% Supervision NetFlow % % Gestion et Surveillance de Réseau # Introduction ## Objectifs * Apprendre à exporter des flux depuis un routeur Cisco ## Notes * Les commandes précédées de "$" signifient que vous devez exécuter la commande en tant qu'utilisateur général - et non en tant qu'utilisateur root. * Les commandes précédées de "#" signifient que vous devez travailler en tant qu'utilisateur root. * Les commandes comportant des lignes de commande plus spécifiques (par exemple "rtrX>" ou "mysql>") signifient que vous exécutez des commandes sur des équipements à distance, ou dans un autre programme. # Exporter les flux depuis un routeur Cisco Vous allez configurer votre routeur pour exporter les flux vers tous vos PC dans votre groupe. Group 1, Routeur 1 ----------------- rtr1 ==> pc1 port 9001 rtr1 ==> pc2 port 9001 rtr1 ==> pc3 port 9001 rtr1 ==> pc4 port 9001 Group 2, Routeur 2 ----------------- rtr2 ==> pc5 port 9001 rtr2 ==> pc6 port 9001 rtr2 ==> pc7 port 9001 rtr2 ==> pc8 port 9001 etc. # Configuration ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ $ ssh cisco@rtrX.ws.nsrc.org rtrX> enable ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Si ssh n'est pas encore activé: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ $ telnet 10.10.1.254 Username: cisco Password: Router1>enable Password: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ La section suivante active l'export des flux sur l'interface FastEthernet 0/0. Remplacer 10.10.X.Y avec l'IP de l'adresse du PC dans votre paire qui recevra les flux. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ rtrX# configure terminal rtrX(config)# flow exporter EXPORTER-1 rtrX(config-flow-exporter)# description Export vers pcX rtrX(config-flow-exporter)# destination 10.10.X.Y rtrX(config-flow-exporter)# transport udp 9001 rtrX(config-flow-exporter)# template data timeout 300 ... repeat for EXPORTER-2 et pcB ... repeat for EXPORTER-3 et pcC ... repeat for EXPORTER-4 et pcD rtrX(config-flow-exporter)# flow monitor FLOW-MONITOR-V4 rtrX(config-flow-monitor)# exporter EXPORTER-1 rtrX(config-flow-monitor)# exporter EXPORTER-2 rtrX(config-flow-monitor)# exporter EXPORTER-3 rtrX(config-flow-monitor)# exporter EXPORTER-4 rtrX(config-flow-monitor)# record netflow ipv4 original-input rtrX(config-flow-monitor)# cache timeout active 300 rtrX(config)# interface FastEthernet 0/0 rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 input rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 output rtrX(config-if)# exit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Puisque vous n'avez pas spécifié de version de protocole pour le type des flux exportés, vous aurez la version par défaut qui est la Netflow v9. > Note: si vous vouliez recevoir les flux IPv6, il vous faudrait créeer un > nouveau moniteur de flux (flow monitor) pour IPv6 et l'attacher à une > interface et ensuite utiliser les exports déjà définis. > > ~~~ > flow monitor FLOW-MONITOR-V6 > exporter EXPORTER-1 > exporter EXPORTER-2 > exporter EXPORTER-3 > exporter EXPORTER-4 > record netflow ipv6 original-input > cache timeout active 300 > interface FastEthernet 0/0 > ipv6 flow monitor FLOW-MONITOR-V6 input > ipv6 flow monitor FLOW-MONITOR-V6 output > ~~~ Pensez également à ajouter: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ rtrX(config)# snmp-server ifindex persist ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ceci active la persistence des index SNMP de vos interfaces. C'est pour garantir que les valeurs de ifIndex ne changent pas si vous ajoutez ou supprimez des modules interface à vos équipements réseau. Maintenant On va maintenant vérifier ce qu'on à fait: D'abord, on sort du mode de configuration: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ rtrX(config)# exit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ rtrX# show flow exporter EXPORTER-1 rtrX# show flow exporter EXPORTER-2 etc... rtrX# show flow monitor FLOW-MONITOR-V4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Il est possible de voir les flux individuels qui sont actifs sur le routeur: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ rtrX# show flow monitor FLOW-MONITOR-V4 cache ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mais il y aura des milliers de flux distincts, donc ce n'est pas très utile. Appuyez sur 'q' pour quitter si besoin est. À la place, grouper les flux en les triant pour voir les "top talkers" (les gros consommateurs/émetteurs en destination et source). C'est une seule commande, mais très longue: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ rtrX# show flow monitor FLOW-MONITOR-V4 cache aggregate ipv4 source address ipv4 destination address sort counter bytes top 20 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Si cela a l'air ok, alors écrire la configuration running-config dans la NVRAM (c'est à dire la configiration de démarrage): ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ rtrX#wr mem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Vous pouvez maintenant quitter le routeur: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ rtrX#exit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Assurez-vous d'avoir installé l'outil tcpdump: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ $ sudo apt-get install tcpdump ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Vérifier que les flux arrivent bien depuis votre routeur, jusqu'à votre PC: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ $ sudo tcpdump -i eth0 -nn -Tcnfp port 9001 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Attendez quelques secondes, et vous devriez voir quelque chose ressemblant à ceci: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 06:12:00.953450 IP s2.ws.nsrc.org.54538 > noc.ws.nsrc.org.9009: NetFlow v5, 9222.333 uptime, 1359871921.013782000, #906334, 30 recs started 8867.952, last 8867.952 10.10.0.241/0:0:53 > 10.10.0.250/0:0:49005 >> 0.0.0.0 udp tos 0, 1 (136 octets) started 8867.952, last 3211591.733 10.10.0.241/10:0:0 > 0.0.0.0/10:0:4352 >> 0.0.0.0 ip tos 0, 62 (8867952 octets) [...] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ce sont des paquets UDP contenant des enregistrement de flux distincts (Notez que l'exemple ci-dessus ne sera pas identique, comme la version de tcpdump ne décode pas toujours correctement le Netflow. Ce labo est terminé. Procédez à l'exercice 2 exercise2-install-nfdump-nfsen.