Bonsoir, en phase avec Benoît,
Le SPAN est une super solution quick&easy, comme tout outil il faut savoir ce que l'on fait. Sur des switchs un peu vieux le crash est possible (experience vécue sur coeur de réseau d'un conseil général ...). Prendre en compte la somme des débits que l'on SPAN (in et out) pour ne pas avoir de discard. Un lien à 700/800 Mbps in et 300/400 Mbps out ne passe pas sur un SPAN 1Gbps, ça paraît évident mais c'est mieux de se le dire. Surtout pour les spécialistes du SPAN all ports in/out ;) Le taux de panne des TAP est très bas surtout sur les optiques. Pour la sonde d'analyse il faut savoir si le besoin est l'analyse des RAW packets à la wireshark ou l'exploitation de meta données calculées à la volée (taux de pertes, RTT, volumes, etc ...) et la période d'analyse (1jour, 1semaine, 1mois) Le dimensionnement de la solution en dépend très fortement. Pour une analyse meta données il y a aussi les solutions à base de xflow : plus de problème de PPS ou de débit, seul le nombre de sessions impacte le dimensionnement ;) Le ratio netflow/raw packet est de 500 de mémoire, soit 1 Mbps de ticket netflow pour analyser 500Mbps... facile à exporter sur un site distant et donc centraliser l'analyse de flux de plusieurs POP par exemple. Laurent DURU On Thu 18 Feb 2021 at 20:14 Benoît <ben...@neviani.fr> wrote: > Les deux points de vue se défendent en fonction des uses-cases. > > Les taps (électriques) ont (pour la plupart) circuits de bypass, en cas > de coupure le flux prod n'est pas impacté. En optique c'est encore plus > simple, ils sont entièrement passifs, il suffit de faire attention au > budget optique, mais même en split ratio 50/50 je n'ai eu un soucis > qu'une fois et sur de la fibre qui avait déjà un soucis. > J'en installe depuis 10 ans sur les réseaux les plus sensibles et je > n'ai jamais eu le moindre soucis. (après oui c'est un équipement de > plus...) > > C'est le seul moyen de ne pas altérer les informations envoyées sur les > équipements d'analyse : pas de pertes de paquets, pas de jitter induit > par les buffers des switchs et recopie des paquets mal formés niveau > Ethernet (possible de le voir sur les compteurs des switchs mais les > paquets sont discards avant d'être envoyé en SPAN dest.) De plus quand > on veut analyse du microburst, mieux vaut pas se faire avoir par les > buffer des switchs qui font du SPAN, et la pour faire de l'analyse micro > ou nano, il n'y a que le tap. > > D'un autre côté le SPAN c'est facile, on interrompt pas la prod et on > peut être plus flexible et dynamique (encore plus sur du SDN avec des > règles Openflow bien faites). Par contre sur des gros liens fortement > chargés c'est l'assurance de perdre du paquet (pas sur la prod, quoique > les premières versions de certains switchs avaient des buffers partagés > entre prod et SPAN...c'était pas joli). > > Je trouve que le meilleur compris c'est du SPAN sur du lien maîtrisé > pour du temporaire, et du tap sur du 24/24 et éventuellement passer par du > packet broker pour connecter le tout avant de connecter les équipements > d'analyse, mais comme toujours tout dépend de ce qu'on veut faire en > finalité, si c'est pour produire de la statistique de base, tous ces > problèmes de sont pas importants, si c'est pour faire de l'audit et du > troubleshooting fin alors là mieux vaut avoir une infra de monitoring > qui tient la route. > > On Thu, Feb 18, 2021 at 02:37:37PM +0100, David Ponzone wrote: > >Ouais enfin, avec la fonction port-mirror d’un switch, tu peux mettre ton > TAP pas en SPOF. > >Et en plus tu vois pas que les flux d’un seul port. > > > >> Le 18 févr. 2021 à 14:23, Hugo SIMANCAS < > hugo.siman...@data-expertise.com> a écrit : > >> > >> les TAP sont plus que cela car même en cas de coupure électrique le > lien réseau est conservé (ça évite le spof sur une sortie Internet) > >> > >> C'est carrément du mirroring électrique à mon avis > >> > >> > >> / ::1 Hugo SIMANCAS > >> Directeur Technique Associé > >> https://www.data-expertise.com <https://www.data-expertise.com/> > >> Support technique : 09 78 23 20 29 > >> Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57 > >> Mobile : 06 95 44 29 64 > >> !Utilisez notre plateforme visio libre & gratuite : > https://conf.data-expertise.com/ <https://conf.data-expertise.com/> > >> !Pad collaboratif libre & gratuit sécurisé > https://pad.data-expertise.com/ <https://pad.data-expertise.com/> > >> Les informations contenues dans ce courrier électronique sont > confidentielles et protégées par le secret professionnel. En tout état de > cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom > est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté > ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas > le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine > de poursuites à en prendre des copies, le divulguer ou le diffuser. La > présence de cette note prouve également que ce message électronique a été > vérifié par un logiciel anti-virus. > >> > >> > >> > >> > >> > >> > >> Le 18/02/2021 à 13:43, Richard MATOS a écrit : > >>> La question que je me pose c'est est-ce que les ports TAP sont juste > des ports ethernet simple en mode promiscuous ou ont ils une spécificité > physique? > >>> Merci > >>> > >>> Le jeu. 18 févr. 2021 à 08:48, David Ponzone <david.ponz...@gmail.com > <mailto:david.ponz...@gmail.com>> a écrit : > >>> L’OP essaie de diagnostiquer un problème de perfs sur un LAN/WAN, donc > il a besoin de toute sniffer, donc si Pi4 ne tient pas le wire-speed avec > du trafic Entreprise (donc 700-800 octets en moyenne)… > >>> > >>> > Le 18 févr. 2021 à 04:56, Michel Py < > mic...@arneill-py.sacramento.ca.us <mailto: > mic...@arneill-py.sacramento.ca.us>> a écrit : > >>> > > >>> >>>> Hugo SIMANCAS a écrit : > >>> >>>> attention pour moi la donnée importante c'est le nombre de > paquets à la seconde, pas le débit. même si les deux sont liés > >>> > > >>> >>> Michel Py a écrit : > >>> >>> Si c'est pas indiscret, tu pourrais nous expliquer pourquoi ? > Est-ce que tu essaies de diagnostiquer un problème lié à PPS ? > >>> > > >>> >> David Ponzone a écrit : > >>> >> Mitchel, T’es fatigué ? :) > >>> > > >>> > Excuse moi, je viens de me réveiller de ma sieste. > >>> > J'ai loupé quelque chose ? > >>> > > >>> > Michel. > >>> > > >>> > >>> > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ <http://www.frnog.org/> > >>> > >>> > >>> -- > >>> Richard MATOS > > > > > >--------------------------- > >Liste de diffusion du FRnOG > >http://www.frnog.org/ > > -- > Benoît > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
