Recent Changes - Search:

Configuration du collecteur

Le fichier de configuration doit préciser l'adresse et le port d'écoute des netflows, les adresses des routeurs à collecter (l'exportation des netflows peut être activée sur des routeurs non concernés par l'application) et pour chacun d'eux les caractéristiques des flux à conserver (interfaces d'entrée et de sortie). Quelques exemples de fichiers de configuration figurent ci-dessous et la syntaxe est précisée dans le paragraphe Le fichier de configuration du collecteur.

Pour un réseau réduit aux deux routeurs de l'exemple d'un paragraphe précédent (Figure 13) le fichier de configuration pourrait être :

 NETFLOW_LISTEN_ADDR_PORT { @IP/8080 }
# Le routeur X
@IP_de_X {
# pour l'interrogation SNMP des caractéristiques du routeur
SNMP_READ_COMMUNITY { "public" }
# les flux conservés
IF_PROCESSED { ALL }
}
# Le routeur Y
@IP_de_Y {
# pour l'interrogation SNMP des caractéristiques du routeur
SNMP_READ_COMMUNITY { "public" }
# les flux conservés
IF_PROCESSED { ALL }
}

Ce fichier de configuration suppose que l'exportation des netflows n'a été activée que sur les interfaces B, C et D du routeur X et F, G, H du routeur Y. Si pour une raison quelconque l'exportation a été activée sur toutes les interfaces, le «filtrage» devra être fait par le collecteur :

 NETFLOW_LISTEN_ADDR_PORT { @IP/8080 }
# Le routeur X
@IP_de_X {
# pour l'interrogation SNMP des caractéristiques du routeur
# (indispensable pour retrouver les numéros d'interfaces à partir
# de leurs noms)
SNMP_READ_COMMUNITY { "public" }
# les flux conservés
IF_PROCESSED {
"B"-> ALL
"C"-> ALL
"D"-> ALL
}
}
# Le routeur Y
@IP_de_Y {
SNMP_READ_COMMUNITY { "public" }
# les flux conservés
IF_PROCESSED {
"F"-> ALL
"G"-> ALL
"H"-> ALL
}
}

L'énumération des couples d'interfaces d'entrée et de sortie peut être en pratique fastidieuse. Il est possible d'utiliser des notations de type «tout sauf» :

 NETFLOW_LISTEN_ADDR_PORT { @IP/8080 }
# Le routeur X
@IP_de_X {
SNMP_READ_COMMUNITY { "public" }
# on conserve les flux entrant par n'importe quelle interface sauf A
# et sortant par une interface quelconque
IF_PROCESSED { ALL_EXCEPT { "A" } -> ALL }
}
# Le routeur Y
@IP_de_Y {
SNMP_READ_COMMUNITY { "public" }
# on conserve tous les flux sauf ceux entrant par E
ALL_IF_PROCESSED_EXCEPT { "E" -> ALL }
}

Il est prudent de spécifier le filtrage dans le fichier de configuration du collecteur même si l'activation de l'exportation des netflows peut se faire sélectivement sur les routeurs : on se protège ainsi contre une erreur de configuration lors d'une mise à jour des routeurs. Pour des raisons d'efficacité de la collecte il faut privilégier les expressions courtes dans les règles de filtrage.

Une configuration plus complexe permet d'illustrer une nouvelle construction du fichier de configuration (Figure 14). Les interfaces pour lesquels les netflows sont exportés figurent en vert sur le schéma, celles ou l'exportation est inactivée sont en rouge. Conformément à la règle énoncée dans un paragraphe précédent (L'exportation des informations de flux par les routeurs) l'exportation n'est pas activée sur les interfaces A, B, E et F. Il devrait en être de même pour les interfaces J et K mais l'utilisation de netMET sur le réseau nécessite que le routeur de connexion à Internet exporte les netflows sur toutes ses interfaces.


