Supervision : Syslog
Supervision : La commande « show logging history » permet de voir l’historique des logs d’un équipement.
Par contre il ne stocke pas les logs car ils sont enregistrés dans la mémoire vive de l’appareil.
Si on redémarre l'équipement, eh bien on perd tout l’historique du journal.
Le mieux est d’utiliser un serveur externe pour stocker ces logs.
La commande « logging » permet de spécifier le serveur qui stockera les logs.
Par défaut, la commande « logging » n’inclut pas les logs de débogage.
Si on veut les récupérer sur le serveur externe, alors il faudra faire un « logging trap 7 ».
Supervision SNMP
Le protocole SNMP
Ce protocole permet aux administrateurs de gérer les équipements réseau et de diagnostiquer les problèmes, très rapidement.
Il fonctionne avec un serveur de supervision et des agents qui correspondent aux équipements que les administrateurs veulent superviser.
Supervision MIB
Les informations de supervision sont enregistrées dans une base de données, qu’on appelle la MIB.
Tout appareil qui est compatible SNMP peut être supervisé.
Supervision : AGENT SNMP
- Un périphérique réseau, que ce soit un routeur, un switch, ou un firewall, fait tourner un agent SNMP en arrière-plan, qui est en fait un processus daemon qui va répondre aux requêtes du réseau.
- Un agent SNMP, fournis un grand nombre d’identifiants d’objets, qu’on appelle les OID.
Supervision OID
Ces identifiants universels, sous la supervision de systèmes de gestion, sont représentés par une suite numérique complexe.
Une OID peut être longue et compliquée à déchiffrer.
C'est pour cette raison qu’elle est stockée dans une MIB, pour qu’elle soit plus lisible, pour nous les humains.
L'objectif de ces OID c’est de permettre une compatibilité avec différents logiciels de supervision.
Et l’objectif du SNMP, c’est d’identifier les ressources à superviser.
Supervision : Le protocole SNMP
Est utilisé par de nombreuses applications de management, pour contrôler l'état des périphériques réseau, et tout ça avec une belle interface graphique, ce qui donne une meilleure visibilité.
Pour sécuriser ces données, il est possible d’autoriser ou non, l’accès à ces OID, avec un système d’authentification SNMP.
2 manières d’utiliser SNMP :
- Soit en polling
- Ou par des trappes.
Le polling
Consiste à envoyer une requête à intervalles réguliers pour obtenir une valeur particulière.
Cette technique de « Vérification active » permet à un programme ou un script de vérifier si les données retournées sont correctes.
Les trappes
Consistent à faire de la vérification passive, c'est-à-dire que l'on peut configurer un périphérique réseau comme un routeur, pour qu'il envoie une trappe SNMP lorsqu’il y a un évènement particulier.
Exemple :
Le routeur peut envoyer une trappe lorsqu'il détecte une liaison coupée sur une de ces interfaces.
Et il lui est même possible de configurer une notification mail, lorsque la trappe SNMP est envoyée.
Versions SNMP :
- La V1 reste la version la plus utilisée, car c’est la plus « légère »
- La v2 est une version un peu laissée à l’abandon, car elle est trop complexe.
- Et la v3 permet de disposer des avantages de la version 2 sans en présenter les inconvénients.
Conclusion : Supervision
Le protocole SNMP est un outil indispensable dans un environnement réseau, car il permet aux administrateurs de détecter très rapidement les problèmes.
Netflow
Des outils comme SNMP, nous informe de la quantité de trafic qui traverse une interface, mais cela ne nous dit pas réellement quel type de trafic y circule.
Netflow nous donne des informations très précises sur tous les paquets IP qui circulent sur le réseau.
Le mot « Flow » signifie « flux » en français.
C’est un flux de paquets entre une source et une destination, ce qui signifie que les adresses et numéros de ports doivent être identiques pour regrouper les paquets IP d’un même flux :
La configuration de netflow sur un routeur se fait en plusieurs étapes :
- Il faut d’abord lui spécifier la direction que l’on souhaite surveiller, c’est-à-dire en entrant, en sortant, ou bien les deux !
- Ensuite il faut configurer la version de netflow.
- Et pour finir, configurez un collecteur netflow.
Le collecteur est un serveur externe sur lequel arriveront les données de netflow.
Ce système permet de collecter toutes les données netflow et de les organiser au mieux pour une meilleure visibilité !
