Discussion :

[erict13]

Bonjour à tous,

voici mon premier post et j'avoue avoir cherché un peu partout, mais ce genre d'info et un peu dur à trouver.

Voila mon problème :

j'ai actuellement sur mon reseau VPN d'entreprise plusieurs salles de brassages et une salle serveur (switch de niveau 2 et 3).

Pour superviser tout cela, j'ai installé nagios + centreon ==> OK
Je graphe (en traffic) quelques ports de switch (interco) et certain routeur operateur + quelques liens d'interco en wimax.

Nagios m'informe quand le traffic depasse un certain seuil (80% et 90 %).

Dernièrement (alors que tout allé bien depuis des mois) nagios me notifie de centaine de message par jour, comme quoi mes liens d'interco dépassent les seuils.

Pour arriver à trouver le problème, j'ai décidé d'installer NTOP + wireshark.
Ok pour l'installation de ces logiciels sur Ubuntu.

mon problème se situe plus dans le branchement du PC sur le réseau.

j'ai programmer sur mon cœur de réseau un port en mirroring des liens qui saturent ==> ok pour la programmation switch.

etant donné que mon reseau est multi VLAN : 10 data, 100 voix, etc...

dois-je tagguer le port ou sera le pc avec tous les vlan ?
y a t-il un configuration de ntop particulière pour qu'il capture tous les paquets des ports en mirroring ?
le PC avec NTOP + wireshark doit-il se trouver avec un ip particulière ?


voila j'espère que mon problème est clair.

Merci de votre aide.

[becket]

Je n'ai malheureusement pas la réponse mais si tu monitor un trunk, je dirais que tu dois créer des sub-if sur ta carte réseau avec vconfig pour voir tout le trafic tagué.

[erict13]

Becket , Merci pour ton coup de main et voila pour finir ce post, je vous donne ma solution qui fonctionne.

sur le switch, je passe le port sur lequel est connecté le PC en mirroring des ports dont je veux le trafic.

pas de vlan de configuré sur ce port.

adresse fixe sur le PC, n'importe quelle adresse. (dans le plage data du réseau)

En exécutant Wireshark, je m'aperçois effectivement que je capture tous les vlan et toutes les adresses IP. ça c'est good !!!!!

par contre en executant ntop et en cliquant sur All Protocols ==> TRAFFIC
Il apparaît très peu de host !!!!!!!

après test, je m'aperçois que les fitres sont par defaut sur :
hosts : All
VLAN : [x] [xx] [xxx] [xxx] [all] <== All en noir, donc sélectionné.
Data : All

Et là se trouvait, je pense le problème, All sur le filtre VLAN doit vouloir dire de montrer les hosts qui acceptent tous les VLAN et non de montrer tous les vlan à la fois !!!!!

En cliquant sur le VLAN qui sert pour la data, NTOP et du coup très bavard et me montre la totalité du trafic sur les pc et je pense que maintenant je vais pouvoir trouver mon host qui sature mes liens.

J'espère que ces explications pourront aider d'autres personnes.

au revoir et merci.