1 | Gestion et Surveillance de Réseau |
---|
2 | |
---|
3 | Configurez votre routeur pour exporter des flux |
---|
4 | ------------------------------------- |
---|
5 | |
---|
6 | 1. Exportation de flux à partir d'un routeur |
---|
7 | |
---|
8 | Ceci est un exemple d'exportation de flux depuis le routeur du groupe 1, rtr1.ws.nsrc.org vers le PC nommé pc1.ws.nsrc.org ou 10.10.1.1. Dans chacun de vos groupes, pour les routeurs 1 à 6, vous devez désigner une personne chargée de taper les commandes permettant de configurer un routeur pour Netflow et un PC de destination des exportations Netflow. |
---|
9 | |
---|
10 | Notre routeur est rtr1 ou 10.10.0.201 (routeur du Groupe 1) |
---|
11 | |
---|
12 | Connectez-vous au routeur : |
---|
13 | |
---|
14 | # ssh 10.10.0.201 -l cisco |
---|
15 | |
---|
16 | (si vous n'avez pas configuré ssh, utilisez telnet) |
---|
17 | # telnet 10.10.0.201 |
---|
18 | rtr1.ws.nsrc.org> enable |
---|
19 | |
---|
20 | Entrez le mot de passe enable |
---|
21 | |
---|
22 | rtr1.ws.nsrc.org# configure terminal |
---|
23 | rtr1.ws.nsrc.org(config)# interface FastEthernet 0/0 |
---|
24 | rtr1.ws.nsrc.org(config)# ip route-cache flow |
---|
25 | rtr1.ws.nsrc.org(config)# exit |
---|
26 | |
---|
27 | Si l'interface FastEthernet 0/1 est active (et pour toutes les interfaces éventuellement configurées): |
---|
28 | |
---|
29 | rtr1.ws.nsrc.org# configure terminal |
---|
30 | rtr1.ws.nsrc.org(config)# interface FastEthernet 0/1 |
---|
31 | rtr1.ws.nsrc.org(config)# ip route-cache flow |
---|
32 | rtr1.ws.nsrc.org(config)# exit |
---|
33 | |
---|
34 | On active l'exportation des flux: |
---|
35 | |
---|
36 | rtr1.ws.nsrc.org#conf t |
---|
37 | rtr1.ws.nsrc.org(config)# ip flow-export destination 10.10.0.1 9996 |
---|
38 | rtr1.ws.nsrc.org(config)# ip flow-export destination 10.10.0.2 9996 |
---|
39 | rtr1.ws.nsrc.org(config)# ip flow-export version 5 |
---|
40 | rtr1.ws.nsrc.org(config)# ip flow-cache timeout active 5 |
---|
41 | |
---|
42 | Ceci permet de diviser les flux de longue durée en fragments de 5 minutes. Vous pouvez choisir n'importe quel nombre de minutes entre 1 et 60. Si vous conservez la valeur par défaut de 30 minutes vos rapports de trafic présenteront des pointes. |
---|
43 | |
---|
44 | rtr1.ws.nsrc.org(config)# snmp-server ifindex persist |
---|
45 | |
---|
46 | Cette commande a pour effet d'activer la persistance globale d'ifIndex, garantissant ainsi la conservation des valeurs ifIndex en cas de redémarrage du routeur. |
---|
47 | |
---|
48 | Configurez maintenant le mode de fonctionnement des commandes "ip flow top-talkers" : |
---|
49 | |
---|
50 | rtr1.ws.nsrc.org(config)#ip flow-top-talkers |
---|
51 | rtr1.ws.nsrc.org(config-flow-top-talkers)#top 20 |
---|
52 | rtr1.ws.nsrc.org(config-flow-top-talkers)#sort-by bytes |
---|
53 | rtr1.ws.nsrc.org(config-flow-top-talkers)#end |
---|
54 | |
---|
55 | Nous allons maintenant vérifier ce que nous avons fait. |
---|
56 | |
---|
57 | rtr1.ws.nsrc.org# show ip flow export |
---|
58 | rtr1.ws.nsrc.org# show ip cache flow |
---|
59 | |
---|
60 | Consultez les "top talkers" des interfaces de votre routeur |
---|
61 | |
---|
62 | rtr1.ws.nsrc.org# show ip flow top-talkers |
