4 choses que votre équipe chargée de l’exploitation réseau doit savoir au sujet de vos réseaux d’accès | NETSCOUT
| Note d’application |

4 choses que votre équipe chargée de l’exploitation réseau
doit savoir au sujet de vos réseaux d’accès

Au cours de la dernière décennie, les entreprises sont devenues de plus en plus tributaires des clients et associés connectés et clients pour susciter leur enthousiasme lorsqu’ils planifient et mènent leurs activités. En outre, la popularité de l’Internet des objets (IdO), basé sur le cloud, qui effectue une communication de machine à machine (M2M) a créé un rapport oscillant entre l’amour et la haine avec l’équipe d’exploitation informatique, car la plupart de ces appareils peuvent fonctionner sur le réseau sans qu’elle en ait connaissance, ce qui représente un risque opérationnel et de sécurité potentiellement catastrophique. Il va sans dire que le réseau commuté, qui connecte finalement tous les objets a évolué et devient plus complexe tant du point de vue de la configuration que de la sécurité. Le présent livre blanc examine l’état du réseau commuté et les attributs clés pour lesquels l’équipe d’exploitation informatique doit avoir une visibilité. Le présent document examine les meilleures pratiques qui permettront de rendre l’équipe plus efficace dans le contrôle du réseau commuté, d’améliorer la collaboration de l’équipe informatique et de maintenir une connexion harmonieuses des objets et des personnes.

Réseaux commutés de nos jours

Le rôle du réseau commuté a évolué au fil des ans depuis qu’il a été conçu pour la première fois au début des années 1990. Avec le déploiement d’utilisateurs de plus en plus mobiles et d’autres produits « Apportez votre propre appareil » (BYOD), le réseau commuté joue un rôle plus important dans la connexion de divers types de périphériques utilisateurs tout en maintenant la sécurité du réseau de l’entreprise. Examinons les quatre fonctions clés des réseaux de commutation de nos jours que l’équipe d’exploitation doit maîtriser ainsi que les meilleures pratiques suggérées :

Principales fonctions Attributs clés à gérer
Connectivité Fourniture du PoE, du duplex, de la vitesse au périphérique et du mécanisme de contrôle pour le faciliter.
Authentification et adressage Appareil et mécanisme d’authentification de l’utilisateur, ainsi qu’adresse et service de fourniture d’accès.
Routage La topologie de commutateur et du réseau VLAN, ainsi que les services de routage des paquets, tels que le DNS, la passerelle, le NAT, qui transportent les paquets IP du client vers sa destination.
Efficacité La caractéristique de bande passante du cheminement du réseau, de la perte de paquets, le retard et la gigue qui affecte l’efficacité de la transmission et donc l’expérience de l’utilisateur.

La manière dont un réseau commuté fonctionne globalement pour se connecter et fournir l’accès aux appareils

Connectivité

Connectivité de l’alimentation
Power over Ethernet est devenu une manière très appréciée pour alimenter les périphériques utilisateurs parce qu’il permet de réduire le coût du déploiement et de la maintenance. La plupart des appareils mis en réseau, tels que les points d’accès, les téléphones VoIP et, plus récemment, l’Internet des objets sont pratiquement tous alimentés exclusivement par le PoE. La puissance nominale du PoE est calculée selon les normes 802,3 IEEE, et les appareils sont classés en fonction de leur tension et de leur niveau de puissance. Il existe deux sortes d’appareils PoE :

  1. L’équipement d’alimentation en énergie (PSE), qui fournit l’alimentation au câble Ethernet. Dans le nouveau déploiement, l’équipement d’alimentation en énergie est habituellement le commutateur et est couramment appelé end-span. Un injecteur de PoE, appelé mid-span, peut être installé entre un commutateur non-POE et un appareil alimenté par le POE, comme module de modification. En fonction de la norme de PoE que l’équipement d’alimentation en énergie prend en charge, il entre dans un TYPE DE PoE, 0 – 4 (voir le tableau 1). Les équipements d’alimentation en énergie peuvent fonctionner selon deux modes : Mode A : l’équipement d’alimentation en énergie utilisant les paires12, 36 sur le câble UTP des paires 4, et mode B : l’équipement d’alimentation en énergie utilise les paires de réserve 45 et 78. Il est important de noter que l’équipement d’alimentation en énergie détermine le mode d’alimentation proposé. La norme n’impose pas à l’équipement d’alimentation en énergie de prendre en charge les deux modes A et B.
  2. Le dispositif alimenté (PD) est un dispositif alimenté par un équipement d’alimentation en énergie et, par conséquent, consomme de l’énergie. Le dispositif alimenté conforme à 802.3af et 802.3at doit être capable de prendre en charge LES DEUX modes A et B. En fonction de la puissance que le dispositif alimenté absorbe, il appartient à la classe de PoE, 0 – 4 (voir le tableau 2).

