Sondes : explorer les dessous du WAN

26/06/2006 à 00h00

Pour identifier et maîtriser les flux qui circulent sur le lien WAN, les entreprises disposent de sondes. Variées, elles sont simples d'installation et d'utilisation pour un gain indéniable.

Connaître son réseau pour mieux le maîtriser. Tel est le leitmotiv de nombreux, si ce n'est de tous, les responsables réseau. Le besoin est particulièrement réel sur les liens WAN de l'entreprise exploités par des opérateurs tiers et sur lesquels le responsable réseau a peu de visibilité. Toute une gamme d'outils, regroupés parfois à tort sous le nom générique de sonde, permet de répondre à ce besoin.

L'utilisation : identifier les flux, évaluer la qualité du réseau

Avant de choisir la bonne sonde pour son réseau, il s'agit au préalable d'identifier son utilisation, et donc ses besoins. ' La première question à se poser est de savoir ce que l'on veut connaître en priorité de son réseau ', explique Gilles Blondeau, directeur de J3Tel, prestataire de services spécialisé dans les tests et mesures des réseaux. ' Souhaite-t-on identifier les flux qui transitent sur le WAN, leur volume et leurs utilisateurs ? Ou bien évaluer la qualité du réseau en termes de perte de paquets, de nombre de collisions ? ' Autre approche, identifier les utilisateurs des données issues des sondes, les ingénieurs réseau ou la direction informatique, marketing, etc. ' Notre objectif initial était de répondre aux besoins de nos responsables d'applications. Aujourd'hui, c'est sur leur demande que nous vérifions les temps de réponse de telle application, que nous comptabilisons le nombre d'utilisateurs qui s'y connectent ', illustre Didier Langlois, responsable réseau et support utilisateurs de Salomon (Groupe Amer Sports), qui utilise l'offre d'Accellent. Pour des besoins similaires, l'entreprise se dirigera vers des sondes qui analysent le trafic et sa volumétrie, par exemple Accellent, Qosmos, Ipanema ou encore Packeteer. Parmi elles, certaines permettent également d'appliquer des règles de qualité de service sur les flux (Ipanema, Packeteer et, dans une moindre mesure, Qosmos). ' Si l'entreprise recherche plutôt un outil qui va détecter les incidents et autres dysfonctionnements protocolaires, un outil qui sera utilisé par un expert réseau, elle se dirigera plutôt vers des sondes de détection des incidents [troubleshooting, Ndlr], d'analyse protocolaire. Celles-ci vont identifier les problèmes physiques, comme des collisions excessives, des erreurs de CRC [contrôle de redondance cyclique, pour vérifier l'intégrité des données, Ndlr] ', reprend Gilles Blondeau. Dans cette catégorie, on trouvera les offres de Network Instruments, de Network General et de ClearSight, par exemple. Ces deux types de sondes sont plus complémentaires que concurrentes, bien qu'elles aient des zones de recouvrement. Toutes travaillent sur l'ensemble des couches du modèle OSI, de la couche transport à la couche applicative. ' Nos sondes Qosmos ne fournissent pas une analyse du trafic : elles indiquent, par exemple, une congestion du trafic à un instant t, mais une sonde de détection des incidents sera nécessaire pour en connaître les raisons ', confirme Nicolas Katchourine, responsable systèmes et réseaux du courtier d'assurances Diot.

La mise en ?"uvre : sur le commutateur, sur un Ethernet PAT ou en coupure du réseau

Par abus de langage, les sondes, quel que soit leur type, utilisées pour analyser le trafic du WAN sont appelées sondes WAN. En réalité, ces sondes sont installées non pas sur le lien WAN, mais sur une patte du réseau LAN. Car, en général, rares sont les entreprises à maîtriser leurs routeurs, ' seuls les opérateurs ont accès à leur lien et aux routeurs et peuvent y placer directement une sonde réellement WAN ', explique Gilles Blondeau. Pour les entreprises qui ont la maîtrise de leur routeur, les sondes WAN s'y connecteront directement. C'est, par exemple, le cas des analyseurs OptiView WAN de Fluke Networks. Pour les entreprises qui n'ont pas accès à leur routeur, les sondes WAN sont donc connectées à la sortie du WAN, entre le routeur et le coupe-feu, où elles récupèrent l'ensemble du trafic WAN. Certains matériels peuvent influencer le type de données récupérées. Ainsi, le Groupe Salins est équipé de commutateurs de niveau 2 n'assurant pas de fonctions de routage : ' Nous avons du trafic LAN qui circule sur nos routeurs, notamment parce que nous utilisons beaucoup de VLAN. Nous devons donc déduire du trafic analysé par notre sonde Network Instruments, celui celui généré entre nos VLAN ', prévient Jean-Yves Bertrand, responsable réseau et télécoms du Groupe Salins.Plusieurs modes de connexion sont possibles. Soit directement sur un commutateur, en dérivation du trafic grâce au port mirroring (copie de port), connecté à un Ethernet TAP, ou encore en coupure. L'Ethernet TAP transmet l'intégralité du flux à la sonde qui lui est directement connectée. Il s'installe en coupure du réseau. La sonde peut elle aussi être directement installée en coupure du réseau. Une configuration inutile pour faire de l'analyse simple du réseau, mais nécessaire, dès lors que l'entreprise souhaite mettre en place des règles de gestion de trafic. ' L'installation en elle-même est extrêmement simple ', s'accordent à dire tous les utilisateurs que nous avons interrogés. ' Nos sondes Qosmos sont installées en coupure, parce que nous appliquons effectivement des fonctions de QoS. Pour les installer, il a suffi de leur affecter une adresse IP puis de les connecter. On a fait une microcoupure du réseau d'une demi-seconde, le temps de rebrancher le câble ', explique Nicolas Katchourine, du cabinet Diot. En cas de panne des sondes, les fonctions de bypass dont elles sont équipées assurent la continuité du trafic sur le réseau.

