| 1 | % Supervision NetFlow |
|---|
| 2 | % |
|---|
| 3 | % Gestion et Surveillance de Réseau |
|---|
| 4 | |
|---|
| 5 | # Introduction |
|---|
| 6 | |
|---|
| 7 | ## Objectifs |
|---|
| 8 | |
|---|
| 9 | * Apprendre à exporter des flux depuis un routeur Cisco |
|---|
| 10 | |
|---|
| 11 | |
|---|
| 12 | ## Notes |
|---|
| 13 | |
|---|
| 14 | * Les commandes précédées de "$" signifient que vous devez exécuter |
|---|
| 15 | la commande en tant qu'utilisateur général - et non en tant |
|---|
| 16 | qu'utilisateur root. |
|---|
| 17 | * Les commandes précédées de "#" signifient que vous devez travailler |
|---|
| 18 | en tant qu'utilisateur root. |
|---|
| 19 | * Les commandes comportant des lignes de commande plus spécifiques |
|---|
| 20 | (par exemple "rtrX>" ou "mysql>") signifient que vous exécutez |
|---|
| 21 | des commandes sur des équipements à distance, ou dans un autre |
|---|
| 22 | programme. |
|---|
| 23 | |
|---|
| 24 | # Exporter les flux depuis un routeur Cisco |
|---|
| 25 | |
|---|
| 26 | Vous allez configurer votre routeur pour exporter les flux vers tous |
|---|
| 27 | vos PC dans votre groupe. |
|---|
| 28 | |
|---|
| 29 | Group 1, Routeur 1 |
|---|
| 30 | ----------------- |
|---|
| 31 | rtr1 ==> pc1 port 9001 |
|---|
| 32 | rtr1 ==> pc2 port 9001 |
|---|
| 33 | rtr1 ==> pc3 port 9001 |
|---|
| 34 | rtr1 ==> pc4 port 9001 |
|---|
| 35 | |
|---|
| 36 | Group 2, Routeur 2 |
|---|
| 37 | ----------------- |
|---|
| 38 | rtr2 ==> pc5 port 9001 |
|---|
| 39 | rtr2 ==> pc6 port 9001 |
|---|
| 40 | rtr2 ==> pc7 port 9001 |
|---|
| 41 | rtr2 ==> pc8 port 9001 |
|---|
| 42 | |
|---|
| 43 | etc. |
|---|
| 44 | |
|---|
| 45 | # Configuration |
|---|
| 46 | |
|---|
| 47 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 48 | $ ssh cisco@rtrX.ws.nsrc.org |
|---|
| 49 | rtrX> enable |
|---|
| 50 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 51 | |
|---|
| 52 | Si ssh n'est pas encore activé: |
|---|
| 53 | |
|---|
| 54 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 55 | $ telnet 10.10.1.254 |
|---|
| 56 | Username: cisco |
|---|
| 57 | Password: |
|---|
| 58 | Router1>enable |
|---|
| 59 | Password: |
|---|
| 60 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 61 | |
|---|
| 62 | La section suivante active l'export des flux sur l'interface FastEthernet 0/0. |
|---|
| 63 | Remplacer 10.10.X.Y avec l'IP de l'adresse du PC dans votre paire qui recevra |
|---|
| 64 | les flux. |
|---|
| 65 | |
|---|
| 66 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 67 | rtrX# configure terminal |
|---|
| 68 | rtrX(config)# flow exporter EXPORTER-1 |
|---|
| 69 | rtrX(config-flow-exporter)# description Export vers pcX |
|---|
| 70 | rtrX(config-flow-exporter)# destination 10.10.X.Y |
|---|
| 71 | rtrX(config-flow-exporter)# transport udp 9001 |
|---|
| 72 | rtrX(config-flow-exporter)# template data timeout 300 |
|---|
| 73 | ... repeat for EXPORTER-2 et pcB |
|---|
| 74 | ... repeat for EXPORTER-3 et pcC |
|---|
| 75 | ... repeat for EXPORTER-4 et pcD |
|---|
| 76 | rtrX(config-flow-exporter)# flow monitor FLOW-MONITOR-V4 |
|---|
| 77 | rtrX(config-flow-monitor)# exporter EXPORTER-1 |
|---|
| 78 | rtrX(config-flow-monitor)# exporter EXPORTER-2 |
|---|
| 79 | rtrX(config-flow-monitor)# exporter EXPORTER-3 |
|---|
| 80 | rtrX(config-flow-monitor)# exporter EXPORTER-4 |
|---|
| 81 | rtrX(config-flow-monitor)# record netflow ipv4 original-input |
|---|
| 82 | rtrX(config-flow-monitor)# cache timeout active 300 |
|---|
| 83 | rtrX(config)# interface FastEthernet 0/0 |
|---|
| 84 | rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 input |
|---|
| 85 | rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 output |
|---|
| 86 | rtrX(config-if)# exit |
|---|
| 87 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 88 | |
|---|
| 89 | Puisque vous n'avez pas spécifié de version de protocole pour le type |
|---|
| 90 | des flux exportés, vous aurez la version par défaut qui est la Netflow v9. |
|---|
| 91 | |
|---|
| 92 | > Note: si vous vouliez recevoir les flux IPv6, il vous faudrait créeer un |
|---|
| 93 | > nouveau moniteur de flux (flow monitor) pour IPv6 et l'attacher à une |
|---|
| 94 | > interface et ensuite utiliser les exports déjà définis. |
|---|
| 95 | > |
|---|
| 96 | > ~~~ |
|---|
| 97 | > flow monitor FLOW-MONITOR-V6 |
|---|
| 98 | > exporter EXPORTER-1 |
|---|
| 99 | > exporter EXPORTER-2 |
|---|
| 100 | > exporter EXPORTER-3 |
|---|
| 101 | > exporter EXPORTER-4 |
|---|
| 102 | > record netflow ipv6 original-input |
|---|
| 103 | > cache timeout active 300 |
|---|
| 104 | > interface FastEthernet 0/0 |
|---|
