Bonjour,  
 
je suis actuellement dans une entreprise qui souhaite mettre en place un outil d'analyse de traffic réseau. J'ai donc décidé d'utiliser Ntop. Je l'ai installé et démarré sans trop de problème sur une machine virtuelle avec virtual pc. Maintenant j'aimerais savoir comment controler tout le traffic interne et externe de l'entreprise. En fait je ne sais pas à quel niveau je dois placer ma machine virtuelle (sur le réseau local, avant le routeur wan ...). Le réseau de l'entreprise est le suivant:
 
Internet ---routeur cisco---switch ---- réseau local
Si vous avez une idée ou des conseils faites le moi savoir.
Merciii

Salut,
En réfléchissant à mon problème j'ai pensé à mettre hub entre mon switch du réseau local et mon routeur (sortie vers internet). Ainsi je pourrai installer ntop sur une machine connecté à ce hub et intercepter tout le traffic interne et externe.
Ma solution vous parait cohérente ou pas ? Donnez moi vos avis, je suis un peu perdu. Merci

vu ton réseau, tout ce que tu peux faire c'est regarder les flux entrant et sortant d'internet. Tu ne pourras pas trop voir ce qui transite dans ton lan (si ce n'est les broadcast).
 
Donc si ton poste "NTOP" possède 2 interfaces réseau 100Mb je te conseil de le mettre entre ton routeur cisco et ton switch.
 
Si ton switch sait faire du port mirroring alors tu peux mettre ta station NTOP sur n'importe quel port du switch et faire du mirroring du port sur lequel est connecté le routeur afin de copier tous les paquets et les envoyer au poste NTOP pour qu'il les analyses.
Si ton switch ne sait pas faire ça tu sera obligé de suivre la première solution.
Sinon comme tu le dis tu peux rajouter un HUB entre ton switch et le routeur et tu y connectes aussi ton poste NTOP.
Par contre il te faut absolument un HUB 100Mb car si ta connexion  internet est une ADSL supérieur à 10Mb, ton accès internet sera bridé (vu de l'intérieur) par ton hub.

ou sinon, tu peux voir du coté de netflow:
si le routeur cisco utilise cef, et donc les netfowl, tu peux le configurer pour qu'il exporte ces derniere vers un collecteur.
En suite, tu configure le module qui va bien de ntop pour recevoir les infos netflow..
Par contre, c'est chiant, mais beaucoup moins impactant sur ton réseau (en fonction de la taille de celui ci)

Ok merci pour ta réponse. Dans le cas ou je mets mon poste "ntop" avec ses 2 interfaces réseau 100Mb en mettant ce poste avec 2 adresses correspondant au réseau local sur les 2 interfaces ce sera bon ? ou il faut que je fasse autre chose ( règles iptables par exemple).
Sinon pour voir ce qui transite dans mon lan, il faut que je mette par exemple un portable sur un port du switch pour voir le traffic c'est ça ?

Salut merci pour vos réponses. J'ai toutefois un problème lorsque je mets un hub entre le switch et mon routeur. Mes branchements sont les suivants:
* Je branche le cable relié au port Lan de mon routeur sur un port du hub
* Avec un autre cable je branche le hub sur un port du switch
* Un dernier cable relie le pc de supervision au hub
Mais avec cette configuration mon réseau local ne fonctionne plus (je n'ai plus de traffic, pas de ping possible entre les machines du réseau local ...). Avez vous une idée d'où pourrait venir le problème ?

étrange ça ressemble à un pb de boucle.
 
tu dois être comme ça :
 
Internet -----routeur-----HUB-----switch-----réseau local
                                         -----NTOP
 

Oui le schéma que tu as mis est le bon. Je crois que le problème vient des cables (croisés ou droits). En effet, j'ai utilisé que des cables droits. J'essaye avec un cable croisé entre le hub et le switch de suite. Je vous tiens au courant

oui c'ets bien ça, croisé entre switch et hub.
 