Un collecteur Netflow peut nous donner comme infos les sites Web les plus visités, ou bien même le contenu le plus téléchargé et bien plus encore !
Stackwise, Cloud et SDN
La technologie Cisco StackWise
Permet de connecter plusieurs switchs intelligemment pour créer un seul switch virtuel, où chaque unité de switch est interconnectée avec soi :
- 1 lien Stackwise de 32 Gigas
- Ou bien 64 Gigas pour du stackwise plus.
Chaque switch dans le pile partage :
- La même topologie réseau
- La même adresse MAC
- Et les mêmes informations de routage.
L’AVANTAGE
Est de pouvoir augmenter la capacité du nombre de ports, dès qu’on en a besoin, ce qui est très intéressant financièrement.
Il est possible de regrouper jusqu’à 9 switchs ensemble.
stackWise-480
La dernière génération de stack est le stackWise-480.
Qui lui, permet d’offrir une capacité allant jusqu’à 480 gigas.
Ce qui est beaucoup plus que le stackwise et le stackwise plus.
Cloud Computing
C’est un ensemble de services informatiques, que ce soit :
- Des serveurs
- Du stockage
- Des bases de données
- Composants réseau
- Logiciels
- Outils d’analyse, etc...
Qui sont fourni par Internet, c’est-à-dire le nuage.
Trois catégories de service du Cloud Computing :
- Iaas : Infrastructure en tant que service : as a service
Ici, on loue une infrastructure informatique, comme des serveurs, des machines virtuelles, du stockage, des équipements réseau, ou bien même des systèmes d’exploitation, directement auprès d’un fournisseur de services cloud, avec un paiement en fonction de l’utilisation.
- Paas : Plateforme en tant que service : as a service
Offre un environnement à la demande pour le développement et les tests d’applications logicielles.
Cette catégorie permet aux développeurs de créer rapidement des applications web ou mobiles sans avoir à gérer l’infrastructure du réseau, qui est nécessaire au développement.
- Saas : Logiciel en tant que service : as a service
C’est une méthode qui permet d’héberger une application dans le cloud avec aussi toute l’infrastructure qui lui permet de fonctionner.
Les utilisateurs se connectent à l’application par Internet, que ce soit sur téléphone, tablette ou PC.
SDN (Software Defined Network)
C’est un ensemble de technologies qui permettent un contrôle centralisé des ressources réseau, en les virtualisant.
Ces ressources seront donc détachées des éléments physiques du réseau.
Cette solution permet donc de gagner en rapidité et en productivité.
L'OBJECTIF
Est de simplifier l'administration du réseau, comme c’est déjà le cas dans le monde des serveurs avec la virtualisation.
Le SDN vise à découpler dans un équipement réseau, la partie plan de données de la partie plan de contrôle.
C’est-à-dire qu’il ne laisse aux switchs et routeurs que l'aiguillage des paquets.
DANS UN RÉSEAU CLASSIQUE
Lorsqu'un paquet arrive sur un switch ou un routeur, celui-ci applique ses propres règles de routage ou de commutation qui sont inscrites dans son système d'exploitation.
Et en général, tous les paquets qui ont la même destination suivent le même chemin.
Avec le SDN
Ces modifications sont automatisées et même programmables.
L'administrateur configure les règles dans le contrôleur, et celles-ci sont instantanément transmises dans les équipements réseau.
Exemple
Si une entreprise réalise des sauvegardes toutes les nuits, et bien, il est possible de configurer le réseau pour obtenir le maximum de bande passante pendant cette sauvegarde.
QOS
Dans les réseaux, on y trouve un mélange de data, de voix et de trafic vidéo.
Chaque type de trafic a des propriétés différentes.
La data
N'est pas du trafic en temps réel, c’est-à-dire que les données peuvent arriver en retard ou même ne pas arriver forcément dans le bon ordre, que ce n’est pas très grave pour ce type de donner.
La voix
Est un trafic en temps réel qui doit avoir une bande passante constante, car elle a des limites à ne pas dépasser pour recevoir les paquets.
La vidéo
Qui comprend plusieurs sous-types de trafic.
- On a la vidéo passive, comme du streaming
- Il y a de la vidéo interactive, qui est du flux en temps réel
- Et aussi de la visioconférence.
Exigence type de trafic
- La bande passante
- Le délai
- Et la tolérance à la perte de paquet.
La visio
Comporte les mêmes exigences de retard, de gigue et de délai que le trafic voix.