---|
63 | |
---|
64 | Si tout semble correct, enregistrez votre configuration courante (running-config) dans la mémoire RAM non volatile (c.-à-d. en "startup-config" (configuration de démarrage)): |
---|
65 | |
---|
66 | rtr1.ws.nsrc.org#wr mem |
---|
67 | Vous pouvez maintenant quitter le routeur : |
---|
68 | |
---|
69 | rtr1.ws.nsrc.org#exit |
---|
70 | |
---|
71 | Et, sur la machine où les flux sont exportés, vous pouvez vérifier qu'ils arrivent effectivement en tapant la commande suivante (en tant qu'utilisateur root) |
---|
72 | |
---|
73 | # tcpdump -v udp port 9996 |
---|
74 | |
---|
75 | En outre (VEUILLEZ NOTER) que nous réexportons les données NetFlow provenant du routeur de passerelle vers tous les PC de la classe. Vous pouvez vérifier que ces flux arrivent en tapant : |
---|
76 | |
---|
77 | # tcpdump -v udp port 9009 |
---|
78 | |
---|
79 | Pour les besoins de ces exercices, nous supposerons que vous êtes sur un PC recevant uniquement les flux provenant du routeur de passerelle et nous utiliserons le port 9009. |
---|
80 | |
---|
81 | |
---|
82 | Configurer votre collecteur : |
---|
83 | ------------------------ |
---|
84 | |
---|
85 | 1. Installez NFdump |
---|
86 | |
---|
87 | Nfdump est le collecteur de flux de Netflow |
---|
88 | |
---|
89 | Nous allons installer plusieurs paquets supplémentaires dont nous aurons besoin un peu plus tard : |
---|
90 | |
---|
91 | Installez-les uniquement si vous n'avez pas déjà installé mrtg et rrdtool : |
---|
92 | |
---|
93 | # apt-get install rrdtool |
---|
94 | # apt-get install librrds-perl |
---|
95 | # apt-get install librrdp-perl |
---|
96 | # apt-get install mrtg |
---|
97 | # aot-get install libmailtools-perl |
---|
98 | |
---|
99 | Si mrtg et rrdtool sont déjà installés, il vous suffit de taper les lignes suivantes : |
---|
100 | |
---|
101 | # apt-get install librrd-dev |
---|
102 | # apt-get install nfdump |
---|
103 | |
---|
104 | Ou encore, sur une seule ligne : |
---|
105 | |
---|
106 | # apt-get install rrdtool mrtg librrds-perl librrdp-perl librrd-dev nfdump libmailtools-perl |
---|
107 | |
---|
108 | Cela permet d'installer, entre autres, nfcapd, nfdump, nfreplay, nfexpire, nftest, nfgen |
---|
109 | |
---|
110 | |
---|
111 | 2. Installation et configuration de NfSen (connecté en tant qu'utilisateur root) |
---|
112 | |
---|
113 | # cd /usr/local/src # wget http://noc.ws.nsrc.org/software/nfsen-1.3.5.tar.gz |
---|
114 | # tar xvzf nfsen-1.3.5.tar.gz |
---|
115 | # cd nfsen-1.3.5 |
---|
116 | # cd etc |
---|
117 | # cp nfsen-dist.conf nfsen.conf |
---|
118 | # joe nfsen.conf |
---|
119 | |
---|
120 | Définissez la variable $BASEDIR |
---|
121 | |
---|
122 | $BASEDIR="/var/nfsen"; |
---|
123 | |
---|
124 | Définissez correctement les utilisateurs afin qu'Apache puisse accéder aux fichiers : |
---|
125 | |
---|
126 | $WWWUSER = 'www-data'; |
---|
127 | $WWWGROUP = 'www-data' |
---|
128 | |
---|
129 | Modifiez le chemin des outils en fonction de l'endroit où se trouvent réellement les éléments : |
---|
130 | |
---|
131 | # nfdump tools path |
---|
132 | $PREFIX = '/usr/bin'; |
---|
133 | |
---|
134 | Spécifiez un tampon de petite taille, de façon à ce que les données soient rapidement visibles. |
