Documente Academic
Documente Profesional
Documente Cultură
NetFlow Traffic
Analyzer
Evaluation Guide
Copyright 1995-2008 SolarWinds, Inc. Tous droits rservs dans le monde entier. Il est interdit
de reproduire quelque partie que ce soit de ce document par quelque moyen que ce soit ou de
le modifier, dcompiler, dsassembler, publier ou distribuer, en tout ou en partie, ou encore de
le traduire par quelque moyen lectronique ou autre que ce soit sans lautorisation crite de
SolarWinds. Tous les droits, titres et intrts sur ce logiciel et sa documentation sont et resteront
la proprit exclusive de SolarWinds et de ses concdants. SolarWindsOrion, SolarWinds
Cirrus et SolarWinds Toolset sont des marques commerciales de SolarWinds et
SolarWinds.net et le logo SolarWinds sont des marques dposes de SolarWinds. Toutes les
autres marques dposes figurant dans ce document et dans le logiciel appartiennent leurs
propritaires respectifs.
SOLARWINDS REJETTE TOUS LES TERMES, GARANTIES, CONDITIONS, EXPLICITES OU
IMPLICITES, STATUTAIRES OU AUTRES, RELATIFS AU LOGICIEL ET LA
DOCUMENTATION FOURNIS DANS LE CADRE DES PRSENTES, Y COMPRIS, SANS
QUIL SAGISSE DUNE LIMITATION, TOUTES GARANTIES DE CONCEPTION, DE
POSSIBILIT DE COMMERCIALISATION OU DADQUATION UN OBJECTIF
PARTICULIER ET DE NON-CONTREFAON. EN AUCUN CAS SOLARWINDS, SES
FOURNISSEURS OU SES CONCDANTS, NE POURRA TRE TENUE POUR
RESPONSABLE DE QUELQUE DOMMAGE QUE CE SOIT, DANS LE CADRE DE LA
RESPONSABILIT EXTRA-CONTRACTUELLE, CONTRACTUELLE OU DE TOUTE AUTRE
THORIE LGALE, MME SI SOLARWINDS A T AVERTIE DE LA POSSIBILIT DE TELS
DOMMAGES.
Microsoft, Windows 2000 Server et Windows 2003 Server sont soit des marques dposes,
soit des marques commerciales de Microsoft Corporation aux tats-Unis et/ou dans dautres
pays.
Graph Layout Toolkit et Graph Editor Toolkit 1992 - 2001 Tom Sawyer Software, Oakland,
Californie, tats-Unis dAmrique. Tous droits rservs.
Des parties sont couvertes par le Copyright ComponentOne, LLC 1991-2002. Tous droits
rservs.
Orion NetFlow Traffic Analyzer Evaluation Guide, Version 3.0, 08.28.2008
propos de SolarWinds
SolarWinds Inc dveloppe et commercialise une srie doutils de gestion, de surveillance et de
dtection de rseau en rponse aux diverses exigences actuelles de la gestion de rseau et des
spcialistes du conseil. Les produits SolarWinds continuent dfinir la norme en matire de
qualit et de performances ; ils ont fait de la socit le leader des technologies de gestion et de
dtection de rseau. La clientle de SolarWinds inclut plus de 45 pour cent des socits Fortune
500 et stend sur plus de 90 pays. Notre rseau mondial de distributeurs et partenaires
commerciaux compte plus de 100 distributeurs et revendeurs.
Coordonnes
Ventes
sales@solarwinds.com
www.solarwinds.com
1.866.530.8100
+353.21.5002900
Assistance technique
www.solarwinds.com/support
Forums dutilisateurs
www.thwack.com
Indique
Caractres gras
Caractres italiques
Police
espacement fixe
Accolades, comme
dans {valeur}
OU logique, comme
dans valeur1|valeur2
Objectif
Guide de ladministrateur
Aide dtaille
Evaluation Guide
Notes de publication
Chapitre 1
Lintgration troite avec les statistiques dtailles sur les performances des
interfaces.
Chapitre 2
Conditions requises
Le serveur utilis pour hberger la solution NetFlow doit prendre en charge aussi
bien Orion NPM que Orion NTA, car Orion NTA est bas sur Orion NPM et en
tend les fonctionnalits. Les sections suivantes indiquent quelles sont les
configurations minimales requises.
