Chapitre 8: Surveillance du réseau

Introduction :
La surveillance du fonctionnement du réseau fournit à un administrateur réseau les informations
nécessaires à la gestion proactive du réseau et à l'établissement de rapports relatifs aux statistiques
d'utilisation du réseau. 

Syslog :
Fonctionnement de Syslog :
La méthode d'accès aux messages système la plus couramment utilisée et fournie par les périphériques
réseau est un protocole appelé Syslog.

Syslog est un terme utilisé pour décrire une norme. Il sert également à décrire le protocole développé
pour cette norme.

Le service de journalisation du protocole Syslog assume trois fonctions principales :

 La capacité à collecter les informations de journalisation pour la surveillance et le dépannage

 La capacité à sélectionner le type d'information de journalisation capturée

 La capacité à spécifier les destinations des messages Syslog capturés

 les destinations classiques des messages Syslog sont les suivantes :

 Tampon de journalisation (mémoire vive à l'intérieur d'un routeur ou d'un commutateur)

 Ligne de console

 Ligne de terminal

 Serveur Syslog

Il est possible de surveiller à distance les messages système en affichant les journaux sur un serveur
Syslog ou en accédant au périphérique par le biais de Telnet, de SSH ou du port de console.

Chaque niveau Syslog a sa propre signification :

 Niveau d'avertissement - Niveau d'urgence

 Niveau de débogage
 Niveau de notification

En plus de spécifier la gravité du problème, les messages Syslog contiennent également des
informations de capacité.

Les capacités classiques des messages Syslog signalées sur les routeurs Cisco IOS sont les suivantes :

 IP
  Protocole OSPF
 Système d'exploitation SYS
 IPsec (IP Security)
 Adresse IP d'interface (IF)

 il est nécessaire de configurer l'horloge du périphérique réseau. Cette opération peut être accomplie de
deux manières différentes :

 manuellement, à l'aide de la commande clock set

 automatiquement, à l'aide du protocole NTP.

Configuration de Syslog :
Pour afficher des messages Syslog, un serveur Syslog doit être installé sur une station de travail au sein
du réseau.
R1(config)# logging 192.168.1.3

R1(config)# logging trap 4

R1(config)# logging trap warning

R1(config)# logging source-interface g0/0

SNMP :
Fonctionnement de SNMP :
SNMP (Simple Network Management Protocol)

Le protocole SNMP a été développé afin de permettre aux administrateurs de gérer des nœuds, tels que
des serveurs, des stations de travail, des routeurs, des commutateurs et des appareils de sécurité sur un
réseau IP. 

SNMP est un protocole de couche Application qui procure un format pour les messages de
communication entre les gestionnaires et les agents. Le système SNMP se compose de trois éléments :

 Gestionnaire SNMP

 Agents SNMP (nœud géré)

 Base d'informations de gestion (MIB)

Il existe deux types principaux de requêtes de gestionnaire SNMP

L'agent SNMP répond comme suit aux requêtes du gestionnaire SNMP :

 Obtenir une variable MIB 

 Définir une variable MIB

Un système de gestion de réseau (NMS) interroge périodiquement les agents SNMP qui résident sur les
périphériques gérés à l'aide d'une requête get en vue d'obtenir des données de ces périphériques.
Il existe plusieurs versions du protocole SNMP, notamment :

 SNMPv1
 SNMPv2c 
 SNMPv3

Remarque : les protocoles SNMPv1 et SNMPv2c offrent des fonctionnalités de sécurité minimales. En
particulier, les protocoles SNMPv1 et SNMPv2c ne peuvent ni authentifier la source d'un message de
gestion ni permettre le chiffrement. 

Il existe deux types d'identifiants de communauté :

 Lecture seule (ro) 

 Lecture/écriture (rw)

Remarque : les mots de passe en texte clair ne sont pas considérés comme étant un mécanisme de
sécurité.

