NetFlow (Cisco)

NetFlow est un protocole créé par Cisco (1996) pour collecter des metadata sur les flows réseau (conversations IP) — qui parle à qui, sur quels ports, à quels moments, avec combien de bytes/packets. Pas le contenu des paquets (pas une capture full PCAP) mais les en-têtes agrégés. Fondamental pour visibilité réseau, capacity planning, security analytics, billing ISP.

Flow definition : 5-tuple (source IP, destination IP, source port, destination port, protocol) + interface input/output. Tous paquets matching = 1 flow. Compteurs incrémentés. Flow exporté quand : (1) FIN/RST observé ; (2) inactive timeout (15s default) ; (3) active timeout (30 min default) ; (4) cache full.

Versions : (1) **NetFlow v5** — IPv4 only, 5-tuple, plus déployé legacy ; (2) **NetFlow v9** — template-based, supports IPv6, MPLS, VLAN, BGP attributes, flexible fields ; (3) **IPFIX** (RFC 7011) — IETF standard évolution de NetFlow v9, multi-vendor.

Architecture : Exporters (routers, switches generating flows) → Collectors (centralized storage : SolarWinds NTA, ManageEngine NetFlow Analyzer, Plixer Scrutinizer, NetScout nGeniusONE, ntopng, Elastic Stack avec Filebeat netflow module).

Use cases : (1) **Capacity planning** — top talkers, top apps, growth trends ; (2) **Security** — DDoS detection, exfiltration anomalies, IDS complement (Stealthwatch / Cisco Secure Network Analytics) ; (3) **Troubleshooting** — qui mange la bande passante ; (4) **Billing ISP** (per-customer usage) ; (5) **Compliance** (audit trails).

Alternatives : sFlow (sampling-based, supported by Arista, Juniper, HPE), J-Flow (Juniper), nProbe. NetFlow domine enterprise Cisco. Compétences CCNP, CySA+.