX.
    Versions Perl > 5.6.0 et PHP > 4.1 requises ainsi que les extensions Perl "Socket" et "regex".

  • Modules Perl:
    Pour que les alertes NfSen fonctionnent, vous devez ajouter les modules Mail::Header et Mail::Internet
    Tous les graphiques de NfSen requièrent RRD Tool. Le module Perl RRD Tool est donc requis.

  • Outil Nfdump:
    Le backend de NfSen fonctionne avec Nfdump qui collectera et analysera les données NetFlow.
    Vous devez avoir Nfdump >= 1.5.8.

Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Ensemble du code hébergé sur SourceForge.

Eléments de pérennité
  • Le projet semble bien suivi avec des évolutions régulières.
  • Version 1.3.6p1 mise en ligne le 24 janvier 2012.
  • Mises à jour régulières pour une meilleure intégration à Nfdump et pour la résolution de bugs.
  • Logiciel stable et abouti.
  • Liste vivante (environ 50 posts/mois sur nfsen-discuss).
Références d'utilisateurs institutionnels
  • Plusieurs sites de l'OSU Pytheas.
  • DSI du CNRS.
Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur

Vous trouverez de la documentation sur les liens suivants:

Divers (astuces, actualités, sécurité)

L'installation se fait aisément sur Fedora, Debian, Ubuntu.
La seule vraie difficulté est de compiler Nfdump pour autoriser les données Sflow.

Pour activer la sonde Sflow sur HP, Extreme XOS et Fortinet (Fortigate), reportez vous à la documentation constructeur, cela se fait très simplement. La sonde transfère les données en UDP sur un port/une adresse IP configuré au sein de l'élément actif, à destination de l'IP du serveur, où se trouvent Nfdump et NfSen.

Vous pouvez me contacter pour avoir le package Nfdump pour Debian Squeeze compilé avec sflow en cas de difficultés.

NB : peut s'utiliser conjointement avec NetMet pour avoir une métrologie fine du réseau.

Contributions