📊 Supervision Réseau — SNMP & NetFlow

🎯 Objectifs

• Comprendre les objectifs et enjeux de la supervision réseau
• Maîtriser SNMP v1/v2c/v3 : fonctionnement, sécurité, traps
• Connaître la structure MIB et les OID
• Utiliser les outils SNMP en ligne de commande
• Comprendre NetFlow, sFlow et IPFIX pour l'analyse de flux
• Centraliser les logs réseau avec Syslog
• Déployer une supervision avec Zabbix
• Créer des tableaux de bord et configurer des alertes

📖 Objectifs de la supervision réseau

Pourquoi superviser ?

La supervision réseau permet de détecter, diagnostiquer et anticiper les problèmes avant qu'ils n'impactent les utilisateurs. Sans supervision, l'administrateur ne découvre les pannes que lorsque les utilisateurs se plaignent — souvent trop tard.

Les piliers de la supervision

• Disponibilité : l'équipement ou le service est-il joignable ? (ping, port check)
• Performance : quel est le taux d'utilisation CPU, RAM, bande passante, latence ?
• Capacité : l'espace disque, le nombre de sessions ou la bande passante approchent-ils de leurs limites ?
• Sécurité : y a-t-il des connexions suspectes, des erreurs d'authentification répétées ?
• Conformité : les configurations sont-elles conformes aux standards définis ?

📖 SNMP — Simple Network Management Protocol

Fonctionnement

SNMP est le protocole standard pour la gestion et la supervision des équipements réseau (routeurs, switches, serveurs, imprimantes). Il repose sur une architecture agent / manager :

• Agent SNMP : logiciel embarqué sur l'équipement supervisé, expose les données via une MIB
• Manager SNMP (NMS — Network Management Station) : interroge les agents et collecte les données
• MIB (Management Information Base) : base de données hiérarchique décrivant les variables accessibles

Opérations SNMP

Versions SNMP

📖 OID et MIB

Structure hiérarchique

Les OID (Object Identifier) identifient de manière unique chaque variable dans la MIB. Ils sont organisés en arbre hiérarchique :

Arbre OID simplifié :
iso(1) . org(3) . dod(6) . internet(1) . mgmt(2) . mib-2(1)
  ├── system(1)        → informations système (sysName, sysUpTime, sysDescr)
  ├── interfaces(2)    → interfaces réseau (ifIndex, ifDescr, ifSpeed, ifInOctets)
  ├── ip(4)            → statistiques IP
  ├── icmp(5)          → statistiques ICMP
  ├── tcp(6)           → statistiques TCP
  └── udp(7)           → statistiques UDP

Exemple d'OID :
  1.3.6.1.2.1.1.5.0 → sysName (nom de l'équipement)
  1.3.6.1.2.1.2.2.1.10.1 → ifInOctets pour l'interface 1 (octets reçus)

MIB constructeur

Chaque fabricant fournit des MIB propriétaires (sous la branche enterprises) qui exposent des variables spécifiques à leurs équipements (température CPU, état des ventilateurs, statistiques PoE, etc.). Ces MIB doivent être importées dans l'outil de supervision.

📖 Outils SNMP en ligne de commande

Installation

# Debian / Ubuntu
sudo apt install snmp snmp-mibs-downloader

# CentOS / RHEL
sudo yum install net-snmp-utils

Commandes essentielles

# Lire un OID spécifique (SNMPv2c)
snmpget -v2c -c public 192.168.1.1 sysName.0

# Parcourir un sous-arbre MIB
snmpwalk -v2c -c public 192.168.1.1 ifDescr

# Lire un OID avec SNMPv3 (authPriv)
snmpget -v3 -u monUser -l authPriv -a SHA -A "motdepasse" \
  -x AES -X "clechiffrement" 192.168.1.1 sysUpTime.0

# Modifier une valeur (attention !)
snmpset -v2c -c private 192.168.1.1 sysContact.0 s "admin@iris.fr"

# Requête bulk (SNMPv2c)
snmpbulkwalk -v2c -c public 192.168.1.1 ifTable

📖 NetFlow, sFlow et IPFIX

Analyse de flux réseau

Contrairement à SNMP qui collecte des compteurs (octets entrants/sortants par interface), les protocoles de flux analysent le contenu du trafic : qui communique avec qui, sur quels ports, avec quel protocole, quel volume de données.

Comparaison des protocoles de flux

Un flux NetFlow

Un flux est défini par un ensemble de 7 champs clés :

1. Adresse IP source
2. Adresse IP destination
3. Port source
4. Port destination
5. Protocole (TCP, UDP, ICMP)
6. Interface d'entrée
7. Type of Service (ToS/DSCP)

Collecteurs NetFlow

• ntopng : interface web moderne, analyse en temps réel, open source
• PRTG : solution commerciale tout-en-un (SNMP + NetFlow + Syslog)
• Elasticsearch + Logstash : pipeline d'analyse pour les grands volumes
• nfdump / nfsen : outils CLI et interface web pour l'analyse de flux NetFlow

📖 Syslog — Centralisation des logs

Principe

Syslog est un standard (RFC 5424) pour la transmission de messages de log sur le réseau. Les équipements réseau, serveurs et applications envoient leurs journaux vers un serveur Syslog centralisé, facilitant l'analyse, la corrélation et l'archivage.