La seule différence c’est sur la bande passante, car les paquets voix sont très petits, tandis que ceux de la vidéo peuvent varier suivant la qualité.
LA VIDÉO EN STREAMING
À des exigences différentes que celles de la vidéoconférence.
Par exemple un employé qui regarde une vidéo d’e-learning en streaming, ne sera pas sensible au retard ou à la perte de paquets qu’une vidéoconférence en direct.
Buffer
Car en streaming, ou même n’importe quel vidéo qu’on regarde sur internet, il y a un buffer, c’est-à-dire un style de mémoire tampon, qui s’exécute pour compenser les retards de transmission qui pourraient se produire.
Besoin de QoS
Le terme QoS, qu’on traduit en français par Qualité de Service, désigne la capacité à fournir un service conforme à certains critères d’exigences, au niveau du temps de réponse et de la bande passante.
Elle doit pouvoir garantir un niveau acceptable de perte de paquets pour un type de données.
Niveaux de service
- Meilleur effort (best effort)
- Service différencié (differenciated service ou soft QoS)
- Service garanti (guaranteed service ou hard QoS)
Critères de qualité de service
- Débit (bandwidth)
- Gigue (jitter)
- Latence, délai ou temps de réponse (delay)
- Perte de paquet (packet loss)
Licences IOS Cisco
Aujourd’hui, quand on achète un appareil Cisco, il est livré avec une image IOS de base qui comprend en plus tous les jeux de fonctionnalités. Mais il faudra les déverrouiller avec une clé de licence.
- La « base IP » contient les commandes IOS par défaut
- Le module « Voice » dispose de fonctionnalité de voix sur IP
- Le module « Data » prend en charge plusieurs fonctionnalités comme le MPLS.
- Et la sécurité donne accès au firewall, au VPN, et à d’autres systèmes de sécurité.
La commande « show version » nous donne des informations sur les licences installées de l’équipement.
La commande « show license », donne plus de détail sur chaque fonctionnalité
La commande « license install » permet d’installer une licence. Il faut terminer par un redémarrage.
Pour les entreprises qui disposent de nombreux équipements Cisco, ils utilisent plutôt une application qui permet de gérer l’ensemble des licences de leurs parcs réseau.
Cette Application s’appelle CLM (Cisco License Manager – Cisco), elle fonctionne aussi bien sur Windows que Linux et est entièrement gratuite.
Pour résumer :
SNMP s'exécute sur la couche application et se compose d'un gestionnaire et d'un agent SNMP.
- Le gestionnaire SNMP est le logiciel qui surveillera les périphériques réseau.
- Et l’agent SNMP c’est ce qui tourne sur les périphériques réseau que l’on veut superviser !
La base de données qui recense les différentes variables est appelée MIB !
Une MIB peut être une interface up ou down d’un routeur, ou bien même la charge d’un processeur.
Le gestionnaire SNMP vérifie régulièrement les MIB, et grâce à cette surveillance constante, il est possible de créer des graphiques sur 24h ou même sur un mois complet.
Le logiciel Centreon, qui utilise le cœur de Nagios, est un exemple de NMS (Network Management System).
C’est un outil de supervision.
Le logiciel de supervision, qu’on appelle aussi le gestionnaire ou le manager, enverra des messages « GET SNMP » pour demander un état des différentes variables MIB, à peu près toutes les minutes.
Si par exemple une interface tombe, alors une notification sera envoyée vers le gestionnaire SNMP ! On appelle ça une TRAP SNMP
SNMP a 3 versions différentes :
- La version 1 est tellement ancienne qu'il est pratiquement impossible de la trouver sur un réseau en production.
- Les versions 1 et 2 utilisent toutes deux des chaînes de communauté comme mot de passe pour authentifier l'accès à l'agent SNMP. Ces communautés sont envoyées en clair sur le réseau, ce qui n’est pas très sécurisé.
- Et la version 3 est le meilleur choix de nos jours, car elle prend en charge l'authentification basée sur les noms d'utilisateur et prend aussi en charge le cryptage.
Dans la V3 Il y a 3 modes de sécurité différents :
- 1 mode sans authentification ni cryptage.
- 1 mode avec une authentification en MD5 ou SHA, mais toujours sans cryptage
- Et 1 mode avec authentification et cryptage !
Version 1 de SNMP
La commande « snmp-server community » permet de définir une communauté.
La commande « snmp-server host » permet de définir l’adresse de notre serveur de supervision.