Figure 14

Il est possible de configurer le collecteur netMAT de manière à ignorer les netflows envoyés par le routeur de connexion à Internet, il suffit de ne pas citer le routeur de connexion à Internet dans le fichier de configuration. Il est aussi possible configurer l'exploitation netMAT de manière à ne pas prendre en compte le trafic des (sous-)réseaux X et Y vers Internet. On peut cependant souhaiter voir apparaître le trafic avec Internet, considéré comme un organisme unique, dans les résultats produits par netMAT. Pour cela il n'est pas nécessaire de conserver dans les flux les adresses Internet. Il est possible de les remplacer par une adresse «d'agrégation» unique. Cette façon de faire a de plus l'avantage de diminuer considérablement la taille de la table de comptage du collecteur et par conséquent la taille des fichiers de «dump» correspondants. Le filtrage des netflows envoyés par le routeur de connexion à Internet consiste à ne conserver que les flux entrant par l'interface I, ce qui garantit que les trafic Internet vers X ou Y est pris en compte. Le trafic de X ou Y vers Internet transite par les interfaces C, D ou G, H et est donc bien pris en comte. Le remplacement dans les flux des adresses Internet par une adresse d'agrégation unique @_internet s'obtient :

  • en spécifiant pour le routeur de connexion à Internet l'agrégation sur cette adresse des flux transitant par l'interface I (ici seuls les flux entrant par cette interface sont retenus),
  • en spécifiant l'agrégation sur @_internet de toute adresse IP n'appartenant pas aux sous-réseaux routés par les routeurs X et Y.

Le fichier de configuration du collecteur devient :

 NETFLOW_LISTEN_ADDR_PORT { @IP/8080 }
# Le routeur de connexion à Internet
@IP_du_routeur_de_connexion_Internet {
SNMP_READ_COMMUNITY { "public" }
# on conserve les flux entrant par l'interface I
# et sortant par une interface autre que I
IF_PROCESSED { "I" -> OTHER }
# agrégation sur @_internet : remplacement dans les flux
# entrant par l'interface I de l'adresse source par @_internet
IF_AGGREGATION { "I" ( @_internet ) }
}
# Le routeur X
@IP_de_X {
SNMP_READ_COMMUNITY { "public" }
# on conserve les flux entrant par n'importe quelle interface sauf A
# et sortant par une interface quelconque
IF_PROCESSED { ALL_EXCEPT { "A" } -> ALL }
}
# Le routeur Y
@IP_de_Y {
SNMP_READ_COMMUNITY { "public" }
# on conserve tous les flux sauf ceux entrant par E
ALL_IF_PROCESSED_EXCEPT { "E" -> ALL }
}
# toutes les adresses extérieures aux réseaux X et Y sont remplacées
# dans les flux par @_internet
OUTSIDE_AGGREGATION {
x1.x2.x3.x4/n1 x5.x6.x7.x8/n2 ... y1.y2.y3.y4/m1 y5.y6.y7.y8/m2 ...
OTHER @_internet
}

Actuellement netMAT ne permet pas de visualiser le trafic relatif à une adresse donnée : les résultats sont relatifs aux «organisations» et pas aux machines ni aux postes de travail. Il n'est donc pas nécessaire en l'état de conserver dans la table du collecteur les véritables adresses sources et destinations des flux, les adresses de base des sous-réseaux correspondants sont suffisantes. Le remplacement de chaque adresse par l'adresse de base du sous-réseau auquel elle appartient permet de diminuer considérablement la taille des fichiers de collecte. Cela s'obtient en remplaçant la clause OUTSIDE_AGGREGATION par une clause SUBNET_AGGREGATION (seul le mot-clé change, les adresses des sous-réseaux et la rubrique OTHER sont inchangées).

Pour diminuer la taille des fichiers de collecte il est aussi possible d'utiliser un fichier descriptif des services spécifique à la collecte au lieu du fichier /etc/services «standard». Il suffit de placer une clause SERVICES à la fin du fichier de configuration. La construction de ce fichier spécifique peut se faire en comptabilisant dans un premier temps de façon détaillée le trafic de tous les couples port/protocole afin de déterminer les couples les plus utilisés. Ainsi les mesures du trafic sur le réseau Lothaire ont montré que 99% des octets échangés concernent moins de 100 couples numéro de port/numéro de protocoles et que le 1% restant en concerne environ autant. Un réexamen détaillée périodique du trafic permet de prendre en compte les éventuelles évolutions de sa répartition.

<< Activation du collecteur | Documentation | Le « vidage » de la table du collecteur >>

Print - Recent Changes - Search
Page last modified on 2018/04/20 16:02:09