| 1 | Gestion et Surveillance de Réseau |
|---|
| 2 | |
|---|
| 3 | Configurez votre routeur pour exporter des flux |
|---|
| 4 | ------------------------------------- |
|---|
| 5 | |
|---|
| 6 | 1. Exportation de flux à partir d'un routeur |
|---|
| 7 | |
|---|
| 8 | Ceci est un exemple d'exportation de flux depuis le routeur du groupe 1, rtr1.ws.nsrc.org vers le PC nommé pc1.ws.nsrc.org ou 10.10.1.1. Dans chacun de vos groupes, pour les routeurs 1 à 6, vous devez désigner une personne chargée de taper les commandes permettant de configurer un routeur pour Netflow et un PC de destination des exportations Netflow. |
|---|
| 9 | |
|---|
| 10 | Notre routeur est rtr1 ou 10.10.0.201 (routeur du Groupe 1) |
|---|
| 11 | |
|---|
| 12 | Connectez-vous au routeur : |
|---|
| 13 | |
|---|
| 14 | # ssh 10.10.0.201 -l cisco |
|---|
| 15 | |
|---|
| 16 | (si vous n'avez pas configuré ssh, utilisez telnet) |
|---|
| 17 | # telnet 10.10.0.201 |
|---|
| 18 | rtr1.ws.nsrc.org> enable |
|---|
| 19 | |
|---|
| 20 | Entrez le mot de passe enable |
|---|
| 21 | |
|---|
| 22 | rtr1.ws.nsrc.org# configure terminal |
|---|
| 23 | rtr1.ws.nsrc.org(config)# interface FastEthernet 0/0 |
|---|
| 24 | rtr1.ws.nsrc.org(config)# ip route-cache flow |
|---|
| 25 | rtr1.ws.nsrc.org(config)# exit |
|---|
| 26 | |
|---|
| 27 | Si l'interface FastEthernet 0/1 est active (et pour toutes les interfaces éventuellement configurées): |
|---|
| 28 | |
|---|
| 29 | rtr1.ws.nsrc.org# configure terminal |
|---|
| 30 | rtr1.ws.nsrc.org(config)# interface FastEthernet 0/1 |
|---|
| 31 | rtr1.ws.nsrc.org(config)# ip route-cache flow |
|---|
| 32 | rtr1.ws.nsrc.org(config)# exit |
|---|
| 33 | |
|---|
| 34 | On active l'exportation des flux: |
|---|
| 35 | |
|---|
| 36 | rtr1.ws.nsrc.org#conf t |
|---|
| 37 | rtr1.ws.nsrc.org(config)# ip flow-export destination 10.10.0.1 9996 |
|---|
| 38 | rtr1.ws.nsrc.org(config)# ip flow-export destination 10.10.0.2 9996 |
|---|
| 39 | rtr1.ws.nsrc.org(config)# ip flow-export version 5 |
|---|
| 40 | rtr1.ws.nsrc.org(config)# ip flow-cache timeout active 5 |
|---|
| 41 | |
|---|
| 42 | Ceci permet de diviser les flux de longue durée en fragments de 5 minutes. Vous pouvez choisir n'importe quel nombre de minutes entre 1 et 60. Si vous conservez la valeur par défaut de 30 minutes vos rapports de trafic présenteront des pointes. |
|---|
| 43 | |
|---|
| 44 | rtr1.ws.nsrc.org(config)# snmp-server ifindex persist |
|---|
| 45 | |
|---|
| 46 | Cette commande a pour effet d'activer la persistance globale d'ifIndex, garantissant ainsi la conservation des valeurs ifIndex en cas de redémarrage du routeur. |
|---|
| 47 | |
|---|
| 48 | Configurez maintenant le mode de fonctionnement des commandes "ip flow top-talkers" : |
|---|
| 49 | |
|---|
| 50 | rtr1.ws.nsrc.org(config)#ip flow-top-talkers |
|---|
| 51 | rtr1.ws.nsrc.org(config-flow-top-talkers)#top 20 |
|---|
| 52 | rtr1.ws.nsrc.org(config-flow-top-talkers)#sort-by bytes |
|---|
| 53 | rtr1.ws.nsrc.org(config-flow-top-talkers)#end |
|---|
| 54 | |
|---|
| 55 | Nous allons maintenant vérifier ce que nous avons fait. |
|---|
| 56 | |
|---|
| 57 | rtr1.ws.nsrc.org# show ip flow export |
|---|
| 58 | rtr1.ws.nsrc.org# show ip cache flow |
|---|
| 59 | |
|---|
| 60 | Consultez les "top talkers" des interfaces de votre routeur |
|---|
| 61 | |
|---|
| 62 | rtr1.ws.nsrc.org# show ip flow top-talkers |
|---|
| 63 | |
|---|