Configuration logicielle
La configuration logicielle suivante suppose que la version dvaluation de Orion
NTA est installe sur un serveur excutant Orion NPM version 9.0. Pour valuer
Orion NTA version 3.0 sur une installation dOrion NPM version 8.5.1, veuillez
contacter SolarWinds ladresse sales@solarwinds.com.
Remarque : SQL Express et MSDE restreignent respectivement la taille de la
base de donnes 4 Go et 2 Go. Cest pourquoi SolarWinds ne prend pas en
charge leur utilisation avec Orion NTA dans les environnements de production.
Logiciels
Conditions requises
Systme
dexploitation
Conditions requises
Serveur Web
.NET Framework
Services SNMP
Trap (interruptions
SNMP)
SQL Server
Navigateur Web
Console
Configuration matrielle
La configuration matrielle suivante suppose que la version dvaluation de
Orion NTA est installe sur un serveur excutant Orion NPM version 9.0. Pour
valuer Orion NTA version 3.0 sur une autre version dOrion NPM, veuillez
contacter SolarWinds ladresse sales@solarwinds.com.
Remarque : Orion NTA exige que le port TCP 17777 soit ouvert, tant pour
envoyer que pour recevoir le trafic entre Orion NPM et tout module Orion, dont
Orion NTA.
Avertissement : Les seules configurations RAID utilisables pour linstallation de
Orion NTA sont 0, 1, 0+1 et 1+0. En raison de la vitesse leve et des exigences
de mmoire des transactions de donnes NetFlow, SolarWinds dconseille
lutilisation dautres configurations RAID ou SAN qui pourraient entraner la perte
de donnes et une importante dgradation des performances.
Conditions requises
Processeur
3 GHz ou plus
RAM
2 Go ou plus
Espace libre
sur le disque
dur
Dispositifs
NetFlow
J-Flow
Dispositifs
sFlow
Conditions requises
Vitesse du
processeur
3,0 GHz
Allocation d
espace libre sur le
disque dur
5 Go
Remarque : il est conseill dutiliser des disques RAID 1+0 ;
lutilisation de RAID 5 est dconseille en raison des importants
besoins en E/S.
Mmoire
2 Go
Interface rseau
Pour plus dinformations sur les conditions requises par Orion NPM, veuillez
consulter la section Requirements du manuel SolarWinds Orion Network
Performance Monitor Administrator Guide.
SQL Express ne gre pas les bases de donnes de taille suprieure 4 Go.
a. Cliquez sur Start > Control Panel > Add or Remove Programs
(Dmarrer > Panneau de configuration > Ajout/Suppression de
programmes).
b. Cliquez sur Add New Programs (Ajouter de nouveaux programmes).
c. Cliquez sur CD or Floppy (CD ou disquette), puis sur Next (Suivant)
pour installer le programme partir dune disquette ou dun cdrom.
3. Si vous avez tlcharg le produit depuis le site Web SolarWinds,
suivez les tapes ci-dessous :
a. Naviguez jusqu lemplacement de tlchargement du fichier .zip, puis
dcompressez le logiciel dvaluation dans un rpertoire appropri.
b. Lancez lexcutable dvaluation de SolarWinds Orion NTA.
4. Si vous avez reu un support physique, recherchez dessus lexcutable
dvaluation de SolarWinds Orion NTA puis lancez-le.
5. Lisez le texte de bienvenue, puis cliquez sur Next (Suivant).
7. Cliquez sur Install (Installer) sur la fentre Ready to Install the Program (Prt
installer le programme).
8. Vrifiez que ICMP (Ping only) (ICMP Ping uniquement) nest pas coch.
a. Si le port SNMP du nud ajout nest pas le port Orion NMP par
dfaut (161), indiquez le numro de port rel dans le champ SNMP Port
(Le port SNMP).
b. Si le nud ajout prend en charge les compteurs 64 bits, cochez
Allow 64 bit counters (Autoriser les compteurs 64 bits) pour les utiliser.
c. Indiquez les chanes de communaut pour le nud ajout.
Remarque : le paramtre Read/Write Community String (Chane de
communaut de lecture/criture) est facultatif, mais Orion NPM a besoin
au minimum du paramtre de Community String (Chane de
communaut) public.
12. Cliquez sur Validate SNMP (Valider SNMP) aprs avoir saisi toutes les
informations didentification SNMP requises.
13. Aprs avoir vrifi la validit des informations didentification SNMP, cliquez
sur Next (Suivant).
