Analyse de protocole sur un switch

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Analyse de protocole sur un switch

Messagepar shutdown76 » 09 Sep 2007 17:57

Bonjour, est-il possible d'analyse les protocoles qui transite sur chaque port d'un switch (via SNMP ou autre...)?

Étant données que les switch travail au niveau 2 (voir 3) du modèle OSI je ne pense pas que cela soit possible! Pouvez vous me dire que je me trompe :lol:

Ce que je recherche: Un outils permettant de visualiser la bande passante utilise par différend protocole. J'ai trouver quelque petite chose mais tout est sur l'interface même du serveur or je souhaite disposer des sondes ou bon me semble.

Si vous avez des infos sur un outils comme celui ci n'hésiter pas.

Merci :wink:
shutdown76
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Sep 2007 17:31

Messagepar jdh » 09 Sep 2007 18:32

Non, non, ce genre de choses est possible.

Par exemple, il faut chercher par exemple Netflow : http://en.wikipedia.org/wiki/Netflow

Juste 2 petites remarques : analyser le trafic suppose une certaine maîtrise des réseaux; enregistrer les "netflow records" pour de nombreuses stations exigent une "bonne" machine.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar shutdown76 » 09 Sep 2007 19:31

Si j'ai bien comprit, netflow flows collecte des flux qui passent dans un routeur puis les stock pour pouvoir les utiliser avec Netflow Record... Dans mon cas je souhaite surveiller les ports d'un switch. J'ai regardez la demo de netflowanalyzer (http://demo.netflowanalyzer.com/) et je n'est pas trouver de valeur (ou graphique) m'indiquant l'utilisation de la bande passante par tel protocole.

Exemple: Je souhaite savoir quel est l'utilisation de la VoIP sur le port n de tel switch.

Au final avoir des graphiques avec tout les protocoles qui on circuler à tel endroit du réseau.

Un peu dans ce style la.
shutdown76
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Sep 2007 17:31

Messagepar Franck78 » 09 Sep 2007 22:31

Salut,

Tu demandes un truc qui n'a pas vraiment de sens pour un switch. Comme tu l'as dit, il travaille exceptionnellement jusqu'au niveau IP (réseau). Alors te fournir des stats sur les protocoles (http,ssh,...) et par ports, tu rèves. Faut choisir. Commutation très rapide entre 48++ ports ou alors routeur (et donc stats possibles) entre quelques ports.



Bonjour, est-il possible d'analyse les protocoles qui transite sur chaque port d'un switch (via SNMP ou autre...)?

Est-ce vraiment utile?
C'est plus utile d'avoir les points de départ et d'arrivée d'un flux ou alors d'avoir l'analyse sur un point serveur/firewall/routeur/proxy (un point de passage stratégique).
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar shutdown76 » 09 Sep 2007 22:59

Bonjour, est-il possible d'analyse les protocoles qui transite sur chaque port d'un switch (via SNMP ou autre...)?

Est-ce vraiment utile?
C'est plus utile d'avoir les points de départ et d'arrivée d'un flux ou alors d'avoir l'analyse sur un point serveur/firewall/routeur/proxy (un point de passage stratégique).[/quote]

C'est juste que l'on utilise des liens laser coupler a un lien redondant (BLR) lorsque le lien laser chute (le laser c'est pas top :cry: ) on a des perte en VoIP car on passe de 100Mbit/s a 10M! j'aurais voulu connaitre en détail la bande passante de ces liens en fonction des protocoles. Et tout les sites distant sont dans le même Vlan, donc pas router...
shutdown76
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Sep 2007 17:31

Messagepar Franck78 » 09 Sep 2007 23:25

C'est donc pour résoudre un problème particulier. En y réfléchissant trente secondes à peine avec les infos disponibles, tu as des liaisons qui sont ce qu'elles sont et tu n'y changera pas grand chose (c'est pas l'objectif).

Tu veux simplement que quand ca 'congestionne quelquepart', le VOIP soit 'pas trop maltraité'. En gros reste prioritaire.
Et bien c'est de la QOS.

Tu dois travailler sur ça d'abord. Bien sur si le VOIP représente 90% du trafic, tu as déjà perdu.
Donc pas vraiment critique d'avoir le détails par protocole:
Dans l'ordre selon moi
++VOIP
+DNS
+HTTP(s)
+IRC
-FTP,SMTP,NTP
--PEER to PEER
---tout le reste!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar shutdown76 » 10 Sep 2007 02:32

Ok, donc je vais faire des recherche sur la QOS :wink:

Merci.
shutdown76
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Sep 2007 17:31

Re: Analyse de protocole sur un switch

Messagepar ccnet » 11 Sep 2007 00:31

shutdown76 a écrit:Bonjour, est-il possible d'analyse les protocoles qui transite sur chaque port d'un switch (via SNMP ou autre...)?
[...]

Par construction ce n'est pas possible sur un switch, sauf sur certains produits qui possèdent un "spanning port" vers lequel tout le traffic est "copié". Il en existe chez Cisco. Vous n'allez pas changer de switch juste pour cette raison.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar antolien » 11 Sep 2007 18:05

??
C'est possible, il y a de plus en plus de switch de niveau 2/3, mis en coeur de réseau qui permet d'obtenir des stats sur les ports.

En l'occurence je connais bien maintenant les switch HP, en utilisant Procurve Manager, vous avez une interface qui permet de savoir dans le temps ce qui se passe au niveau du traffic (port, volume, et d'autres stats comme les erreurs, la bande passante, le broadcast, etc) qui transit sur chaque port.
Avec des graphiques et tout

Voilà pour info cela utilise soit sflow, soit xrmon, et ce sont des instruction integrées qui permettent même sur un switch avec plus de 300 ports, de ne pas ralentir.
Par contre pour Procurve Manager il faut une bonne machine(vive java).Cela dit on peut certainement récupérer les infos en snmp si on a la bonne MIB

Il doit y avoir l'équivalent sur cisco, mais je ne connais pas ( a priori netflow)
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar antolien » 11 Sep 2007 20:26

On peut d'ailleurs récupérer ces infos avec ntop par exemple si l'on veut se passer de logiciel propriétaire. avec le plugin sflow (qui est un standard)
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron