supervision réseau (snmp netflow)

37
SUPERVISION DES RÉSEAUX INFORMATIQUES SNMP + NETFLOW Animé par : Fiad Alaa Djediden Med

Transcript of supervision réseau (snmp netflow)

Page 1: supervision réseau (snmp netflow)

SUPERVISION DES RÉSEAUX INFORMATIQUESSNMP + NETFLOW

Animé par :Fiad Alaa

Djediden Med

Page 2: supervision réseau (snmp netflow)

Introduction Le métier

d’administrateur devient de plus en plus complexe.

Un défi majeur pour l’équipe est de gagner en temps et en efficacité grâce à un bon outil de supervision.

Les systèmes d’information étant par nature complexes, leur supervision est indispensable.

Page 3: supervision réseau (snmp netflow)

Pourquoi un outil de supervision ? L’administrateur est prévenu rapidement

d’une situation anormale. Il dispose de plus d’informations

pertinentes et peut immédiatement s’atteler à la résolution du problème.

En outre, certaines ressources ne sont utilisées qu’occasionnellement, sans outil de supervision, l’erreur n’est pas remontée.

Les systèmes étant de plus en plus imbriqués, une simple erreur peut en produire un nombre incalculable d’autres (effet domino).

Page 4: supervision réseau (snmp netflow)
Page 5: supervision réseau (snmp netflow)

SNMP ? Simple Network Management Protocol. Protocole de communication entre agent

et station de gestion(NMS). Permet aux administrateurs réseau de

superviser, diagnostiquer et de gérer les équipements du réseau.

Développé par l’IETF. RFC 1157.

Page 6: supervision réseau (snmp netflow)

Différentes versions SNMP Le protocole SNMP a commencé à émerger dans les

années 1980 et a évolué en plusieurs versions. SNMPv1 : c'est la première version du protocole. La

sécurité de cette version est minimale, car elle est basée sur la connaissance entre les parties d'une chaîne de caractères appelée "communauté" ;

SNMPv2c : cette version du protocole est appelée "community string based SNMPv2". Elle améliore encore les requêtes protocolaires par rapport à SNMPv2p et utilise la sécurité par chaîne de caractères "communauté" de SNMPv1 ;

SNMPv3 : cette version, supportant les "proxies", est une combinaison de la sécurité basée sur les usagers, les types et les opérations définis dans SNMPv2p. La sécurité est basée sur les versions SNMPv2u et SNMPv2*.

Autres version rarement adoptées : SNMPsec , SNMPv2p, SNMPv2u , SNMPv2*

Page 7: supervision réseau (snmp netflow)

Que permet le protocole snmp ? Les buts du protocole SNMP sont de :

Connaître l'état global d'un équipement (actif, inactif, partiellement opérationnel...) ;

Gérer les évènements exceptionnels (perte d'un lien réseau, arrêt brutal d'un équipement...) ;

Analyser différents indicateurs afin d'anticiper les problèmes futurs (engorgement réseau...) ;

Agir sur certains éléments de la configuration des équipements.

Page 8: supervision réseau (snmp netflow)

Architecture globale

Page 9: supervision réseau (snmp netflow)

Architecture globale : Agent SNMP Un agent SNMP est un logiciel implanté sur un équipement à

superviser. Il s'agit souvent d'un équipement réseau (switch, hub, routeur...)

mais on trouve aussi des agents sur des serveurs.

Les superviseurs SNMPLe rôle d'un superviseur (NMS) SNMP est de :

• présenter (si possible de manière graphique), une vue de l'infrastructure supervisée avec l'état des différents équipements qui la composent.

• Dans les grosses infrastructures, il est courant que le superviseur SNMP affiche son écran sur un mur d'images dans la salle de supervision,

• communiquer avec les différents agents SNMP pour récupérer régulièrement les différents états des équipements

Exemples de superviseurs SNMP : HP OpenView, Nagios ,Zabbix

Page 10: supervision réseau (snmp netflow)

La communication SNMP

Page 11: supervision réseau (snmp netflow)

La communication SNMP :Messages du superviseur vers l'agent Les messages envoyés par le superviseur SNMP vers

l'agent SNMP sont : Message "Get Request" : ce message permet au

superviseur d'interroger un agent sur les valeurs d'un ou de plusieurs objets de la MIB ;

Message "Get Next Request" : ce message permet au superviseur d'interroger un agent pour obtenir la valeur de l'objet suivant dans l'arbre des objets de l'agent. Ce message permet de balayer des objets indexés de type tableau ;

Message "Get Bulk Request" : introduite avec la version 2 du protocole SNMP, ce message permet de mixer les messages "Get Request" et "Get Next Request" pour obtenir des blocs entiers de réponses de la part de l'agent ;

Message "Set Request" : ce message permet au superviseur de positionner ou modifier la valeur d'un objet dans l'agent ;

Page 12: supervision réseau (snmp netflow)

La communication SNMP :Messages de l'agent vers le superviseur Les messages envoyés par l'agent SNMP vers le

superviseur SNMP sont : Message "Get Response" : ce message est utilisé par l'agent

pour répondre aux messages envoyés par le superviseur ;

Message "Trap" : ce message est envoyé par l'agent à son superviseur de manière asynchrone pour signaler un événement, un changement d'état ou un défaut.

