Mis à jour le 07/07/2023
25.3.10 – Packet Tracer – Découvrir une implémentation NetFlow
Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur.
Objectifs
Partie 1 : Observer les entrées de flux unidirectionnelles NetFlow
Partie 2 : Observer les entrées NetFlow d’une session entrant et quittant le collecteur
Contexte/scénario
Dans cet exercice, vous allez utiliser Packet Tracer pour créer du trafic réseau et observer les entrées de flux NetFlow correspondantes dans un collecteur NetFlow. Packet Tracer propose une simulation de base des fonctionnalités NetFlow. Il ne remplace pas les fonctionnalités NetFlow déployées directement sur l’équipement physique. Des différences peuvent exister entre les flux NetFlow générés par Packet Tracer et ceux générés par un équipement réseau intégrant toutes les fonctionnalités NetFlow.
Instructions
Partie 1: Observer les entrées de flux unidirectionnelles NetFlow
Étape 1: Ouvrez le collecteur NetFlow.
a. Dans le collecteur NetFlow, cliquez sur l’onglet Desktop . Cliquez sur l’icône Netflow Collector .
b. Cochez la case On pour activer le collecteur le cas échéant. Positionnez et redimensionnez la fenêtre de manière à ce qu’elle soit visible depuis la fenêtre de topologie Packet Tracer.
Étape 2: Envoyez une requête ping à la passerelle par défaut à partir de l’ordinateur PC-1.
a. Cliquez sur PC-1.
b. Ouvrez l’onglet Desktop, puis cliquez sur l’icône Command Prompt.
c. Saisissez la commande ping pour tester la connectivité à la passerelle par défaut sur 10.0.0.1.
C:\> ping 10.0.0.1
d. Après quelques secondes, l’écran du collecteur NetFlow affiche un graphique sectoriel.
Remarque : il est possible que le premier ensemble de requêtes ping ne soit pas transmis au collecteur NetFlow, car le processus ARP doit d’abord traduire les adresses IP et MAC. Si aucun graphique sectoriel n’apparaît au bout de 30 secondes, envoyez une nouvelle requête ping à la passerelle par défaut.
e. Cliquez sur le graphique sectoriel ou sur un élément de la légende pour afficher les informations sur le flux correspondant.
f. Le flux affichera des données similaires à celles du tableau ci-dessous. Votre horodatage sera différent.
Débutant | Valeur | Explication |
---|---|---|
Contribution au trafic | 100% (1/1) | La proportion du trafic total représenté par ce flux. |
ADRESSE IPV4 SOURCE | 10.0.0.10 | L’adresse IP source des paquets associés au flux. |
ADRESSE IPV4 DE DESTINATION | 10.0.0.1 | L’adresse IP de destination des paquets associés au flux. |
PORT SOURCE TRNS | 0 | Le port source de la couche transport. La valeur est 0, car il s’agit d’un flux ICMP. |
PORT DE DESTINATION TRNS | 0 | Le port de destination de la couche transport. La valeur est 0, car il s’agit d’un flux ICMP. |
PROTOCOLE IP | 1 | Cette valeur identifie le service de couche 4, généralement 1 pour ICMP, 6 pour TCP et 17 pour UDP. |
premier horodatage | 00:47:49.593 | L’horodatage indiquant le début du flux. |
dernier horodatage | 00:47:52.598 | L’horodatage du dernier paquet du flux. |
indicateurs tcp | 0x00 | La valeur de l’indicateur TCP. Dans ce cas, aucune session TCP n’est impliquée, car le protocole est défini sur ICMP. |
nombre d’octets | 512 | Le nombre d’octets contenus dans le flux. |
nombre de paquets | 4 | Le nombre de paquets contenus dans le flux. |
interface d’entrée | Gig0/0 | L’interface de l’exportateur de flux qui a collecté le flux d’entrée (en direction de l’interface du périphérique de surveillance). |
interface de sortie | Null | L’interface de l’exportateur de flux qui a collecté le flux de sortie (en provenance de l’interface du périphérique de surveillance). La valeur est « Null », car la requête ping a été envoyée à l’interface d’entrée. |
Dans ce cas, le flux représente la requête ping ICMP entre l’hôte 10.0.0.10 et 10.0.0.1. Le flux comprenait quatre paquets ping. Les paquets sont entrés dans l’interface G0/0 de l’exportateur.
