1 | % Supervision NetFlow |
---|
2 | % |
---|
3 | % Gestion et Surveillance de Réseau |
---|
4 | |
---|
5 | # Introduction |
---|
6 | |
---|
7 | ## Objectifs |
---|
8 | |
---|
9 | * Apprendre à exporter des flux depuis un routeur Cisco |
---|
10 | |
---|
11 | |
---|
12 | ## Notes |
---|
13 | |
---|
14 | * Les commandes précédées de "$" signifient que vous devez exécuter |
---|
15 | la commande en tant qu'utilisateur général - et non en tant |
---|
16 | qu'utilisateur root. |
---|
17 | * Les commandes précédées de "#" signifient que vous devez travailler |
---|
18 | en tant qu'utilisateur root. |
---|
19 | * Les commandes comportant des lignes de commande plus spécifiques |
---|
20 | (par exemple "rtrX>" ou "mysql>") signifient que vous exécutez |
---|
21 | des commandes sur des équipements à distance, ou dans un autre |
---|
22 | programme. |
---|
23 | |
---|
24 | # Exporter les flux depuis un routeur Cisco |
---|
25 | |
---|
26 | Vous allez configurer votre routeur pour exporter les flux vers tous |
---|
27 | vos PC dans votre groupe. |
---|
28 | |
---|
29 | Group 1, Routeur 1 |
---|
30 | ----------------- |
---|
31 | rtr1 ==> pc1 port 9001 |
---|
32 | rtr1 ==> pc2 port 9001 |
---|
33 | rtr1 ==> pc3 port 9001 |
---|
34 | rtr1 ==> pc4 port 9001 |
---|
35 | |
---|
36 | Group 2, Routeur 2 |
---|
37 | ----------------- |
---|
38 | rtr2 ==> pc5 port 9001 |
---|
39 | rtr2 ==> pc6 port 9001 |
---|
40 | rtr2 ==> pc7 port 9001 |
---|
41 | rtr2 ==> pc8 port 9001 |
---|
42 | |
---|
43 | etc. |
---|
44 | |
---|
45 | # Configuration |
---|
46 | |
---|
47 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
48 | $ ssh cisco@rtrX.ws.nsrc.org |
---|
49 | rtrX> enable |
---|
50 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
51 | |
---|
52 | Si ssh n'est pas encore activé: |
---|
53 | |
---|
54 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
55 | $ telnet 10.10.1.254 |
---|
56 | Username: cisco |
---|
57 | Password: |
---|
58 | Router1>enable |
---|
59 | Password: |
---|
60 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
61 | |
---|
62 | La section suivante active l'export des flux sur l'interface FastEthernet 0/0. |
---|
63 | Remplacer 10.10.X.Y avec l'IP de l'adresse du PC dans votre paire qui recevra |
---|
64 | les flux. |
---|
65 | |
---|
66 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
67 | rtrX# configure terminal |
---|
68 | rtrX(config)# flow exporter EXPORTER-1 |
---|
69 | rtrX(config-flow-exporter)# description Export vers pcX |
---|
70 | rtrX(config-flow-exporter)# destination 10.10.X.Y |
---|
71 | rtrX(config-flow-exporter)# transport udp 9001 |
---|
72 | rtrX(config-flow-exporter)# template data timeout 300 |
---|
73 | ... repeat for EXPORTER-2 et pcB |
---|
74 | ... repeat for EXPORTER-3 et pcC |
---|
75 | ... repeat for EXPORTER-4 et pcD |
---|
76 | rtrX(config-flow-exporter)# flow monitor FLOW-MONITOR-V4 |
---|
77 | rtrX(config-flow-monitor)# exporter EXPORTER-1 |
---|
78 | rtrX(config-flow-monitor)# exporter EXPORTER-2 |
---|
79 | rtrX(config-flow-monitor)# exporter EXPORTER-3 |
---|
80 | rtrX(config-flow-monitor)# exporter EXPORTER-4 |
---|
81 | rtrX(config-flow-monitor)# record netflow ipv4 original-input |
---|
82 | rtrX(config-flow-monitor)# cache timeout active 300 |
---|
83 | rtrX(config)# interface FastEthernet 0/0 |
---|
84 | rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 input |
---|
85 | rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 output |
---|
86 | rtrX(config-if)# exit |
---|
87 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
88 | |
---|
89 | Puisque vous n'avez pas spécifié de version de protocole pour le type |
---|
90 | des flux exportés, vous aurez la version par défaut qui est la Netflow v9. |
---|
91 | |
---|
92 | > Note: si vous vouliez recevoir les flux IPv6, il vous faudrait créeer un |
---|
93 | > nouveau moniteur de flux (flow monitor) pour IPv6 et l'attacher à une |
---|
94 | > interface et ensuite utiliser les exports déjà définis. |
---|
95 | > |
---|
96 | > ~~~ |
---|
97 | > flow monitor FLOW-MONITOR-V6 |
---|
98 | > exporter EXPORTER-1 |
---|
99 | > exporter EXPORTER-2 |
---|
100 | > exporter EXPORTER-3 |
---|
101 | > exporter EXPORTER-4 |
---|
102 | > record netflow ipv6 original-input |
---|
103 | > cache timeout active 300 |
---|
104 | > interface FastEthernet 0/0 |
---|
105 | > ipv6 flow monitor FLOW-MONITOR-V6 input |
