Network Address Translation (NAT)

4-5 minutes

1980 =  Création d’IPv4 (RFC 791)

1980 – 1990 = BOOM internet (Accroissement exponentiel)

Problématique :

 IPv4 = 4,3 milliards (soit 232) adresses

 IPv4 se retrouve vite en pénurie d’adresse IP

Solution sur le court terme :

 Création du NAT / PAT.

Solution sur le long terme :

 Création d’un nouveau système d’adressage IP ( IPv6 ).

Aujourd’hui :

 L’adressage IPv4 est toujours le plus utilisé au monde, toute entreprise et toute
BOX internet utilise le NAT.
 L’adressage IPv6 est en cours de déploiement.

NAT = Network Address Translation

Le NAT est un protocole qui permet de changer l’adresse IP source d’un paquet par
une autre adresse IP.

Création de deux zones :

 PRIVATE (Adressage privé)

o Classe A = de 10.0.0.0 à 10.255.255.255
o Classe B = de 172.16.0.0 à 172.31.255.255
o Classe C = de 192.168.0.0 à 192.168.255.255

 PUBLIC (Adressage public)

o Géré par l’IANA (Internet Assigned Numbers Authority)

Le NAT permet à plusieurs équipements présents dans un réseau privé d’utiliser une
même adresse IP publique.
Présentation du NAT

Principe de fonctionnement
NAT – Principe de fonctionnement

Nous pouvons voir dans ce schéma que notre routeur va remplacer l’adresse IP du
poste présent dans le LAN par la sienne.
L’adresse IP présente sur notre poste ne sera jamais vue du monde extérieur.

Il existe 3 modes de fonctionnement pour le NAT :

 NAT Statique
 NAT Dynamique
 NAT Overlay (PAT)
Le NAT Statique
Le NAT Statique permet de faire du 1 pour 1

1 IP privée pour une IP publique

NAT statique

Configuration du nat statique sur un routeur cisco

interface fa 0/1 
description LAN
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
!
interface fa 0/2
 description WAN 
 ip address 200.1.1.254 255.255.255.0
 ip nat outside
!
ip nat inside source static 192.168.1.1 200.1.1.1
ip nat inside source static 192.168.1.2 200.1.1.2
ip nat inside source static 192.168.1.3 200.1.1.3
etc ...

Le NAT Dynamique
NAT dynamique

Configuration du nat dynamique sur un routeur cisco

interface fa 0/1 
 description LAN
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
!
interface fa 0/2
 description WAN 
 ip address 200.1.1.254 255.255.255.0
 ip nat outside
!
ip nat pool MAISON 200.1.1.1 200.1.1.3 netmask 255.255.255.0
ip nat inside source list 10 pool MAISON
!
access-list 10 permit 192.168.1.1
access-list 10 permit 192.168.1.2
etc ...

Le NAT Overlay (PAT)

PAT = Port Address Translation.

Permets de faire correspondre plusieurs adresses IP privées à une seule adresse

publique.

Pour se faire, notre routeur va jouer sur les numéros de ports.

Exemple :

Le poste 1 envoie un paquet vers Google

 IP Source : 192.168.0.1 / Port source 1234

 Le routeur reçoit ce paquet, met son adresse IP WAN à la place de l’IP Source
et va choisir un nouveau port dynamique (4567).
 Il reste en écoute sur le port 4567.
 S’il reçoit un paquet sur ce port, il va le retransmettre au poste 192.168.0.1
puis il va arrêter d’écouter sur ce port.
Principe de fonctionnement du NAT – PAT

Configuration du pat overlay sur un routeur cisco

interface FastEthernet0/1 
 description LAN
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
!
interface FastEthernet0/2
 description WAN 
 ip address 200.1.1.254 255.255.255.0
 ip nat outside
!
ip nat inside source list 10 interface FastEthernet0/2 overload
!
access-list 10 permit 192.168.1.0 0.0.0.255
etc ...

Conclusion
Toutes les BOX Internet fonctionnent en PAT. Les postes présents dans votre réseau
domestique utilisent donc l’adresse IP publique de votre BOX. Ils ne sont pas
joignables directement d’internet. Si vous voulez mettre en place un serveur
accessible de l’extérieur derrière votre BOX, vous allez devoir faire du Port-
Forwarding. (Redirection de port) Une redirection de port permet de dire à votre BOX
de rester en écoute sur un port en particulier. S’il reçoit quelque chose sur ce dernier,
il va toujours le retransmettre à l’utilisateur spécifié.
Service Level Agreement (SLA)
4-5 minutes

Extrait : "SLA = Service Level Agreement Le service IP SLA permet de faire

différents tests : Le résultat de ces tests peuvent servirent à d'autres services réseaux
tels que les protocoles HSRP, GLBP et VRRP. La configuration SLA à employer
pour ces protocoles sont détaillés dans l'article HSRP l'IP SLA peut être configuré
afin ..."