---|
135 | |
---|
136 | # Receive buffer size for nfcapd - see man page nfcapd(1) |
---|
137 | $BUFFLEN = 2000; |
---|
138 | |
---|
139 | Modifiez la définition %sources comme indiqué ci-dessous : |
---|
140 | |
---|
141 | %sources=( |
---|
142 | 'rtrX'=>{'port'=>'9009','col'=>'#0000ff','type'=>'netflow'}, |
---|
143 | ); |
---|
144 | Enregistrez et fermez le fichier. |
---|
145 | |
---|
146 | |
---|
147 | 3. Créez l'utilisateur NetFlow sur le système |
---|
148 | |
---|
149 | # useradd -d /var/netflow -G www-data -m -s /bin/false netflow |
---|
150 | |
---|
151 | |
---|
152 | 4. Initialisez NfSen. Chaque fois que vous apporterez des modifications à nfsen.conf vous devrez répéter cette étape. |
---|
153 | |
---|
154 | Assurez-vous que nous sommes au bon emplacement : |
---|
155 | |
---|
156 | # cd /usr/local/src/nfsen-1.3.5 |
---|
157 | |
---|
158 | Maintenant, enfin, nous allons installer : |
---|
159 | |
---|
160 | # perl install.pl etc/nfsen.conf |
---|
161 | |
---|
162 | Démarrez NfSen |
---|
163 | |
---|
164 | cd /var/nfsen/bin |
---|
165 | ./nfsen start |
---|
166 | |
---|
167 | |
---|
168 | 5. Visualisez les flux sur le Web : |
---|
169 | |
---|
170 | # apt-get install php5 |
---|
171 | Vous pouvez trouver la sortie nfsen à l'adresse suivante : |
---|
172 | |
---|
173 | http://pcN.ws.nsrc.org/nfsen/nfsen.php |
---|
174 | |
---|
175 | 6. Vérifiez que des flux arrivent : |
---|
176 | |
---|
177 | En supposant que vous exportez des flux à partir d'un ou plusieurs routeurs vers votre boîtier collecteur sur le port 9009, vous pourrez contrôler que des données arrivent avec la commande tcpdump : |
---|
178 | |
---|
179 | # tcpdump -v udp port 9009 |
---|
180 | |
---|
181 | |
---|
182 | 7. Complétez votre configuration Netflow (Ceci n'est qu'un exemple- Nous n'allons pas le faire) |
---|
183 | |
---|
184 | Retournez à l'endroit où vous avez extrait votre distribution nfsen. |
---|
185 | |
---|
186 | # cd /usr/local/src/nfsen-1.3.5 |
---|
187 | # vi etc/nfsen.conf |
---|
188 | |
---|
189 | Mettez vos sources à jour en fonction des nouveaux éléments que vous pourriez avoir.. |
---|
190 | (Ceci n'est qu'un exemple !) |
---|
191 | |
---|
192 | %sources = ( |
---|
193 | 'rtr' => {'port' => '9000', 'col' => 'e4e4e4' }, |
---|
194 | 'rtr2' => { 'port' => '9001', 'col' => '#0000ff' }, |
---|
195 | 'rtr3' => { 'port' => '9002','col' => '#00cc00' }, |
---|
196 | 'rtr4' => { 'port' => '9003','col' => '#000000' }, |
---|
197 | 'rtr5' => { 'port' => '9004','col' => '#ff0000' }, |
---|
198 | 'rtr6' => { 'port' => '9005','col' => '#ffff00' }, |
---|
199 | ); |
---|
200 | |
---|
201 | Enregistrez et fermez le fichier nfsend.conf. |
---|
202 | |
---|
203 | Rappelez-vous que vous avez modifié nfsen.conf ; vous devez donc ré-exécuter le script d'installation : |
---|
204 | |
---|
205 | # perl install.pl etc/nfsen.conf |
---|
206 | |
---|
207 | Maintenant démarrez et arrêtez nfsen : |
---|
208 | |
---|
209 | # /var/nfsen/bin/nfsen stop |
---|
210 | # /var/nfsen/bin/nfsen start |
---|
211 | |
---|
212 | Vous pouvez ajouter le script de démarrage nfsen dans /etc/init.d/rc.local ou dans un emplacement similaire afin de le lancer au démarrage.) |