Les gains : bâtir son architecture en connaissance de cause

La première utilisation des sondes est bien l'identification des ralentissements sur le réseau ainsi que l'analyse des trafics. Une fois les sondes installées, on leur laisse découvrir le trafic pendant plusieurs jours. ' Les flux les plus consommateurs sont en général les plus standards : e-mails, etc. ', note Rémi Tilly, responsable infogérance du groupement informatique Grita, spécialisé dans l'infogérance, et utilisateur de la sonde de Packeteer. Des surprises peuvent toutefois apparaître : flux inattendus, interdits, applications beaucoup trop bavardes... ' Nous avons détecté des flux exotiques. Par exemple, de l'AppleTalk généré par des imprimantes. Mais, en général, peu de flux indésirables. Il faut dire que nos utilisateurs ne peuvent pas installer de logiciel sur leur poste ', remarque Nicolas Katchourine du cabinet Diot. ' Avec les sondes, nous nous sommes rendu compte que certaines applications étaient vraiment mal adaptées au WAN. Par exemple, certaines applications multiplient les envois de données, parce que les Time Out sont mal réglés ou adaptés à des contextes LAN, et certains éditeurs ne savent pas les corriger. D'autres, comme SAP/R3, sont parfaitement adaptées à une utilisation en WAN. Ainsi, SAP/R3 n'exploite que 18 % de notre bande passante alors que c'est notre application la plus utilisée ', remarque Jean-Yves Bertrand, du Groupe Salins. L'analyse du flux va parfois permettre aux entreprises de revoir leur architecture. Ce peut être notamment le cas lorsqu'un serveur centralisé n'est consulté que par un site spécifique. L'entreprise va alors rapatrier le serveur en local. Connaître son flux va également permettre de revoir sa politique, en interdisant ou en bridant certains flux, mais aussi ses procédures. ' Nous avons décidé de faire un test sur une petite dizaine de nos 70 sites avec les sondes Ipanema ', se souviennent Marc Paolantonacci et Laurent Dequeker, respectivement directeur informatique et responsable réseau de l'AFT IFTIM, spécialisé dans la formation pour le secteur du transport, de la logistique et du tourisme. ' Nous avons choisi ces sites car nous savions que nous y avions un ralentissement du réseau. Grâce à la sonde, nous avons pu constater que certains transferts de fichiers qui devaient se faire de nuit étaient effectués en pleine journée. ' Un simple rappel des procédures a suffi, dans ce cas, à régler le problème.Quant à leur utilisation, elle semble relativement simple et tout particulièrement pour les sondes applicatives. L'investissement nécessaire varie, lui, en fonction du type de sonde et du nombre de sondes que l'entreprise souhaite installer (lire tableau page 31). Dans leur ensemble, les entreprises interrogées estiment l'investissement raisonnable, eu égard aux services rendus. ' L'investissement était a priori très important, plus de 100 000 euros pour nos 70 sites. Mais cela nous a permis d'éviter le doublement des lignes. D'autre part, sans ces sondes, il nous aurait fallu mobiliser un analyseur système et réseau ', remarque Marc Paolantonacci, directeur informatique de l'AFT IFTIM. ' Il est, en revanche, parfois difficile de convaincre la direction de la nécessité de ce type d'investissement ', remarque l'un de nos témoins.

