Omnipeek port-mirroring et l'Omnipliance Micro
Mise en place de la réplication du trafic réseau à des fins d’analyse, de diagnostic, de métrologie et de sécurisation.
Duplication de port
Le port mirroring ou port span consiste à configurer un matériel actif du réseau (routeur, firewall ou un commutateur) pour qu’il réplique le trafic d’un port vers un autre port appelé Span Port (aussi nommé port d’écoute)
Le span port vous permet de connecter votre logiciel d’analyse OmniPeek qui va récupérer ainsi le trafic du port répliqué pour analyse et diagnostic temps-réel.
Les ingénieurs ont ainsi tout latitude pour établir un diagnostic et contrôler l’utilisation du réseau.
Le plus souvent, c’est le port de connexion à internet ou le port serveur qui sont répliqués à des fins d’analyse.
Les inconvénients de la duplication de port
En premier lieu, il faut impérativement un port disponible sur le matériel actif pour y renvoyer le trafic répliqué ce qui peut parfois être un problème.
La duplication fait appel à la CPU du matériel actif ce qui peut, dans certains cas, ralentir le fonctionnement global du matériel. (Réplication de port gigabit ethernet à forte charge par exemple).
Enfin il faut noter que les erreurs de bas niveau comme les CRC restent indétectables puisqu’elles ne sont pas retransmisses par le matériel actif sur le port de surveillance.
Mise en œuvre du port mirroring
La mise en oeuvre se fait directement sur le matériel actif.
Par exemple pour les modèles Cisco Catalyst 2900, 3500, 4500/4000, 5500/5000 et 6500/6000 sous IOS :
(Vous souhaitez répliquer le port 4/2 ou se trouve votre serveur vers le port 3/1 ou se trouve OmniPeek)
monitor session 1 source interface fastethernet 4/2
monitor session 1 destination interface fastethernet 3/1
Les instructions de configuration d’autres matériels Cisco sont disponibles sur le site du constructeu. Indiquez SPAN port configurationcomme critère de recherche.
De nombreux matériels proposent également du port mirroring.
2 Alternatives à la duplication de port
TAPS
La première consiste à mettre en place de TAPs qui sont des dispositifs matériels permettant la réplication du trafic électrique ou optique de manière passive sur un port. Le plus souvent, OmniPeek est utilisé avec des TAP NetOptics.
Sonde Omnipliance Micro
La seconde passe par l'utilisation de sondes Savvius Omnipliance Micro qui disposent de 2 ports bridgés (le trafic passe de l'un à l'autre de manière transparente) et qui permet à OmniPeek de réaliser des captures à distance. Omnipliance Micro analyse également le trafic réseau et génère des statistiques détaillées via Splunk ou ELK.
Omnipliance Micro est aujourd'hui la solution la plus simple pour permettre un diagnostic centralisé des problèmes réseau.
La sonde Omnipliance Micro peut être positionnée sur le segment réseau ou se porte votre besoin de diagnostic.