Module 12 : Diagnostic et

Maintenance d’un réseau

Prof: Hakima ECH-CHAD
E-Mail: HAKIMA.ECH-CHAD@ofppt.ma

Année universitaire 2019-2020

Surveillance du réseau
Objectifs :

À l'issue de ce chapitre, vous serez en mesure d'effectuer les tâches suivantes :

• Expliquer le fonctionnement de Syslog.

• Configurer Syslog de manière à compiler des messages sur un périphérique de gestion du
réseau de PME.
• Expliquer le fonctionnement du protocole SNMP.
• Configurer le protocole SNMP de manière à compiler des messages sur un réseau de PME.
• Décrire le fonctionnement de NetFlow.
• Configurer le protocole NetFlow de manière à surveiller le trafic sur un réseau de PME.
• Expliquer comment les données NetFlow sont utilisées pour examiner les modèles de trafic.
 Plan
• 8.1 Syslog
• 8.2 SNMP
• 8.3 NetFlow
8.1 Syslog
Fonctionnement de Syslog
Présentation de Syslog
• Les périphériques réseau disposent de mécanismes fiables permettant d'envoyer à l'administrateur des messages système
détaillés lors de l'occurrence de certains événements se produisant sur le réseau.
• Le protocole Syslog utilise le port UDP 514 pour envoyer des messages de notification d'événement sur des réseaux IP.
• Le protocole SysLog est utilisé pour recueillir les messages de journalisation générés par un équipement ou une application.
Ces messages sont parfois la seule manière d’obtenir des éclaircissements sur le dysfonctionnement d’un équipement
• De nombreux périphériques réseau prennent en charge le protocole Syslog, comme les routeurs, les commutateurs, les
serveurs d'applications, les pare-feu et d'autres dispositifs réseau. Le protocole Syslog permet aux périphériques réseau
d'envoyer leurs messages système sur le réseau aux serveurs Syslog.
Le service de journalisation du protocole Syslog assume trois fonctions principales :
• La capacité à collecter les informations de journalisation pour la surveillance et le dépannage
• La capacité à sélectionner le type d'information de journalisation capturée
• La capacité à spécifier les destinations des messages Syslog capturés
Fonctionnement de Syslog
Présentation de Syslog

Un serveur SysLog permet d’assurer les tâches suivantes :

• Centraliser tous les fichiers journaux de différents équipements du réseau : routeurs,
commutateurs, serveurs, etc.
• Archiver les journaux dans un lieu fiable où ils peuvent être traités.
• Effectuer des recherches et des tris sur les journaux pour faciliter leur analyse.
Fonctionnement de Syslog

• Sur les périphériques réseau Cisco, le protocole Syslog commence par envoyer des messages système ainsi qu'un
résultat de commande debug à un processus de journalisation local interne au périphérique. La configuration de ces
périphériques détermine comment le processus de journalisation gère ces messages et ces résultats.
• L'administrateur réseau peut spécifier que seuls certains types de messages sont envoyés à différentes destinations.
• Les destinations classiques des messages Syslog sont les suivantes :
• Tampon de journalisation (mémoire vive à l'intérieur d'un routeur ou d'un commutateur)
• Ligne de console
• Ligne de terminal
• Serveur Syslog
 Fonctionnement de Syslog

• Les périphériques Cisco génèrent des messages Syslog à la suite des événements réseau. Chaque message Syslog
contient un niveau de gravité et une capacité.
Chaque niveau Syslog a sa propre signification :
• Niveau d'avertissement - Niveau d'urgence : ces messages sont des messages d'erreur relatifs aux
dysfonctionnements logiciels ou matériels ; ces types de messages signifient que la fonctionnalité du périphérique est
affectée.
• Niveau de débogage : ce niveau indique que les messages sont des résultats générés suite à l'exécution de diverses
commandes debug.
• Niveau de notification : le niveau de notification existe à titre purement informatif, la fonctionnalité des
périphériques n'étant pas affectée. Les transitions d'interface à l'état « up » ou « down » ainsi que les messages de
redémarrage du système s'affichent au niveau de notification.
Fonctionnement du Syslog
Les niveaux de gravité SysLog