| 105 | > ipv6 flow monitor FLOW-MONITOR-V6 input |
|---|
| 106 | > ipv6 flow monitor FLOW-MONITOR-V6 output |
|---|
| 107 | > ~~~ |
|---|
| 108 | |
|---|
| 109 | Pensez également à ajouter: |
|---|
| 110 | |
|---|
| 111 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 112 | rtrX(config)# snmp-server ifindex persist |
|---|
| 113 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 114 | |
|---|
| 115 | Ceci active la persistence des index SNMP de vos interfaces. C'est pour |
|---|
| 116 | garantir que les valeurs de ifIndex ne changent pas si vous ajoutez |
|---|
| 117 | ou supprimez des modules interface à vos équipements réseau. |
|---|
| 118 | |
|---|
| 119 | Maintenant |
|---|
| 120 | |
|---|
| 121 | On va maintenant vérifier ce qu'on à fait: |
|---|
| 122 | |
|---|
| 123 | D'abord, on sort du mode de configuration: |
|---|
| 124 | |
|---|
| 125 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 126 | rtrX(config)# exit |
|---|
| 127 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 128 | |
|---|
| 129 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 130 | rtrX# show flow exporter EXPORTER-1 |
|---|
| 131 | rtrX# show flow exporter EXPORTER-2 |
|---|
| 132 | etc... |
|---|
| 133 | rtrX# show flow monitor FLOW-MONITOR-V4 |
|---|
| 134 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 135 | |
|---|
| 136 | Il est possible de voir les flux individuels qui sont actifs sur |
|---|
| 137 | le routeur: |
|---|
| 138 | |
|---|
| 139 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 140 | rtrX# show flow monitor FLOW-MONITOR-V4 cache |
|---|
| 141 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 142 | |
|---|
| 143 | Mais il y aura des milliers de flux distincts, donc ce n'est pas très utile. |
|---|
| 144 | |
|---|
| 145 | Appuyez sur 'q' pour quitter si besoin est. |
|---|
| 146 | |
|---|
| 147 | À la place, grouper les flux en les triant pour voir les "top talkers" |
|---|
| 148 | (les gros consommateurs/émetteurs en destination et source). C'est une seule |
|---|
| 149 | commande, mais très longue: |
|---|
| 150 | |
|---|
| 151 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 152 | rtrX# show flow monitor FLOW-MONITOR-V4 cache aggregate ipv4 source address |
|---|
| 153 | ipv4 destination address sort counter bytes top 20 |
|---|
| 154 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 155 | |
|---|
| 156 | Si cela a l'air ok, alors écrire la configuration running-config dans |
|---|
| 157 | la NVRAM (c'est à dire la configiration de démarrage): |
|---|
| 158 | |
|---|
| 159 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 160 | rtrX#wr mem |
|---|
| 161 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 162 | |
|---|
| 163 | Vous pouvez maintenant quitter le routeur: |
|---|
| 164 | |
|---|
| 165 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 166 | rtrX#exit |
|---|
| 167 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 168 | |
|---|
| 169 | Assurez-vous d'avoir installé l'outil tcpdump: |
|---|
| 170 | |
|---|
| 171 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 172 | $ sudo apt-get install tcpdump |
|---|
| 173 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 174 | |
|---|
| 175 | Vérifier que les flux arrivent bien depuis votre routeur, jusqu'à votre PC: |
|---|
| 176 | |
|---|
| 177 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 178 | $ sudo tcpdump -i eth0 -nn -Tcnfp port 9001 |
|---|
| 179 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 180 | |
|---|
| 181 | Attendez quelques secondes, et vous devriez voir quelque chose ressemblant |
|---|
| 182 | à ceci: |
|---|
| 183 | |
|---|
| 184 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 185 | 06:12:00.953450 IP s2.ws.nsrc.org.54538 > noc.ws.nsrc.org.9009: NetFlow v5, 9222.333 uptime, 1359871921.013782000, #906334, 30 recs |
|---|
| 186 | started 8867.952, last 8867.952 |
|---|
| 187 | 10.10.0.241/0:0:53 > 10.10.0.250/0:0:49005 >> 0.0.0.0 |
|---|
| 188 | udp tos 0, 1 (136 octets) |
|---|
| 189 | started 8867.952, last 3211591.733 |
|---|
| 190 | 10.10.0.241/10:0:0 > 0.0.0.0/10:0:4352 >> 0.0.0.0 |
|---|
| 191 | ip tos 0, 62 (8867952 octets) |
|---|
| 192 | [...] |
|---|
| 193 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 194 | |
|---|
| 195 | Ce sont des paquets UDP contenant des enregistrement de flux distincts |
|---|
| 196 | |
|---|
| 197 | (Notez que l'exemple ci-dessus ne sera pas identique, comme la version de |
|---|
| 198 | tcpdump ne décode pas toujours correctement le Netflow. |
|---|
| 199 | |
|---|
| 200 | Ce labo est terminé. |
|---|
| 201 | |
|---|
| 202 | Procédez à l'exercice 2 exercise2-install-nfdump-nfsen. |
|---|
