Infrastructure de collecte réseau (Partie 1)

Sans collecte de données, point de statistique et encore moins d’analyse. Les ingénieurs de Phenisys passent donc une bonne partie de leur temps à s’assurer de la qualité des données collectées.

Nous jugeons qu’une collecte de données est bonne lorsqu’elle est :

  • Souple
  • Automatique
  • Robuste
  • Pertinente

Et enfin, le plus important sans doute, qu’on a confiance en elle ! Trop souvent, cette partie est négligée et cela se traduit par une valeur ajoutée moindre des solutions de monitoring, voire l’abandon de celles-ci.

Au travers de cet article, nous allons vous présenter les différents moyens de collecte de flux réseau. L’utilisation de ces données collectées est abordée dans la partie 2 :slight_smile:

4 moyens, un seul objectif : la visibilité !

1. Netflow

Le moyen historique, qui revient au goût du jour avec la démocratisation du SD-WAN, est le Netflow.
Le NetFlow est le meilleur moyen d’obtenir une visibilité sur les usages réseau des sites distants (Ex : Usine en Asie ou aux Etats-Unis).
Son défaut majeur est qu’il ne permet pas de traiter le sujet de la performance mais seulement des usages et de la qualité de service mise en place.
Il est généralement généré par les routeurs gérant les interconnexions WAN.

2. SPAN (Switched Port Analyzer)

Le SPAN (Switched Port Analyzer) est communément appelé « miroir » de port. Cela consiste à rediriger le trafic entrant et sortant d’un port du switch vers un port de sortie dédié au monitoring.
Très facile à mettre en place, le SPAN a toutefois quelques limites :

  • Overhead CPU sur les switches qui n’ont pas un CPU dédié à cette tâche ;
  • Nécessite une intervention de l’administrateur réseau pour toute modification ;
  • Ne garantit pas l’exhaustivité du trafic recopié. Par exemple, un port de sortie de 1Gbits ne pourra délivrer que 1Gbits maximum, même si il y a 700 Mbits en entrant et 700 Mbits en sortant qui transite.

3. TAP (Terminal Access Point)

Le TAP est un élément physique positionné en coupure d’un lien réseau, qu’il soit cuivre ou fibre. L’ingénierie du boitier se charge ensuite de recopier le trafic sur un port de sortie :

Fig1. TAP Cuivre de chez IXIA

L’installation d’un TAP nécessite une coupure brève du lien réseau et peut devenir un point de faiblesse (SPOF) si le matériel n’assure pas la continuité en cas de panne, mais assure une exhaustivité du trafic recopié.
Il nécessite également de pouvoir réagréger ce flux et c’est pour cela qu’il est systématiquement couplé à une matrice de flux ou Network Packet Broker (voir partie 2).

4. ERSPAN (Encapsulated Remote Switched Port Analyzer)

Peu courant, l’ERSPAN est un protocole qui permet d’encapsuler une recopie de trafic dans un tunnel GRE (tunnel IP) et donc de pouvoir acheminer une copie d’un point A à un point B, tout en traversant plusieurs équipements réseau.

La principale limite est de devoir faire transiter ce trafic dupliqué au travers du réseau, et donc de potentiellement doubler les usages. Il faut également veiller à s’assurer que la taille maximale des paquets autorisée à transiter sur le réseau (MTU – Maximum Transmission Unit) soit suffisamment élevée pour accepter l’en-tête de l’ERSPAN.
Enfin, le point de terminaison qui reçoit le trafic doit être en capacité de retirer l’en tête d’encapsulation pour pouvoir analyser les paquets. C’est une opération relativement simple car le protocole est standardisé.

Maintenant que nous avons abordé les différents moyens de collecter des informations sur les flux réseau, rendez-vous sur la partie 2 pour savoir comment les exploiter !

Logo Phenisys Blanc

Phenisys est une société de conseil et d’expertise indépendante,
spécialisée dans la mesure de la performance applicative et réseau.

Pour nous contacter 😃

Adresse :
8bis Rue David
69003 LYON

Téléphone : +33 6 62 84 22 79

Email : contact@phenisys.com

LinkedIn : www.linkedin.com/company/phenisys