SLA = Service Level Agreement

Le service IP SLA permet de faire différents tests :

 icmp-echo = Test de ping via ICMP

 path-echo = Traceroute via ICMP
 path-jitter = Traceroute prenant en compte la gigue (jitter) via ICMP
 dns = Temps de réponse DNS
 dhcp = Temps de réponse à une requête DHCP
 ftp = Temps de réponse d’un serveur FTP
 http = Temps de réponse d’un serveur Web
 udp-echo = Temps de réponse en UDP
 udp-jitter = Permets d’identifier une gigue unidirectionnelle entre deux-
points.
 tcp-connect = Temps de réponse pour ouvrir une connexion TCP avec un
host.

Ce service n’à pas besoin d’être mis en place sur la destination hormis pour les deux
tests suivants :

 path-jitter
 udp-jitter

Le résultat de ces tests peuvent servirent à d’autres services réseaux tels que les
protocoles HSRP, GLBP et VRRP. La configuration SLA à employer pour ces
protocoles est détaillée dans l’article HSRP. l’IP SLA peut être configuré afin
d’envoyer une trap SNMP à un manager SNMP en cas d’échec du test.

NB : Sur vos routeurs , le service SLA est dans le package DATA. Avec un IOS 15
IPBASE. vous ne pourrez pas utiliser ce service …

CHAPITRE 1 :

Configuration
Étape 1 : Créer notre test IP SLA
Switch(config)# ip sla 10
Switch(config-ip-sla)# icmp-echo 192.168.0.1 source-ip 192.168.0.254
Switch(config-ip-sla)# frequency 5

 10 = numéro du test
 icmp-echo = type de test
 source-ip = Adresse IP mis en IP source dans notre en-tête IP
 frequency 5 = Ce test ICMP s’effectuera toutes les 5 secondes

Étape 2 : Exécuter notre test SLA

Switch(config)# ip sla schedule 10 start-time now life forever

 Schedule 10 = Planning du test SLA n°10

 start-time now = Le test commence maintenant
 life forever = Le test se fera tout le temps.

Étape 3 : Vérification de la configuration

La commande suivante nous permettra de vérifier (plus en détail qu’un show run)
notre configuration SLA :

Switch# show ip sla configuration

Étape 4 : Résultat du test

Switch# show ip sla statistics 10

Le Service DHCP IPv4

5-6 minutes

DHCP = Dynamic Host Configuration Protocol

Traduction : Protocole de configuration dynamique de l’hôte
N.B. : Ce protocole date de 1993 !!!! 

Mise en situation : 

Je suis dans un café avec des amis et je souhaite aller sur internet via le Wifi. Je tape
le mot de passe Wifi et Hop !! je suis sur Internet !!!

Magique ? Pas vraiment. Que c’est-il passer lorsque votre équipement à mis quelques
secondes avant de se connecter ?

 Il a demandé une adresse IP !!!

 Grâce à quoi ? Au protocole DHCP !!!
Pour naviguer sur Internet, tout ordinateur, tablette, téléphone as besoin d’avoir une
adresse IP ! Pour mettre une adresse IP sur un ordinateur, il existe deux méthodes :

 Adresse IP Fixe
 Adresse IP dynamique

Vous vous voyez expliquer à votre mamie comment changer son adresse IP sur son
ordinateur ? Non ! Trop compliqué ! Le DHCP est né !

Le protocole DHCP
Principe de fonctionnement

Le protocole ou service DHCP permet d’attribuer dynamiquement une adresse IP à

un hôte.
Le DHCP permet à un client qui arrive sur un réseau de demander une configuration
réseau dynamique.

Je viens de connecter mon PC à un réseau

Cette dernière va contenir au minimum :

 Une adresse IP.

 Un masque de sous réseau.
 Une passerelle par défaut.
 Un ou plusieurs serveurs DNS.

Comment cela se passe ?

