Accedian fait maintenant partie de Cisco |

Avatar photo
Par Thibault Bouchette

Mon cher analyseur réseau, je te quitte….

Mon Cher Analyseur Réseau,

Tous ces longs moments, où tu m’as assisté me permettant faire entendre la vérité de l’équipe réseau ! Je t’ai donné tant de surnoms : mon enregistreur réseau, ma petite sonde de capture de trame, mon enregistreur de paquets, mon champion de capture sur disque…

Cela me fait de la peine mais je dois l’admettre, les choses ont changé maintenant :Tu conserveras toujours une place spéciale dans mon Cœur. Je suis tellement fier de toutes ces choses que tu m’as permis d’accomplir. Tu as été tellement précieux pour me protéger de la colère des utilisateurs qui criaient : « le réseau est lent ! ». Je me souviens de ces longues soirées d’hiver, consacrées à observer les trames réseau que tu avais réussi à capturer, à passer des heures interminables à les analyser, tentant de prouver à tout le monde que le réseau n’y est pour rien !

  • Les paquets ne transitent plus désormais par les mêmes bon vieux câbles… c’est virtuel maintenant où pire ce n’est même plus dans notre propre datacenter !
  • Je me suis rendu compte que proclamer « ce n’est pas le réseau » ne suffit pas pour collaborer efficacement avec les autres équipes !

Je suis las de ces nuits de travail, de tous ces conflits avec le gars des applications ou avec ceux des bases de données ou avec… Et tu n’es pas toujours exempts de tout reproche. Les 10Gbps que tu ne savais pas atteindre, le trafic dupliqué que tu ne savais pas gérer, les transactions de couche 7 que tu ne savais pas décoder… Et toujours la même raison : tu ne peux pas conserver le trafic sur une durée assez longue… Nous étions perpétuellement surchargés et en retard ! Tu sais, je pense que dorénavant nous ne sommes plus la grande équipe brillante que nous étions autrefois.

J’ai fait la connaissance d’un nouvel outil : SkyLIGHT PVX. Et il est tellement top !

Il se définit lui-même comme étant un N/APM ou Wire Data Analytics (« Analyse basée sur le câble »). Tu ne peux imaginer à quel point il est efficace :  

  • Il gère des Gbps de trafic,
  • il conserve les données aussi longtemps que j’en ai besoin,
  • il peut capturer sur les nouveaux media (viryuel, cloud, SDN)
  • il décode les transactions applicatives, et en plus en temps réel !
  • il est plus intelligent et tellement plus rapide.

Maintenant j’ai de nouveaux amis au département application et même dans les équipes projet. J’ai plaisir à chatter avec eux ! J’apprécie vraiment de coopérer en bonne entente avec eux ! Et devine quoi, je n’ai plus à me plonger en permanence dans une multitude d’obscurs paquets réseau. Je rentre plus tôt chez moi et je passe plus de temps avec ma famille !

Après quelques semaines, je me suis rendu compte que je ne passais plus un seul moment avec toi.  Je ne travaille pas plus dur, je travaille plus intelligemment et cela s’est avéré possible grâce à SkyLIGHT PVX. J’ai donc opté pour une solution plus efficace et ma vie est bien plus heureuse aujourd’hui.

Au revoir, mon bon vieil analyseur réseau, ne sois pas triste, ton souvenir restera toujours gravé dans ma mémoire.

Differences entre le NPM traditionnel & l’analyse de flux temps réel

Au fils des années, les outils de troubleshooting réseau ont évolué afin d’étendre leurs capacités et suivre l’évolution croissante des volumes de trafic à analyser. Deux approches s’opposent : extraire le trafic réseau brut et stocker les données pour une analyse manuelle ultérieure à l’aide d’un analyseur de trame ou, automatiser le traitement des paquets pour le faire en temps réel et ainsi accéder directement aux données déjà traitées.

Voici les différentes étapes qui sont les plus représentatives de l’évolution de la performance réseau :

  1. Capture de paquets à la demande : cela consiste à extraire une capture de trame sous forme de fichier PCAP à partir d’un système ou d’un équipement réseau et à charger ce fichier (trace file) dans un logiciel d’analyse de réseau tel que Wireshark ou tout autre logiciel constructeur.
  2. Capture de trame au fil de l’eau : cela consiste à capturer et stocker en continu le trafic réseau le plus critique. L’équipement capturera le trafic et le placera sur disque dur pour une analyse ultérieure. La fenêtre de temps qui sera sauvegardée dépendra directement du débit et de la quantité d’espace de stockage. Le décodage et l’interprétation des paquets capturés se faisant ensuite manuellement avec un analyseur de paquets.
  3. L’analyse temps réel pour un périmètre limité : cela revient à calculer automatiquement un certain nombre de métriques sur la base du trafic reçu. Initialement, cela a été conçu pour :
    • L’analyse TCP : calculer en temps reel un ensemble d’indicateurs de performance de la couche TCP pour refléter l’état de l’hôte, du réseau et de l’application en utilisant les mécanismes TCP tels les acquittements, les requêtes, les réponses ou encore les retransmissions. A ce stade, on ne prend pas en compte les données relatives au contenu de la conversation, c’est-à-dire les données applicatives.
    • HTTP : le premier protocole popularisé dans l’analyse temps reel. Cela a consisté à analyser la requête et la réponse au niveau de l’application pour fournir une vue plus en profondeur de la performance de la transaction HTTP.
    • Capacité limitée : dans un premier temps ce niveau de traitement proposait un périmètre limité (en-dessous de 10Gbps et souvent moins de 3Gbps en temps réel).
  4. WireData / Analyse de flux en temps réel : cela consiste à traiter en temps réel les données paquets à la fois sur la couche 3 mais aussi sur une large gamme d’applications de niveau 7 (services d’infrastructure tels que la résolution de nom, HTTP et HTTPS, protocoles de base de données, stockage, VoIP, etc.). Cette analyse reflète non seulement le langage/protocole mais en plus tous les détails des conversations au niveau applicatif.

Accedian a résumé dans un livre blanc tout ce que vous avez besoin de savoir pour comprendre comment fonctionne l’analyse des transactions temps réel ; vous verrez aussi comment, le fait de passer des solutions NPMD traditionnelles vers des solutions d’analyse de trafic temps réel peut aider votre équipe IT à accélérer la résolution des incidents et optimiser la performance de vos applications de bout en bout :