White paper - vStack<sup>+</sup>

Download PDF

VSS Monitoring – Network Taps, Distributed Taps: Distributed Traffic Capture for Greater Network Monitoring Visibility & ROI

Mesurer et minimiser les temps de coupure
grâce à la technologie vAssure de VSS Monitoring

LIVRE BLANC

Avant l'arrivée de l'Ethernet Gigabit sur paires torsadées, un TAP réseau était constitué d'un splitter fibre optique ou d'un amplificateur électronique passif connecté à une paire torsadée 10/100Mbps.

Les entrées réseaux passives sont un problème pour les multiples ports d'entrée tels que les aggrégateurs qui doivent être capable de supporter les liens à sortie unique tels que les ports SPAN. Un TAP passif ne fonctionnera pas avec un port d'entrée SPAN, dés lors qu'il doit exister un partenariat de l'autre côté du câble. Ainsi le port SPAN ne recevra jamais de signal entrant et n'enverra donc aucune donnée à l'équipement d'aggrégation.

Le problème de lien « down » est résolu en concevant un TAP où chacun des ports réseaux est relié directement au TAP, plutôt que d'être passivement connectés à un autre port. Le TAP agit alors comme un pont de couche 1 pour transférer les paquets entre deux ports réseaux, tout en dupliquant les paquets vers les ports de supervision. Cela permet aux entrées d'être également connectées à des équipements à sortie unique comme les ports SPAN, les générateurs de paquets et les ports monitoring d'autres TAPs.

Une architecture à port de réseau actifs est également nécessaire pour les TAPs supportant le Gigabit. La supervision passive du 1000Base-T n'est pas possible car les deux côtés d'un lien transmettent simultanément sur chacune des quatre paires cuivrées du câble. Le signal visible par les récepteurs de chaque côté du lien est une somme du signal reçu et du signal transmis. Comme chacun des côtés d'un lien en 1000Base- T sait ce qu'il transmet, il peut aisément soustraire le signal émis au signal visible sur son récepteur, et ainsi recalculer le signal émis par l'autre côté. En revanche, un TAP passif placé entre deux éléments d'un réseau Gigabit n'a aucun moyen de séparer les deux signaux mixés car il ne sait pas ce que les deux côtés émettent.

Deux équipements supportant l'Ethernet Gigabit utilisent normalement le standard d'auto-négociation pour établir un lien entre eux. Chaque équipement d'extrémité envoie des pulses rapides sur sa paire Tx (pins 1 et 2) à l'autre équipement. Ces pulses sont reçus par l'autre équipement sur la paire Rx (pins 3 et 6) et sont utilisés pour initier une conversation entre les deux équipements.

L'établissement de la connexion par envoi de pulses rapides est utilisé par les deux équipements pour spécifier les capacités supportées telles que la vitesse de communication (10,100 et 1000), le mode Duplex (Half et Full), le type d'équipement (Hub/Switch ou Point de sortie) et le mode Pause (Symmetric et Asymmetric). Une fois que chaque côté a reçu les capacités de l'autre équipement, il tente de négocier la meilleure combinaison de réglages que les deux côtés peuvent supporter. De plus, les équipements supportant le Gigabit doivent déterminer quel côté sera la source de synchronisation (master clock). Les liens Gigabits devant être synchronisés entre eux, un seul des côtés peut utiliser son horloge interne pour envoyer des données. L'autre équipement esclave doit utiliser les données entrantes de l'équipement maître pour synchroniser ses données transmises. La désignation maître/ esclave est réalisée pendant la phase d'auto-négociation.

Notez que la plupart des équipements dispose d'un mode auto- MDIX, qui autorise le changement interne automatique entre les connections Rx et Tx. Ainsi l'équipement envoie un pulse rapide sur les paires Tx et Rx jusqu'à ce qu'une conversation commence avec un autre équipement.

Une fois que tous les paramètres ont été négociés, l'équipement monte le lien dans l'état correct (up). Dans le cas d'équipement Gigabit, le maître envoie des données idle à l'esclave, que l'esclave va utiliser pour synchroniser son horloge. A cet instant, l'esclave envoie les mêmes données idle au maître et le lien est monté des deux côtés.

La capture d'écran de l'oscilloscope en Figure 2 montre ce qui semble être un signal aléatoire. Ceci est dû au fait que le signal est une combinaison des données idle envoyées par les deux côtés du lien. Chaque côté soustrait son propre signal transmis de ce qu'il voit sur la paire, et détermine ainsi ce que l'autre côté a envoyé. A cause du mélange des signaux, il est impossible d'utiliser un équipement passif pour sniffer le trafic Ethernet Gigabit. Un équipement visualisant le signal n'a aucun moyen de voir ce que chacun des deux côtés émet et ne peut ainsi pas séparer les deux signaux mixés.