 Le client = DHCP DISCOVER : Salut tout le monde ! J’ai besoin d’une

adresse IP !
 Le serveur = DHCP OFFER : Salut mec ! Voilà ton adresse IP 😉
 Le client = DHCP REQUEST : Merci !!! Je la prends. 😉
 Le serveur = DHCP ACK : C’est noté !
Protocole DHCP : Version facile
Protocole DHCP : Version pro

Les différentes requêtes DHCP

Les requêtes principales :

 DHCP DISCOVER ( Le client souhaite localiser les serveurs DHCP )

 DHCP OFFER ( Réponse du serveur DHCP, il contient les premiers
paramètres IP)
 DHCP REQUEST ( Requête diverse du client pour par exemple prolonger
son bail )
 DHCP ACK ( réponse du serveur qui contient des paramètres et l’adresse IP
du client )

Les requêtes secondaires :

 DHCP NAK ( Réponse du serveur pour signaler au client que son bail est échu
ou si le client annonce une mauvaise configuration réseau)
 DHCP DECLINE ( Le client refuse l’adresse IP car elle est déjà utilisée)
 DHCP RELEASE ( Le client libère son adresse IP)
 DHCP INFORM ( Le client demande des paramètres locaux, il a déjà son
adresse IP)

les options DHCP

Le bail DHCP

bail = contrat de location

Notre serveur DHCP ne va pas réellement DONNER une adresse IP à notre client. Il
va lui PRÊTER pendant un laps de temps. Passons de suite au concert :

Ouvrez votre invité de commande Windows (CMD) et tapez la commande suivante :

C:\Users\Noël NICOLAS> ipconfig /all

Résultat :

Grâce à cette commande, nous pouvons voir la configuration IP de notre ordinateur.

les paramètres appris sont les suivants :

 Adresse IPv4 : 192.168.43.5

 Masque de sous-réseau : 255.255.255.0
 Bail obtenu : mercredi 26 septembre 2018 22:29:25
 Bail expirant : jeudi 27 septembre 2018 03:11:46
 Passerelle par défaut : 192.168.43.1
 Serveur DHCP : 192.168.43.1
 Serveur DNS : 192.168.43.1

Notre ordinateur à l’adresse IP 192.168.43.5 pendant 4 heures 42 minutes ! Notre

serveur DHCP ne pourra pas redonner cette adresse à une autre personne
durant ce laps de temps !

Configuration
Mise en situation :

 Je veux que mon routeur fasse serveur DHCP pour le réseau 192.168.1.0 /24
 Les adresses IP finissant par .254, .1 et .2 sont déjà utilisés.
 L’adresse IP 192.168.1.90 est réservé à l’ordinateur possédant l’adresse mac
000B.6B52.3268
 La passerelle par défaut pour mon réseau est l’adresse 192.168.1.254
  Les adresses IP de mes serveurs DNS sont les suivantes : 192.168.1.1 et
192.168.1.2
 Le client doit demander une nouvelle adresse IP toutes les 10 minutes.

Voici la configuration :

ip dhcp excluded-address 192.168.1.254              < Exclure la

Gateway
ip dhcp excluded-address 192.168.1.1 192.168.1.2    < Autres
Exlusions

ip dhcp pool FINGER_POOL                            < Nom de notre

Pool DHCP
 network 192.168.1.0 255.255.255.0                  < Plage d'adresse
IP
 default-router 192.168.1.254                       < Passerelle par
défaut
dns-server 192.168.1.1 192.168.1.2                 < Serveur DNS
 lease 0 0 10 [Day_Hours_Minutes]                   < Durée du bail
DHCP

ip dhcp pool FINGER_POOL_FIXE_90                    < Réservation de

bail DHCP
network 192.168.1.90 255.255.255.0
 hardware-address 000b.6b52.3268                    < Adresse MAC de
notre client
default-router 192.168.1.254
dns-server 192.168.1.1 192.168.1.2
 lease 0 0 10

Conclusion
Le DHCP Spoofing consiste à donner intentionnellement de mauvaises informations
DHCP à nos clients. (Attaque). Le DHCP Snooping permet de se protéger du DHCP
Spoofing.
Consulter l’article sur le DHCP Snooping afin d’avoir plus d’information.

Le Protocole NTP
4-5 minutes

Je veux quoi ?

Une architecture réseau à l’heure !!

Grâce à qui ?

Au protocole NTP !!
Qui sera ma référence ?

Un référentiel de temps stable et fiable !!