| 64 | Si tout semble correct, enregistrez votre configuration courante (running-config) dans la mémoire RAM non volatile (c.-à-d. en "startup-config" (configuration de démarrage)): |
|---|
| 65 | |
|---|
| 66 | rtr1.ws.nsrc.org#wr mem |
|---|
| 67 | Vous pouvez maintenant quitter le routeur : |
|---|
| 68 | |
|---|
| 69 | rtr1.ws.nsrc.org#exit |
|---|
| 70 | |
|---|
| 71 | Et, sur la machine où les flux sont exportés, vous pouvez vérifier qu'ils arrivent effectivement en tapant la commande suivante (en tant qu'utilisateur root) |
|---|
| 72 | |
|---|
| 73 | # tcpdump -v udp port 9996 |
|---|
| 74 | |
|---|
| 75 | En outre (VEUILLEZ NOTER) que nous réexportons les données NetFlow provenant du routeur de passerelle vers tous les PC de la classe. Vous pouvez vérifier que ces flux arrivent en tapant : |
|---|
| 76 | |
|---|
| 77 | # tcpdump -v udp port 9009 |
|---|
| 78 | |
|---|
| 79 | Pour les besoins de ces exercices, nous supposerons que vous êtes sur un PC recevant uniquement les flux provenant du routeur de passerelle et nous utiliserons le port 9009. |
|---|
| 80 | |
|---|
| 81 | |
|---|
| 82 | Configurer votre collecteur : |
|---|
| 83 | ------------------------ |
|---|
| 84 | |
|---|
| 85 | 1. Installez NFdump |
|---|
| 86 | |
|---|
| 87 | Nfdump est le collecteur de flux de Netflow |
|---|
| 88 | |
|---|
| 89 | Nous allons installer plusieurs paquets supplémentaires dont nous aurons besoin un peu plus tard : |
|---|
| 90 | |
|---|
| 91 | Installez-les uniquement si vous n'avez pas déjà installé mrtg et rrdtool : |
|---|
| 92 | |
|---|
| 93 | # apt-get install rrdtool |
|---|
| 94 | # apt-get install librrds-perl |
|---|
| 95 | # apt-get install librrdp-perl |
|---|
| 96 | # apt-get install mrtg |
|---|
| 97 | # aot-get install libmailtools-perl |
|---|
| 98 | |
|---|
| 99 | Si mrtg et rrdtool sont déjà installés, il vous suffit de taper les lignes suivantes : |
|---|
| 100 | |
|---|
| 101 | # apt-get install librrd-dev |
|---|
| 102 | # apt-get install nfdump |
|---|
| 103 | |
|---|
| 104 | Ou encore, sur une seule ligne : |
|---|
| 105 | |
|---|
| 106 | # apt-get install rrdtool mrtg librrds-perl librrdp-perl librrd-dev nfdump libmailtools-perl |
|---|
| 107 | |
|---|
| 108 | Cela permet d'installer, entre autres, nfcapd, nfdump, nfreplay, nfexpire, nftest, nfgen |
|---|
| 109 | |
|---|
| 110 | |
|---|
| 111 | 2. Installation et configuration de NfSen (connecté en tant qu'utilisateur root) |
|---|
| 112 | |
|---|
| 113 | # cd /usr/local/src # wget http://noc.ws.nsrc.org/software/nfsen-1.3.5.tar.gz |
|---|
| 114 | # tar xvzf nfsen-1.3.5.tar.gz |
|---|
| 115 | # cd nfsen-1.3.5 |
|---|
| 116 | # cd etc |
|---|
| 117 | # cp nfsen-dist.conf nfsen.conf |
|---|
| 118 | # joe nfsen.conf |
|---|
| 119 | |
|---|
| 120 | Définissez la variable $BASEDIR |
|---|
| 121 | |
|---|
| 122 | $BASEDIR="/var/nfsen"; |
|---|
| 123 | |
|---|
| 124 | Définissez correctement les utilisateurs afin qu'Apache puisse accéder aux fichiers : |
|---|
| 125 | |
|---|
| 126 | $WWWUSER = 'www-data'; |
|---|
| 127 | $WWWGROUP = 'www-data' |
|---|
| 128 | |
|---|
| 129 | Modifiez le chemin des outils en fonction de l'endroit où se trouvent réellement les éléments : |
|---|
| 130 | |
|---|
| 131 | # nfdump tools path |
|---|
| 132 | $PREFIX = '/usr/bin'; |
|---|
| 133 | |
|---|
| 134 | Spécifiez un tampon de petite taille, de façon à ce que les données soient rapidement visibles. |
|---|
| 135 | |