---|
213 | |
---|
214 | |
---|
215 | 8. Installation du plugin PortTracker (facultatif ou à titre de référence) |
---|
216 | |
---|
217 | - Allez dans le répertoire PortTracker dans la distribution des sources nfsen : |
---|
218 | |
---|
219 | # cd /usr/local/src/nfsen-1.3.5/contrib/PortTracker |
---|
220 | |
---|
221 | # joe do_compile |
---|
222 | |
---|
223 | # path of nfdump sources |
---|
224 | NFDUMP="/home/sysadmin/nfdump-1.6.2" |
---|
225 | |
---|
226 | # path of rrd include file rrd.h |
---|
227 | RRDINCLUDE=/usr/include |
---|
228 | |
---|
229 | # path of rrd library LIBRRD=/usr/lib |
---|
230 | |
---|
231 | |
---|
232 | - Compilez nftrack : |
---|
233 | |
---|
234 | # ./do_compile |
---|
235 | |
---|
236 | ... |
---|
237 | |
---|
238 | # cp nftrack /usr/local/bin/ |
---|
239 | |
---|
240 | - Créez un répertoire pour les données nftrack |
---|
241 | |
---|
242 | # mkdir -p /var/log/netflow/porttracker |
---|
243 | |
---|
244 | - Placez le répertoire des données nftrack dans le module PortTracker.pm : |
---|
245 | |
---|
246 | # joe PortTracker.pm |
---|
247 | |
---|
248 | ... |
---|
249 | |
---|
250 | my $PORTSDBDIR = "/var/log/netflow/porttracker"; |
---|
251 | |
---|
252 | ... |
---|
253 | |
---|
254 | - Installez les plugins dans la distribution NFSen |
---|
255 | |
---|
256 | # cp PortTracker.pm /var/nfsen/plugins/ |
---|
257 | # cp PortTracker.php /var/www/nfsen/plugins/ |
---|
258 | |
---|
259 | - Ajoutez la définition des plugins dans la configuration nfsen.conf |
---|
260 | |
---|
261 | # cd ~/nfsen-1.3.5 |
---|
262 | # vi etc/nfsen.conf |
---|
263 | |
---|
264 | ... |
---|
265 | |
---|
266 | @plugins = ( |
---|
267 | [ 'live', 'PortTracker'], |
---|
268 | ); |
---|
269 | ... |
---|
270 | |
---|
271 | - Ré-exécuter l'installation (répondez aux questions) |
---|
272 | |
---|
273 | # perl install.pl etc/nfsen.conf |
---|
274 | |
---|
275 | - Initialisez les fichiers de la base de données portracker |
---|
276 | |
---|
277 | # sudo -u www-data nftrack -I -d /var/log/netflow/porttracker |
---|
278 | |
---|
279 | (Cela peut prendre un certain temps ! - 8 Go de fichiers seront créés) |
---|
280 | |
---|
281 | - Définissez les autorisations de façon à ce que l'utilisateur netflow exécutant nfsen, et l'utilisateur www-data exécutant l'interface Web puissent accéder aux données PortTracker : |
---|
282 | |
---|
283 | # chown -R netflow:www-data /var/log/netflow/porttracker |
---|
284 | # chmod -R 775 /var/log/netflow/porttracker |
---|
285 | |
---|
286 | - Rechargez : |
---|
287 | |
---|
288 | # /var/nfsen/bin/nfsen reload |
---|
289 | |
---|
290 | - Vérifiez que le chargement a réussi : |
---|
291 | |
---|
292 | # grep -i 'porttracker.*success' /var/log/syslog |
---|
293 | Nov 27 02:46:13 noc nfsen[17312]: Loading plugin 'PortTracker': Success |
---|
294 | Nov 27 02:46:13 noc nfsen[17312]: Initializing plugin 'PortTracker': Success |
---|
295 | |
---|
296 | - Attendez quelques minutes, et ouvrez l'interface utilisateur graphique de nfsen |
---|
297 | |
---|
298 | http://pcN.ws.nsrc.org/nfsen/nfsen.php |
---|
299 | |
---|
300 | ... et sélectionnez l'onglet Plugins. |
---|
301 | |
---|
302 | |
---|
303 | |
---|