Edvantis Group ISGA Marrakech

Chapitre 3: Surveillance du réseau

I- Syslog & NTP

II- SMNP & Netflow

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

Introduction
• La surveillance du fonctionnement du réseau fournit à un administrateur réseau les informations nécessaires
à la gestion proactive du réseau et à l'établissement de rapports relatifs aux statistiques d'utilisation du
réseau. L'activité des liaisons, les taux d'erreur et l'état des liaisons sont quelques-uns des facteurs qui
permettent à un administrateur réseau de déterminer l'état et l'utilisation d'un réseau. La collecte et l'analyse
de ces informations au fil du temps permet à un administrateur réseau d'observer la croissance du réseau et
de détecter et remplacer un élément défaillant avant qu'il ne soit complètement inopérant.
• Les protocoles Syslog, SNMP et NetFlow sont des protocoles populaires présentant chacun différentes
forces et faiblesses. Ensemble, ils constituent des outils utiles pour la compréhension de ce qui se passe sur
un réseau. Le protocole NTP (Network Time Protocol) est utilisé pour synchroniser les paramètres de temps
de plusieurs périphériques, ce qui est particulièrement important lors de la comparaison des fichiers journaux
de différents périphériques.

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

I- Syslog & NTP

I-1 Syslog

• Les administrateurs réseau disposent de diverses options

permettant de stocker, d'interpréter et d'afficher ces messages, ainsi
que pour être alertés des messages susceptibles d'avoir le plus
d'impact sur l'infrastructure réseau.
• Le protocole Syslog permet aux périphériques réseau (routeur,
commutateur, pare-feu ..) d'envoyer leurs messages système (logs)
sur le réseau aux serveurs Syslog.

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

I- Syslog & NTP

I-1 Syslog

Le service de journalisation du protocole Syslog assume trois

fonctions principales :
•La capacité à collecter les informations de journalisation pour la
surveillance et le dépannage
•La capacité à sélectionner le type d'information de journalisation
capturée
•La capacité à spécifier les destinations des messages Syslog capturés

• Il est possible d’effectuer une surveillance en temps réel du reseau

car les équipements envoient en temps réel les messages syslog au
collecteur.

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

I- Syslog & NTP

I-1 Syslog- Fonctionnement

les destinations classiques des messages Syslog sont les

suivantes :

•Tampon de journalisation (mémoire vive à l'intérieur d'un

routeur ou d'un commutateur)

•Ligne de console

•Ligne de terminal (Router#terminal monitor pour afficher les

logs)

•Serveur Syslog

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech
I- Syslog & NTP
I-1 Format de message Syslog
Les périphériques Cisco génèrent des messages syslog a la suite des évènements réseau.
Chaque message Syslog contient un niveau de gravite. Plus les numéros sont petits plus les alarmes Syslog sont critiques.
• Niveau avertissement-urgence: messages d’erreurs relatives au dysfonctionnement materiel ou logiciel.
• Niveau de débogage: indique que les messages sont des résultats générés suite a des l’exécution de commande Debug.
• Niveau notification: ce niveau est a titre purement informatif. Les transitions d’interface a l’etat ‘up’ ou ‘down’ ainsi
que les messages de redémarrage du système s’affiche au niveau de notification.

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

I- Syslog & NTP

I-1 Configuration de Syslog

Etape 1: configurer le nom d’hote pi @IP du serveur Syslog au mode de configuration globale
Router(config)#logging @IP du serveur syslog

Etape 2: limiter les messages envoyés a un niveau de gravite précis (exemple niveau 4)
Router(config)#logging trap level
Exemple
Router(config)#logging trap warning

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

I- Syslog & NTP

II-Horodatage du système (Protocole NTP)

Il est possible d'horodater les messages de journal et de définir l'adresse source des messages Syslog. Cela permet
d'améliorer le débogage et la gestion en temps réel.

il est nécessaire de configurer l'horloge du périphérique réseau. Cette opération peut être accomplie de deux manières

différentes :

•manuellement, à l'aide de la commande clock set

•automatiquement, à l'aide du protocole NTP.

•Network Time Protocol (NTP) est un protocole utilisé pour permettre aux périphériques réseau de synchroniser leurs

paramètres de temps avec un serveur NTP.

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech
I- Syslog & NTP
II-Horodatage du système (Protocole NTP)
Configuration NTP

Etape 1: mettre un serveur NTP avec le choix de la date

Etape 2: Activer l’horodatage au niveau de l’equipement réseau

Router(config)#service timestamps log datetime msec

Etape 3: specfier l’adresse IP du serveur NTP

Router(config)#ntp server @IP serveur NTP
Configuration syslog
Etape 1: configurer le nom d’hote pi @IP du serveur Syslog au mode de configuration globale
Router(config)#logging @IP du serveur syslog

Etape 2: limiter les messages envoyés a un niveau de gravite précis (exemple niveau 4)
Router(config)#logging trap level
Exemple
Router(config)#logging trap warning

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

III- NetFlow

NetFlow est une technologie Cisco IOS qui fournit des statistiques sur les paquets traversant un routeur ou un
commutateur multicouche Cisco. NetFlow est la norme pour la collecte de données opérationnelles IP à partir de
réseaux IP

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

III- NetFlow

Configuration Netflow

Pour implémenter NetFlow sur un routeur :

• Étape 1. Configuration de la capture des données NetFlow : NetFlow capture les données issues des paquets
entrants et sortants.
• Etape 2. Configuration de l'exportation des données NetFlow : l'adresse IP ou le nom d'hôte du collecteur
NetFlow doit être spécifié ainsi que le port UDP que le collecteur NetFlow écoute.
• Étape 3. Vérification de NetFlow, de son fonctionnement et de ses statistiques : après la configuration de
NetFlow, il est possible d'analyser sur une station de travail les données exportées en y exécutant une
application exemple Cisco NetFlow Collector. Au minimum, il est possible de se baser sur le résultat d'un
certain nombre de commandes show exécutées sur le routeur lui-même.

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

III- NetFlow

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

III- NetFlow
Verification de la configuration par Netflow

# sh ip cache flow
• S’assurer que NetFlow est configuré sur les interfaces correctes et dans les directions appropriées.
#sh flow interfaces
• Pour contrôler la configuration des paramètres d'exportation
#sh ip flow export

Prof. WAKRIM Surveillance réseau

 Edvantis Group ISGA Marrakech

IIII-SNMP

NMS: station de supervision

MIB: Base de données

SNMP est un protocole du niveau applicatif, il sert a superviser les équipements réseau qu’on appelle agent SNMP.
L’administrateur se connecte a la station de supervision NMS, via un navigateur web, afin d’accéder au informations
récupérés par le SNMP. Le NMS interroge l’agent SNMP (routeur, switch) pour par exemple la valeur du nom du système,
alors l’agent SNMP va récupérer la valeur exacte dans la MIB. Une fois l’agent a la valeur exacte, il va répondre a la requête
au NMS.
Configuration
# snmp-server community mot ro/rw ro: lecture seule ; rw: lecture et ecriture

Prof. WAKRIM Surveillance réseau