Analyseur de chemin de réseau

Découvrez l'outil d'analyse de chemins réseau.

Aperçu de l'analyseur de chemin de réseau

L'analyseur de chemin de réseau (NPA) offre une capacité unifiée et intuitive qui vous permet d'identifier les problèmes de configuration du réseau virtuel qui ont une incidence sur la connectivité. Le NPA collecte et analyse la configuration du réseau pour déterminer le fonctionnement et les défaillances des chemins entre la source et la destination. Aucun trafic réel n'est envoyé, mais la configuration est examinée et utilisée pour confirmer l'accessibilité.

Le NPA examine attentivement les configurations de routage et de sécurité, et identifie le chemin de réseau potentiel parcouru par votre trafic défini, ainsi que des informations sur les entités de réseau virtuel dans le chemin. En plus des informations sur le chemin, la sortie de ces vérifications comprend la façon dont les règles de routage et les listes d'accès au réseau (listes de sécurité, groupes de sécurité de réseau, etc.) permettent ou refusent le trafic. Les sources et les destinations peuvent se trouver au sein d'OCI, ou entre OCI et le réseau sur place, ou OCI et Internet. Le NPA analyse tous les éléments de réseau OCI standard avec leur configuration associée.

À l'aide de l'analyseur de chemin de réseau, vous pouvez :

Résoudre les erreurs de configuration du routage et de la sécurité qui causent des problèmes de connectivité.
Confirmer que les chemins de réseau logiques correspondent à votre intention.
Vérifier que la configuration de la connectivité du réseau virtuel fonctionne comme prévu avant de commencer à envoyer du trafic

Pour atteindre ces objectifs, créez un test qui, selon vous, devrait fonctionner, puis exécutez le test. Vous pouvez également enregistrer cette définition de test pour l'exécuter à nouveau plus tard. Les tests enregistrés sont affichés dans la page Analyseur de chemin de réseau pour vous permettre de les sélectionner.

Les scénarios de source et de destination suivants sont pris en charge :

OCI vers OCI
OCI vers réseau sur place
Réseau sur place vers OCI
Internet vers OCI
OCI vers Internet

Des tests peuvent être définis pour les paramètres suivants :

Options de source	Options de destination	Protocole	Informations sur le port	Indicateur bidirectionnel
Une adresse IP (dans OCI, un réseau sur place ou sur Internet) Carte vNIC d'instance de calcul Équilibreur de charge-service Équilibreur de charge de réseau	Une adresse IP (dans OCI, un réseau sur place ou sur Internet) Carte vNIC d'instance de calcul Équilibreur de charge-service Équilibreur de charge de réseau	Tout protocole IP pris en charge dans la liste de sécurité courante.	Selon le type de protocole fourni : Port de destination Port source Options ICMP	Indicateur de contrôle bidirectionnel, activé par défaut pour TCP et UDP. Vous avez la possibilité de désactiver cet indicateur pour contrôler la connectivité unidirectionnelle et le chemin (source vers destination). Cet indicateur est désactivé pour les protocoles non TCP/UDP.

Options de source

Options de destination

Protocole

Informations sur le port

Indicateur bidirectionnel

Une adresse IP (dans OCI, un réseau sur place ou sur Internet)
Carte vNIC d'instance de calcul
Équilibreur de charge-service
Équilibreur de charge de réseau

Une adresse IP (dans OCI, un réseau sur place ou sur Internet)
Carte vNIC d'instance de calcul
Équilibreur de charge-service
Équilibreur de charge de réseau

Tout protocole IP pris en charge dans la liste de sécurité courante.

Selon le type de protocole fourni :

Port de destination
Port source
Options ICMP

Indicateur de contrôle bidirectionnel, activé par défaut pour TCP et UDP. Vous avez la possibilité de désactiver cet indicateur pour contrôler la connectivité unidirectionnelle et le chemin (source vers destination). Cet indicateur est désactivé pour les protocoles non TCP/UDP.

Une analyse est effectuée à l'aide d'un instantané de configuration complète, mais le chemin de réseau affiché est limité aux entités que vous êtes autorisé à consulter. Si vous n'avez pas l'autorisation nécessaire pour afficher certains objets du chemin, ceux-ci, ainsi que d'autres détails, n'apparaissent pas sur la sortie de test.

L'analyseur de chemin de réseau utilise Batfish, une bibliothèque d'analyse de configuration de réseau à code source libre. Le NPA utilise Batfish pour effectuer une analyse d'accessibilité et identifier les erreurs de configuration. Intentionet tient à jour la bibliothèque Batfish.