Remarque : dans cet exercice, le routeur de périphérie a été configuré comme exportateur de flux NetFlow. L’interface LAN a été configurée pour surveiller les flux entrants en provenance du LAN. L’interface série a été configurée pour collecter les flux entrants en provenance d’Internet. Cette configuration a pour objectif de simplifier l’exercice.
Pour voir le trafic correspondant à une session bidirectionnelle complète, il faudrait configurer l’exportateur NetFlow de manière à ce qu’il collecte les flux entrant et sortant d’un réseau.
Étape 3: Créez du trafic supplémentaire.
a. Cliquez sur PC-2 > Desktop.
b. Ouvrez une invite de commande et envoyez une requête ping à la passerelle par défaut 10.0.0.1.
D’après vous, de quelle manière les entrées de flux NetFlow vont-elles s’afficher ? Les statistiques du flux existant seront-elles modifiées ou un nouveau flux apparaîtra-t-il dans le graphique sectoriel ?
Un flux est défini comme un flux unidirectionnel de paquets qui partagent les mêmes adresses IP et numéros de port source et destination, ainsi que le même protocole IP. Étant donné que ce trafic aura une adresse IP source différente, il créera un nouvel enregistrement de flux représenté par une nouvelle partie codée par couleur du graphique à secteurs.
c. Retournez sur le PC-1 et envoyez une nouvelle requête ping à la passerelle.
Comment ce trafic sera-t-il représenté ? Le graphique sectoriel affichera-t-il un nouveau segment ou modifiera-t-il les valeurs du flux existant ?
Les détails du flux d’origine restent les mêmes, mais la proportion de trafic représentée par le flux a doublé.
d. Envoyez des requêtes ping depuis PC-3 et PC-4 vers l’adresse de la passerelle par défaut.
Que devrait-il se passer au niveau de la fenêtre du collecteur de flux ?
Un nouvel enregistrement doit apparaître pour chaque flux.
Partie 2: Observer les entrées NetFlow d’une session entrant et quittant le collecteur
L’exportateur NetFlow a été configuré de manière à collecter les flux qui sortent du LAN et entrent dans le routeur à partir d’Internet.
Étape 1: Accédez au serveur web à l’aide de son adresse IP.
Avant de continuer, mettez le collecteur NetFlow hors tension pour effacer les flux.
a. Cliquez sur l’onglet NetFlow Collector > Physical.
b. Cliquez sur le bouton d’alimentation rouge pour désactiver le serveur. Puis cliquez à nouveau sur le bouton pour réactiver le serveur. (Remarque : vous pouvez avoir besoin de faire défiler la page ou de faire un zoom arrière.)
c. Dans le collecteur NetFlow, cliquez sur l’onglet Desktop .
d. Cliquez sur l’icône Netflow Collector. Cochez la case « On » pour activer le collecteur. Fermez la fenêtre NetFlow Collector.
e. Avant d’accéder à un serveur web depuis PC-1, estimez le nombre de flux qui seront affichés dans le graphique sectoriel. Expliquez votre réponse.
Étant donné que les flux quittant le LAN et entrant dans le routeur Edge depuis l’extérieur seront collectés, il y aura deux flux, un pour les paquets de requête envoyés au serveur et un pour les données renvoyées par le serveur.
Faites appel à vos connaissances en protocoles réseau et NetFlow pour estimer les valeurs correspondant aux requêtes de page web sortant du LAN.