• Un niveau de gravité indique la nature d’un message d’erreur. On distingue huit niveaux de
gravité, de 0 à 7 avec le niveau 0 (zéro) étant le plus critique et le niveau 7 le moins critique.
Code Gravité Mot-clé Description
0 Emergency emerg (panic) Système inutilisable.
1 Alert Alert Une intervention immédiate est nécessaire.
2 Critical Crit Erreur critique pour le système.
3 Error err (error) Erreur de fonctionnement.
Avertissement (une erreur peut intervenir si aucune action n'est
4 Warning warn (warning)
prise).
5 Notice Notice Événement normal méritant d'être signalé.
6 Informational Info Pour information.
7 Debugging Debug Message de mise au point.
Fonctionnement de Syslog

• les messages Syslog contiennent également des informations de

capacité. Les capacités Syslog sont des identificateurs de service
permettant de déterminer et de catégoriser les données d'état du
système pour les rapports des messages d'événement et d'erreur.
Les capacités classiques des messages Syslog signalées sur les routeurs
Cisco IOS sont les suivantes :
• IP
• Protocole OSPF
• Système d'exploitation SYS
• IPsec (IP Security)
• Adresse IP d'interface (IF)
Par défaut, le format des messages Syslog du logiciel Cisco IOS est le
suivant :
• seq no: timestamp: %facility-severity-MNEMONIC: description
Implémenter un serveur SysLog
o Fonctionnement du Syslog
• Le format d’un message SysLog
Un journal au format SysLog comporte dans l'ordre les informations suivantes :
• Seq no:timestamp%FACILTY-SEVERITY-MNEMONIC: message
• Seq no : indique le numéro d’ordre de l’événement, cette information apparait seulement si la commande service sequence-numbers
a été exécutée.
• timestamp : indique la date et l’heure de l’événement. cette information apparait uniquement si la commande service timestamps a
été exécutée.
• FACILTY : indique le composant, le protocole ou le processus qui a généré le message, exemples SYS pour le système d'exploitation,
IF pour une interface, etc.
• SEVERITY : Un nombre, entre 0 et 7, qui indique l'importance de l’événement signalée.
• MNEMONIC : un code identifiant le message SysLog.
• message : Une description de l'événement qui a déclenché le message SysLog
 Fonctionnement du Syslog

• Le format d’un message SysLog

• Exemple :

39345: May 22 13:56:35.811: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down

• seq no: 39345

• Timestamp: May 22 13:56:35.811
• FACILTY: LINEPROTO
• SEVERITY level: 5 (notification)
• MNEMONIC: UPDOWN
• message text: Line protocol on Interface Serial0/0/1, changed state to down
Syslog
Configurer un client SysLog

Par défaut, les routeurs et commutateurs Cisco envoient des messages journaux à la console pour tous les niveaux de
gravité. Sur certaines versions de Cisco IOS, le périphérique consigne également les messages dans une mémoire tampon
par défaut. Pour activer ces deux paramètres, utilisez les commandes de configuration globale logging console et
logging buffered, respectivement.
Activer les horodatages pour les messages de débogage et
Router(config)# service timestamps log datetime msec
de journalisation.
Router(config)# logging host [ ip-address |
Identifiez l'adresse du serveur Syslog ou son nom d'hôte.
hostname ]
Limiter les messages connectés aux serveurs syslog en
Router(config)# logging trap level fonction de la gravité.
La valeur par défaut est 0 – 6.
Activer l’envoie des messages pour la journalisation. La
Router(config)# logging on
valeur est « on » par défaut
Afficher l'état de journalisation et le contenu du tampon de
Router# show logging
journalisation système standard.
 Implémenter le protocole SNMP
Présentation du SNMP