La solution consiste donc à utiliser un TAP relié à chacun des équipements, de décoder les données, de transférer les données vers la sortie de l'autre port réseau et ensuite de réencoder les données qui transitent. Les TAPs Gigabit peuvent être considérés comment des ponts spécialisés de couche 1; par conséquent, chaque élément du réseau établit une liaison avec le TAP. Pour garantir le maintien d'un lien entre les ports d'entrée et de sortie pendant une coupure de d'alimentation, les paires des ports réseaux doivent être transférées physiquement depuis les ports d'entrée vers les ports de sortie correspondant. Ce basculement engendre une brève interruption du flux de données lors de la coupure et de la restauration.

Alors que ce transfert est très rapide (< 5ms), la vitesse du lien, la configuration et le redémarrage de l'auto-négociation peuvent causer des pertes d'événements sur le lien. Cette interruption peut introduire un délai de 2 à 3 secondes avant la restauration de la communication. De plus, si des protocoles de couches supérieures tels que le Spanning Tree sont utilisés, cette perte de données peut provoquer une inactivité du lien pendant plusieurs secondes et initier une re-configuration non nécessaire de la topologie du réseau.

Pour des configurations réseaux qui ne peuvent pas tolérer des interruptions de quelques secondes, les configurations des ports et des équipements réseaux peuvent être ajustées pour réduire le délais à une dizaine de millisecondes sans perte apparente du lien pour les équipements connectés.

Pour les liens 10 et 100Mbps, l'auto-négociation peut être désactivée pour des temps de coupure plus courts. Notez que la majorité des équipements qui permettent le auto- MDIX désactive cette fonction quand l'auto-négociation est arrêtée. Ainsi, il peut être nécessaire d'utiliser des câbles croisés après la désactivation de l'auto-négociation ou de configurer manuellement les ports du TAP et de l'équipement pour le MDI ou MDIX sur les ports en 10 et 100Mbps.

Pour les liens Gigabits, l'auto-négociation doit rester activer selon le standard 802.3. Si l'auto-négociation est désactivée sur un lien Gigabit cuivre, le lien ne parviendra pas à s'établir.

La principale raison d'un temps de transfert long est l'utilisation de l'auto-négociation sur le lien. VSS Monitoring implémente la fonction vAssureTM, une technologie propriétaire de restauration de lien Gigabit qui permet une coupure du TAP sans perte du lien, même si l'autonégociation est activée.

La seconde cause de durée de transfert trop long est l'activation ou la mauvaise configuration du Spanning Tree ou du Rapide Spanning Tree sur le port. Le Spanning Tree est un protocole qui permet à deux ou plusieurs switches d'être interconnectés avec de multiples ports sans causer des boucles de routage. Le mode par défaut pour la plupart des switchs qui supportent ce protocole est de démarrer en mode écoute seulement 45s après que le lien soit monté. Ceci résulte en une interruption étendue du flux de paquets même si le lien est monté. Ce problème peut être résolu de différentes manières. Une solution consiste à désactiver le Spanning Tree sur le port du switch si les liens multiples ne sont pas utilisés. Si le Spanning Tree est nécessaire sur le port, la majorité des switches vont autoriser le port à être configuré pour router immédiatement les paquets sur le lien dont le statut est actif. Un exemple est l'option « portfast » des switchs Cisco. Quelques switchs vont autoriser le réglage du temps d'attente avant que le lien soit déclaré déconnecté ou non-routable. Si ce temps d'attente est de 3 secondes ou plus, la perte et la restauration du lien pendant une coupure ne causera pas un re-routage du Spanning Tree et le flux continuera dès que le lien sera de nouveau établi.

Grâce à la fonction vAssure, les TAPs VSS permettent au Spanning Tree de rester activé et configuré comme souhaité par le client, à partir du moment où le temps de coupure ne cause pas la perte du lien.

» en savoir plus

	USA (Corporate HQ) + 1 650 697 8770 phone + 1 650 697 8779 fax 38 Adrian Court Burlingame, CA 94010 USA www.vssmonitoring.com	Japan + 81 422 26-8831 phone + 81 422 26-8832 fax T’s Loft 3F, 1-1-9, Nishikubo, Musashino, Tokyo, 180-0013 Japan www.vssmonitoring.co.jp	China + 86 10 6563-7771 phone + 86 10 6563-7775 fax C519, 5 Floor, CBD International Tower 16 Yong’An Dong Li, Beijing, China 100022 www.vssmonitoring.com.cn
VSS Monitoring, Inc. is the world’s leading innovator of Distributed Traffic Capture Systems™ and network taps, focused on meeting the rapidly evolving requirements of security and performance conscious network professionals. Distributed Traffic Capture Systems herald a new architecture of network monitoring, one which fundamentally improves its capability and price-performance. VSS, Distributed Traffic Capture System, vAssure, LinkSafe, vStack⁺ and Distributed Tap are trademarks or registered trademarks of VSS Monitoring, Inc. in the United States and other countries. Any other trademarks contained herein are the property of their respective owners. © Copyright 2003 – 2009. VSS Monitoring, Inc. All rights reserved.