---|
106 | > ipv6 flow monitor FLOW-MONITOR-V6 output |
---|
107 | > ~~~ |
---|
108 | |
---|
109 | Pensez également à ajouter: |
---|
110 | |
---|
111 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
112 | rtrX(config)# snmp-server ifindex persist |
---|
113 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
114 | |
---|
115 | Ceci active la persistence des index SNMP de vos interfaces. C'est pour |
---|
116 | garantir que les valeurs de ifIndex ne changent pas si vous ajoutez |
---|
117 | ou supprimez des modules interface à vos équipements réseau. |
---|
118 | |
---|
119 | Maintenant |
---|
120 | |
---|
121 | On va maintenant vérifier ce qu'on à fait: |
---|
122 | |
---|
123 | D'abord, on sort du mode de configuration: |
---|
124 | |
---|
125 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
126 | rtrX(config)# exit |
---|
127 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
128 | |
---|
129 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
130 | rtrX# show flow exporter EXPORTER-1 |
---|
131 | rtrX# show flow exporter EXPORTER-2 |
---|
132 | etc... |
---|
133 | rtrX# show flow monitor FLOW-MONITOR-V4 |
---|
134 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
135 | |
---|
136 | Il est possible de voir les flux individuels qui sont actifs sur |
---|
137 | le routeur: |
---|
138 | |
---|
139 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
140 | rtrX# show flow monitor FLOW-MONITOR-V4 cache |
---|
141 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
142 | |
---|
143 | Mais il y aura des milliers de flux distincts, donc ce n'est pas très utile. |
---|
144 | |
---|
145 | Appuyez sur 'q' pour quitter si besoin est. |
---|
146 | |
---|
147 | À la place, grouper les flux en les triant pour voir les "top talkers" |
---|
148 | (les gros consommateurs/émetteurs en destination et source). C'est une seule |
---|
149 | commande, mais très longue: |
---|
150 | |
---|
151 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
152 | rtrX# show flow monitor FLOW-MONITOR-V4 cache aggregate ipv4 source address |
---|
153 | ipv4 destination address sort counter bytes top 20 |
---|
154 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
155 | |
---|
156 | Si cela a l'air ok, alors écrire la configuration running-config dans |
---|
157 | la NVRAM (c'est à dire la configiration de démarrage): |
---|
158 | |
---|
159 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
160 | rtrX#wr mem |
---|
161 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
162 | |
---|
163 | Vous pouvez maintenant quitter le routeur: |
---|
164 | |
---|
165 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
166 | rtrX#exit |
---|
167 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
168 | |
---|
169 | Assurez-vous d'avoir installé l'outil tcpdump: |
---|
170 | |
---|
171 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
172 | $ sudo apt-get install tcpdump |
---|
173 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
174 | |
---|
175 | Vérifier que les flux arrivent bien depuis votre routeur, jusqu'à votre PC: |
---|
176 | |
---|
177 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
178 | $ sudo tcpdump -i eth0 -nn -Tcnfp port 9001 |
---|
179 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
180 | |
---|
181 | Attendez quelques secondes, et vous devriez voir quelque chose ressemblant |
---|
182 | à ceci: |
---|
183 | |
---|
184 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
185 | 06:12:00.953450 IP s2.ws.nsrc.org.54538 > noc.ws.nsrc.org.9009: NetFlow v5, 9222.333 uptime, 1359871921.013782000, #906334, 30 recs |
---|
186 | started 8867.952, last 8867.952 |
---|
187 | 10.10.0.241/0:0:53 > 10.10.0.250/0:0:49005 >> 0.0.0.0 |
---|
188 | udp tos 0, 1 (136 octets) |
---|
189 | started 8867.952, last 3211591.733 |
---|
190 | 10.10.0.241/10:0:0 > 0.0.0.0/10:0:4352 >> 0.0.0.0 |
---|
191 | ip tos 0, 62 (8867952 octets) |
---|
192 | [...] |
---|
193 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
---|
194 | |
---|
195 | Ce sont des paquets UDP contenant des enregistrement de flux distincts |
---|
196 | |
---|
197 | (Notez que l'exemple ci-dessus ne sera pas identique, comme la version de |
---|
198 | tcpdump ne décode pas toujours correctement le Netflow. |
---|
199 | |
---|
200 | Ce labo est terminé. |
---|
201 | |
---|
202 | Procédez à l'exercice 2 exercise2-install-nfdump-nfsen. |
---|