Point de défaillance du réseau
La tâche principale de Stingray consiste à filtrer le trafic à des fins de classification et de gestion. La technologie DPI permet d’analyser tous les paquets qui la traversent jusqu’au 7e niveau du modèle OSI, plutôt que de se limiter aux numéros de port standard. L’analyse comportementale (heuristique) du trafic nous fournit des informations sur des applications spécifiques qui n’utilisent pas d’en-têtes et de structures de données prédéfinies pour l’échange de données.
Pour mettre en œuvre toutes les fonctionnalités offertes par Stingray, il est nécessaire d’utiliser un schéma de connexion « en ligne », dans lequel le DPI est connecté après le routeur frontalier, en ligne avec le canal externe (liaison montante) de l’opérateur.
Cette configuration identifie immédiatement le principal point de défaillance du réseau : si l’appareil tombe en panne, la chaîne de trafic est interrompue et la connexion est perdue. La mise en œuvre d’un système de mise en miroir du trafic permet d’éliminer ce problème. Si Stingray cesse de fonctionner pour une raison quelconque, le réseau perd ses fonctions mais continue de fonctionner. Cependant, seul le système en ligne permet de mettre en œuvre toutes les fonctions du système DPI, telles que la hiérarchisation, la mise en forme, les notifications et autres, qui nécessitent le filtrage de tout le trafic.
Dans les dernières versions de Stingray, les développeurs ont mis en œuvre une fonctionnalité très utile pour les opérateurs de télécommunications et les fournisseurs d’accès à Internet : la traduction d’adresses réseau Carrier-Grade NAT (CG-NAT). Les appareils DPI étant conçus pour filtrer d’énormes volumes de trafic, Stingray gère parfaitement la fonctionnalité CG-NAT. Cependant, nous comprenons que si un appareil NAT tombe en panne, les utilisateurs ne recevront plus d’adresses réseau et ne pourront plus continuer à travailler avec le réseau. Dans ce cas, peu importe que Stingray soit connecté en ligne ou en miroir, l’abonné ne recevra plus de services.
Comment garantir la tolérance aux pannes
Il existe deux moyens principaux pour garantir la tolérance aux pannes et résoudre le problème de défaillance de communication en cas de panne d’un Stingray installé « en ligne » :
- Utiliser un dispositif de contournement DPI (cuivre ou optique) dans le cadre du système qui, en cas de panne du serveur frontal principal ou d’interruption de la liaison de contournement, acheminera le trafic à travers lui-même, garantissant ainsi la connectivité sans prendre en charge la fonction d’analyse du trafic.
- Utiliser une plateforme DPI de secours qui filtrera le trafic en cas de défaillance de la plateforme principale.
Dispositifs de contournement
Étant donné qu’un système DPI prêt à l’emploi est un ensemble complexe de logiciels et de matériel, le choix de l’équipement sur lequel le logiciel est installé doit être abordé avec beaucoup de soin, en particulier en ce qui concerne les cartes réseau. L’une des exigences obligatoires pour les cartes réseau utilisées dans un système DPI est la présence d’un mode de contournement.
Le contournement connecte les interfaces réseau au premier niveau OSI. Cela signifie que si le serveur subit une coupure de courant, la liaison entre les ports continue de fonctionner et de transmettre le trafic sans le filtrer, en utilisant l’alimentation d’une batterie de secours, avec une vitesse de commutation vers le contournement d’environ 0,5 seconde.
Le choix de cette solution pour la tolérance aux pannes vous prive de toutes les fonctions d’analyse et de CG-NAT, mais n’entrave pas le flux de trafic, ce qui signifie qu’elle n’interrompt pas la connexion.
Plateforme DPI de secours
Une plateforme de secours est un deuxième appareil identique au premier, qui prend en charge toutes les fonctions de traitement du trafic si le premier cesse de fonctionner. Le routage est configuré sur le cœur du réseau et le routeur frontalier, qui est chargé de rediriger le trafic en cas de défaillance de l’un des Stingrays.
Le coût de la licence pour l’appareil de secours ne représente que 25 % du coût de l’appareil principal s’il est en mode veille et ne traite pas le trafic en mode opérationnel.
Si vous avez installé un Stingray supplémentaire pour la tolérance aux pannes, l’achat d’une licence complète vous permettra de configurer l’équilibrage de charge à l’aide de l’agrégation de liens (LAG).
L’équilibrage du trafic est effectué en sélectionnant un canal physique par l’expéditeur de la trame à l’aide d’un algorithme spécifique. Les algorithmes suivants sont parmi les plus courants et les plus fréquemment utilisés :
- par l’adresse MAC de l’expéditeur ou l’adresse MAC du destinataire, ou en tenant compte des deux adresses ;
- par l’adresse IP de l’expéditeur ou l’adresse IP du destinataire, ou en tenant compte des deux adresses ;
- par le numéro de port de l’expéditeur ou le numéro de port du destinataire, ou en tenant compte des deux ports.
Cette méthode permet de « faire d’une pierre deux coups » :
- augmenter le débit du système DPI, fournissant ainsi une réserve pour la croissance du réseau ;
- assurer la tolérance aux pannes du réseau en cas de défaillance de l’équipement Stingray.
Pour plus d’informations sur les fonctionnalités de Stingray et sur la manière d’organiser un fonctionnement tolérant aux pannes, veuillez contacter les spécialistes de VAS Experts, développeur et fournisseur du système d’analyse du trafic Stingray.
