Agenda: exercises-netflow-nfsen-vFR.txt

File exercises-netflow-nfsen-vFR.txt, 9.2 KB (added by admin, 7 years ago)
Line 
1Gestion et Surveillance de Réseau
2
3Configurez votre routeur pour exporter des flux
4-------------------------------------
5
61. Exportation de flux à partir d'un routeur
7
8Ceci est un exemple d'exportation de flux depuis le routeur du groupe 1, rtr1.ws.nsrc.org vers le PC nommé pc1.ws.nsrc.org ou 10.10.1.1. Dans chacun de vos groupes, pour les routeurs 1 à 6, vous devez désigner  une personne chargée de taper les commandes permettant de configurer un routeur pour Netflow et un PC de destination des exportations Netflow.
9
10Notre routeur est rtr1 ou 10.10.0.201 (routeur du Groupe 1)
11
12Connectez-vous au routeur :
13
14   # ssh 10.10.0.201 -l cisco
15
16   (si vous n'avez pas configuré ssh, utilisez telnet)
17   # telnet 10.10.0.201
18   rtr1.ws.nsrc.org> enable
19
20Entrez le mot de passe enable
21
22   rtr1.ws.nsrc.org# configure terminal
23   rtr1.ws.nsrc.org(config)# interface FastEthernet 0/0
24   rtr1.ws.nsrc.org(config)# ip route-cache flow
25   rtr1.ws.nsrc.org(config)# exit
26
27Si l'interface FastEthernet 0/1 est active (et pour toutes les interfaces éventuellement configurées):
28
29   rtr1.ws.nsrc.org# configure terminal
30   rtr1.ws.nsrc.org(config)# interface FastEthernet 0/1
31   rtr1.ws.nsrc.org(config)# ip route-cache flow
32   rtr1.ws.nsrc.org(config)# exit
33
34On active l'exportation des flux:
35
36   rtr1.ws.nsrc.org#conf t
37   rtr1.ws.nsrc.org(config)# ip flow-export destination 10.10.0.1 9996
38   rtr1.ws.nsrc.org(config)# ip flow-export destination 10.10.0.2 9996
39   rtr1.ws.nsrc.org(config)# ip flow-export version 5
40   rtr1.ws.nsrc.org(config)# ip flow-cache timeout active 5
41
42Ceci permet de diviser les flux de longue durée en fragments de 5 minutes. Vous pouvez choisir n'importe quel nombre de minutes entre 1 et 60. Si vous conservez la valeur par défaut de 30 minutes vos rapports de trafic présenteront des pointes.
43
44   rtr1.ws.nsrc.org(config)# snmp-server ifindex persist
45
46Cette commande a pour effet d'activer la persistance globale d'ifIndex, garantissant ainsi la conservation des valeurs ifIndex en cas de redémarrage du routeur.
47
48Configurez maintenant le mode de fonctionnement des commandes "ip flow top-talkers" :
49
50   rtr1.ws.nsrc.org(config)#ip flow-top-talkers
51   rtr1.ws.nsrc.org(config-flow-top-talkers)#top 20
52   rtr1.ws.nsrc.org(config-flow-top-talkers)#sort-by bytes
53   rtr1.ws.nsrc.org(config-flow-top-talkers)#end
54
55Nous allons maintenant vérifier ce que nous avons fait.
56
57   rtr1.ws.nsrc.org# show ip flow export
58   rtr1.ws.nsrc.org# show ip cache flow
59
60Consultez les "top talkers" des interfaces de votre routeur
61
62   rtr1.ws.nsrc.org# show ip flow top-talkers
63
64Si tout semble correct, enregistrez votre configuration courante (running-config) dans la mémoire RAM non volatile (c.-à-d. en "startup-config" (configuration de démarrage)):
65
66   rtr1.ws.nsrc.org#wr mem
67   Vous pouvez maintenant quitter le routeur :
68
69   rtr1.ws.nsrc.org#exit
70
71   Et, sur la machine où les flux sont exportés, vous pouvez vérifier qu'ils arrivent effectivement en tapant la commande suivante (en tant qu'utilisateur root)
72
73        # tcpdump -v udp port 9996
74
75En outre (VEUILLEZ NOTER) que nous réexportons les données NetFlow provenant du routeur de passerelle vers tous les PC de la classe. Vous pouvez vérifier que ces flux arrivent en tapant :
76
77        # tcpdump -v udp port 9009
78       
79Pour les besoins de ces exercices, nous supposerons que vous êtes sur un PC recevant uniquement les flux provenant du routeur de passerelle et nous utiliserons le port 9009.