 

Type de POE Nom courant Norme afférente Paires utilisées Puissance max. au port de l’équipement d’alimentation en énergie Puissance max. au dispositif alimenté
1 - PoE 802.3af 2 15,4 W 12,95 W
2 PoE+, PoE Plus 802.3at 2 30 W 25,5 W
3 PoE à 4 paires, PoE++, UPoE# 802.3bt* 4 60 W 51 W
4 PoE à haute puissance 802.3bt* 4 100W

Tableau 1 : Types d’équipement d’alimentation en énergie du PoE
# : L’UPoE est une référence de classification propriétaire Cisco dans leur solution de « plafond numérique ».
*: 802.3bt une proposition de la norme IEEE, qui doit être ratifiée au début 2018.

Classe de dispositifs alimentés de PoE Type/norme Tension CC au niveau de l’équipement d’alimentation en énergie Tension CC au niveau du dispositif alimenté Puissance min. provenant du port de l’équipement d’alimentation en énergie Puissance utilisée par le dispositif alimenté
0 1 / 802.3af 44 à 57 V 37 à 57 V 15,4 W 0,44 - 12,95 W
2 1 / 802.3af 44 à 57 V 37 à 57 V 4,5 W 0,44 - 3,84 W
3 1 / 802.3af 44 à 57 V 37 à 57 V 7,5 W 3,84 - 6,49 W
4 1 / 802.3af 44 à 57 V 37 à 57 V 15,4 W 6,49 - 12,95 W
4 1 / 802.3at 50 à 57 V 42,5 à 57 V 30 W 12,95 - 25,5 W

Tableau 2 : Classes de dispositifs alimentés de PoE

La norme 802,3 définit le LLDP comme étant le protocole qui permet au dispositif alimenté de communiquer avec l’équipement d’alimentation en énergie et la classe à laquelle il appartient de sorte que l’équipement d’alimentation en énergie puisse fournir le courant/la tension appropriés. Toutefois, il existe sur le marché des appareils du PoE qui utilisent des protocoles propriétaires, tels que le Cisco Discovery Protocol (CDP), avant la ratification de la norme. Les appareils PoE ne constituent pas tous nécessairement une norme entièrement conforme, par conséquent nous devons procéder à une vérification.

Ce qui pourrait mal tourner :
Le défi qui se pose à l’équipe chargée de l’exploitation réseau est que, comme de plus en plus de dispositifs alimentés sont déployés sur le réseau, le budget de puissance de l’équipement d’alimentation en énergie ainsi que l’interopérabilité entre le dispositif alimenté et l’équipement d’alimentation en énergie doit être gérés et compris. En plus, les mises en œuvre du PoE ne sont pas toutes conformes aux normes ; le système câblage existant n’est pas, non plus, capable de prendre en charge le PoE.

Symptôme Causes possibles
Impossible d’être alimenté 1. Défaillance de câble :
  • a. circuit ouvert/court-circuit
  • b. Câblage à paire 2 utilisé avec l’équipement d’alimentation en énergie du MODE B.
2. Équipement d’alimentation en énergie et dispositif alimenté non compatibles ; mode ou type différents
3. Port de l’équipement d’alimentation en énergie non activé pour offrir le PoE
4. L’équipement d’alimentation en énergie et/ou le dispositif alimenté ne sont pas complètement conforme (p. ex., le dispositif alimenté ne possède pas 25 ohms sur les paires alimentées ou ne prend pas en charge les modes A et B).
5. L’équipement d’alimentation en énergie ne dispose pas d’un budget de puissance suffisant pour prendre en charge l’alimentation de tous les dispositifs alimentés connectés.
Perte de connexion intermittente 1. Défaillance de câble :
  • a. trop long (>100m)
  • b. trop grande résistance
2. L’équipement d’alimentation en énergie ne dispose pas d’un budget de puissance suffisant pour prendre en charge tous les dispositifs alimentés connectés et qui fonctionnent avec une consommation électrique totale (p. ex., lorsque les caméras de sécurité dotées d’un moteur effectuent une recherche)

Meilleures pratiques :

  1. Faites subir à votre personnel une formation pour comprendre comment le PoE fonctionne.
  2. Lisez attentivement les spécifications de l’équipement et déployez uniquement les appareils conformes aux normes. Évitez l’équipement d’alimentation en énergie mid-span non conforme à la norme, tel que les câbles Y Ethernet (déjà un non catégorique) ou les fameux « Splitters passifs de PoE à 8 ports » qui verrouillent une alimentation 48 V CC à toutes les paires « inactives ».
  3. Documentez le niveau de puissance des équipements d’alimentation en énergie et des dispositifs alimentés.
  4. Lors du remplacement et de l’ajout des dispositifs alimentés, assurez-vous que l’équipement d’alimentation en énergie peut prendre en charge tous les dispositifs alimentés qui y sont connectés.
  5. Offrir des procédures et des outils standardisés à l’équipe pour garantir l’intégrité du dispositif alimenté, de l’équipement d’alimentation en énergie et du câble lors du déploiement et du dépannage (p. ex., vérifier que la tension et le niveau de puissance au niveau du dispositif alimenté est disponible et remplit les exigences).