Référentiel de temps

Il existe 2 types de référentiels de temps :

GMT (Greenwich Mean Time) ou UT (Universal Time) :

– Référence : Rotation de la Terre

– Mesure : Passages d’objets célestes sur une référence

– Précision : Microseconde

TAI (Temps Atomique International) :

– Référence : Fréquence du rayonnement électromagnétique d’un électron

– Moyen : Horloge atomique

– Précision : 1 seconde de variation tous les 15 milliards d’années

Question : Quelle référence de temps prendre ?

Tout en sachant que :

– La rotation de la Terre est irrégulière.

– Il n’y a pas plus précis qu’une horloge atomique.

Il faudrait donc un référentiel de temps qui aurait la précision du TAI et qui prendra
en considération l’irrégularité de la rotation de la Terre comme les échelles de temps
GMT et UT.

Le référentiel de temps UTC a été créé.

UTC = Universal Time Coordinated :

– Coordination entre le TAI et le GMT / UT

– Référentiel officiel de temps au niveau mondial

Mise en place du NTP

NTP = Network Time Protocol

– Protocole normalisé
– UDP port 123

Ce protocole fonctionne en mode Client / Serveur.

Étape 1 : Définition du fuseau horaire

Lors qu’un équipement va interroger un serveur NTP, il va récupérer l’heure UTC

+0 !! La configuration du décalage horaire est à la charge de l’administrateur local.

En France :

– Heure d’hiver = UTC+1

– Heure d’été = UTC+2

Décalage horaire

Switch(config)# clock timezone FR 1

FR = Nom de la timezone
1 = UTC+1

Heure d’hiver / heure d’été

Switch(config)# clock summer-time FR recurring last Sun Mar 2:00 last

Sun Oct 3:00

last Sun Mar 2:00 = dernier dimanche du mois de mars à 2 heures du matin
last Sun Oct 3:00 = dernier dimanche du mois d’octobre à 3 heures du matin

Étape 2 : Définir une source de temps

Tous nos équipements doivent être synchronisés. Pour ce faire il leur faut un
référentiel de temps commun. la meilleure des références

Interne

[contentcropnow]

Cette solution est à mettre en place uniquement lorsque nous sommes en présence
d’un réseau local isolé sans référentiel de temps fiable.

Switch(config)# clock set hh:mm:ss

Nos autres équipements viendront se synchroniser sur ce dernier.

Externe

Switch(config)# ntp server X.X.X.X

Switch(config)# ntp server X.X.X.X prefer

Étape 3 : Sécurisé le protocole NTP

Par authentification

Switch(config)# ntp authentication-key [key-number] md5 [key-string]

Switch(config)# ntp authenticate
Switch(config)# ntp trusted-key [key-number]
Switch(config)# ntp server X.X.X.X key [key-number]

Ce qui nous donne :

Switch(config)# ntp authentication-key 10 md5 Finger
Switch(config)# ntp authenticate
Switch(config)# ntp trusted-key 10
Switch(config)# ntp server X.X.X.X key 10

Par Access-list

Switch(config)# access-list 1 permit X.X.X.X X.X.X.X

Switch(config)# ntp access-group [ serve-only | serve | peer | query-
only ] 1

– serve-only = seules les requêtes de synchronisation sont autorisées

– serve = Les requêtes de synchronisation et de contrôle sont autorisées, cependant
notre switch ne peut synchroniser sa propre horloge
– peer = Les requêtes de synchronisation et de contrôle sont autorisées, notre switch 
peut synchroniser sa propre horloge
– query-only = Aucune idée …

ntp logging

ntp source blablabla

ntp master 5

ntp server x.x.x.x

ntp server x.x.x.x prefer

En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseau, profitez-en pour naviguer dans la barre de
menu !

Simple Network Management Protocol

(SNMP)
6-7 minutes

OBJECTIF DU SNMP = SUPERVISION

 SNMP = Simple Network Management Protocol

 UDP 161 / 162

Il existe deux rôles SNMP :

 SNMP Manager (serveur de supervision)

 SNMP Agent (processus présent sur nos équipements à superviser)
Le manager SNMP va interroger les agents SNMP afin de récupérer l’état de santé
de l’équipement sur lequel il est installé.
L’agent SNMP va interroger sa base de donnée MIB afin d’avoir ses informations.
Chaque équipement possède une MIB (Management Information Base).

Cette MIB est une base de données qui contient tous les états de notre équipement
actif (charge CPU, état des ports, utilisation de la mémoire, etc.).

-> Chaque état correspond à un OID (Object Identifier).