"Mais avec cette configuration mon réseau local ne fonctionne plus (je n'ai plus de traffic, pas de ping possible entre les machines du réseau local ...)" ==> mais normalement, même si tu as mis un cable droit entre ton switch et ton hub , ça ne devrait pas empêcher les pc qui sont sur ton switch de se PINGUER..... c'est pour ça que je pense à une boucle

Ok ça marche maintenant . Sinon comment faire pour résoudre le problème de boucle alors ?

bah tout simplement ne pas faire de boucles comme ça :
 
HUB --------- switch
      ---------
 
PAS BIEN !!!!!!!!!!!!!!!!!!!!!!!!
 
les postes connecté au switch n'arrivent toujours pas à se pinguer ???

Oui là les postes arrivent à se pinger et ça fonctionne avec le cable croisé. Merci pour ton aide

ah oki donc tout est bon.
 
Te reste plus qu'à faire ton analyse.  
bon courage

J'ai encore un petit souci avec l'analyse du traffic réseau. En effet, la machine sur laquelle j'ai installé ntop n'analyse pas vraiment le traffic interne et externe . En effet, lorsque je lance exprès un gros téléchargement sur une machine du réseau local, celà n'apparait pas dans ntop. Proposez vos solutions svp. Merci
PS: La machine sur laquelle est installé ntop doit elle avoir forcément une adresse du réseau locale ( sachant qu'elle branchée sur le hub situé entre le switch et le routeur) ?

c'est pas logique, le HUB fait que tous les paquets qui entrent sur un port sont envoyé à tous les autres ports donc ton poste NTOP doit recevoir les paquets. ou alors c'est pas un hub que t'as installé mais un switch.
 
Sinon ton N-TOP est mal configuré.

Salut merci pour vos aides. Maintenant je souhaite connaitre la consommation de la bande passante pour chaque machine de mon réseau local. (je m'interesse plus au traffic externe). Comment puis je faire ? Je dispose d'un switch sur mon réseau local.
 

idem au premier test ! tu mets ton hub entre le switch et le poste et tu branche le poste et la station NTOP sur le hub et tu sniff.
 
L'inconvénient est qu'en faisant ça tu limite physiquement le débit à 10Mb (limites du hub en half duplex) alors que le switch lui peut monter à 100Mb en full duplex donc tes analyses peuvent être faussées.
 
Le mieux reste à installer Ethereal sur chaque poste et capturer tous les paquets, puis tu analyses.
 
Mais bon j'vois pas trop l'intéret de sniffer chaque poste....

Merci pour ta réponse. C'est sympa de t'être interessé à mon cas. Je vais essayer ça plus tard

bah j'aime bien aider (sinon je viendrai pas sur les forums) et puis revenir sur des bases c'est toujours intéressant, car à force de travailler à des niveaux plus complex j'en perd parfois mes bases.
 
Hésites pas

Bon finalement j'ai essayé de capturer le traffic de mon réseau local avec un test simple.
pc 1
pc 2      ---- hub ---- machine (virtuelle) de surveillance réseau (NTOP)
...            
pc 3
Lorsque je télécharge un gros fichier à partir du pc1 pour le mettre sur le pc2, cela ne génère aucun traffic supplémentaire, ou plutot ma machine de surveillance réseau ne capte pas ce traffic . Je pense que le problème vient de la machine virtuelle en fait. Je constate les échanges que s'ils sont en rapport avec la machine virtuelle sur laquelle est installée NTOP. C'est à dire que lorsque je copie un fichier du pc1 sur la machine virtuelle, là je vois le traffic que ça génére.  

tu dois avoir un filtre configuré quelque part qui limite la capture aux packets du poste NTOP.

Ben par défaut, il n'y a pas de filtre pour ntop. On peut en ajouter par la suite mais ça j'y ai pas touché. Je cherche encore et encore ... . ça n'a rien à voir avec le fait que c'est une machine virtuelle ?

là je saurai pas te dire....

Bonjour,
je configure le port mirroring sur un switch et je connecte mon ordinateur sur lequel tourne PRTG au port destination, mais je ne reçois aucun trafic sur mon ordinateur!
Est ce que ceci suffit pour recevoir le trafic du switch sur mon ordinateur ou bien il y a d'autres choses à mettre en place?  
Merci

Salut,
 
il faut que ton ordinateur soit en mode promiscuité (promiscuous mode) pour écouter tous les paquets qui transitent sur le port, car par défaut il ne se préoccupe que des paquets qui lui sont destinés.
 
