• View
• Print
• Login

Présentation

A propos...

Développé à partir de 1999 au C.I.R.I.L (Centre Interuniversitaire des Ressources Informatiques de Lorraine devenu depuis l'Équipe Réseau Lothaire de l'Université de Lorraine) par Alexandre SIMON et exploité sur le réseau Lothaire depuis 2000, netMET est une solution de métrologie générale pour les réseaux régionaux, métropolitains et de campus. netMET mesure le trafic entre un réseau régional, métropolitain ou de campus et un réseau fédérateur (Renater par exemple).

La première version de netMET a été présentée lors des JRES 2001 par Alexandre SIMON et les nouveautés de la version 2.0 ont fait l'objet d'une présentation de Sébastien MOROSI et Alexandre SIMON aux JRES 2003. Cet outil à vocation métrologique s'est avéré être aussi un outil de sécurité en permettant de détecter des trafics inhabituels et en traçant des flux spécifiques.

netMET est composé d'un collecteur de datagrammes NetFlow Cisco ainsi que d'un ensemble de programmes et de scripts permettant l'exploitation de cette collecte.
Pour mémoire, NetFlow Cisco est une technologie d'accélération de routage propriétaire proposant l'export d'informations de métrologie. Cette technologie est embarquée dans les matériels (routeurs et switchs/routeurs) du constructeur ainsi que dans certains équipements d'autres constructeurs.

La phase de collecte consiste à lire les «netflows», à les analyser et comptabiliser en mémoire les flux correspondants et enfin à conserver périodiquement la table de comptage dans des fichiers de collecte. Avant d'être collectés les «Netflows» sont éventuellement dupliqués pour alimenter plusieurs exploitations requérant des périodicités ou des niveaux de détail différents.
La phase d'exploitation consiste à analyser les fichiers de collecte et à mettre à jour périodiquement des pages accessibles via un serveur HTTP.

De Novembre 2001 (netMETdistrib-1.1_2.4.1.tgz) à Juin 2003 (netMETdistrib-2.0_2.5.tgz) netMET a été distribué gratuitement sous forme d'une archive téléchargeable pour Linux contenant l'exécutable du collecteur, les exécutables et les scripts Perl de l'exploitation et un script d'installation.

Depuis 2009 une nouvelle version de netMET est exploitée par l'équipe Réseau Lothaire de l'Université de Lorraine (ex C.I.R.I.L). Cette version qui utilise le collecteur développé pour netMAT peut comptabiliser le trafic IPv6, ce collecteur étant capable de traiter les Netflows au format V9. Les codes du collecteur sont maintenant fournis sous la forme de fichiers sources C/C++ qui doivent donc être compilés.

Avec l'exploitation «standard» disponible dans la distribution, les pages de la journée courante sont mises à jour toutes les cinq minutes et le bilan complet du trafic de la veille ainsi que le bilan mensuel sont mis à jour quotidiennement . Les pages produites synthétisent chacune les résultats concernant tous les différents sous-réseaux d'un même organisme, l'association entre sous-réseaux et noms d'organismes étant un paramètre de l'exploitation. La plupart des scripts de la phase d'exploitation sont écrits en Perl et en bash.

Pour utiliser netMET il faut d'une part installer le collecteur et d'autre part définir et activer l'exploitation.

Un service «standard» (duplication/collecte/exploitation) est disponible :

• duplication des datagrammes reçus sur le port 8080 vers les ports 8081 et/ou 8082,
• sauvegarde des informations de collecte "agrégées" toutes les 5 minutes et/ou détaillées toutes les 10 minutes,
• mise à jour des tableaux et des graphes à la même fréquence.

L'installation et l'activation de ce service nécessitent l'écriture de fichiers de configuration des collecteurs (dont les modèles sont fournis), la correction du fichier de configuration de l'exploitation fourni, l'écriture du fichier des sous-réseaux (organismes) et l'écriture de directives pour le serveur HTTP si les pages générées sont accessibles par ce moyen.

Avertissement

netMET et netMAT sont deux logiciels complémentaires qui utilisent désormais le même collecteur.

netMET mesure les échanges entre les différentes machines du réseau observé et l'ensemble des machines extérieures à ce réseau (le reste de l'Internet).

netMAT quant à lui concerne le trafic interne à un réseau et visualise les échanges entre les différents sous-réseaux d'un réseau de campus.

Avec netMET les résultats (top N des machines et des organismes, évolution des débits entrant et sortant, ...) sont réactualisés tout au long de la journée alors qu'avec netMAT les principaux résultats ne sont disponibles que le lendemain.

Si vous avez installé une version antérieure de netMET avec son collecteur d'origine et que vous n'avez apporté aucune modification aux scripts d'origine vous pouvez installer la nouvelle distribution : lors de l'installation vous pourrez choisir de copier les anciens paramètres de configuration dans la nouvelle configuration.

Quelques captures d'écran

netMET actualise au fur et à mesure de la journée des pages visualisant le volume du trafic échangé avec le réseau fédérateur (ici Renater) ;

le débit correspondant (rubrique Statistiques) :

L'évolution du débit des différents organismes connectés au réseau est disponible sous la même rubrique. Les rubriques Top donnent des informations sur les N machines, organismes ou machines d'un organisme échangeant les plus gros volumes avec le réseau fédérateur.
Par exemple :