Message "Notification" : introduit avec la version 2 du protocole SNMP, ce message est similaire au message "Trap".

Message "Inform" : introduit avec la version 2 du protocole SNMP, ce message est envoyé par l'agent à son superviseur de manière asynchrone pour signaler un événement, un changement d'état ou un défaut. L'agent attend un acquittement de la part du superviseur et il y aura une retransmission en cas de non réponse.

Page 13: supervision réseau (snmp netflow)

La communication SNMP :Messages entre

agents Le seul message envoyé entre les

agents SNMP est :Message "Report" : introduit avec la

version 2 du protocole SNMP mais jamais implémenté, ce message permet aux différents agents de communiquer entre eux (principalement pour remonter des problèmes de traitement des messages SNMP).

Page 14: supervision réseau (snmp netflow)

La MIB ? La MIB est la base d'informations de gestion. Il y est :

• des informations à consulter,• des paramètres à modifier,• des alarmes à émettre...

SNMP permet de retrouver les informations et d'agir sur les paramètres de façon indépendante du matériel, comme du logiciel.

La MIB se présente comme une base de données normalisée, qui permettra de lire et d'écrire sur les équipements distants, de façon également normalisée.

L'agent quant à lui se chargera de faire la traduction entre les informations transmises par SNMP et la plate-forme.

Page 15: supervision réseau (snmp netflow)

Structure de la MIB La structure de la MIB est hiérarchique. les informations sont regroupées en arbre. Chaque information a un object identifier qui est

une suite de chiffres séparés par des points, qui l'identifie de façon unique et un nom, indiqué dans le document qui décrit la MIB.

Par exemple, 1.3.6.1.2.1.2.2.1.2 est l'object identifier ifDescr qui est la chaîne de caractères décrivant une interface réseau.

Page 16: supervision réseau (snmp netflow)

Arbre MIB

Page 17: supervision réseau (snmp netflow)

MIB propriétaires L'arbre de la MIB, contient une branche particulière

qui est "private enterprises" (OID 1.3.6.1.4.1). Cette branche permet aux différentes entreprises

de gérer leurs MIB spécifiques. Chaque entreprise se voit attribuer un OID unique

et elles ont ensuite le droit de décrire leurs OID spécifiques en dessous de leur OID d'entreprise.

La gestion de la branche d'une entreprise est entièrement laissée à cette entreprise.

Les différents OID d'entreprises sont alloués par l'IANA. On retrouve par exemple :

Cisco avec un OID 1.3.6.1.4.1.9 ; HP avec 1.3.6.1.4.1.11 ; Novell avec 1.3.6.1.4.1.23 ;

Page 18: supervision réseau (snmp netflow)

SNMP Configuration basic

Router# configure terminalRouter(config)# snmp-server community [name1] roRouter(config)# snmp-server community [name2] rw

PCdesktopMIB BROWSER

Page 19: supervision réseau (snmp netflow)

NETFLOW

Page 20: supervision réseau (snmp netflow)

Les besoins • Différentes problématiques : Quelles sont les machines qui parlent le plus?

Quel est le trafic par utilisateur ou groupe? par application? par réseau (interne, externe)?

Combien d’utilisateurs sont actifs sur le réseau à l’instant T?

D’où vient le trafic?

Vers où se dirige-t-il?

Des attaques de sécurités?

Page 21: supervision réseau (snmp netflow)

Des solutions

1.Netflow de CISCO:

Netflow est disponible sur les routeurs et commutateurs multi-niveaux Cisco

(à partir de la version 12.0 de l’IOS),Mais aussi chez d’autres constructeurs (Juniper).

2.Le standard de l’IETF :

IPFIX (IP Flow Information eXport) pas encore ratifié

Page 22: supervision réseau (snmp netflow)

NETFLOW : Principes et fonctionnement

Page 23: supervision réseau (snmp netflow)

NetFlow et les Flux •NetFlow est une architecture de surveillance des réseaux développée par Cisco Systems qui permet de collecter des informations sur les flux IP.• Elle définit un format d'exportation d'informations sur les flux réseau nommé NetFlow services export format.• Elle permet de superviser de façon fine les ressources du réseau utilisées.

