1 Introduction

1.1 Objectifs

Apprendre à exporter des flux depuis un routeur Cisco

1.2 Notes

Les commandes précédées de "$" signifient que vous devez exécuter la commande en tant qu'utilisateur général - et non en tant qu'utilisateur root.
Les commandes précédées de "#" signifient que vous devez travailler en tant qu'utilisateur root.
Les commandes comportant des lignes de commande plus spécifiques (par exemple "rtrX>" ou "mysql>") signifient que vous exécutez des commandes sur des équipements à distance, ou dans un autre programme.

2 Exporter les flux depuis un routeur Cisco

Vous allez configurer votre routeur pour exporter les flux vers tous vos PC dans votre groupe.

2.1 Group 1, Routeur 1

rtr1 ==> pc1 port 9001 rtr1 ==> pc2 port 9001 rtr1 ==> pc3 port 9001 rtr1 ==> pc4 port 9001

2.2 Group 2, Routeur 2

rtr2 ==> pc5 port 9001 rtr2 ==> pc6 port 9001 rtr2 ==> pc7 port 9001 rtr2 ==> pc8 port 9001

etc.

3 Configuration

$ ssh cisco@rtrX.ws.nsrc.org
rtrX> enable

Si ssh n'est pas encore activé:

$ telnet 10.10.1.254
Username: cisco
Password:
Router1>enable
Password:

La section suivante active l'export des flux sur l'interface FastEthernet 0/0. Remplacer 10.10.X.Y avec l'IP de l'adresse du PC dans votre paire qui recevra les flux.

rtrX# configure terminal
rtrX(config)# flow exporter EXPORTER-1
rtrX(config-flow-exporter)# description Export vers pcA
rtrX(config-flow-exporter)# destination 10.10.X.A
rtrX(config-flow-exporter)# transport udp 9001
rtrX(config-flow-exporter)# template data timeout 300
... repeat for EXPORTER-2 et pcB
... repeat for EXPORTER-3 et pcC
... repeat for EXPORTER-4 et pcD
rtrX(config-flow-exporter)# flow monitor FLOW-MONITOR-V4
rtrX(config-flow-monitor)# exporter EXPORTER-1
rtrX(config-flow-monitor)# exporter EXPORTER-2
rtrX(config-flow-monitor)# exporter EXPORTER-3
rtrX(config-flow-monitor)# exporter EXPORTER-4
rtrX(config-flow-monitor)# record netflow ipv4 original-input
rtrX(config-flow-monitor)# cache timeout active 300
rtrX(config)# interface FastEthernet 0/0
rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 input
rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 output
rtrX(config-if)# exit

Puisque vous n'avez pas spécifié de version de protocole pour le type des flux exportés, vous aurez la version par défaut qui est la Netflow v9.

Note: si vous vouliez recevoir les flux IPv6, il vous faudrait créeer un nouveau moniteur de flux (flow monitor) pour IPv6 et l'attacher à une interface et ensuite utiliser les exports déjà définis.
flow monitor FLOW-MONITOR-V6
 exporter EXPORTER-1
 exporter EXPORTER-2
 exporter EXPORTER-3
 exporter EXPORTER-4
 record netflow ipv6 original-input
 cache timeout active 300
interface FastEthernet 0/0
 ipv6 flow monitor FLOW-MONITOR-V6 input
 ipv6 flow monitor FLOW-MONITOR-V6 output

Pensez également à ajouter:

rtrX(config)# snmp-server ifindex persist

Ceci active la persistence des index SNMP de vos interfaces. C'est pour garantir que les valeurs de ifIndex ne changent pas si vous ajoutez ou supprimez des modules interface à vos équipements réseau.

Maintenant

On va maintenant vérifier ce qu'on à fait:

D'abord, on sort du mode de configuration:

rtrX(config)# exit

rtrX# show flow exporter EXPORTER-1
rtrX# show flow exporter EXPORTER-2
etc...
rtrX# show flow monitor FLOW-MONITOR-V4

Il est possible de voir les flux individuels qui sont actifs sur le routeur:

rtrX# show flow monitor FLOW-MONITOR-V4 cache

Mais il y aura des milliers de flux distincts, donc ce n'est pas très utile.

Appuyez sur 'q' pour quitter si besoin est.

À la place, grouper les flux en les triant pour voir les "top talkers" (les gros consommateurs/émetteurs en destination et source). C'est une seule commande, mais très longue:

rtrX# show flow monitor FLOW-MONITOR-V4 cache aggregate ipv4 source address
      ipv4 destination address sort counter bytes top 20

Si cela a l'air ok, alors écrire la configuration running-config dans la NVRAM (c'est à dire la configiration de démarrage):

rtrX#wr mem

Vous pouvez maintenant quitter le routeur:

rtrX#exit

Assurez-vous d'avoir installé l'outil tcpdump:

$ sudo apt-get install tcpdump

Vérifier que les flux arrivent bien depuis votre routeur, jusqu'à votre PC:

$ sudo tcpdump -i eth0 -nn -Tcnfp port 9001

Attendez quelques secondes, et vous devriez voir quelque chose ressemblant à ceci:

06:12:00.953450 IP s2.ws.nsrc.org.54538 > noc.ws.nsrc.org.9009: NetFlow v5, 9222.333 uptime, 1359871921.013782000, #906334, 30 recs
  started 8867.952, last 8867.952
    10.10.0.241/0:0:53 > 10.10.0.250/0:0:49005 >> 0.0.0.0
    udp tos 0, 1 (136 octets)
  started 8867.952, last 3211591.733
    10.10.0.241/10:0:0 > 0.0.0.0/10:0:4352 >> 0.0.0.0
    ip tos 0, 62 (8867952 octets)
[...]

Ce sont des paquets UDP contenant des enregistrement de flux distincts

(Notez que l'exemple ci-dessus ne sera pas identique, comme la version de tcpdump ne décode pas toujours correctement le Netflow.

Ce labo est terminé.

Procédez à l'exercice 2 exercise2-install-nfdump-nfsen.

Supervision NetFlow

Gestion et Surveillance de Réseau