La commande qui va bien sur Linux : ifconfig ethX promisc (X étant l'interface qui recevra le traffic)
 
Tschuss

Slt,  
merci bcp pour ta réponse c logique. Je suis entrain de chercher comment activer ce mode sur ma carte réseau (sous windows) mais j'ai po trouvé comment le faire. Est ce que vous avez une idée?  
Merci bcp

Bonjour,
Je configure le port mirroring sur un switch cisco avec les commandes suivantes:
monitor session 1 source vlan 7
monitor session 1 destination interface g1/0/29
je mets show monitor session 1, je trouve que c activé.  
Mais une fois que je connecte mon pc sur le port mirroring, je n'arrive à faire aucun ping et je ne capte rien sur le sniffer PRTG
Est ce que le port mirroring ne fait que écouter et ne peut pas passer le ping ou bien il y a klk choz ki ne marche po  
Merci

C'est peut être parceque l'interface g1/0/29 n'est pas configuré de sorte que ton poste ai accès au réseau (quel vlan est configuré dessus).
 
Je ne connais pas très bien l'implémentation de PRTG mais à ce que j'ai vu sur le net il ne capture pas lui même mes paquets (ce n'est pas un "sniffer" ,à vérifier), il récupère les informations via SNMP, tcpdump netflow...
 
Tu peux déjà installer un logiciel comme Wireshark sur ton poste, il sera capable de passer ton interface en promisc et de récupèrer ce qui transite.
 
Edit : Autant pour moi http://www.paessler.com/prtg/infographic#sniffing, mais tu peux déjà tester avec un logiciel plus simple comme wireshark et voir si tu récupère bien du traffic.

Bonjour,
Merci pour ta réponse.
Concernant le ping: je désactive la configuration du mirroring sur le switch et j'arrive à pinger à partir de mon pc. quand j'active la config du mirroring j'arrive plus à pinger. Je pense que c logique, car le port auquel je suis connecté sur le switch devient un port destination du mirroring et ne fait plus transiter aucun autre trafic que celui copié (monitoré).
Concernant le mirroring: j'ai modifié la source qui était un vlan par un port physique sur le switch, j'ai eu la mm idée ke toi, j'ai testé avec wireshark en mode promiscuité et j'ai pu voir le trafic. Par contre, je n'arrive pas à voir le volume du trafic sur PRTG (tjours 0 Ko). J'utilise PRTG comme un packet sniffer et il est mentionné sur son manuel d'utilisation qu'il peut faire l'affaire. Il me reste pour l'instant de voir comment je peux activer le mode promiscuité soit sur PRTG soit sur ma carte réseau pour pouvoir capter le trafic avec PRTG.
Merci pour ta collaboration  

je travaille avec PRTG v6 et po la nouvelle version

comment je peux activer le mode promiscuité sur la carte réseau sous windows? J'arrive pas à trouver comment faire?
Merci bcp

apparemment c po possible de le faire sous windows ! Donc je vois po l'utilité de l'utilisation de PRTG comme sniffer avec une configuration de SPAN sur les switch, PRTG est limité sur l'ecoute de la carte réseau de l'ordinateur sur lequel il tourne !!!!

Bonjour,  
J'ai besoin de travailler avec un analyseur de trafic (le débit de chaque adresse IP connectée sur un serveur). Cet analyseur sera installé sur ma machine (windows) et je configure le port mirroring sur le switch pour copier le trafic du serveur vers ma machine (où l'analyseur est installé).  
J'ai déjà travaillé avec PRTG, mais ca marche po car il ne pouvait po activer le mode promiscuité automatiquement et en mm temps je ne pouvait po le faire manuellement

 
Bonjour,
 
Je rencontre la même problématique.  
Je teste actuellement PRTG.
De votre côté, avez-vous pu avancer sur le sujet ?  
Merci.