Contactez-nous
    Espace Client

    TAPs et Bypass

    16 février 2018

    5 minutes

    Le réseau de collecte est l’ensemble des moyens mis en œuvre pour permettre la collecte des informations, venant des éléments réseau afin de les router vers les différentes sondes de métrologie et de sécurité. L’objectif est donc d’obtenir le maximum de visibilité réseau et d’optimiser l’utilisation des sondes.

     

    Quelles sont les problématiques de supervision rencontrées aujourd’hui ?

    • Les débits augmentent de plus en plus, le 10G se généralise, le 40G et le 100G arrivent. Comment continuer à utiliser mes sondes 1G ? Comment raccorder mes sondes?
    • Le réseau est de plus en plus dense, avec de plus en plus d’interfaces à analyser, comment puis-je améliorer la corrélation de mes données?
    • Puis-je analyser le trafic sans connaitre les données de mes clients?
    • Comment superviser un brin réseau avec différents types de sondes?

    Comment répondre à l’ensemble de ces problématiques ?

    Plusieurs méthodes sont à notre disposition pour optimiser l’utilisation des outils de métrologie :

    1. Port miroir

    Il convient dans le cas de réseaux faible débit ou quand la perte de paquets est sans impact.

    Les contraintes

    • Nombre limité de SPAN par switch
    • Influencé par les ressources de l’équipement
    • Filtre les erreurs couches basses
    • Problème de latence et gigue pour les flux temps réels

    2. TAPs (Out-of-Band)

    Les TAPs permettent de recopier le trafic d’un brin réseau sur plusieurs ports pour analyse.

    • Fourni une visibilité complète du lien réseau.
    • Ressources dédiées pour la recopie des flux.
    • Offre la visibilité des erreurs couches basses.
    • Pas de phénomène de gigue (pas de buffer).

    Img_TAP_vs_SPAN-239x300

    Il existe plusieurs types de TAPs :

    TAP simple

    • 2 liens Network A et B
    • 2 ports de recopie : Recopie de TxA sur le premier lien /
      Recopie de TxB sur le deuxième lien

    Image_schéma_TAP-300x183
    TAP agrégateur

    • 2 liens Network A et B
    • 2 ports de recopie : Recopie de TxA+TxB sur les 2 liens

    Les TAPs existent en version cuivre ou fibre optique :

    TAP Cuivre 10/100/1000 Mbps

    Caractéristiques

    • Disponible en agrégateur et non agrégateur.
    • Alimentation redondante pour la recopie du trafic.
    • TAP mécanique en cas de coupure électrique.
    • Fonctionnalité Link Fault Detect: propagation de la perte de lien Network.
    • Modèles manageables ou non manageables.


    Points importants

    • Configuration du débit des ports (10/100/1000Mbps, autonégociation ou non).
    • En cas de perte d’alimentation, une micro-coupure liée à la négociation 1Gbps est observée :
      Disponibilité de TAP Zero Delay permettant 0 coupure lié à la négociation 1G (batterie intégrée au TAP ~4 heures).

    TAP Fibre optique

    Caractéristiques

    • Splitter optique prélevant une partie du signal lumineux du lien de production pour la recopie.
    • Disponible en agrégateur et non agrégateur.
    • Pas d’alimentation en mode non agrégateur.
    • Disponible en plusieurs débits: 1G/10G, 40G et 100G.
    • Disponible en Multimode et Monomode.
    • Modèles manageable où non manageable.

    Points importants

    • Valider le split ratio (50/50, 60/40, 70/30, 80/20, 90/10).
    • Valider le cœur de fibre en multimode (50µm ou 62,5µm).
    • Valider les niveaux optiques avant insertion pour calculer l’impact sur la production (les niveaux d’insertions sont fournis en fonction du split ratio).

    TAP virtuel

    Caractéristiques

    • Disponibilité de TAP virtuel permettant la recopie de trafic inter-VM à destination de sondes externes.
    • Possibilité de filtrage des flux L2-L4.
    • Disponible sous VMWare, KVM (OpenStack ou non) et Hyper-V.