• Le protocole SNMP (Simple Network Management Protocol) permet de superviser, diagnostiquer et gérer, les
équipements réseau à distance.
• Les buts du protocole SNMP peuvent être résumés comme suit :
• surveiller les performances du réseau et connaître l'état global des équipements (actif, inactif, partiellement opérationnel,
engorgement réseau...) ;
• détecter les problèmes sur le réseau et gérer les évènements exceptionnels (perte d'un lien réseau, arrêt brutal d'un équipement...) ;
• agir sur la configuration des équipements.
• Avantages :
₋ protocole très simple, facile d'utilisation
₋ permet une gestion à distance des différentes machines
₋ le modèle fonctionnel pour la surveillance et pour la gestion est extensible
₋ indépendant de l'architecture des machines administrées
 Implémenter le protocole SNMP
Présentation du SNMP

• Le protocole SNMP utilise le protocole UDP (User Datagram Protocol) et communique sur les ports 161 et 162
• L’utilisation du protocole UDP est justifiée pour sa simplicité, sa rapidité et sa concision (8 octets d’entête contre
20 pour TCP), ce qui permet de remonter très rapidement des alarmes vers un manager.
• Malheureusement, c’est un protocole de transport en mode non connecté et non fiable, ce qui signifie que l’on
pourra perdre des messages SNMP
• Un grand nombre de logiciels utilisent SNMP pour produire des graphes rendant compte de l'évolution des
réseaux ou des systèmes informatiques (Centreon, NetCrunch 5, MRTG, Cacti, Shinken, Nagios, Zabbix).
Fonctionnement du SNMP
Les composants d’un système SNMP

• Un système SNMP se compose de trois éléments :

• Le gestionnaire SNMP : (Network Management System – NMS) : est un logiciel qui s'exécute sur la
station de l'administrateur réseau (dans la plupart des cas, un ordinateur) pour surveiller le réseau.
• L'agent SNMP : est un logiciel qui s'exécute sur le périphérique réseau /(routeur, commutateur, serveur...)
permettant sa supervision.
• La base d’information et de gestion (MIB) : est un ensemble de collection d'objets gérés par l’agent
SNMP. Chacune de ces collections contient un certain nombre de variables qui peuvent être consulté ou
modifiés par le gestionnaire SNMP
Fonctionnement du SNMP
Les composants d’un système SNMP
Toutes les informations de supervision d'un agent sont stockées dans la base d'informations de
management.
Un agent peut effectuer un suivi des éléments suivants:
• Le nombre et l'état de ses circuits virtuels

• Le nombre de certains types de messages d'erreur reçus

• Le nombre d'octets et de paquets entrant et sortant de l'équipement

• La longueur maximale de la file d'attente de sortie pour les routeurs réseaux

• Les interfaces réseau qui se désactivent et s'activent

La NMS exécute une fonction de surveillance en récupérant les valeurs dans la MIB. La NMS peut
occasionner l'exécution d'une action au niveau d'un agent.
 Fonctionnement du SNMP
La structure de la base d’information de management

MIB = Collection structurée d'objets

 C haque nœud dans le système doit maintenir
une MIB qui reflète l'état des ressources gérées
 une entité d'administration peut accéder
aux ressources du noeud en lisant les
valeurs de l'objet et en les modifiant.
MIB = liste des variables reconnues par les agents
Base de données contenant les informations sur
les éléments du réseau à gérer
 1 ressource à gérer = 1 objet
 Chaque objet est représenté par un "object identifier«
 Exemple : Internet Object Identifier ::= {ISO org(3) dod(6) 1}
 soit en notation pointée 1.3.6.1 pour le noeud Internet.
 Fonctionnement du SNMP
La structure de la base d’information de management

 Chaque noeud de l’arbre possède un nom symbolique.

 Chaque objet pourra être identifié de façon symbolique ou en utilisant son OID (Object identifier)
 Si l’on fait un zoom sur la branche internet de la MIB, on a :
 Fonctionnement du SNMP
La structure de la base d’information de management

• L’objet sysDescr a comme nom symbolique

iso.org.dod.internet.mgmt.mib.system.sysDescr.0.