 

Connectivité des liaisons

L’autre considération à prendre en compte lorsqu’il s’agit des appareils connectés est le processus de liaison entre l’appareil et le réseau. Le premier élément à prendre en considération est que le câble reliant le périphérique utilisateur et le commutateur doit être capable de prendre en charge la liaison. La plupart des systèmes de câblage structurés de nos jours nécessitent que toutes les quatre paires soient connectées et certifiées avec une longueur < 100 m pendant le déploiement. Cela sera suffisant pour prendre en charge tous les réseaux jusqu’à 1 Gb/s, comme illustré dans le tableau ci-dessous. Le tableau 2 ci-dessous indique la norme de câblage minimale requise pour prendre en charge les différents types de déploiements. Pendant la mise à niveau, il est important de recertifier le système de câblage pour éviter que l’usure ou des modifications non documentées ne posent problème.

Standard Niveau de certification Paire utilisée
10BASE-T Cat3 12 & 36
100BASE-T Cat5 12 & 36
1000Base-T Cat5 12, 36, 45, 78

Le processus de liaison se négocie entre le périphérique distant et le commutateur en vue de déterminer la vitesse, le duplex et les paires de câble qui permettent la communication des données. Cela est devenu de moins en moins un problème, car l’autonégociation a été la valeur par défaut pour les ports de commutateur et la carte réseau, ce qui permet en général de maintenir et de bien comprendre l’interopérabilité. Le tableau suivant indique la situation imprévisible qui se présente lorsque la carte réseau ou le commutateur est réglé manuellement pour utiliser une vitesse et/ou un duplex spécifique. Le principe de base est que si un côté est forcé, l’autre côté doit l’être également. Si un côté se négocie automatiquement, l’autre côté doit l’être aussi. Même dans le cas où la liaison est établie, lorsqu’un côté est réglé comme automatique et que l’autre ne l’est pas, il est fort possible que le côté automatique tente à intervalles réguliers de renégocier, ce qui provoque une perte temporaire de la liaison. Étant donné que le prix des commutateurs compatibles 10G baisse, de plus en plus de commutateurs dotés de ports 1/10G commencent à être déployés. Dans la plupart des cas, un port de commutateur 1/10G ne prend pas en charge un demi-duplex ou une négociation automatique. Par conséquent, aussi bien le port de commutateur que la carte réseau doit correspondre pour que la connexion ait lieu.


Résultat de lien pour une carte réseau et un commutateur Ethernet de 10/100/1000 Mb/s en fonction des paramètres de liens

Ce qui pourrait mal tourner :

Symptôme Cause
Impossible d’établir une liaison (pas de voyant de liaison) Anomalie de câblage
  - Coupure, court-circuit sur la paire de transmission
Mauvaise fibre optique SFP utilisée : Monomode vs multimode
Inadéquation du paramètre de lien entre le commutateur et la carte réseau
Duplex/vitesse de liaison loin d’être optimal(e) et reconnexion Intermittente Le commutateur ou la carte réseau a été réglé(e) sur l’option négocier automatiquement tandis que l’autre a été réglé sur taux fixe pour la liaison 10/100/1000 Mb/s
Anomalie de câblage
  - dépairage

Meilleures pratiques :

  1. Toujours régler sur négociation automatique pour les cartes réseau et les ports de commutateur sur les ports 10/100/1000 Mb/s. S’il s’agit d’un port de commutateur 1/10G, le coder en dur à la vitesse requise.
  2. Documenter les paramètres du port de commutateur et le chemin de câblage structuré, surtout rendre les informations plus facilement accessibles à tous les membres de l’équipe.
  3. Constitue un moyen facile pour contrôler la configuration de la liaison du port de commutateur actuel soit directement à l’aide du LLDP, soit par l’intermédiaire d’un système de gestion. Le meilleur moyen consiste à utiliser un outil passif, qui peut être connecté en ligne entre la carte réseau et le commutateur pour observer la capacité de liaison offerte et la liaison/le duplex que la paire a établi.

 


Il est possible de tester le PoE du port de commutateur en fonction du type/de la classe de PoE et d’afficher le TruePower™ disponible pour la classe PD.

Le test de liaison montre la capacité de liaison du port de commutateur.

Analyse en ligne montrant la vitesse/duplex annoncée et utilisée entre le commutateur et l’appareil.

Authentification

Avant que l’appareil ne commence à communiquer avec les autres périphériques disponibles sur le réseau, il doit suivre un processus d’authentification à trois fins : fourniture d’accès, de sécurité et d’adresses. L’authentification permet à un appareil autorisé d’accéder au réseau, mais aussi d’empêcher la connexion d’un périphérique indésirable à celui-ci.

