Connaître son réseau pour mieux le maîtriser. Tel est le leitmotiv de nombreux, si ce n'est de tous, responsables réseau. Le besoin est particulièrement réel sur les liens WAN de l'entreprise exploités par des opérateurs tiers et sur lesquels le responsable réseau a peu de visibilité. Toute une gamme d'outils, regroupés parfois à tort sous le nom générique de sonde, permet de répondre à ce besoin.

Avant de choisir la bonne sonde pour son réseau, il s'agit au préalable d'identifier son utilisation, et donc ses besoins. « La première question à se poser est de savoir ce que l'on veut connaître en priorité de son réseau », explique Gilles Blondeau, directeur de J3Tel, prestataire de services spécialisé dans les tests et mesures des réseaux. « Souhaite-t-on identifier les flux qui transitent sur le WAN, leur volume et leurs utilisateurs ? Ou bien évaluer la qualité du réseau en termes de perte de paquets, de nombre de collisions ? »

Autre approche, identifier les utilisateurs des données issues des sondes, les ingénieurs réseau ou la direction informatique, marketing, etc. « Notre objectif initial était de répondre aux besoins de nos responsables d'applications. Aujourd'hui, c'est sur leur demande que nous vérifions les temps de réponse de telle application, que nous comptabilisons le nombre d'utilisateurs qui s'y connectent », illustre Didier Langlois, responsable réseau et support utilisateurs de Salomon (Groupe Amer Sports), qui utilise l'offre d'Accellent. Pour des besoins similaires, l'entreprise se dirigera vers des sondes qui analysent le trafic et sa volumétrie, par exemple Accellent, Qosmos, Ipanema ou encore Packeteer.

Parmi elles, certaines permettent également d'appliquer des règles de qualité de service sur les flux (Ipanema, Packeteer et, dans une moindre mesure, Qosmos). « Si l'entreprise recherche plutôt un outil qui va détecter les incidents et autres dysfonctionnements protocolaires, un outil qui sera utilisé par un expert réseau, elle se dirigera plutôt vers des sondes de détection des incidents [troubleshooting, NDLR], d'analyse protocolaire. Celles-ci vont identifier les problèmes physiques, comme des collisions excessives, des erreurs de CRC [contrôle de redondance cyclique, pour vérifier l'intégrité des données, NDLR]  », reprend Gilles Blondeau.

Dans cette catégorie, on trouvera les offres de Network Instruments, de Network General et de ClearSight, par exemple. Ces deux types de sondes sont plus complémentaires que concurrentes, bien qu'elles aient des zones de recouvrement. Toutes travaillent sur l'ensemble des couches du modèle OSI, de la couche transport à la couche applicative. « Nos sondes Qosmos ne fournissent pas une analyse du trafic : elles indiquent, par exemple, une congestion du trafic à un instant t, mais une sonde de détection des incidents sera nécessaire pour en connaître les raisons », confirme Nicolas Katchourine, responsable systèmes et réseaux du courtier d'assurances Diot.

Par abus de langage, les sondes, quel que soit leur type, utilisées pour analyser le trafic du WAN sont appelées sondes WAN. En réalité, ces sondes sont installées non pas sur le lien WAN, mais sur une patte du réseau LAN. Car, en général, rares sont les entreprises à maîtriser leurs routeurs, « seuls les opérateurs ont accès à leur lien et aux routeurs et peuvent y placer directement une sonde réellement WAN », explique Gilles Blondeau. Pour les entreprises qui ont la maîtrise de leur routeur, les sondes WAN s'y connecteront directement. C'est, par exemple, le cas des analyseurs OptiView WAN de Fluke Networks.

Pour les entreprises qui n'ont pas accès à leur routeur, les sondes WAN sont donc connectées à la sortie du WAN, entre le routeur et le coupe-feu, où elles récupèrent l'ensemble du trafic WAN. Certains matériels peuvent influencer le type de données récupérées. Ainsi, le Groupe Salins est équipé de commutateurs de niveau 2 n'assurant pas de fonctions de routage : « Nous avons du trafic LAN qui circule sur nos routeurs, notamment parce que nous utilisons beaucoup de VLAN. Nous devons donc déduire du trafic analysé par notre sonde Network Instruments, celui généré entre nos VLAN », prévient Jean-Yves Bertrand, responsable réseau et télécoms du Groupe Salins.

Plusieurs modes de connexion sont possibles. Soit directement sur un commutateur, en dérivation du trafic grâce au port mirroring (copie de port), connecté à un Ethernet TAP, ou encore en coupure. L'Ethernet TAP transmet l'intégralité du flux à la sonde qui lui est directement connectée. Il s'installe en coupure du réseau. La sonde peut elle aussi être directement installée en coupure du réseau. Une configuration inutile pour faire de l'analyse simple du réseau, mais nécessaire, dès lors que l'entreprise souhaite mettre en place des règles de gestion de trafic.

« L'installation en elle-même est extrêmement simple », s'accordent à dire tous les utilisateurs que nous avons interrogés. « Nos sondes Qosmos sont installées en coupure, parce que nous appliquons effectivement des fonctions de QoS. Pour les installer, il a suffi de leur affecter une adresse IP puis de les connecter. On a fait une microcoupure du réseau d'une demi-seconde, le temps de rebrancher le câble », explique Nicolas Katchourine, du cabinet Diot. En cas de panne des sondes, les fonctions de bypass dont elles sont équipées assurent la continuité du trafic sur le réseau.