Exemple :

Pour la charge CPU d’un équipement CISCO, son OID sera : .1.3.6.1.4.1.9.2.1.58

SNMP – OID

Les numéros OID sont normalisés !! Le numéro 1.3.6.1.4.1.9.2.1.58 correspondra

toujours à la charge CPU d’un équipement réseau CISCO.

Comme tout protocole qui se respecte, il existe en plusieurs versions :

SNMPv1

 apparition en 1990
 présence de « communauté »
  pas de sécurité (pas d’authentification, la communauté passe en claire sur le
réseau, l’information demandée n’est pas chiffrée)

SNMPv2

 apparition en 1993, créations de notifications (traps)

 ajout de la commande « GetBulk » (cette commande permet de mettre
plusieurs informations dans une même trame)
 plusieurs versions existent pour la version 2, la plus utilisée est la version v2c
(community)

SNMPv3

 login/mot de passe
 sécurisé

Configuration de SNMP v1
Router(config)# access-list 2 permit 192.168.0.1
Router(config)# snmp-server community Finger RO 2
Router(config)# snmp-server host 192.168.0.1 Finger

 2 = Numéro de votre ACL ;

 192.168.0.1 = Adresse IP de votre serveur SNMP.
 Finger = Nom de votre communauté
 RO =  Read Only (le serveur pourra uniquement interroger notre équipement,
il ne pourra pas lui donner d’ordre, type s’éteindre)

Activation des traps, il envoi au serveur tout changement :

Router(config)# snmp-server enable traps

Configuration de SNMP v2
La version la plus utilisée au monde à l’heure où je vous parle est la version v2c.
Nous allons donc voir comment la mettre en place de façon sécurisée : 

Router(config)# access-list 2 permit 192.168.0.1

Router(config)# snmp-server community Finger RO 2
Router(config)# snmp-server host 192.168.0.1 version 2c Finger

 2 = Numéro de votre ACL

 192.168.0.1 = Adresse IP de votre serveur SNMP
 Finger = Nom de votre communauté
 RO =  Read Only (le serveur pourra uniquement interroger notre équipement,
il ne pourra pas lui donner d’ordre, type s’éteindre)

Activation des traps, il envoi au serveur tout changement.

Router(config)# snmp-server enable traps

Configuration de SNMP v3
Nous avons vu plus haut que le SNMPv3 permet de mettre en place de
l’authentification. Afin de pouvoir le paramétrer , il va falloir définir :

 la configuration du groupe SNMPv3 => Via la commande snmp-server group

 la configuration de l’authentification du manager SNMP => Via la commande
snmp-server user
 l’Identification du manager SNMP. => Via la commande snmp-server host

Router(config)# snmp-server group Finger v3 auth write v1default

Router(config)# snmp-server user EyesOfNetwork Finger v3 auth md5
P@ssw0rd
Router(config)# snmp-server host 192.168.0.1 version 3 auth
EyesOfNetwork

Détaillons un peu tout ça :

Étape 1 : La configuration du groupe SNMPv3

La configuration du groupe SNMVv3 se fait via la commande suivante :

Router(config)# snmp-server group Finger v3 auth write v1default

 Finger = Nom du groupe à définir

 v3 = Version SNMP
 auth = 3 choix possibles :
o noauth = Pas d’authentification / Echange non crypté
o auth = Présence d’authentification / Echange non crypté
o priv =  Présence d’authentification / Echange crypté

 write = 2 choix possibles :

o read = Accès à la MIB uniquement en lecture
o write = Accès à la MIB en lecture/Ecriture
 v1default = Il est possible de sécuriser notre MIB en autorisant ou non l’accès
en Read ou Read/Write a quelques OID via un nom de groupe view. Par
défaut, le groupe view v1default n’a pas de restriction

NB : Le mode priv est disponible uniquement avec les IOS supportant la

cryptographie.

Étape 2 : La configuration de l'authentification du Manager SNMP

Cette étape permet de configurer un login/mot de passe pour notre manager SNMP.