Son OID en respectant les règles SMI est 1.3.6.1.2.1.1.1.0.

• Il faut noter que c’est l’OID qui est transmis dans une requête SNMP et non le nom symbolique
de l’objet.

remarque:
• l’accès à un objet simple (feuille de l’arbre) de la MIB se fait en rajoutant .0 comme suffixe à
l’OID.
 Fonctionnement du SNMP
La structure de la base d’information de management

La structure de la MIB est hiérarchique : chaque information possède un identifiant (OID), une suite de
chiffres séparés par des points, qui l'identifie de façon unique. Par exemple, 1.3.6.1.2.1.2.2.1.2 est l'object
identifier ifDescr qui est la chaîne de caractères décrivant une interface réseau (comme Ethernet0 sur un
routeur Cisco).
Une des MIB les plus connues est MIB-II, décrite dans le RFC 1213.
 Fonctionnement du SNMP
Les différentes versions de SNMP
SNMP a plusieurs versions, mais il existe trois versions principales : SNMP version 1, SNMP version 2c et SNMP
version 3.
 SNMPv1
C’est la version originale et il est recommandé de ne pas l’utiliser sur un réseau suite à des lacunes de sécurité.
• SNMPv2c
Elle présente une mise à jour de protocole initial et offre quelques améliorations. Cependant, la sécurité qu'il fournit se base
sur la chaîne de communauté uniquement qui est juste un mot de passe en texte clair (sans cryptage) vulnérables aux
attaques des pirates.
• Il existe deux types de chaînes de communauté dans SNMPv2c :
• Lecture seule (RO) : cette option donne accès en mode lecture seule pour les objets MIB. C’est une option plus sûre et recommandé.
• Lecture-écriture (RW) : donne un accès en mode lecture et écriture pour les objets de la MIB. Cette méthode permet au gestionnaire
SNMP de modifier la configuration d’un élément réseau.
 Fonctionnement du SNMP
Les différentes versions de SNMP
SNMP a plusieurs versions, mais il existe trois versions principales : SNMP version 1, SNMP version 2c et SNMP version 3.
• SNMPv3
• Elle apporte des améliorations significatives pour remédier aux faiblesses de sécurité existant dans les versions
antérieures. Le concept de chaîne de communauté a été abandonné en mettant en place trois nouvelles
fonctionnalités principales :
• L’intégrité : il permet de s’assurer qu'un paquet n'a pas été modifié.
• L’authentification : il permet de s’assurer que le message provient d'une source valide sur le réseau, en
utilisant un mot de passe se basant sur les algorithmes de HMAC-MD5 ou HMAC-SHA.
• Cryptage (chiffrement) : il permet de crypter le contenu d'un paquet avec la méthode DES pour crypter.
• Remarque : Bien que SNMPv3 offre une meilleure sécurité la version SNMPv2c reste encore plus fréquente être
utilisée.
 Fonctionnement du SNMP
Les messages SNMP:

Les opérations suivantes sont disponibles sur toutes les versions SNMP :
 Recherche d’informations :
• GET : elle permet d’extraire une valeur d’un élément de la MIB.
• GetNext : elle permet de récupérer la valeur suivante de l’élément MIB.
• GetBulk : (à partir de SNMPv2c) cette opération est utilisée par le
gestionnaire SNMP pour récupérer efficacement de grandes quantités de
données de l'agent SNMP.
 Fonctionnement du SNMP
Les messages SNMP:

 Envoie d’informations
SNMP fournit également des opérations de notifications différentes qui peuvent être utilisées par le
protocole SNMP pour avertir le gestionnaire SNMP d'un événement important :
• Trap : cette notification est utilisée pour envoyer un message sans accusé de réception de l'agent SNMP au
gestionnaire SNMP (NMS), lorsqu’une condition programmé réseau est remplie (….).
• Informer : cette notification a été introduite dans SNMPv2c pour remédier le problème d’accusé de
réception lors de l’utilisation de Trap. le gestionnaire SNMP peut maintenant reconnaître que le message a
été bien reçu.
GET-RESPONSE (agent -> manager)
• Répond à /SET ou erreur
 Modification de valeurs :
 SET : elle permet de définir une valeur d'un élément MIB.
SNMP
Configuration du protocole SNMP