80
81
82Configurer votre collecteur :
83------------------------
84
851. Installez NFdump
86
87   Nfdump est le collecteur de flux de Netflow
88
89   Nous allons installer plusieurs paquets supplémentaires dont nous aurons besoin un peu plus tard :
90
91Installez-les uniquement si vous n'avez pas déjà installé mrtg et rrdtool :
92
93   # apt-get install rrdtool
94   # apt-get install librrds-perl
95   # apt-get install librrdp-perl
96   # apt-get install mrtg
97   # aot-get install libmailtools-perl
98
99Si mrtg et rrdtool sont déjà installés, il vous suffit de taper les lignes suivantes :
100
101   # apt-get install librrd-dev
102   # apt-get install nfdump
103
104Ou encore, sur une seule ligne :
105
106   # apt-get install rrdtool mrtg librrds-perl librrdp-perl librrd-dev nfdump libmailtools-perl
107
108   Cela permet d'installer, entre autres, nfcapd, nfdump, nfreplay, nfexpire, nftest, nfgen
109
110
1112. Installation et configuration de NfSen (connecté en tant qu'utilisateur root)
112
113   # cd /usr/local/src    # wget http://noc.ws.nsrc.org/software/nfsen-1.3.5.tar.gz
114   # tar xvzf nfsen-1.3.5.tar.gz
115   # cd nfsen-1.3.5
116   # cd etc
117   # cp nfsen-dist.conf nfsen.conf
118   # joe nfsen.conf
119
120Définissez la variable $BASEDIR
121
122   $BASEDIR="/var/nfsen";
123
124Définissez correctement les utilisateurs afin qu'Apache puisse accéder aux fichiers :
125
126   $WWWUSER = 'www-data';
127   $WWWGROUP = 'www-data'   
128
129Modifiez le chemin des outils en fonction de l'endroit où se trouvent réellement les éléments :
130
131# nfdump tools path
132$PREFIX = '/usr/bin';
133
134Spécifiez un tampon de petite taille, de façon à ce que les données soient rapidement visibles.
135
136# Receive buffer size for nfcapd - see man page nfcapd(1)
137$BUFFLEN = 2000;
138
139Modifiez la définition %sources comme indiqué ci-dessous :
140
141   %sources=(
142   'rtrX'=>{'port'=>'9009','col'=>'#0000ff','type'=>'netflow'},
143   );                             
144Enregistrez et fermez le fichier.
145
146
1473. Créez l'utilisateur NetFlow sur le système
148
149   # useradd -d /var/netflow -G www-data -m -s /bin/false netflow
150
151
1524. Initialisez NfSen. Chaque fois que vous apporterez des modifications à nfsen.conf vous devrez répéter cette étape.
153
154Assurez-vous que nous sommes au bon emplacement :
155
156   # cd /usr/local/src/nfsen-1.3.5
157
158Maintenant, enfin, nous allons installer :
159
160   # perl install.pl etc/nfsen.conf
161
162Démarrez NfSen
163
164cd /var/nfsen/bin
165./nfsen start
166
167
1685. Visualisez les flux sur le Web :
169
170   # apt-get install php5
171   Vous pouvez trouver la sortie nfsen à l'adresse suivante :
172
173   http://pcN.ws.nsrc.org/nfsen/nfsen.php
174
1756. Vérifiez que des flux arrivent :
176
177En supposant que vous exportez des flux à partir d'un ou plusieurs routeurs vers votre boîtier collecteur sur le port 9009, vous pourrez contrôler que des données arrivent avec la commande tcpdump :
178
179   # tcpdump -v udp port 9009
180
181
1827. Complétez votre configuration Netflow (Ceci n'est qu'un exemple- Nous n'allons pas le faire)
183
184Retournez à l'endroit où vous avez extrait votre distribution nfsen.