Par le passé, seuls les périphériques Wi-Fi nécessitaient une authentification alors que la connexion par câble est pratiquement de type « Plug and play ». Avec la prolifération des appareils IdO, l’authentification est devenue plus importante que jamais. Il existe plusieurs mécanismes d’authentification, mais le plus couramment utilisé est basé sur 802.1x et sur Radius, couplé au service DHCP. Pendant le processus d’authentification, tel que celui qui est basé sur 802.1x, il y a trois parties au minimum :
  1. Client (fournisseur) : l’élément qui souhaite pouvoir accéder au réseau, tel que la caméra de sécurité.
  2. Authentificateur : l’élément à travers lequel le client peut accéder au réseau, par exemple, le commutateur ou le point d’accès Wi-Fi.
  3. Serveur d’authentification : il contient les informations qui sont utilisées pour décider si un client peut ou non accéder aux ressources du réseau. Il s’agit en général d’un serveur exécutant le protocole Radius. Le mécanisme d’authentification peut être basé sur l’adresse MAC de l’appareil, le compte de l’utilisateur, par exemple, le mot de passe d’un invité vers le SSID de l’invité du BYOD ou la certification privée programmée sur une carte intelligente d’une caméra de sécurité. L’exemple ci-dessous montre comment une caméra de sécurité située sur un emplacement fixe est authentifiée. Dans ce cas, le protocole EAP est utilisé pour une sécurité renforcée souvent observée lors de l’authentification des appareils Wi-Fi.

 

Dans l’exemple ci-dessus, l’authentificateur fait office de proxy pour communiquer la demande d’authentification au serveur d’authentification. Après avoir été authentifié, l’appareil peut envoyer une requête DHCP au serveur DHCP local pour obtenir une adresse IP et pas avant. Il est important de noter que l’authentification et le groupe d’adresses IP attribuées doivent être synchronisés. Prenez l’exemple de l’authentification de l’utilisateur de Wi-Fi :

Après l’authentification de l’appareil BYOD hôte dans le réseau par le biais du SSID hôte, l’AP est configuré pour envoyer le trafic vers VLAN 1 tandis que les utilisateurs de l’entreprise connectés au SSID de la société seront envoyés au VLAN 101. Ces VLAN doivent être configurés sur le commutateur des réseaux VLAN, et chaque VLAN doit être connecté sur un serveur DHCP local à travers le mécanisme de diffusion de la couche 2 afin que l’adresse IP puisse être communiquée à l’appareil. Dans certains cas, une passerelle du protocole DHCP, telle que le contrôleur Wi-Fi, peut servir à transmettre une requête DHCP envoyée par des clients situés sur différents réseaux VLAN vers un seul serveur DHCP. En règle générale, les adresses IP pour chaque réseau VLAN s’excluent mutuellement comme ci-dessous, de sorte que les clients qui appartiennent à différents groupes peuvent accéder à leurs ensembles distincts de ressources réseau :

Groupe d’utilisateurs SSID VLAN Groupe d’adresse IP Ressources accessibles
Connexions clientes Connexions clientes 1 - 10.10.10.1-10.10.11.255 Bande passante Internet limitée, imprimantes hôte
Utilisateurs de l’entreprise Entreprise 101 20.10.10.1-20.10.19.255 Internet, réseau VPN d’entreprise, serveurs d’entreprise, imprimantes…
Caméra de sécurité 201 20.10.20.1-20.10.21.255 Serveurs vidéo et stockage
Administrateur réseau NetAdmin 301 20.10.30.1-20.10.30.127 Contrôleur Wi-Fi, ports de gestion de commutateur/routeur

En plus d’affecter une adresse IP à l’appareil, le DHCP peut fournir au périphérique distant d’autres informations essentielles, qui sont indispensables pour sont fonctionnement. Par exemple, le téléphone VoIP reçoit l’adresse IP du serveur de configuration, qui contient l’adresse du gestionnaire d’appels ainsi que le n° du port SIP à utiliser via le code d’option DHCP 66 (serveur TFTP) ou 150 (serveur de VoIP).
Le tableau ci-dessous illustre les options DHCP couramment utilisées ainsi que leur n° de code :

Code d’option DNS Description
1 - Masque de sous-réseau (doit être envoyé après l’option de routeur, option 3, si les deux sont prévues)
3 Routeur
6 Les serveurs DNS, doivent être énumérés par ordre de préférence
15 Nom de domaine DNS, doivent être énumérés par ordre de préférence
44 Serveur WINS (serveur de nom NetBIOS)
45 Serveur de distribution de type datagramme NetBIOS (NBDD)
46 Type de nœud WINS/NetBIOS
47 Identifiant de portée NetBIOS
51 Durée de location
66 Nom de serveur TFTP (RFC2132) ou dans le champ de nom (RFC2131)
150 Adresses IP de la configuration VoIP [a priorité sur l’option 66 (RFC5859)]

Ce qui pourrait mal tourner :

Symptôme Causes possibles
Impossible d’obtenir l’adresse IP Problème d’authentification
  - Mauvais réglage du périphérique distant (protocole d’authentification, certificat incorrect)
  - Pas de configuration du périphérique distant sur le serveur d’authentification
Aucune adresse IP disponible
  - Pas assez de sondage d’adresses IP
Problème de réseau
  - Impossible d’accéder au serveur DHCP à partir du réseau VLAN
Adresse IP incorrecte Problème de réseau
  - Mauvais réseau VLAN affecté
Le serveur DHCP incorrect ou indésirable offre une adresse IP lorsque plusieurs serveurs DHCP sont disponibles

Meilleures pratiques :