Configurer l'identifiant de la
Router(config)#snmp-server community
« communauté » et son niveau d'accès
[name_community] [ro|rw]
(lecture seule ou lecture/écriture).
Router(config)#snmp-server enable traps
Activer les «traps » sur un agent SNMP .
[notification-types]

Router(config)#snmp-server host [@ IP Spécifiez le destinataire des opérations de

Gestionnaire SNMP] [version{1| 2c | 3 [auth déroutement SNMP. Par défaut, aucun
| noauth | priv]}] [nom_community] gestionnaire de déroutement n'est défini.

Router#show snmp Vérifier la configuration SNMP.

Affiche les informations relatives à l'identifiant
Router#show snmp community de communauté SNMP et à la liste de contrôle
d'accès
SNMP
Configuration du protocole SNMP

Documentez l'emplacement du
Router(config)#snmp-server location text
périphérique. (Facultatif)
Router(config)#snmp-server contact text Documentez le contact du système. (Facultatif)
Limitez l'accès SNMP aux hôtes NMS
Router(config)#snmp-server community (gestionnaires SNMP) qui sont autorisés par
[name_community] access-list-number-or- une liste de contrôle d'accès : définissez la liste
name de contrôle d'accès, puis référencez-la.
(Facultatif)
• Remarque : par défaut, aucun type de déroutement n'est défini dans le protocole SNMP. En l'absence
de cette commande, les gestionnaires SNMP doivent tenter d'obtenir toutes les informations
pertinentes.
SNMP
Configuration du protocole SNMP
SNMP
Configuration du protocole SNMP
Meilleures pratiques de sécurité
• L'utilisation du protocole SNMPv3 est recommandée, car il permet l'authentification et le
chiffrement. Il existe d'autres commandes du mode de configuration globale qu'un
administrateur réseau peut implémenter (l'authentification et du chiffrement du protocole
SNMPv3) :
• La commande snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} crée
un nouveau groupe SNMP sur le périphérique.
• La commande snmp-server user username groupname v3 [encrypted] [auth {md5 | sha}
auth-password] [priv {des | 3des | aes {128 | 192 | 256}} priv-password] est utilisée pour
ajouter un nouvel utilisateur au groupe SNMP spécifié dans la commande snmp-server
group groupname.
• Remarque : la configuration du protocole SNMPv3 sort du cadre du cursus CCNA.
NetFlow
Fonctionnement de NetFlow
Présentation du protocole NetFlow
• NetFlow est une technologie Cisco IOS qui fournit des statistiques sur les paquets traversant un
routeur ou un commutateur multicouche Cisco.
• NetFlow fournit des données permettant la surveillance du réseau et de la sécurité, la
planification réseau, l'analyse du trafic destinée à identifier les goulots d'étranglements du réseau
ainsi que la comptabilité IP à des fins de facturation.
• Flexible NetFlow est la technologie NetFlow la plus récente.