La Figure 3 illustre une commande relativement longue et contenant divers paramètres, parmi lesquels :

 -v2c - version de SNMP

 -c community - mot de passe SNMP, appelé identifiant de communauté

 10.250.250.14 - adresse IP du périphérique contrôlé

 1.3.6.1.4.1.9.2.1.58.0 - OID de la variable MIB

Configuration du protocole SNMP :

Un administrateur réseau peut configurer le protocole SNMPv2 de manière à obtenir des informations
réseau à partir des périphériques présents sur celui-ci. 
snmp-server community string ro | rw

snmp-server contact text

snmp-server community string access-list-number-or-name

 snmp-server host host-
id [version{1| 2c | 3 [auth | noauth | priv]}] community-string

snmp-server enable traps notification-types

Remarque : par défaut, aucun type de déroutement n'est défini dans le protocole SNMP.

Les commande Show :

show snmp

show snmp community

 Il existe d'autres commandes du mode de configuration globale qu'un administrateur réseau peut
implémenter en vue de tirer profit de la prise en charge de l'authentification et du chiffrement du protocole
SNMPv3 :
  La commande snmp-server
group groupname {v1 | v2c | v3 {auth | noauth | priv}} crée un nouveau groupe
SNMP sur le périphérique.

 La commande snmp-server user username
groupname v3 [encrypted] [auth {md5 | sha} auth-password]
[priv {des | 3des | aes {128 | 192 | 256}} priv-password] est utilisée pour
ajouter un nouvel utilisateur au groupe SNMP spécifié dans la commande snmp-server
group groupname.

NetFlow :
Fonctionnement de NetFlow :
NetFlow est une technologie Cisco IOS qui fournit des statistiques sur les paquets traversant un routeur
ou un commutateur multicouche Cisco.

la plupart des entreprises utilisent NetFlow pour quelques-unes ou la totalité des applications importantes
suivantes en matière de collecte des données :

Mesure de qui utilise quelles ressources réseau et pour quelle raison

Comptabilité et facturation en fonction du niveau d'utilisation des ressources

Utilisation des informations mesurées pour une planification plus efficace du réseau et un alignement
correct de l'allocation et du déploiement des ressources avec les exigences du client

Deux critères principaux sont à la base de la création du protocole NetFlow par Cisco :

 Le protocole NetFlow devait être complètement transparent pour les applications et les
périphériques du réseau.

 Le protocole NetFlow ne devait pas obligatoirement être pris en charge et en cours d'exécution sur
l'ensemble des périphériques réseau pour fonctionner.

Remarque : bien que le protocole NetFlow soit simple à implémenter et transparent pour le réseau, il
consomme malgré tout de la mémoire supplémentaire sur le périphérique Cisco, car il stocke des
informations d'enregistrement dans la mémoire cache du périphérique.

 Si la valeur de l'un des champs suivants varie entre différents paquets, cela signifie que ces paquets
appartiennent à des flux distincts :

 Adresse IP source

 Adresse IP de destination

 Numéro du port source

 Numéro du port de destination

 Type de protocole de couche 3

  Marquage TOS (type de service)

 Interface logique d'entrée

Configuration de NetFlow :
L'activation de l'envoi des données NetFlow vers le collecteur NetFlow nécessite la configuration d'un
certain nombre d'éléments sur le routeur en mode de configuration globale :

Adresse IP et numéro de port UDP du collecteur NetFlow

(Facultatif) Version de NetFlow à utiliser lors du formatage des enregistrements NetFlow envoyés
au collecteur

(Facultatif) Interface source à utiliser en tant que source des paquets envoyés au collecteur

Examen des modèles de traffic :

Un collecteur NetFlow est un hôte qui exécute un logiciel d'application. 

Résumé :
 Les méthodes de surveillance du réseau à inclure sont les suivantes :

 Syslog
 SNMP
 NetFlow

Il est possible de synchroniser l'heure sur des périphériques réseau Cisco à l'aide du protocole NTP.

Le protocole NetFlow est une technologie Cisco IOS qui est la norme pour la collecte de données
opérationnelles IP à partir de réseaux IP.