  1. Documenter la configuration du réseau VLAN sur les commutateurs, les ports de liaison en amont de commutateur à commutateur, la corrélation réseau VLAN à adresse/groupe d’utilisateurs et le DHCP fourni pour chaque domaine de diffusion/réseau VLAN.
  2. Rendre la documentation accessible aux membres de l’équipe chargée de configurer et de dépanner les réseaux de commutateurs.
  3. Disposer de procédures et de flux de travail d’essai standardisés, qui permettent à n’importe quel membre de l’équipe de vérifier la configuration du commutateur depuis l’emplacement du client jusqu’à l’adresse et au réseau VLAN appropriés.
  4. Posséder des outils capables d’offrir une visibilité à toutes les réponses de DHCP depuis le réseau pour détecter les serveurs DHCP indésirables, l’adresse IP et les options fournies au client par la certification utilisateur.

 


OneTouch AT prend en charge 802.1x avec EAP pour simuler celui de l’utilisateur.

Déterminer si plusieurs réponses DHCP sont reçues et les paramètres offerts.

Avoir une visibilité des réseaux VLAN configurés sur les ports de commutateur et des autres états, tels que l’utilisation et le nombre d’appareils connectés.

Routage

Une fois qu’un périphérique distant obtient une adresse IP et des informations de configuration essentielles, il peut ensuite communiquer avec les autres appareils du réseau. Le routage constitue un mécanisme fondamental que le réseau utilise pour connecter ensemble différents dispositifs IP sur les réseaux publics et privés. Il existe sur le réseau un certain nombre de services essentiels et fondamentaux qui facilitent cette fonction que l’équipe chargée du fonctionnement du réseau devrait savoir :

Éléments de routage Description
VLAN Le réseau LAN virtuel est un mécanisme de la couche 2 visant à permettre aux commutateurs de regrouper les périphériques distants et les ports de commutateur en un domaine de diffusion.
Routeur Un routeur est un appareil qui réunit les réseaux et achemine le trafic entre eux. Un routeur peut avoir au moins deux cartes d’interface réseau dont l’une est physiquement connectée à un réseau et l’autre physiquement connecté à un autre réseau. Certains routeurs peuvent être configurés de manière à permettre le trafic seulement sur certains ports bien connus. Les applications qui sont exécutées sur un protocole dotés de ports spéciaux peuvent nécessiter une modification de la configuration pour ouvrir les ports concernés.
DNS Un serveur de nom de domaine, également appelé serveur DNSou serveur de nom, assure la gestion d’une importante base de données, qui permet de mapper les noms de domaine aux adresses IP. Lorsque vous saisissez une URL dans votre navigateur Web, le serveur DNS par défaut utilise ses ressources pour résoudre le nom en adresse IP du serveur web approprié.
NAT La traduction d’une adresse réseau permet à un seul appareil, tel que le routeur, de jouer le rôle d’agent entre le réseau Internet (ou « réseau public ») et un réseau local (« privé »). Cela signifie qu’une seule adresse ou quelques adresses reconnues sont nécessaires pour représenter un groupe entier d’appareils disposant d’adresses IP non reconnues.

L’on peut résumer la manière dont ces services fonctionnent ensemble comme dans les exemples suivants :
Communication du client avec un serveur de l’intranet

  1. Le client connaît le nom du serveur
  2. Le client envoie une requête l’IP du DNS par défaut (paramètre envoyé par le DHCP)
      a. Le DNS par défaut ne se trouve par sur le même sous-réseau IP, envoie la requête au routeur par défaut situé sur son réseau VLAN
      b. Le routeur transmet la requête au port du routeur connecté au sous-réseau IP du DNS, et l’identifiant du réseau VLAN sera très probablement modifié
  3. Le serveur DNS répond avec l’adresse IP du serveur Intranet en passant par le routeur, si nécessaire
  4. Envoyer la requête de connexion à l’adresse IP du serveur Intranet, de nouveau via le routeur, si nécessaire
  5. Le routeur transmet la requête au port du routeur connecté au sous-réseau de l’intranet, l’identifiant du réseau VLAN sera modifié
Le client se connecte à Internet
  1. Les quatre premières étapes sont identiques à celles que l’on suit lors de la communication avec le serveur intranet, sauf que le nom du serveur peut être un site Web via un navigateur Web.
  2. Le routeur transmet le paquet IP au port du routeur connecté au lien Internet
  3. Si la traduction d’une adresse réseau est utilisée, cette dernière transformera l’adresse du client A en une adresse publique susceptible d’être reconnue avant de la transmettre au lien Internet

 

Ce qui pourrait mal tourner :

Symptôme Causes possibles
Tous les utilisateurs relevant du même réseau VLAN ne peuvent pas se connecter au serveur intranet Échec de l’adresse IP incorrecte ou du DNS par défaut
Routeur défectueux ou impossible d’y accéder
Trajet de jonction cassé ou surchargé du réseau VLAN
Tous les utilisateurs relevant du même réseau VLAN ne peuvent pas se connecter à Internet Port de routeur ou liaison à Internet en panne
Routeur défectueux ou impossible d’y accéder
DNS défectueux ou impossible d’y accéder
NAT défectueux
Impossible d’exécuter certaines applications Le routeur peut avoir un port de protocole de blocage dont l’application a besoin
L’appel VoIP ne fonctionne pas Impossible d’accéder au gestionnaire d’appels ?
Informations du serveur de configuration VoIP de DHCP non disponibles ou mal configurées ?