14. Cochez les interfaces surveiller avec Orion NTA, puis cliquez sur Next
(Suivant).
Remarque : si vous ignorez quelles sont les interfaces compatibles NetFlow,
cliquez sur All Interfaces (Toutes les interfaces) pour slectionner toutes les
interfaces.
15. Pour cette valuation, cliquez sur Next (Suivant) dans la vue Add Pollers
(Ajouter des enquteurs).
Remarque : pour plus dinformations sur lutilisation ou la dfinition des
pollers (enquteurs), veuillez consulter le manuel SolarWinds Orion Network
Performance Monitor Administrator Guide.
16. Cliquez sur OK, Add Node (OK, ajouter un nud) dans la vue
Change Properties (Modification des proprits).
17. Cliquez sur NetFlow Traffic Analysis (Analyse du trafic NetFlow) sur la
barre doutils Modules.
6. Dveloppez la liste des dispositifs pour afficher tous les nuds surveills,
cochez le nud parent des interfaces surveiller avec Orion NTA, puis
cliquez sur Submit (Envoyer).
En rponse, Orion NTA doit alors recevoir des donnes comprhensibles sur le
trafic et les afficher dans Orion Web Console dans les quelques minutes qui
suivent.
Chapitre 3
Cliquez sur + en regard du nom de chaque routeur pour afficher les interfaces
compatibles NetFlow actives sur le routeur slectionn.
Les interfaces sont galement rpertories avec une icne dtat et lheure et la
date de rception par Orion NTA des dernires donnes NetFlow en provenance
de linterface slectionne. De plus, la ressource NetFlow Sources indique les
valeurs du trafic entrant et sortant sur chaque interface.
Cliquez sur le nom dun routeur pour ouvrir la vue Netflow Node Details (Dtails
du nud NetFlow) ; cliquez sur le nom dune interface pour ouvrir la vue NetFlow
Interface Details (Dtails de linterface NetFlow). Pour plus dinformations sur la
vue NetFlow Node Details, veuillez consulter Vue NetFlow Node Details ,
page 37. Pour plus dinformations sur la vue NetFlow Interface Details, veuillez
consulter Vue NetFlow Interface Details , page 36.
Domain (Domaine)
IP Address
(Adresse IP)
Hostname (Nom
dhte)
Cliquez sur le nom de lun des dispositifs du rseau pour ouvrir la vue NetFlow
Endpoint (Point de terminaison NetFlow) et voir tout le trafic du point de
terminaison passant par le dispositif slectionn. Pour plus dinformations sur la
vue NetFlow Endpoint, veuillez consulter Vue NetFlow Endpoint , page 33.
Cliquez sur le nom dun dispositif du rseau pour ouvrir la vue NetFlow
Application (Application NetFlow) et voir tout le trafic passant par le dispositif
slectionn destination de lapplication recherche ou achemin par le port
recherch. Pour plus dinformations sur la vue NetFlow Application, veuillez
consulter Vue NetFlow Application , page 30.
Voici quelques-unes des vues Orion NTA les plus utilises. Elles sont
directement accessibles partir des ressources par dfaut de la vue NetFlow
Traffic Analysis Summary (Rsum de lanalyse du trafic NetFlow). Dautres
ressources conduisent des vues supplmentaires. Pour plus
dinformations, veuillez consulter Viewing NetFlow Traffic Analyzer Data in
the Orion Web Console dans le manuel SolarWinds Orion NetFlow Traffic
Analyzer Administrator Guide.
Nom de lapplication
Type de service
Le pourcentage du total de trafic mis qui peut tre trac vers le point de
terminaison
Le pourcentage du total de trafic reu qui peut tre trac vers le point de
terminaison
Le nom du pays
Le pourcentage du total de trafic reu qui peut tre trac vers le pays
Le nom du pays
Le volume du trafic total sur lapplication qui est achemin vers les points de
terminaisons de ce pays
Le pourcentage du total de trafic mis qui peut tre trac vers le pays.
Lhorodatage de lchange
Adresse IP
Nom dhte
Groupe dadresses IP
Domaine
Pays
Type de service
Pour plus dinformations sur la surveillance du type de service dans Orion NTA,
veuillez consulter Configuring NetFlow Types of Services dans le manuel
SolarWinds Orion NetFlow Traffic Analyzer Administrator Guide.