Autorisations requises

Oracle recommande de toujours définir les politiques d'autorisation suivantes au niveau de la location (si ces autorisations sont définies au niveau du compartiment, les résultats de l'analyse de chemin peuvent être moins précis) pour utiliser l'analyseur de chemin de réseau :

allow group <group-name> to manage vn-path-analyzer-test in tenancy 
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' }

Où <group-name> est le nom du groupe d'administrateurs pour les ressources de réseau.

Note

L'octroi des autorisations d'utilisation de cet outil peut entraîner une surexposition des informations sur la configuration du réseau et ses paramètres de sécurité à un utilisateur. En observant le statut d'accessibilité, un utilisateur malveillant peut déduire la présence de services de réseau et des informations de routage et de sécurité connexes. L'accès à l'outil ne devrait être accordé qu'aux utilisateurs et administrateurs de confiance.

Consultez la section path-analyzer-test sous Informations détaillées sur le service de surveillance de réseau pour plus de détails sur les autorisations relatives au NPA.

Restrictions et limites connues

Les cas d'utilisation du NPA suivants ne sont pas pris en charge :

Si la source et les destinations se trouvent dans le même sous-réseau et avec une adresse IP privée différente, cela produira des résultats incorrects.
Lorsque la table de routage d'un sous-réseau comporte un saut suivant défini comme adresse IP privée, il est possible qu'elle affiche incorrectement le statut Aucune route.
Si les passerelles LPG sont appairées entre les locations, la réponse concernant l'analyse de chemin est indéterminée.
Si des connexions RPC traversent des locations ou des régions, la réponse concernant l'analyse de chemin est indéterminée.
Le NPA ne prend pas en charge IPv6. Les adresses IPv6 ne peuvent être utilisées ni comme sources ni destinations. Les paramètres de routage et de sécurité IPv6 sont ignorés et n'ont aucune incidence sur les résultats.
Le NPA ne détecte pas les boucles de routage. En leur présence, les résultats peuvent être incertains ou indiquer un échec.
Les routages intra-VCN et de passerelle Internet ne sont pas encore pris en charge dans le NPA et peuvent entraîner des résultats d'analyse de chemin inexacts.
Actuellement, le NPA ne fonctionne pas si le nombre de compartiments de la location demandant l'analyse de chemin est supérieur à 100. Pour ces locations, vous devez lire une demande de soutien pour utiliser l'analyseur de réseau.

Cas d'utilisation spéciaux

Lorsque certaines entités figurent dans le chemin pour faire l'objet d'une analyse et qu'elles ne sont ni la source ni la destination, les comportements suivants sont observés. Vous pouvez utiliser la solution indiquée pour ces cas d'utilisation, le cas échéant.

Noeud dans le chemin	Résultat du NPA	Solution
Appareil virtuel réseau (NVA)	Indéterminé	Créez deux contrôles d'analyse de chemin, un de la source au NVA et l'autre, du NVA à la destination.
NLB déployé en mode non transparent avec SNAT configurée	Aucune route	Créez deux contrôles d'analyse de chemin, un de la source au NLB et l'autre, du NLB à la destination.
Équilibreur de charge de réseau en mode transparent	Indéterminé	Créez deux contrôles d'analyse de chemin, un de la source au NLB et l'autre, du NLB à la destination.
Équilibreur de charge	Aucune route	Créez deux contrôles d'analyse de chemin, un de la source au LB et l'autre, du LB à la destination.
FWaaS	Indéterminé	Créez deux contrôles d'analyse de chemin, un de la source au FWaaS et l'autre, du FWaaS à la destination.
Inter-région à l'aide d'une connexion d'appairage distant	Indéterminé	Créez deux contrôles d'analyse de chemin, un pour chaque région.
Interlocation au moyen d'une passerelle LPG	Indéterminé	Créez deux contrôles d'analyse de chemin, une pour chaque location.
DRG v1	Indéterminé	Mettez à niveau vers DRG v2.

Le diagramme suivant présente un des cas d'utilisation où l'analyse de chemin doit être fractionnée en deux.

$Figure présentant une situation dans laquelle une analyse de chemin doit être fractionnée en deux.$

Demandes de travail d'analyse de chemins de réseau

Les demandes de travail vous permettent de surveiller les opérations de longue durée telles que les tests d'analyse de chemin de réseau. Lorsque vous lancez ce type d'opération, le service génère une demande de travail . Une demande de travail est un journal d'activité qui vous permet d'effectuer le suivi de chaque étape de la progression de l'opération. Chaque demande de travail dispose d'un identificateur Oracle Cloud (OCID) qui vous permet d'interagir avec celle-ci par programmation et de l'utiliser pour l'automatisation. Les demandes de travail sont conservées pendant 12 heures.

Tâches de l'analyseur de chemin de réseau

Vous pouvez effectuer les tâches suivantes à l'aide de l'outil Analyseur de chemin réseau :

Documentation sur Oracle Cloud Infrastructure