|---|
| 136 | # Receive buffer size for nfcapd - see man page nfcapd(1) |
|---|
| 137 | $BUFFLEN = 2000; |
|---|
| 138 | |
|---|
| 139 | Modifiez la définition %sources comme indiqué ci-dessous : |
|---|
| 140 | |
|---|
| 141 | %sources=( |
|---|
| 142 | 'rtrX'=>{'port'=>'9009','col'=>'#0000ff','type'=>'netflow'}, |
|---|
| 143 | ); |
|---|
| 144 | Enregistrez et fermez le fichier. |
|---|
| 145 | |
|---|
| 146 | |
|---|
| 147 | 3. Créez l'utilisateur NetFlow sur le système |
|---|
| 148 | |
|---|
| 149 | # useradd -d /var/netflow -G www-data -m -s /bin/false netflow |
|---|
| 150 | |
|---|
| 151 | |
|---|
| 152 | 4. Initialisez NfSen. Chaque fois que vous apporterez des modifications à nfsen.conf vous devrez répéter cette étape. |
|---|
| 153 | |
|---|
| 154 | Assurez-vous que nous sommes au bon emplacement : |
|---|
| 155 | |
|---|
| 156 | # cd /usr/local/src/nfsen-1.3.5 |
|---|
| 157 | |
|---|
| 158 | Maintenant, enfin, nous allons installer : |
|---|
| 159 | |
|---|
| 160 | # perl install.pl etc/nfsen.conf |
|---|
| 161 | |
|---|
| 162 | Démarrez NfSen |
|---|
| 163 | |
|---|
| 164 | cd /var/nfsen/bin |
|---|
| 165 | ./nfsen start |
|---|
| 166 | |
|---|
| 167 | |
|---|
| 168 | 5. Visualisez les flux sur le Web : |
|---|
| 169 | |
|---|
| 170 | # apt-get install php5 |
|---|
| 171 | Vous pouvez trouver la sortie nfsen à l'adresse suivante : |
|---|
| 172 | |
|---|
| 173 | http://pcN.ws.nsrc.org/nfsen/nfsen.php |
|---|
| 174 | |
|---|
| 175 | 6. Vérifiez que des flux arrivent : |
|---|
| 176 | |
|---|
| 177 | En supposant que vous exportez des flux à partir d'un ou plusieurs routeurs vers votre boîtier collecteur sur le port 9009, vous pourrez contrôler que des données arrivent avec la commande tcpdump : |
|---|
| 178 | |
|---|
| 179 | # tcpdump -v udp port 9009 |
|---|
| 180 | |
|---|
| 181 | |
|---|
| 182 | 7. Complétez votre configuration Netflow (Ceci n'est qu'un exemple- Nous n'allons pas le faire) |
|---|
| 183 | |
|---|
| 184 | Retournez à l'endroit où vous avez extrait votre distribution nfsen. |
|---|
| 185 | |
|---|
| 186 | # cd /usr/local/src/nfsen-1.3.5 |
|---|
| 187 | # vi etc/nfsen.conf |
|---|
| 188 | |
|---|
| 189 | Mettez vos sources à jour en fonction des nouveaux éléments que vous pourriez avoir.. |
|---|
| 190 | (Ceci n'est qu'un exemple !) |
|---|
| 191 | |
|---|
| 192 | %sources = ( |
|---|
| 193 | 'rtr' => {'port' => '9000', 'col' => 'e4e4e4' }, |
|---|
| 194 | 'rtr2' => { 'port' => '9001', 'col' => '#0000ff' }, |
|---|
| 195 | 'rtr3' => { 'port' => '9002','col' => '#00cc00' }, |
|---|
| 196 | 'rtr4' => { 'port' => '9003','col' => '#000000' }, |
|---|
| 197 | 'rtr5' => { 'port' => '9004','col' => '#ff0000' }, |
|---|
| 198 | 'rtr6' => { 'port' => '9005','col' => '#ffff00' }, |
|---|
| 199 | ); |
|---|
| 200 | |
|---|
| 201 | Enregistrez et fermez le fichier nfsend.conf. |
|---|
| 202 | |
|---|
| 203 | Rappelez-vous que vous avez modifié nfsen.conf ; vous devez donc ré-exécuter le script d'installation : |
|---|
| 204 | |
|---|
| 205 | # perl install.pl etc/nfsen.conf |
|---|
| 206 | |
|---|
| 207 | Maintenant démarrez et arrêtez nfsen : |
|---|
| 208 | |
|---|
| 209 | # /var/nfsen/bin/nfsen stop |
|---|
| 210 | # /var/nfsen/bin/nfsen start |
|---|
| 211 | |
|---|
| 212 | Vous pouvez ajouter le script de démarrage nfsen dans /etc/init.d/rc.local ou dans un emplacement similaire afin de le lancer au démarrage.) |
|---|
| 213 | |
|---|