185
186   # cd /usr/local/src/nfsen-1.3.5
187   # vi etc/nfsen.conf
188
189Mettez vos sources à jour en fonction des nouveaux éléments que vous pourriez avoir..
190(Ceci n'est qu'un exemple !)
191
192        %sources = (
193        'rtr' => {'port' => '9000', 'col' => 'e4e4e4' },
194        'rtr2' => { 'port' => '9001', 'col' => '#0000ff' },
195        'rtr3' => { 'port' => '9002','col' => '#00cc00' },
196        'rtr4' => { 'port' => '9003','col' => '#000000' },
197        'rtr5' => { 'port' => '9004','col' => '#ff0000' },
198        'rtr6' => { 'port' => '9005','col' => '#ffff00' },
199        );
200
201Enregistrez et fermez le fichier nfsend.conf.
202
203Rappelez-vous que vous avez modifié nfsen.conf ; vous devez donc ré-exécuter le script d'installation :
204
205   # perl install.pl etc/nfsen.conf
206
207Maintenant démarrez et arrêtez nfsen :
208
209   # /var/nfsen/bin/nfsen stop
210   # /var/nfsen/bin/nfsen start
211
212Vous pouvez ajouter le script de démarrage nfsen dans /etc/init.d/rc.local ou dans un emplacement similaire afin de le lancer au démarrage.)
213
214
2158. Installation du plugin PortTracker (facultatif ou à titre de référence)
216
217- Allez dans le répertoire PortTracker dans la distribution des sources nfsen :
218
219   # cd /usr/local/src/nfsen-1.3.5/contrib/PortTracker
220
221   # joe do_compile
222
223      # path of nfdump sources
224      NFDUMP="/home/sysadmin/nfdump-1.6.2"
225
226      # path of rrd include file rrd.h
227      RRDINCLUDE=/usr/include
228
229      # path of rrd library       LIBRRD=/usr/lib
230
231
232- Compilez nftrack :
233
234   # ./do_compile
235
236...
237
238   # cp nftrack /usr/local/bin/
239
240- Créez un répertoire pour les données nftrack
241
242   # mkdir -p /var/log/netflow/porttracker
243
244- Placez le répertoire des données nftrack dans le module PortTracker.pm :
245
246   # joe PortTracker.pm
247
248    ...
249
250       my $PORTSDBDIR = "/var/log/netflow/porttracker";
251
252    ...
253
254- Installez les plugins dans la distribution NFSen
255
256   # cp PortTracker.pm /var/nfsen/plugins/
257   # cp PortTracker.php /var/www/nfsen/plugins/
258
259- Ajoutez la définition des plugins dans la configuration nfsen.conf
260
261   # cd ~/nfsen-1.3.5
262   # vi etc/nfsen.conf
263
264    ...
265
266       @plugins = (
267           [ 'live',   'PortTracker'],
268       );
269    ...
270
271- Ré-exécuter l'installation (répondez aux questions)
272
273   # perl install.pl etc/nfsen.conf
274
275- Initialisez les fichiers de la base de données portracker
276
277   # sudo -u www-data nftrack -I -d /var/log/netflow/porttracker
278
279    (Cela peut prendre un certain temps ! - 8 Go de fichiers seront créés)
280
281- Définissez les autorisations de façon à ce que l'utilisateur netflow exécutant nfsen, et l'utilisateur www-data exécutant l'interface Web puissent accéder aux données PortTracker :
282
283   # chown -R netflow:www-data /var/log/netflow/porttracker
284   # chmod -R 775 /var/log/netflow/porttracker
285
286- Rechargez :
287
288   # /var/nfsen/bin/nfsen reload
289
290- Vérifiez que le chargement a réussi :
291
292   # grep -i 'porttracker.*success' /var/log/syslog
293Nov 27 02:46:13 noc nfsen[17312]: Loading plugin 'PortTracker': Success
294Nov 27 02:46:13 noc nfsen[17312]: Initializing plugin 'PortTracker': Success
295
296- Attendez quelques minutes, et ouvrez l'interface utilisateur graphique de nfsen
297
298    http://pcN.ws.nsrc.org/nfsen/nfsen.php
299
300... et sélectionnez l'onglet Plugins.
301
302
303