    3. Switch Bypass (In-band)

    Le switch Bypass assure que les données les plus importantes de votre réseau ne sont pas perdues même si vos systèmes de protection (IPS, IDS, Firewall) tombent en panne.

    En fonctionnement normal, le switch Bypass route l’ensemble du trafic réseau vers le système IPS qui va effectuer sa fonction d’analyse et de filtrage. En cas de panne de l’IPS, le Switch Bypass a, cependant, la capacité de détourner le trafic et de l’envoyer directement à travers le réseau. Le switch Bypass surveille, de manière constante, les liens entre ses propres ports et ceux de l’IPS et va utiliser pour cela la détection de perte électrique, de perte de lien et les paquets Heartbeat. Lorsqu’un lien tombe, le switch va entrer immédiatement en mode “bypass on” pour isoler l’IPS et dériver le trafic vers un lien réseau.

    D’autres cas vont déclencher la mise en mode “Bypass on” ; cela peut être, par exemple, lorsque le switch Bypass et l’IPS sont effectivement sous tension, les liens vers l’IPS fonctionnent correctement mais le trafic réseau envoyé vers l’IPS ne revient pas vers le switch Bypass. Cela peut se produire lorsque le trafic dépasse la capacité de l’IPS; il est indiqué par une augmentation de la latence.

    Pour détecter ce problème, le Switch Bypass va envoyer périodiquement des petits paquets Heartbeat à l’IPS pour confirmer qu’il est opérationnel. Si le paquet n’arrive pas, le Switch Bypass en déduit que l’outil IPS rencontre un problème et va automatiquement le mettre en position “fail-open” ou “fail-closed” suivant la configuration sélectionnée.

    Img-Bypass-205x300

    Caractéristiques

    • Disponible en plusieurs débits: 1G, 10G et 40G.
    • Fonctionnalité de HeartBeat pour valider le fonctionnement de l ’équipement In-Line.
    • Fonctionnalité Link Fault Detect: propagation de la perte de lien Network.
    • Mode configurable: Bypass On, Bypass Off, TAP…

    Points importants

    • Valider la configuration des HeartBeats

    RESSOURCES

    Vidéo Ixia Bypass Switches

    Livre blanc Ixia Top Six Considerations When Purchasing Network Taps

    "Vision One d’Ixia fournit une riche combinaison de caractéristiques et de fonctionnalités qui répondent aux besoins de visibilité et de sécurité spécifiques de nos clients de l'entreprise. En particulier, la nouvelle plate-forme Vision One est unique dans sa capacité à fournir un point d'entrée à bas coût, permettant à nos clients de se développer ensuite selon le besoin."

    Jean-Marc ODET
    DG IJNEXT Groupe INTERDATA & TENEDIS

    [ult_buttons btn_title="Voir la vidéo" btn_link="url:https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DVoCSbcwxhtY|target:_blank" btn_align="ubtn-center" btn_title_color="#ffffff" btn_bg_color="#bccf00" icon_size="32" btn_icon_pos="ubtn-sep-icon-at-left"]

    Cet article fait partie des catégories

    Observabilité Articles
    INT20001-image-support-service-manage

    Rejoignez-nous

    Découvrir

    DÉCOUVRIR LES ARTICLES DE LA MÊME CATÉGORIE

    8 octobre 2024

    3 minutes

    Comment augmenter votre réactivité face aux incidents et diminuer leur temps detrue

    Le contexte : des incidents de plus en plus fréquents et complexes Les sociétés d'aujourd'hui sont confrontées [...]
    En savoir plus

    19 septembre 2024

    4 minutes

    Sécurité du réseau : un enjeu stratégique à ne pas négliger

    En savoir plus

    2 septembre 2024

    7 minutes

    Observabilité : optimiser la gestion de vos systèmes informatiques

    Dans un environnement informatique de plus en plus complexe et interconnecté, l'observabilité est devenue une [...]
    En savoir plus

    Inscrivez-vous à la newsletter