| 214 | |
|---|
| 215 | 8. Installation du plugin PortTracker (facultatif ou à titre de référence) |
|---|
| 216 | |
|---|
| 217 | - Allez dans le répertoire PortTracker dans la distribution des sources nfsen : |
|---|
| 218 | |
|---|
| 219 | # cd /usr/local/src/nfsen-1.3.5/contrib/PortTracker |
|---|
| 220 | |
|---|
| 221 | # joe do_compile |
|---|
| 222 | |
|---|
| 223 | # path of nfdump sources |
|---|
| 224 | NFDUMP="/home/sysadmin/nfdump-1.6.2" |
|---|
| 225 | |
|---|
| 226 | # path of rrd include file rrd.h |
|---|
| 227 | RRDINCLUDE=/usr/include |
|---|
| 228 | |
|---|
| 229 | # path of rrd library LIBRRD=/usr/lib |
|---|
| 230 | |
|---|
| 231 | |
|---|
| 232 | - Compilez nftrack : |
|---|
| 233 | |
|---|
| 234 | # ./do_compile |
|---|
| 235 | |
|---|
| 236 | ... |
|---|
| 237 | |
|---|
| 238 | # cp nftrack /usr/local/bin/ |
|---|
| 239 | |
|---|
| 240 | - Créez un répertoire pour les données nftrack |
|---|
| 241 | |
|---|
| 242 | # mkdir -p /var/log/netflow/porttracker |
|---|
| 243 | |
|---|
| 244 | - Placez le répertoire des données nftrack dans le module PortTracker.pm : |
|---|
| 245 | |
|---|
| 246 | # joe PortTracker.pm |
|---|
| 247 | |
|---|
| 248 | ... |
|---|
| 249 | |
|---|
| 250 | my $PORTSDBDIR = "/var/log/netflow/porttracker"; |
|---|
| 251 | |
|---|
| 252 | ... |
|---|
| 253 | |
|---|
| 254 | - Installez les plugins dans la distribution NFSen |
|---|
| 255 | |
|---|
| 256 | # cp PortTracker.pm /var/nfsen/plugins/ |
|---|
| 257 | # cp PortTracker.php /var/www/nfsen/plugins/ |
|---|
| 258 | |
|---|
| 259 | - Ajoutez la définition des plugins dans la configuration nfsen.conf |
|---|
| 260 | |
|---|
| 261 | # cd ~/nfsen-1.3.5 |
|---|
| 262 | # vi etc/nfsen.conf |
|---|
| 263 | |
|---|
| 264 | ... |
|---|
| 265 | |
|---|
| 266 | @plugins = ( |
|---|
| 267 | [ 'live', 'PortTracker'], |
|---|
| 268 | ); |
|---|
| 269 | ... |
|---|
| 270 | |
|---|
| 271 | - Ré-exécuter l'installation (répondez aux questions) |
|---|
| 272 | |
|---|
| 273 | # perl install.pl etc/nfsen.conf |
|---|
| 274 | |
|---|
| 275 | - Initialisez les fichiers de la base de données portracker |
|---|
| 276 | |
|---|
| 277 | # sudo -u www-data nftrack -I -d /var/log/netflow/porttracker |
|---|
| 278 | |
|---|
| 279 | (Cela peut prendre un certain temps ! - 8 Go de fichiers seront créés) |
|---|
| 280 | |
|---|
| 281 | - Définissez les autorisations de façon à ce que l'utilisateur netflow exécutant nfsen, et l'utilisateur www-data exécutant l'interface Web puissent accéder aux données PortTracker : |
|---|
| 282 | |
|---|
| 283 | # chown -R netflow:www-data /var/log/netflow/porttracker |
|---|
| 284 | # chmod -R 775 /var/log/netflow/porttracker |
|---|
| 285 | |
|---|
| 286 | - Rechargez : |
|---|
| 287 | |
|---|
| 288 | # /var/nfsen/bin/nfsen reload |
|---|
| 289 | |
|---|
| 290 | - Vérifiez que le chargement a réussi : |
|---|
| 291 | |
|---|
| 292 | # grep -i 'porttracker.*success' /var/log/syslog |
|---|
| 293 | Nov 27 02:46:13 noc nfsen[17312]: Loading plugin 'PortTracker': Success |
|---|
| 294 | Nov 27 02:46:13 noc nfsen[17312]: Initializing plugin 'PortTracker': Success |
|---|
| 295 | |
|---|
| 296 | - Attendez quelques minutes, et ouvrez l'interface utilisateur graphique de nfsen |
|---|
| 297 | |
|---|
| 298 | http://pcN.ws.nsrc.org/nfsen/nfsen.php |
|---|
| 299 | |
|---|
| 300 | ... et sélectionnez l'onglet Plugins. |
|---|
| 301 | |
|---|
| 302 | |
|---|
| 303 | |
|---|