Meilleures pratiques :

  1. Lors de l’installation, disposer d’outils et de procédures standardisés afin que les techniciens puissent contrôler l’accessibilité et le chemin d’accès au routeur local et aux serveurs critiques, à l’intranet et à Internet, en profitant de l’avantage qu’offre le réseau VLAN à l’aide de chaque certification.
  2. Documenter le routeur par défaut approprié, l’adresse IP du DNS, qui doit être fournie au client en fonction de la certification de l’utilisateur/appareil pour référence lors du dépannage. Rendre les informations accessibles à l’équipe.
  3. Pour le dépannage, disposer d’outils qui soient capables de montrer la route et le chemin de commutateur utilisé, et noter les réussite/échec du processus du DNS lors de l’accès aux ressources au-delà du domaine de diffusion/sous-réseau local.

 


Conduire la connexion TCP pour vérifier la résolution DNS, la connectivité au serveur et le temps de réponse des deux.

Vérifier si le routeur/la passerelle est accessible.

Déterminer les chemins de commutateur entre le port de commutateur et l’appareil cible.

Efficacité

Avec la connectivité, l’authentification et l’acheminement vérifiés, le dernier point, mais certainement pas le moindre, est de vérifier que le réseau peut permettre d’offrir un trafic d’application de manière efficace. Il existe plusieurs facteurs essentiels, qui affectent l’expérience de l’utilisateur de l’application et qui dépendent du réseau :

  1. La bande passante disponible peut affecter une catégorie de services fournis, en particulier, sur les liaisons du réseau WAN ainsi que la quantité de charge sur le réseau.
  2. Le trajet du réseau utilisé peut affecter un temps de latence transversal ainsi que la bande passante disponible.
  3. Les dispositifs intelligents, tels que l’équilibreur de charge et les accélérateurs de réseau WAN qui peuvent reconfigurer la transaction des applications.
Puisque la conception du réseau dicte largement ces facteurs, il incombe à l’équipe chargée du fonctionnement du réseau de valider la conception de sorte que le réseau soit capable de prendre en charge l’application avant qu’il ne soit déployé et qu’il ne supporte aucune charge ainsi qu’après le déploiement du réseau en vue de son utilisation. Les paramètres les plus couramment testés sont : Le débit d’informations (IR) ou la bande passante, la gigue, le retard et la perte de paquets. Les trois approches de test de réseau les plus couramment utilisées sont iPerf, IETF RFC2544 et ITU Y.1564. Le tableau ci-dessus montre la comparaison des trois tests :

 

  RFC2544 iPerf Y.1564
Type de trame UDP uniquement TCP, UDP UDP
Principaux tests de réseau Débit d’informations, retard et perte de données. La gigue est facultative TCP : Débit d’informations,
UDP : Débit d’informations,
retard, gigue et perte de données
Débit d’informations, retard, gigue et perte de données, CBS et EMS
Principaux paramètres réglables IPv4, DSCP, TOS et VLAN ;
Sept tailles de trames (en octets) :
64, 128, 256, 512, 1024,
1280, 1518; même n° de port
envoyer et recevoir
IPv4 ou IPv6,
DSCP, TOS et VLAN ;
TCP : Total d’octets envoyés,
MTU/MSS, taille TCP Window
et fichier à envoyer ; UDP :
trame définie par l’utilisateur ; taille
envoyer et recevoir diff. n° de port
IPv4 ou IPv6,
Couche 3 balise : MPLS,
802.1p, 802.1ad,
DSCP et COS ;
Profil du flux : MTU,
CIR, EIR, EMIX ;
envoyer et recevoir diff. n° de port
Nombre de connexions simultanées Un Multiple Multiple
Plateforme HW Équipements de test professionnels Ordinateur utilisant le système d’exploitation Windows/Linux/Unix Équipements de test professionnels
Avantages Configuration simple pour une bande passante maximale Test TCP et UDP ;
essais multi-flux ;
gratuitement sous licence BSD
Test TCP et UDP ;
essais multi-flux ;
courte durée d’essai
Inconvénients UDP uniquement
Nécessité une HW dédiée
Débit de transmission de l’esclave vers l’interface utilisateur de la ligne de commande du pilote NIC Configuration complexe non typique dans le réseau LAN d’entreprise ; nécessite une HW dédiée

Parmi ces trois approches, la RFC2544 est la première à être utilisée et reste toujours la plus répandue. Elle a été suffisante pour valider les performances réseau de bout en bout. iPerf a gagné en popularité dans la communauté des ingénieurs réseaux à cause de sa capacité à réaliser les tests de bande passante avec des flux TCP et de son faible coût de déploiement. Y.1564 est utilisé essentiellement pour les tests de liaison où le contrat de service est absolument indispensable. Il n’est pas largement utilisé en entreprise.