Niveaux de sévérité Syslog

Serveurs Syslog

• rsyslog : serveur Syslog par défaut sur la plupart des distributions Linux, supporte TCP, TLS, filtrage avancé
• syslog-ng : alternative puissante avec filtrage flexible et sorties multiples (fichier, base de données, AMQP)
• Graylog : plateforme de gestion de logs avec interface web, recherche et tableaux de bord

# Configuration rsyslog — réception des logs réseau
# /etc/rsyslog.conf

# Activer la réception UDP (port 514)
module(load="imudp")
input(type="imudp" port="514")

# Activer la réception TCP (port 514)
module(load="imtcp")
input(type="imtcp" port="514")

# Stocker les logs réseau dans un fichier dédié par IP source
template(name="NetworkLogs" type="string"
  string="/var/log/network/%FROMHOST-IP%/%$YEAR%-%$MONTH%-%$DAY%.log")
if $fromhost-ip != '127.0.0.1' then ?NetworkLogs
& stop

📖 Supervision avec Zabbix

Architecture Zabbix

Zabbix est une plateforme de supervision open source capable de surveiller des réseaux, serveurs, applications et services. Son architecture comprend :

• Zabbix Server : moteur central qui collecte, stocke et analyse les données
• Zabbix Agent : installé sur les hôtes supervisés (collecte CPU, RAM, disque, services)
• Zabbix Proxy : relais pour les sites distants (réduit le trafic WAN)
• Base de données : MySQL/PostgreSQL pour stocker l'historique
• Interface web : tableaux de bord, graphiques, cartes, gestion des alertes

SNMP templates dans Zabbix

Zabbix propose des templates pré-configurés pour les équipements réseau courants. Un template contient les items (OID SNMP à collecter), les triggers (seuils d'alerte) et les graphiques associés. Exemple :

• Template Net Cisco IOS SNMPv2 : supervision complète d'un switch/routeur Cisco
• Template Net Generic Device SNMPv2 : template générique pour tout équipement SNMP
• Template OS Linux by Zabbix agent : supervision système via l'agent

Network discovery

Zabbix peut découvrir automatiquement les équipements réseau en scannant des plages d'adresses IP. Il identifie les services disponibles (SNMP, agent Zabbix, ICMP) et ajoute automatiquement les hôtes avec le template approprié.

📖 Cartographie réseau

Outils de cartographie

• Zabbix Maps : cartes interactives intégrées à Zabbix, avec état en temps réel des liens et équipements
• WeatherMap : plugin pour Cacti ou standalone, affiche l'utilisation des liens WAN avec un code couleur
• LibreNMS : plateforme open source avec auto-discovery, cartographie automatique, alertes et dashboards
• Netbox : IPAM (IP Address Management) et DCIM (Datacenter Infrastructure Management), documentation de l'infrastructure

📖 Alertes et escalades

Définir des seuils pertinents

Un trigger d'alerte doit être défini avec un seuil adapté pour éviter les faux positifs (alertes inutiles) et les faux négatifs (problèmes non détectés) :

• Warning : CPU > 80% pendant 5 minutes → notification par email
• High : CPU > 95% pendant 5 minutes → notification par SMS
• Disaster : équipement injoignable (ICMP) pendant 3 minutes → appel téléphonique

Processus d'escalade

Si une alerte n'est pas acquittée dans un délai défini, elle est escaladée au niveau supérieur :

1. Niveau 1 (0-15 min) : technicien de support → email + notification
2. Niveau 2 (15-30 min) : administrateur réseau → SMS
3. Niveau 3 (30+ min) : responsable infrastructure → appel téléphonique

📖 Tableaux de bord et reporting

Dashboards de supervision

Un bon tableau de bord offre une vue synthétique de l'état du réseau en un coup d'œil :

• Vue globale : nombre d'équipements UP/DOWN, alertes actives, SLA en cours
• Graphiques de performance : bande passante, latence, CPU/RAM sur les dernières 24h
• Top N : top 10 des interfaces les plus chargées, top 10 des flux réseau
• Carte réseau : topologie avec état en temps réel

Reporting

• Rapports de disponibilité : pourcentage d'uptime par équipement sur une période
• Rapports de capacité : tendances d'utilisation pour anticiper les besoins
• Rapports d'incidents : historique des alertes, MTTR (Mean Time To Repair), MTBF (Mean Time Between Failures)

📝 QCM — Testez vos connaissances