• Critères d’un flux- Adresses source et destination- Protocole (TCP, UDP, ICMP..)- Type of Service (ToS)- Ports applicatifs- Interfaces d’entrée et de sortie du routeur

Page 24: supervision réseau (snmp netflow)

Table des flux - Cache • Routeur utilisant NetFlow :

- Maintient en cache une table des flux actifs : Cache NetFlow- Compte le nombres de paquets et d’octets reçus pour chaque flux.

• Mise à JourA chaque paquet reçu le routeur met à jour le cache :

- Soit en créant une nouvelle entrée- Soit en incrémentant les compteurs d’une entrée existante

adresse src

… Timeleft

Nb pqts

Nb Octets

192.168.0.5 5 45 3 456

192.168.0.6 23 5 258

192.168.0.2 15 90 5 789

192.168.0.1 11 1234 23 456

192.168.0.9 30 2 124

192.168.0.5 30 46 3 512

Page 25: supervision réseau (snmp netflow)

Collecte• Lorsqu’un flux a expiré :

- Il est supprimé du Cache NetFlow.- Il peut être exporté vers une machine de collecte au moyen de trames NetFlow.

• Exportation et remontée d’informations- La machine reçoit des trames NetFlow suivant un protocole défini par Cisco (plusieurs versions existent).- Le routeur regroupe plusieurs flux dans une trame (par économie).

Page 26: supervision réseau (snmp netflow)

Protocoles NetFlow • Il existe plusieurs versions : 1, 5, 7, 8 - La version 5 est la plus couramment utilisée. - La version 7 sert pour les switches Catalyst et diffère peu

de la version 5. - La version 8 introduit les schémas d’agrégation (environ une

quinzaine).

• Chaque version apporte des changements et demande une modification des collecteurs.• Pas de support d’IPv6, du Multicast, MPLS…Version 9 : Nouveaux supports :

- IPv4 Unicast- IPv4 Multicast- MPLS- IPv6

Page 27: supervision réseau (snmp netflow)

UTILISER NETFLOW : Mise en place et exploitation des flux

Evolutions prévues

Page 28: supervision réseau (snmp netflow)

L’infrastructure NetFlow Routeur Collecteur Applications

-Création du cache-Agrégation-Export

-Collecte-Filtrage-Agrégation-Stockage

-Utilisation des données-Présentation des données

Page 29: supervision réseau (snmp netflow)

Démonstration

192.168.0.254 192.168.1.254

192.168.1.1192.168.0.1

Jonathan Romain

Routeur Cisco 1751Export NetFlow V5

Collecteur NFC(interface Web)

Reçoit les exportsNetFlow

Reçoit le trafic

Émet le trafic

TCP:HTTP (80)FTP (21)

Telnet (23)

Page 30: supervision réseau (snmp netflow)

Fonctions du collecteur• Fonctions essentielles

- Collecter les enregistrements exportés par les routeurs- Réaliser une première phase de traitement

- Filtrage- Agrégation

- Stocker les enregistrements

• Le collecteur Cisco: NetFlowCollector (NFC)- Interface graphique Web- Possibilités de traitement (tri, graphe…)

• Des outils gratuits: IPFlow, FlowTools- Gèrent la ré-émission (dispatching)- Pas d’interface graphique

Page 31: supervision réseau (snmp netflow)

Exemple de traitement NFCRépartition des flux par type sur une période donnée

Page 32: supervision réseau (snmp netflow)

Évolutions futures

• Support IPV6- Incomplet (exports IPV4)- Prévu en évolution de la version 9 (bêta à ce jour)

• Sécurité- Exports de nouvelles données

- @mac- longueur des paquets- TTL…

Page 33: supervision réseau (snmp netflow)

Commandes: configuration

• ip route-cache flowPour chaque interface

• ip flow-export version <version> ex : ip flow-export version 5

• ip flow-export destination <address> <port>ex : ip flow-export destination 10.0.0.1 65001

• ip flow-cache timeout active <minutes>Définit le temps en minutes pendant lequel un flux

restera en cache avant expiration. 30 minutes par défaut

Page 34: supervision réseau (snmp netflow)

Commandes: Visualisation

• show ip cache [verbose] flowAffiche les statistiques NetFlow

• show ip flow exportAffiche les statistiques d’export

• clear ip cache flowVide les statistiques NetFlow

• clear ip flow statsVide les statistiques d’Export

Page 35: supervision réseau (snmp netflow)

Exemple: show ip cache flow

Page 36: supervision réseau (snmp netflow)

Conclusion

• Un outil performant- fiable- évolutif

• Une stratégie à concevoir- Utilisation CPU > 15 à 20% pour la v5 et la v9- 2 à 5% de plus pour la v8

- 64 octets par flux en mémoire

Page 37: supervision réseau (snmp netflow)