Qu’est-ce qui pourrait être à l’origine de la lenteur d’une application ?
Lorsqu’un utilisateur se plaint de la faible performance du réseau, il faut se poser quelques questions pour déterminer si le réseau en est la cause :
  a. Quelle est l’application concernée ? Voix/données en temps réel ou trafic de données
  b. S’il ne s’agit pas d’une application de l’entreprise, posez des questions pour déterminer si les flux d’application se trouvent dans le réseau de l’entreprise ?
  c. Combien de clients ont été touchés ? Quelle est la nature du lien entre ces clients ?

Symptôme Quel peut être le problème ?
Tous les utilisateurs de l’application d’un seul réseau interne ont connu des problèmes liés à la lenteur Le problème se pose au niveau du serveur ou de l’application ;
Le réseau menant aux serveurs de l’application est mauvais
Tous les utilisateurs de l’application Internet ont connu des problèmes liés à la lenteur Problème lié à l’application Internet ;
Flux bloqué pour l’application Internet
Un utilisateur à connu des problèmes avec une application Périphérique client ou configuration du compte ;
Problème de connectivité du client au réseau, en particulier si la connexion est faite au moyen de la technologie Wi-Fi
Peu d’utilisateurs du même réseau VLAN ont connu des problèmes liés à la mauvaise performance Problème lié au chemin d’accès du réseau VLAN au réseau de l’application
Problème d’alimentation du groupe de réseaux VLAN

Meilleures pratiques :
Lors du déploiement :

  1. Effectuez un test de performance réseau pour la liaison bout en bout entre les chemins lents jusqu’à la bande passante maximale de la liaison la plus faible et par rapport aux exigences du contrat de service de la liaison la plus faible. Si aucun paramètre de contrat de service n’est disponible, la directive suivante peut être utilisée : Retard unidirectionnel de bout en bout < 150 msec, gigue < 100 msec et perte de paquets < 1 %.
  2. Enregistrer les résultats du test de la liaison à titre de référence.
Lors de la résolution des problèmes :
  1. S’il s’agit d’une application TCP, essayez d’exécuter un test de connexion du TCP au serveur. Si le test atteint 100% avec peu de retard, il est bien possible que le problème se pose au niveau du serveur même, et non pas le retard dû au réseau. L’étape suivante consiste à prouver que la perte de paquets sur le chemin d’accès réseau entre le client et le serveur est bonne pour écarter complètement le réseau comme étant la cause. En général, nous souhaitons qu’elle soit < 1 % au taux auquel le débit d’informations maximal requis pour l’application. Si le serveur est situé à l’extérieur du réseau de l’entreprise, vous devez seulement vérifier jusqu’au point avant lequel le flux quitte le réseau.
  2. Si l’application est voix/vidéo en temps réel, certains téléphones VoIP peuvent vous indiquer les statistiques de perte de paquets/gigues de l’appel. Sinon, vous pouvez effectuer un test iPerf ou RFC2544 par rapport à la terminaison cible. Une voix/vidéo typique nécessite un retard unidirectionnel de bout en bout < 150 msec, gigue <40 msec et une perte de paquets < 1 %, à une vitesse de flux UDP correspondant environ à celle du flux voix/médias.
  3. Documentez tous les résultats de test. Si le réseau n’est pas en cause, essayez de capturer la transaction de l’application aux deux extrémités de l’application : près du client et du serveur. La meilleure approche consiste à capturer le trafic à l’aide du TAP en ligne ou par l’intermédiaire du port SPAN/mirror.

 



Tester la connectivité vers le serveur d’application, puis vérifier la résolution DNS, le temps de la réponse acheminée des deux.

Assurer les performances de la liaison filaire au routeur avec le test de performance de OneTouch AT. Mesurez le débit en amont et en aval jusqu’à 1 Gb/s ainsi que la gigue et le retard.

Capturez les paquets en ligne entre le commutateur et le périphérique, puis appliquez le filtre pour enregistrer les informations pertinentes sur le SD-RAM.

Organiser le tout

De nos jours, pour que l’équipe chargée du réseau soit efficace par rapport à la prise en charge du réseau commuté, elle doit connaître en profondeur les technologies qui rendent cela possible. Il est également essentiel pour les membres de l’équipe de partager efficacement les informations, non seulement celles qui ont trait aux connaissances, telles que la configuration du réseau construit, mais également des informations recueillies sur site lors du dépannage ou du déploiement. Malgré tous les efforts déployés, les membres de l’équipe n’ont pas tous le même niveau de compétence. De nombreux outils et logiciels gratuits sont disponibles sur le marché, mais les membres de l’équipe ne disposent pas tous des connaissances nécessaires pour les exploiter, ainsi que pour les interpréter et partager les résultats de tests. Les logiciels gratuits sont également réputés pour le manque de documentation et de rapport de test pouvant facilement se partager. La possibilité d’enregistrer et de partager des informations en temps réel concernant le réseau améliore non seulement la collaboration entre les équipes lors du dépannage ; elle sert également de manière importante de preuve lorsqu’il faut faire appel à des tiers, tels que les fournisseurs de service, pour résoudre un problème qu’ils ont causé.