Les écueils : certains flux peuvent être perdus

Faciles d'installation et d'utilisation, les sondes présentent peu d'inconvénients, dès lors qu'elles ont été choisies judicieusement. Cependant, elles ne détectent pas 100 % des flux transitant sur le réseau. ' Parfois, il faut à la sonde un certain nombre d'échanges pour identifier et classifier le trafic, qui se retrouve dans la catégorie " inconnu " ', s'étonne Nicolas Katchourine, responsable systèmes et réseaux du cabinet Diot. ' En général, nous obtenons 20 à 30 % de flux inconnus sur un réseau. C'est souvent parce que tel port n'est pas associé au bon type de flux ', explique Gilles Blondeau de J3Tel.Attention à l'option choisie : connexion en dérivation sur le commutateur, sur un Ethernet PAT ou en coupure du réseau. ' Nous déconseillons fortement la première mise en ?"uvre ', prévient Gilles Blondeau, ' il faut s'assurer que le port mirroring a les capacités de gérer le trafic, or, en général, le port mirroring se fait en half duplex, tandis que les ports traditionnels travaillent en full duplex. On peut donc perdre la moitié du trafic. D'autre part, la sonde utilise une partie des ressources du commutateur et le ralentit. Et enfin, le commutateur filtre les paquets erronés. C'est son rôle. Sur le port miroir, seul le trafic exempt d'erreurs est recopié. Ainsi, les erreurs de CRC et les collisions sont tout simplement perdues pour la sonde ! ' L'utilisation d'un Ethernet TAP est alors la bonne solution, bien qu'il soit peu connu des entreprises. Le trafic est transmis en totalité à la sonde qui est connectée à l'Ethernet TAP, erreurs comprises.Bien évidemment, le choix d'une solution plutôt qu'une autre va permettre des options différentes : rapports automatiques, remontées d'alertes, suivi de tel ou tel type de paramètres, facilité de paramétrage des rapports, etc. À chacun de bien identifier les éléments dont l'entreprise à besoin pour choisir le matériel adéquat.

Si vous êtes pressé

Les sondes d'analyse réseau permettent d'identifier les flux qui circulent sur le réseau, mais aussi la qualité du réseau lui-même pour mieux le maîtriser. Plusieurs types de sondes existent, destinées à des utilisateurs et à des besoins différents. Les sondes applicatives s'adressent aux directions informatiques et marketing, en leur fournissant des indicateurs sur le trafic : type et répartition des flux, nombre de sessions, etc. Les analyseurs de protocoles seront utilisés par les ingénieurs réseau pour évaluer la qualité du réseau : nombre de collisions, erreurs de CRC, etc. Tous ces outils sont complémentaires, malgré des zones de recouvrement fonctionnel. Faciles d'installation et d'utilisation, ils permettent une meilleure maîtrise des liens WAN.

En bref

Un WAN maîtrisé
Les sondes permettent de connaître ce qui circule sur le WAN et en quelle quantité. Nombre de sessions, origine des utilisateurs, nature des flux, qualité du réseau : nombre de collisions, de paquets perdus, qualité du MOS pour les flux de VoIP, etc. Elles détectent les trafics UDP, TCP/IP, HTTP, et les applications SMTP, POP3, etc. L'origine du flux peut être classée en fonction du port d'origine, de son adresse IP, etc. Certaines ont des fonctions de QoS et affectent à des trafics une bande passante minimale, en fonction du type de flux.

Un prix parfois rédhibitoire
Le coût de ce type de matériel peut être élevé. Même si, par rapport au gain qu'elle procure, la sonde est rapidement rentable. Notamment lorsque l'on y ajoute des fonctions de QoS. Un prix qu'il est parfois difficile de faire accepter à la direction. Pour un réseau centralisé, une seule sonde installée en central peut être suffisante. Pour un réseau maillé où tous les sites discutent entre eux, il peut être nécessaire d'en mettre sur chaque site.

Une installation simple
La sonde s'installe à la sortie du routeur, avant le coupe-feu de l'entreprise. Elle s'installe donc sur le LAN de l'entreprise, mais récupère les flux WAN issus du routeur. Trois configurations d'installation sont possibles. En coupure du réseau, notamment si l'on fait de la QoS avec la sonde, en dérivation sur un commutateur, mais cette configuration est déconseillée, et enfin avec un Ethernet TAP. Ce dernier s'installe en coupure du réseau et transmet l'ensemble du flux WAN vers la sonde. Les sondes sont équipées de fonctions de bypass pour ne pas bloquer le trafic si elles tombent en panne.

Un choix difficile
Le plus difficile dans la mise en place d'un projet de sonde reste peut-être le choix du matériel en lui-même. La variété des outils regroupés sous l'appellation ' sonde ' peut porter à confusion. En effet, en dehors des sondes applicatives et d'analyse protocolaire, on trouve également des sondes d'analyse du câblage, etc. Pour faire le bon choix, l'entreprise doit pouvoir identifier les métriques qui lui seront nécessaires, mais également savoir qui va utiliser l'outil : l'ingénieur réseau, le directeur informatique ou le directeur marketing ?