Champ Entrée | Valeur | Valeur |
---|---|---|
Adresse IP source | 10.0.0.10 | S. o. |
Adresse IP de destination | 192.0.2.100 | S.o. |
Port source | 1 025 – 5 000 (MS Windows défini par défaut, tel qu’utilisé par PT. | Il s’agit d’une valeur approximative générée de manière dynamique. |
Port de destination | 80 | S.o. |
Interface en entrée | Gig0/0 | S.o. |
Interface de sortie | Se0/0/1 | S.o. |
Estimez les valeurs correspondant aux réponses de page web entrant dans le routeur de l’exportateur NetFlow depuis internet.
Champ Entrée | Valeur | Directives |
---|---|---|
Adresse IP source | 192.0.2.100 | S.o. |
Adresse IP de destination | 10.0.0.10 | S.o. |
Port source | 80 | S.o. |
Port de destination | 1025 – 5000 | Il s’agit d’une valeur aléatoire attribuée depuis la plage de ports éphémères. |
Interface en entrée | Se0/0/1 | S.o. |
Interface de sortie | Gig0/0 | S.o. |
f. Cliquez sur PC-1 > Desktop. Le cas échéant, fermez la fenêtre d’invite de commande. Cliquez sur l’icône de navigateur.
g. Dans le navigateur du PC-1, saisissez 192.0.2.100 et cliquez sur Go. La page web Example Website s’affiche.
h. Au bout de quelques secondes, un nouveau graphique sectoriel s’affiche dans le collecteur NetFlow. Vous verrez au moins deux segments correspondant à la requête et à la réponse HTTP. Un troisième segment s’affichera si le cache ARP pour PC-1 a expiré.
i. Cliquez sur chaque segment HTTP pour afficher les données et les comparer avec vos estimations.
j. Cliquez sur le lien vers la page Copyrights.
Que s’est-il passé ? Expliquez votre réponse. (Astuce : comparez le numéro de port sur l’hôte pour les différents flux.)
Étant donné que l’hôte a ouvert un nouveau port source pour la nouvelle demande au serveur Web, deux nouveaux flux ont été créés.
Comparez les flux. Mises à part les différences évidentes au niveau de l’horodatage, des adresses IP source et de destination, des ports et des interfaces, en quoi les flux de requête et de réponse diffèrentils ?
Les drapeaux TCP sont différents. Les drapeaux pour les flux de demande sont 0x02 et les drapeaux de réponse sont 0x12. Demandez aux élèves de rechercher ces valeurs en effectuant une recherche Google sur des termes tels que “valeurs d’indicateur tcp”. Il n’entre pas dans le cadre de cet atelier d’expliquer comment les valeurs sont déterminées, mais la signification de 0x02 sera SYN (décimal 2) pour le flux de requête et sera SYN-ACK (décimal 18) pour les flux de réponse.
Étape 2: Accédez au serveur web à l’aide de son URL.
a. Mettez le collecteur NetFlow hors tension pour effacer les flux.
b. Activez les services du collecteur Netflow
c. avant d’accéder au serveur web à l’aide de son URL.
D’après vous, quelles données vont s’afficher dans la fenêtre du collecteur NetFlow ?
Vous verrez quatre flux. Étant donné que le site Web est accessible par URL, une requête DNS doit être effectuée. Deux flux représentent la requête et la réponse DNS. Les deux autres flux représentent la requête et la réponse HTTP.
d. Sur PC-1, saisissez www.exemple.com dans le champ d’URL et appuyez sur Go.
e. Une fois les flux affichés, observez chaque entrée de flux.
Quelles valeurs s’affichent pour le champ Protocole IP de l’entrée de flux ? Que signifient ces valeurs ?
Les champs de protocole IP ont été abordés dans le tableau de la partie 1, étape 1 de cet atelier. La valeur 6 est pour TCP et est utilisée pour le trafic HTTP sur le port TCP 80. La valeur 17 est pour le trafic UDP et est utilisée par les flux de requête et de réponse DNS.