Elle se fait via la commande suivante :

Router(config)# snmp-server user EyesOfNetwork Finger v3 auth md5

P@ssw0rd
  EyesOfNetwork = Nom de connexion/Login
 groupname = Nom du groupe précédemment configuré
 v3 = Version SNMP
 auth = Définition de l’authentification
 md5 (ou sha) = Cryptage utilisé pour l’authentification
 P@ssw0rd = Mot de passe de connexion du manager

Étape 3 : L'Identification du manager SNMP

Cette étape permet d’identifier (via une adresse IP) le serveur de supervision aillant
l’agent « manager SNMP ». Elle se fait via la commande suivante :

Router(config)# snmp-server host 192.168.0.1 version 3 auth

EyesOfNetwork

 192.168.0.1 = Adresse IP du serveur de supervision

 auth (ou noauth ou priv) = Type d’échanges entre l’agent et le manager
o noauth = Pas d’authentification/Echange non crypté
o auth = Présence d’authentification/Echange non crypté
o priv =  Présence d’authentification/Echange crypté
 EyesOfNetwork = Username précédemment configuré

Le manager SNMP
Maintenant, il faut installer un serveur de supervision, je vous conseille fortement
EyesOfNetwork !! Gratuit et français 🙂

EyesOfNetwork
EyesOfNetwork – SynopsysEyesOfNetwork – Exemple

Le Protocole Netflow
3-4 minutes

Extrait : "La première question que l'on peut se poser est : "A quoi sert le protocole
Netflow ? Avec le protocole SNMP nous pouvons obtenir des graphiques concernant
le trafic en temps réel de n'importe quelle interface !" Oui, mais en cas de congestion
réseau, comment faites vous pour identifier la source de cette congestion ?"

Protocole Netflow = protocole propriétaire CISCO.

La première question que l’on peut se poser est : « A quoi ça sert Netflow ? Avec le
protocole SNMP nous pouvons obtenir des graphiques concernant le trafic en temps
réel de n’importe quelle interface ! »
Oui, mais en cas de congestion réseau, comment faites-vous pour identifier la source
de cette congestion ? Vous faites un SPAN avec un Wireshark afin d’identifier la
source de ce problème ? Ça commence à devenir compliquer tout ça et ça prend
beaucoup de temps …

La vraie réponse est : Netflow !

Pourquoi ? car il permet d’obtenir des graphiques de bande passante en prenant en

compte les paramètres suivant :

 Adresse IP source.
 Adresse IP destination.
 Port source.
  Port destination.
 Type de protocole de niveau 3.
 Class of Service (Cos).
 Interfaces (physique ou logique).

Pour ce faire, NetFlow possède 4 composantes :

 Records: Quoi enregistrer ?

 Flow monitors: Appliqué à une interface, Flow-monitor collecte des
informations concernant le trafic.
 Flow exporters: exporte le cache de Netflow présent dans notre équipement
vers un serveur externe.
 Flow samplers: permets de réduire la charge de travail de notre équipement
en n’analysant qu’une partie du trafic via un ratio (Exemple : 1/2 = analyse un
paquet sur 2).

Configuration de Netflow SOUS cisco

Méthode CCNP / CCIE
R1(config)# ip cef

R1(config)# flow exporter ipv4flowexport

R1(config-flow-exporter)# source X.X.X.X
R1(config-flow-exporter)# destination X.X.X.X
R1(config-flow-exporter)# dscp 8 (default=0)
R1(config-flow-exporter)# transport udp 1333
 
R1(config)# flow monitor ipv4flow
R1(config-flow-monitor)# description Monitors all IPv4 traffic
R1(config-flow-monitor)# record netflow ipv4 original-input
R1(config-flow-monitor)# statistics packet protocol
R1(config-flow-monitor)# exporter ipv4flowexport

R1(config)# interface FastEthernet0/0

R1(config-if)# ip flow monitor ipv4flow input

Autre méthode
R1(config)# ip cef
R1(config)# interface FastEthernet 0/1
R1(config-if)# ip flow [ ingress | egress | monitor ]

ou

R1(config)# interface FastEthernet 0/1

R1(config-if)# ip route-cache flow
 
R1(config)# ip flow-export source vlan40
R1(config)# ip flow-export version 9
R1(config)# ip flow-export destination X.X.X.X 2055 2055 = port udp
2055

Ces deux méthodes fonctionnent, à vous de me dire là qu’elles vous préfèrent.

Vérification de la Configuration de Netflow
R1# show flow record
R1# show flow monitor
R1# show flow exporter
R1# show flow interface
R1# show ip flow export
R1# show ip cache flow

Le Netflow collector
Un NetFlow Collector est un serveur capable de collecter les informations générées
par le protocole NetFlow.
Voici quelques Collectors :
Collector payant :

 Cisco NetFlow Collector.

 Fluke Networks.
 SolarWinds.

Collector gratuit :

 IPFlow
 NTOP
 NetFlow Monitor