Les outils de test réseau portables NETSCOUT permettent aux équipes d’exploitation réseau de gagner en visibilité, et la gamme d’outils comporte deux attributs clés, qui permettent à l’équipe d’être plus efficace.

1. Test automatique en vue de prendre en charge la procédure de test programmable normalisée.
Les outils offrent un AutoTest qui permet une visibilité pour tous les quatre aspects du réseau commuté en appuyant sur un bouton ayant des limites de réussite/d’échec et un établissement automatisé de rapport. Trois choix sont disponibles avec différents niveaux de détails et une profondeur d’essai :

Fonctionnalités AutoTest             LinkSprinter
            LinkRunner
            OneTouch AT
Connectivité – PoE Type 1 Type 1 et 2 avec
TruePower
Type 1 et 2 avec
TruePower
Connectivité - Liaison 10/100/1 000 Mb/s
Cuivre
10/100/1 000 Mb/s
Liaison cuivre ou fibre optique
10/100/1 000 Mb/s
Cuivre ou fibre optique et
Jusqu’à 802.11ac
Connectivité – Identifiant de commutateur Rapports LLDP/CDP
Nom du commutateur/numéro de port
Rapports LLDP/CDP
Nom du commutateur/numéro de port
Rapports LLDP/CDP
Nom du commutateur/numéro de port
Authentification 802.1x/EAP 802.1x/EAP
Adresse DHCP et statique DHCP et statique DHCP et statique
Identificateur VLAN
Routage Passerelle,
Périphérique IP Ping 1 IP avec
Résolution DNS
Passerelle,
Ping 10 Périphérique IP avec
Résolution DNS
Passerelle,
Ping, TCP connect,
E-MAIL, FTP, IGMP,
Test WEB de l’utilisateur
Nombre d’appareils pouvant être définis
Efficacité Temps de réponse pour le Ping Temps de réponse pour le Ping Temps de réponse pour
Test d’acheminement
RFC2544 jusqu’à 1 Gb/s
Outils importants • Afficher les résultats de test
par l’intermédiaire du Wi-Fi
Application mobile
• Exploitant la technologie PoE ou alimentée par la batterie AA
• Distance jusqu’à la défaillance
• Générateur de tonalité pour le
suivi du câble
• Schéma de câblage pour l’essai de
câblage
• Distance jusqu’à la défaillance
• Capture des paquets
• Analyse PoE et VoIP en ligne
• Détection des appareils et
Rapport de type inventaire
• Contrôle à distance
• Distance jusqu’à la défaillance

Tableau : Comparaison de fonctionnalités essentielles entre le test réseau portable pour les réseaux commutés.

2. Flux de travaux conjoints avec un portail cloud destiné au stockage et au partage des résultats de test.

Afin de faciliter la visibilité et la collaboration dans l’ensemble de l’équipe d’exploitation réseau, tous les outils de test réseau portables partagent une base de données de gestion des rapports et des résultats basés sur le cloud appelée Link-Live. Il s’agit d’un service libre basé sur le cloud, qui prend en charge le chargement automatique des résultats de test à partir de tous les outils portables. Pendant le déploiement du réseau, un rapport sur l’état d’avancement peut facilement être généré, ce qui permet de montrer les ports de commutateur testés chaque jour, la vitesse de leur liaison et la répartition du duplex ainsi que les résultats de test PoE. Lors du dépannage, les précédents résultats de test issus d’un port de commutateur peuvent être comparés aux résultats du test actuel afin de permettre une identification rapide des modifications.

 

Fig. : tableau de bord des résultats de Link-Live indiquant le récapitulatif des résultats de test

Fig. : Résultats de test étendus indiquant les informations détaillées

Fig. : Rapport de synthèse issu de Link-Live qui indiquent l’état d’avancement au regard des résultats de test obtenus au cours d’une période de temps

Conclusion

Les réseaux commutés ont évolué en passant d’une simple connexion des appareils au réseau à la fourniture de l’alimentation, l’authentification d’un appareil et de l’utilisateur et à l’acheminement de leur trafic de manière efficace et automatique. L’équipe chargée de l’exploitation du réseau doit rester au fait des connaissances liées à la technologie adoptée ainsi qu’à la manière de gagner en visibilité pour concevoir et apporter des modifications sur le réseau commuté, en particulier autour du bord où les appareils et les utilisateurs se déplacent constamment et où de nouveaux appareils s’ajoutent. Disposer de la meilleure pratique qui permet une standardisation de la procédure de test, le partage des informations, de la conception et de la configuration à l’état sur l’emplacement, en temps réel, peut améliorer l’efficacité globale de l’équipe. Les outils de test réseau NETSCOUT possèdent les meilleures fonctionnalités de test et des procédures de test automatisées pour permettre à l’équipe d’exploitation réseau d’être efficace et de maîtriser les principaux 4 aspects des réseaux commutés.

 
 
Powered By OneLink