Retour d'expérience : Surveiller les applicatifs

' Combien d'utilisateurs se connectent aux applications ? Qui sont-ils ? '

' Nous avons une vingtaine de filiales réparties dans le monde. Auparavant nos liens WAN étaient en Frame Relay. Nous étudiions notre trafic à l'aide d'un outil de type sniffer. Depuis, nous avons basculé sur un réseau MPLS. Nous continuons à surveiller le trafic, mais à partir de notre site central d'Annecy, à l'aide d'une sonde 5View d'Accellent. Le passage à la sonde nous a permis d'automatiser la man?"uvre, et d'historiser les éléments. La sonde nous permet de mesurer les débits. Nous intervenons sur demande des responsables d'applications. Nous sommes également en pleine migration de notre architecture suite à notre rachat par le groupe Amer Sports. La sonde nous permet de vérifier que nos liens ne sont plus utilisés par certains sites de notre ancien groupe. Elle nous a également permis de mesurer et de quantifier notre projet d'architecture. Nous souhaitons déployer des accès Internet sur chaque site et router les e-mails vers un tunnel RPV. Les liens WAN opérateurs restant dédiés aux applicatifs. La sonde nous a permis de valider notre projet. Quasi intuitive, la sonde est logique et simple d'utilisation. Nous apprécions ses capacités d'historisation, le tri applicatif qui assure la classification et la quantification des applications ainsi que l'analyse des trames. En revanche, nous aurions aimé pouvoir associer des plages d'adresses IP à des bandes passantes, avec alertes en cas de dépassement. '

Salomon

Retour d'expérience : Résoudre les incidents

' C'est un outil parfois complexe qui nous sert à surveiller les flux en termes qualitatifs et quantitatifs '

' Nous utilisons la sonde d'analyse protocolaire de Network Instruments, Observer, pour surveiller le fond du trafic en termes quantitatifs et qualitatifs, pour aider à la résolution d'incidents et comme traceur de sécurité grâce aux enregistrements des connexions. C'est donc un usage à la fois régulier sur la collecte de fond du trafic, son analyse et les statistiques du réseau, et ponctuel en cas de soucis : saturation du réseau, baisse de qualité, etc. En moyenne, nous l'utilisons deux à trois heures par semaine. Sur la sonde, nous récupérons l'ensemble des sessions entre adresses IP, les protocoles utilisés, les volumes globaux par session et la taille des paquets, ainsi que la répartition des paquets en fonction de leur taille. Nous avons 19 sondes déployées sur à peu près autant de sites, reliés par un réseau MPLS. J'utilise également une sonde portable pour le LAN. Nous n'avons pas automatisé nos rapports, mais nous y réfléchissons. De la même manière, nous n'utilisons pas, pour l'instant, les niveaux d'alertes et les remontées d'alertes en temps réel. Surtout par manque de temps. Car les réglages sont parfois complexes et doivent être effectués progressivement au vu de la complexité de notre trafic. '

Groupe salins

Avis d'intégrateur : ' Chaque sonde a son utilisation '

Quelles sont les différences principales entre les sondes ?
Il existe deux grandes catégories de sondes, l'une pour suivre les statistiques de traficet de volumétrie, l'autre pour la détection d'incidents et les dysfonctionnements protocolaires. Toutes travaillent sur l'ensemble des couches du modèle OSI. Les sondes de détection d'incidents s'adressent plus à des ingénieurs réseau, les autres aux directions informatique et marketing. Toutes sont complémentaires et certaines fonctions se recoupent.

Quels sont les critères de choix ?
Le budget est la première des contraintes. Quel que soit le type de sonde choisi, les prix sont à peu près équivalents. Ensuite, il faut bien analyser ce que l'entreprise veut : un outil de diagnostic, de surveillance des utilisateurs, de la QoS, etc. Les moyens humains sont à quantifier. Les décodeurs de protocoles sont complexes, il faut un certain niveau technique pour les utiliser. Enfin, il faut étudier les limites de la sonde, sa charge et le nombre de sessions analysables simultanément, et vérifier qu'elle correspond bien aux capacités de son réseau.

Combien faut-il installer de sondes ?
Si l'entreprise dispose d'une architecture centralisée, il n'est pas nécessaire de mettre une sonde sur chaque site. Une sonde sur le site central suffit. Une sur chaque site reviendrait très cher, et générerait de nombreux flux d'administration. Si l'entreprise a un réseau maillé où les sites échangent entre eux aussi bien qu'avec le site central, il peut être intéressant d'avoir plusieurs sondes. Mais c'est une structure complexe. L'entreprise peut choisir d'avoir une sonde en central et une sonde mobile.

J3TEL

Stéphanie Renault