Type de service
Pour plus dinformations sur la surveillance du type de service dans Orion NTA,
veuillez consulter Configuring NetFlow Types of Services dans le manuel
SolarWinds Orion NetFlow Traffic Analyzer Administrator Guide.
Top 5 Conversations (Cinq principales conversations)
Cette ressource affiche la liste des conversations qui crent le plus de trafic sur
linterface affiche. Elle indique le volume de donnes transfres au cours de la
conversation et le pourcentage que reprsente cette conversation par rapport au
total des donnes transfres sur linterface affiche. Cliquez sur une
conversation pour ouvrir la vue Netflow Conversation correspondante. Pour plus
dinformations, veuillez consulter Vue NetFlow Conversation , page 33.
Chapitre 4
Pays
Domaine
Point de
terminaison
Interface
Groupe dadresses IP
Protocole
Routeur
Type de service
Les sections suivantes prsente des scnarios montrant comment Orion NTA
Traffic View Builder permet de crer vos propres vues.
2. Orion Web Console montre que la liaison avec le rseau de lagence est
fonctionnelle.
3. Les diagrammes Orion NPM Percent Utilization (Utilisation en pourcentage)
de la page daccueil Network Summary (Rsum du rseau) montrent que
lutilisation actuelle atteint 98 %, bien que le taux dutilisation normal soit de
lordre de 15 % 25 %.
4. Cliquez sur NetFlow Traffic Analysis (Analyse du trafic NetFlow) sur la
barre doutils Modules, puis sur le nom de la liaison rseau de lagence dans
la ressource NetFlow Sources Sources NetFlow) pour afficher le routeur
compatible NetFlow prsent sur ce rseau.
5. Un coup dil rapide la ressource Top 5 Endpoints (Cinq principaux points
de terminaison) et vous constatez quun ordinateur de la plage dadresses IP
10.10.10.0-10.10.10.255 gnre lui seul 80 % de la charge sur cette
liaison.
6. Vous savez que les ordinateurs de cette plage dadresses IP sont
accessibles aux clients sur le Web pour leurs transactions personnelles.
7. Dans la ressource Top 5 Applications (Cinq principales applications), vous
voyez rapidement que la totalit des deux dernires heures de trafic partir
dun ordinateur accessible au public a t gnre par une application de
messagerie IBM MQSeries.
8. Cliquez sur le nom de lapplication de messagerie IBM MQSeries dans la
ressource Top 5 Applications ; vous voyez alors que le trafic de lapplication
de messagerie IBM MQSeries passe par le port 1883.
9. Vous ne disposez daucun dispositif utilisant la messagerie IBM MQSeries
dans la zone accessible aux clients, ni aucun autre service ou protocole
utilisant le port 1883, vous savez donc quil sagit dune attaque virale.
10. Utilisez un outil de gestion de configuration, tel que Cirrus Configuration
Manager, pour envoyer vers le pare-feu une nouvelle configuration bloquant
le port 1883.
1. Une alerte avance dOrion NPM vous avertit des difficults rencontres par
le routeur tourn vers le Web pour tablir et conserver une connexion stable
avec Internet.
2. Ouvrez Orion Web Console pour rechercher les problmes potentiels.
Toutes les connexions sont actuellement oprationnelles et lutilisation de la
bande passante parat correcte. Mais vous remarquez lutilisation du
processeur sur le nud du pare-feu. Elle reste stable 99 % 100 %.
3. Cliquez sur le nom du nud du pare-feu pour ouvrir la page Node Details
(Dtails du nud) correspondante ; la ressource Current Percent Utilization
of Each Interface (Utilisation actuelle en pourcentage de chaque interface)
montre que les interfaces du pare-feu reoivent un trafic anormalement
lev.
4. Cliquez sur NetFlow Traffic Analysis (Analyse du trafic NetFlow) sur la
barre doutils Modules pour jeter un coup dil la ressource personnalise
Top 50 Endpoints.
5. Cette ressource montre que les six principaux ordinateurs qui tentent
daccder au rseau se trouvent outre-mer.
6. Vous vous rendez compte que les ports sont balays et que le pare-feu
bloque ces attaques la vole.
7. Utilisez un outil de gestion de configuration, tel que Cirrus Configuration
Manager, pour envoyer vers le pare-feu une nouvelle configuration bloquant
tout le trafic sur la plage dadresses IP des ordinateurs qui essaient
daccder au rseau.
8. En quelques minutes, lutilisation processeur sur le routeur tourn vers le
Web redevient normale.