La commande « snmp-server enable traps » active les traps
La version 2 de SNMP
Est la version la plus utilisée aujourd’hui. Il s’agit exactement de la version 2C.
Les commandes sont identiques, sauf que dans la commande « snmp-server host » on doit préciser la version 2C !
SNMP en version 3
Avec la commande « SNMP-server group », on lui spécifie une communauté
Ensuite on choisit le type d’authentification parmi les 3 modes disponibles.
La commande « snmp-server user » permet de lui donner un nom de connexion.
La commande « snmp-server host » permet d’identifier le serveur de supervision.
Différence IPv4 et IPv6
Une adresse IPv4 est codée sur 32 bits, ce qui nous donne 4 milliards d’adresses IP’s !
Une classe C nous donne des réseaux de 256 IP.
Une Classe B, fournit plus de 65 000 IP par réseau.
Une classe A, donne plus de 65 mille adresses IP.
Pour pallier à cette pénurie, il y a la technique du VLSM, qui a pour but comme sa traduction l’indique, de créer des sous-réseaux de taille variable, ce qui permet d’optimiser l’efficacité de la distribution des adresses.
Nous avons également le NAT et le PAT qui permet d’avoir plusieurs adresses IP privées derrière une seule adresse IP publique.
Comparé aux 32 bits de l’IPv4, L’IPv6 a des adresses de 128 bits.
Les adresses IPv6 sont écrites en hexadécimal.
IPv4 et IPv6 ne sont pas compatibles.
Le protocole RIP s’appelle désormais RIPng.
OSPF passe à la version 3.
Le protocole BGP, devient MP-BGP.
Eigrp devient Eigrpv6
Type d'adresse IPv6 et EUI-64
Une adresse IPv4 fait 32 bits et comporte des masques de sous réseau allant de 0 à 32.
Pour de l’IPv6, on est sur du 128 bits, et les masques de sous-réseaux vont de 0 à 128.
Comme pour l’IPv4, il y a une partie pour l’adresse réseau qu’on surnomme le Prefixe, et une partie pour les hôtes qu’on appelle la partie Host !
Une adresse IPv6 prend en charge 3 types d’adresses :
- Unicast
- Multicast
- Anycast.
Il n’y a plus de notions de broadcast car elle a été remplacée par une multicast spécifique.
Une adresse IPv6 attribuée à une interface est constituée d'un préfixe de 64 bits et d'un identifiant d'interface de 64 bits aussi.
Cet identifiant peut être créé de différentes manières :
- Soit statiquement : c’est-à-dire qu’on lui affecte manuellement une adresse.
- Soit par autoconfiguration : en utilisant la méthode par défaut EUI-64 qui est basé sur la mac adresse de la carte réseau.
- Ou bien dynamiquement : à l’aide du protocole DHCP en version 6 pour l’IPv6 !
Le fait d’activer le protocole IPv6 sur l’interface du routeur avec la commande « ipv6 enable », va automatiquement générer notre adresse IPv6 local avec EUI-64.
Lorsque l’on configure IPv6 sur un routeur, par défaut, le routeur ne transmet aucun paquet IPv6 et donc ne crée pas non plus de table de routage.
Pour l’activer, il faut lancer la commande « ipv6 unicast-routing » en mode de configuration global !
NDP SLAAC et DHCPv6
L’IPv6 et L’IPv4 sont très similaires, car nous avons toujours besoin :
- D’une adresse unique par hôte
- D’une passerelle par défaut
- Et d’un serveur DNS.
La configuration automatique, qu’on peut voir comme un serveur « mini-DHCP », est quelque chose de nouveau en IPv6 et certains protocoles ont été supprimés ou modifiés.
Grâce à l’IPv6, nos équipements réseau ont beaucoup plus de pouvoir qu’en IPv4.
L’IPv6 a été pensée de manière que tout se fasse automatiquement sans l’aide d’un administrateur !
- L’IPv4 part à la découverte des équipements présents sur son réseau grâce au protocole ARP et au Broadcast.
- Et l’IPv6 utilise les protocoles NDP, ICMPv6 et le Multicast pour découvrir le réseau.
Le protocole NDP possède 4 fonctions :
- Router Solicitation : Dès qu’un équipement se connecte au réseau, il va dans un premier temps essayer de trouver un routeur, une Gateway, ou une sortie pour joindre le monde extérieur. C’est un paquet en multicast, qui est envoyé à tous les routeurs !
