Blog Interdata

TAPs et Bypass

Rédigé par Interdata | 15 févr. 2019 23:00:00



Le réseau de collecte est l’ensemble des moyens mis en œuvre pour permettre la collecte des informations, venant des éléments réseau afin de les router vers les différentes sondes de métrologie et de sécurité. L’objectif est donc d’obtenir le maximum de visibilité réseau et d’optimiser l’utilisation des sondes.

Quelles sont les problématiques de supervision rencontrées aujourd’hui ?

  • Les débits augmentent de plus en plus, le 10G se généralise, le 40G et le 100G arrivent. Comment continuer à utiliser mes sondes 1G ? Comment raccorder mes sondes?
  • Le réseau est de plus en plus dense, avec de plus en plus d’interfaces à analyser, comment puis-je améliorer la corrélation de mes données?
  • Puis-je analyser le trafic sans connaitre les données de mes clients?
  • Comment superviser un brin réseau avec différents types de sondes?

Comment répondre à l’ensemble de ces problématiques ?

Plusieurs méthodes sont à notre disposition pour optimiser l’utilisation des outils de métrologie :

1. Port miroir


Il convient dans le cas de réseaux faible débit ou quand la perte de paquets est sans impact.

Les contraintes :

  • Nombre limité de SPAN par switch
  • Influencé par les ressources de l’équipement
  • Filtre les erreurs couches basses
  • Problème de latence et gigue pour les flux temps réels

2. TAPs (Out-of-Band)

Les TAPs permettent de recopier le trafic d’un brin réseau sur plusieurs ports pour analyse.

  • Fourni une visibilité complète du lien réseau.
  • Ressources dédiées pour la recopie des flux.
  • Offre la visibilité des erreurs couches basses.
  • Pas de phénomène de gigue (pas de buffer).

Il existe plusieurs types de TAPs :

TAP simple :

  • 2 liens Network A et B
  • 2 ports de recopie : Recopie de TxA sur le premier lien / Recopie de TxB sur le deuxième lien
TAP agrégateur :

  • 2 liens Network A et B
  • 2 ports de recopie : Recopie de TxA+TxB sur les 2 liens

Les TAPs existent en version cuivre ou fibre optique.

TAP Cuivre 10/100/1000 Mbps :

Caractéristiques :

  • Disponible en agrégateur et non agrégateur.
  • Alimentation redondante pour la recopie du trafic.
  • TAP mécanique en cas de coupure électrique.
  • Fonctionnalité Link Fault Detect: propagation de la perte de lien Network.
  • Modèles manageables ou non manageables.
Points importants :

  • Configuration du débit des ports (10/100/1000Mbps, autonégociation ou non).
  • En cas de perte d’alimentation, une micro-coupure liée à la négociation 1Gbps est observée :
  • Disponibilité de TAP Zero Delay permettant 0 coupure lié à la négociation 1G (batterie intégrée au TAP ~4 heures).
TAP Fibre optique :

Caractéristiques :

  • Splitter optique prélevant une partie du signal lumineux du lien de production pour la recopie.
  • Disponible en agrégateur et non agrégateur.
  • Pas d’alimentation en mode non agrégateur.
  • Disponible en plusieurs débits: 1G/10G, 40G et 100G.
  • Disponible en Multimode et Monomode.
  • Modèles manageable où non manageable.
Points importants : 

  • Valider le split ratio (50/50, 60/40, 70/30, 80/20, 90/10).
  • Valider le cœur de fibre en multimode (50µm ou 62,5µm).
  • Valider les niveaux optiques avant insertion pour calculer l’impact sur la production (les niveaux d’insertions sont fournis en fonction du split ratio).
TAP virtuel :

Caractéristiques :

  • Disponibilité de TAP virtuel permettant la recopie de trafic inter-VM à destination de sondes externes.
  • Possibilité de filtrage des flux L2-L4.
  • Disponible sous VMWare, KVM (OpenStack ou non) et Hyper-V.

3. Switch Bypass (In-band)

Le switch Bypass assure que les données les plus importantes de votre réseau ne sont pas perdues même si vos systèmes de protection (IPS, IDS, Firewall) tombent en panne.

En fonctionnement normal, le switch Bypass route l’ensemble du trafic réseau vers le système IPS qui va effectuer sa fonction d’analyse et de filtrage. En cas de panne de l’IPS, le Switch Bypass a, cependant, la capacité de détourner le trafic et de l’envoyer directement à travers le réseau. Le switch Bypass surveille, de manière constante, les liens entre ses propres ports et ceux de l’IPS et va utiliser pour cela la détection de perte électrique, de perte de lien et les paquets Heartbeat. Lorsqu’un lien tombe, le switch va entrer immédiatement en mode “bypass on” pour isoler l’IPS et dériver le trafic vers un lien réseau.

D’autres cas vont déclencher la mise en mode “Bypass on” ; cela peut être, par exemple, lorsque le switch Bypass et l’IPS sont effectivement sous tension, les liens vers l’IPS fonctionnent correctement mais le trafic réseau envoyé vers l’IPS ne revient pas vers le switch Bypass. Cela peut se produire lorsque le trafic dépasse la capacité de l’IPS; il est indiqué par une augmentation de la latence.

Pour détecter ce problème, le Switch Bypass va envoyer périodiquement des petits paquets Heartbeat à l’IPS pour confirmer qu’il est opérationnel. Si le paquet n’arrive pas, le Switch Bypass en déduit que l’outil IPS rencontre un problème et va automatiquement le mettre en position “fail-open” ou “fail-closed” suivant la configuration sélectionnée.

Caractéristiques : 

  • Disponible en plusieurs débits: 1G, 10G et 40G.
  • Fonctionnalité de HeartBeat pour valider le fonctionnement de l ’équipement In-Line.
  • Fonctionnalité Link Fault Detect: propagation de la perte de lien Network.
  • Mode configurable: Bypass On, Bypass Off, TAP…
Points importants : 

  • Valider la configuration des HeartBeats