Par exemple, dans la figure, PC1 se connecte à PC2 à l'aide d'une application
comme HTTPS. Le protocole NetFlow peut contrôler la connexion de cette
application, en effectuant le suivi du nombre d'octets et de paquets pour ce flux
d'application individuel. Il envoie ensuite les statistiques correspondantes vers
un serveur externe appelé connecteur NetFlow.
NetFlow
Fonctionnement de NetFlow
Explication du protocole NetFlow
La plupart des entreprises utilisent NetFlow pour quelques-unes ou la totalité des applications
importantes suivantes en matière de collecte des données :
• Mesure de qui utilise quelles ressources réseau et pour quelle raison
• Comptabilité et facturation en fonction du niveau d'utilisation des ressources
• Utilisation des informations mesurées pour une planification plus efficace du réseau et un
alignement correct de l'allocation et du déploiement des ressources avec les exigences du
client
• Utilisation des informations pour une meilleure organisation et personnalisation de
l'ensemble des applications et services disponibles, en fonction des besoins et des exigences
du client en matière de services
NetFlow
Fonctionnement de NetFlow
Flux de réseau
le protocole NetFlow d'origine distinguait les flux à l'aide d'une combinaison de sept champs. Si la valeur de l'un des champs
suivants varie entre différents paquets, cela signifie que ces paquets appartiennent à des flux distincts :
• Adresse IP source
• Adresse IP de destination
• Numéro du port source
• Numéro du port de destination
• Type de protocole de couche 3
• Marquage TOS (type de service)
• Interface logique d'entrée
• Les adresses IP source et de destination, avec les ports source et de destination, identifient la connexion entre l'application
source et celle de destination. Le type de protocole de couche 3 identifie le type d'en-tête qui suit l'en-tête IP (généralement
TCP ou UDP, mais d'autres options incluent ICMP). L'octet ToS de l'en-tête IPv4 contient des informations sur le mode
d'application des règles de qualité de service (QS) aux paquets de ce flux.
NetFlow
Configuration de NetFlow
Un flux NetFlow est unidirectionnel. Cela signifie qu'une connexion utilisateur à une application se traduit par l'existence de
deux flux NetFlow, à savoir un pour chacune des deux directions. Pour définir les données à capturer pour NetFlow en mode
de configuration d'interface :
• Capturez les données NetFlow pour la surveillance des paquets entrants sur l'interface à l'aide de la commande ip flow
ingress.
• Capturez les données NetFlow pour la surveillance des paquets sortants sur l'interface à l'aide de la commande ip flow
egress.
L'activation de l'envoi des données NetFlow vers le collecteur NetFlow nécessite la configuration d'un certain nombre
d'éléments sur le routeur en mode de configuration globale :
• Adresse IP et numéro de port UDP du collecteur NetFlow : utilisez la commande ip flow-export destination ip-
address udp-port.
• (Facultatif) Version de NetFlow à utiliser lors du formatage des enregistrements NetFlow envoyés au collecteur :
utilisez la commande ip flow-export version version. NetFlow exporte les données vers UDP dans l'un des cinq formats
suivants : 1, 5, 7, 8 et 9.
• (Facultatif) Interface source à utiliser en tant que source des paquets envoyés au collecteur : utilisez la commande
ip flow-export source typenumber.
NetFlow
Configuration de NetFlow
Router(config-if)#ip flow ingress.
Router(config-if)# ip flow egress
Router(config)# ip flow-export destination ip-
address udp-port
Router(config)# ip flow-export version version
Router(config)# ip flow-export source typenumber
Capturez les données NetFlow pour la surveillance
des paquets entrants sur l'interface
Capturez les données NetFlow pour la surveillance
des paquets sortants sur l'interface
Adresse IP et numéro de port UDP du collecteur
NetFlow
(Facultatif) Version de NetFlow à utiliser lors du
formatage des enregistrements NetFlow envoyés au
collecteur. NetFlow exporte les données vers UDP
dans l'un des cinq formats suivants : 1, 5, 7, 8 et 9
(Facultatif) Interface source à utiliser en tant que
source des paquets envoyés au collecteur.
NetFlow
Configuration de NetFlow
NetFlow
Vérification de NetFlow
• Show ip cache flow -- Pour afficher un résumé des statistiques de gestion
des comptes NetFlow, ainsi que le protocole utilisant le plus grand volume
du trafic, et voir entre quels hôtes ce trafic s'écoule.
• Show ip flow interface -- Pour vérifier que NetFlow est configuré sur les
interfaces correctes et dans les directions appropriées.
• Show ip flow export -- Pour contrôler la configuration des paramètres
d'exportation