- Router Advertisement : Notre routeur va répondre à cette demande en envoyant son adresse locale !
Et on a les mêmes fonctions pour les voisins :
- Neighbor Solicitation
- Neighbor Advertisement
Le protocole NDP permet de connaître tous les routeurs IPv6 disponibles dans le sous-réseau, et d’éviter les doublons d’adresse IP.
Chaque Poste client et chaque interface de nos équipements actifs vont avoir 2 types d’adresse IPv6 :
- Une adresse Global Unicast, qui est routable
- Et une adresse unique locale, qui elle, est non routable.
Les routeurs Cisco utilisent la méthode EUI-64 pour créer l'ID d'interface. Mais certains systèmes d'exploitation utiliseront une valeur aléatoire. Grâce à la fonction SLAAC du protocole NDP, l'hôte aura une adresse IPv6 et une passerelle par défaut, mais il manque un ingrédient… Il s’agit du serveur DNS.
Cette fonction ne peut pas nous aider à trouver un serveur DNS. C’est pour ça que nous avons toujours besoin du DHCP !
Le DHCPv6 pour l’IPv6 se présente sous deux formes :
- Stateful
- Stateless
La forme Stateless permet de donner la seule information qui manque à la fonction SLAAC du protocole NDP.
C’est-à-dire les adresses IP des serveurs DNS !
Dans un réseau LAN, le plus simple, reste donc de mettre en place l’autoconfiguration avec :
- Un serveur DHCP Stateless.
- Le protocole NDP
- Et la fonction SLAAC !
Le DHCPv6 statefull fonctionne de manière similaire à la version 4.
Nous l'utilisons toujours pour donner des adresses, des passerelles par défaut, des serveurs DNS et quelques autres options aux clients.
Mais l'une des principales différences réside dans les messages qui sont utilisés.
En IPv4, le DHCP utilise les messages : Discover, Offer, Request et ACK.
Et en IPv6 il utilise des messages : Solicit, Advertise, Request et Reply !
Le message « solicit » est similaire au message « discover ». L’hôte utilisera ce type de message lorsqu'il recherchera l'adresse IP du serveur DHCPv6.
Le message « advertise » est utilisé pour donner à l'hôte :
- Une adresse IPv6.
- Une passerelle par défaut
- Et un serveur DNS.
Le message « request » permet à l'hôte de demander s'il est autorisé à utiliser ces informations !
Route Statique, OSPFv3 et EIGRPv6
Comme L’IPv4, un routeur configuré en IPv6 va créer une table de routage et y ajouter les réseaux.
Par défaut, il ne prend pas en compte le protocole IPv6.
C’est pourquoi il faut l’activer avec la commande « ipv6 unicast-routing »
La commande « ipv6 address » permet d’attribuer des adresses IPv6.
Pour configurer une route statique, c’est la même méthodologie qu’en IPv4.
La version d'OSPF pour L’IPv4 s'appelle officiellement OSPFv2, et pour prendre en charge L’IPv6, la nouvelle version est la V3.
Cette nouvelle version ne prend en charge que l’IPv6, c’est-à-dire qu’il est impossible de faire tourner l’IPv4 et l’IPv6 en même temps ! Pour cela, il faudrait configurer la V2 et la V3.
OSPFv3 n'a pas beaucoup changé, c'est toujours un protocole de routage à état de liens qui construit sa base « LSDB » à l'aide de LSA.
La plus grande différence entre les deux est la configuration, qui est devenue plus facile, car il n'y a plus de commandes « network » à taper.
La commande « ipv6 router ospf » permet d’activer OSPFv3 en globalité.
La commande « ipv6 ospf » permet d’activer l’IPv6 sur les interfaces.
Protocole EIGRP pour l’IPv6
Ici, l’avantage, c’est qu’à 99%, c’est pareil qu’en IPv4 !
Toutes les commandes sont les mêmes, sauf qu’il faut remplacer simplement « IPv4 » par « IPv6 »
La commande « ipv6 router eigrp 1 » active le protocole eigrp en globalité sur l’AS 1
Et ensuite il ne reste plus qu’à faire un « ipv6 eigrp 1 » sur les interfaces pour qu’il commence à chercher ses voisins et qu’il puisse diffuser son réseau !
Suivez le parcours CCNA sur le site Formip
Accédez à une supervision complète de vidéos de cours sur la chaîne Youtube Formip.