La première utilisation des sondes est bien l'identification des ralentissements sur le réseau ainsi que l'analyse des trafics. Une fois les sondes installées, on leur laisse découvrir le trafic pendant plusieurs jours. « Les flux les plus consommateurs sont en général les plus standards : e-mails, etc. », note Rémi Tilly, responsable infogérance du groupement informatique Grita, spécialisé dans l'infogérance, et utilisateur de la sonde de Packeteer. Des surprises peuvent toutefois apparaître : flux inattendus, interdits, applications beaucoup trop bavardes... « Nous avons détecté des flux exotiques. Par exemple, de l'AppleTalk généré par des imprimantes. Mais, en général, peu de flux indésirables. Il faut dire que nos utilisateurs ne peuvent pas installer de logiciel sur leur poste », remarque Nicolas Katchourine du cabinet Diot.

« Avec les sondes, nous nous sommes rendus compte que certaines applications étaient vraiment mal adaptées au WAN. Par exemple, certaines applications multiplient les envois de données, parce que les Time Out sont mal réglés ou adaptés à des contextes LAN, et certains éditeurs ne savent pas les corriger. D'autres, comme SAP/R3, sont parfaitement adaptées à une utilisation en WAN. Ainsi, SAP/R3 n'exploite que 18 % de notre bande passante alors que c'est notre application la plus utilisée », remarque Jean-Yves Bertrand, du Groupe Salins. L'analyse du flux va parfois permettre aux entreprises de revoir leur architecture. Ce peut être notamment le cas lorsqu'un serveur centralisé n'est consulté que par un site spécifique.

L'entreprise va alors rapatrier le serveur en local. Connaître son flux va également permettre de revoir sa politique, en interdisant ou en bridant certains flux, mais aussi ses procédures. « Nous avons décidé de faire un test sur une petite dizaine de nos 70 sites avec les sondes Ipanema », se souviennent Marc Paolantonacci et Laurent Dequeker, respectivement directeur informatique et responsable réseau de l'AFT IFTIM, spécialisé dans la formation pour le secteur du transport, de la logistique et du tourisme. « Nous avons choisi ces sites car nous savions que nous y avions un ralentissement du réseau. Grâce à la sonde, nous avons pu constater que certains transferts de fichiers qui devaient se faire de nuit étaient effectués en pleine journée. » Un simple rappel des procédures a suffi, dans ce cas, à régler le problème.

Quant à leur utilisation, elle semble relativement simple et tout particulièrement pour les sondes applicatives. L'investissement nécessaire varie, lui, en fonction du type de sonde et du nombre de sondes que l'entreprise souhaite installer (lire tableau page 31). Dans leur ensemble, les entreprises interrogées estiment l'investissement raisonnable, eu égard aux services rendus. « L'investissement était a priori très important, plus de 100 000 euros pour nos 70 sites. Mais cela nous a permis d'éviter le doublement des lignes. D'autre part, sans ces sondes, il nous aurait fallu mobiliser un analyseur système et réseau », remarque Marc Paolantonacci, directeur informatique de l'AFT IFTIM. « Il est, en revanche, parfois difficile de convaincre la direction de la nécessité de ce type d'investissement », remarque l'un de nos témoins.

Faciles d'installation et d'utilisation, les sondes présentent peu d'inconvénients, dès lors qu'elles ont été choisies judicieusement. Cependant, elles ne détectent pas 100 % des flux transitant sur le réseau. « Parfois, il faut à la sonde un certain nombre d'échanges pour identifier et classifier le trafic, qui se retrouve dans la catégorie "inconnu" », s'étonne Nicolas Katchourine, responsable systèmes et réseaux du cabinet Diot. « En général, nous obtenons 20 à 30 % de flux inconnus sur un réseau. C'est souvent parce que tel port n'est pas associé au bon type de flux », explique Gilles Blondeau de J3Tel.

Attention à l'option choisie : connexion en dérivation sur le commutateur, sur un Ethernet PAT ou en coupure du réseau. « Nous déconseillons fortement la première mise en oeuvre , prévient Gilles Blondeau, il faut s'assurer que le port mirroring a les capacités de gérer le trafic, or, en général, le port mirroring se fait en half duplex, tandis que les ports traditionnels travaillent en full duplex. On peut donc perdre la moitié du trafic. D'autre part, la sonde utilise une partie des ressources du commutateur et le ralentit. Et enfin, le commutateur filtre les paquets erronés. C'est son rôle. Sur le port miroir, seul le trafic exempt d'erreurs est recopié. Ainsi, les erreurs de CRC et les collisions sont tout simplement perdues pour la sonde ! » L'utilisation d'un Ethernet TAP est alors la bonne solution, bien qu'il soit peu connu des entreprises. Le trafic est transmis en totalité à la sonde qui est connectée à l'Ethernet TAP, erreurs comprises.

Bien évidemment, le choix d'une solution plutôt qu'une autre va permettre des options différentes : rapports automatiques, remontées d'alertes, suivi de tel ou tel type de paramètres, facilité de paramétrage des rapports, etc. À chacun de bien identifier les éléments dont l'entreprise à besoin pour choisir le matériel adéquat.