Analyseur de chemin réseau
Découvrez l'outil Analyseur de chemin réseau.
Présentation de l'analyseur de chemin réseau
L'analyseur de chemin réseau fournit une fonctionnalité unifiée et intuitive permettant d'identifier les problèmes de configuration de réseau virtuel ayant une incidence sur la connectivité. L'analyseur de chemin réseau collecte et analyse la configuration réseau pour déterminer comment les chemins entre la source et la destination fonctionnent ou échouent. Aucun trafic réel n'est envoyé, mais la configuration est examinée et utilisée pour vérifier l'accessibilité.
L'analyseur de chemin réseau examine soigneusement les configurations de routage et de sécurité, et identifie le chemin réseau potentiel parcouru par le trafic défini, ainsi que des informations relatives aux entités de fonctions de réseau virtuel contenues dans le chemin. Outre les informations relatives au chemin, les vérifications effectuées indiquent comment les règles de routage et les listes d'accès réseau (listes de sécurité, groupes de sécurité réseau, etc.) autorisent ou refusent le trafic. Les sources et les destinations peuvent se trouver dans OCI uniquement, sur OCI et sur le réseau sur site, ou sur OCI et sur Internet. L'analyseur de chemin réseau analyse tous les éléments de fonctions de réseau OCI standard et la configuration associée.
Avec l'analyseur de chemin réseau, vous pouvez effectuer les opérations suivantes :
- Résoudre les erreurs de configuration de routage et de sécurité à l'origine de problèmes de connectivité
- Vérifier que les chemins réseau logiques sont conformes à vos souhaits
- Vérifier que la configuration de la connectivité du réseau virtuel fonctionne comme prévu avant de commencer à envoyer le trafic
Pour atteindre n'importe lequel de ces objectifs, créez un test qui devrait fonctionner, puis exécutez-le. Vous pouvez également enregistrer la définition de test pour l'exécuter à nouveau ultérieurement. Les tests enregistrés sont affichés sur la page Analyseur de chemin réseau pour que vous puissiez les sélectionner.
Les scénarios source/destination suivants sont pris en charge :
- D'OCI vers OCI
- D'OCI vers le réseau sur site
- Du réseau sur site vers OCI
- D'Internet vers OCI
- D'OCI vers Internet
Des tests peuvent être définis pour les paramètres suivants :
| Options de source | Options de destination | Protocole | Informations sur le port | Indicateur bidirectionnel |
|---|---|---|---|---|
|
|
Tout protocole IP pris en charge dans la liste de sécurité actuelle. |
Selon le type de protocole indiqué :
|
Indicateur de vérification bidirectionnel activé par défaut pour TCP et UDP. Vous avez la possibilité de désactiver cet indicateur pour vérifier la connectivité et le chemin unidirectionnels (de la source à la destination). Cet indicateur est désactivé pour les protocoles autres que TCP/UDP. |
L'analyse effectuée utilise un cliché de configuration complet, mais le chemin réseau affiché se limite aux entités que vous êtes autorisé à visualiser. Lorsque vous ne disposez pas des droits d'accès nécessaires pour visualiser des objets du chemin, la sortie de test n'affiche ni ces objets, ni détails supplémentaires.
L'analyseur de chemin réseau utilise Batfish, une bibliothèque d'analyse de configuration réseau open source. L'analyseur de chemin réseau utilise Batfish pour effectuer une analyse d'accessibilité et identifier les erreurs de configuration. Intentionet gère la bibliothèque Batfish.
Droits d'accès requis
Oracle recommande de toujours définir les stratégies de droits d'accès suivantes au niveau de la location (leur définition au niveau d'un compartiment peut rendre les résultats de l'analyse de chemin moins précis) lors de l'utilisation de l'analyseur de chemin réseau :
allow group <group-name> to manage vn-path-analyzer-test in tenancy
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } Où <group-name> est le nom du groupe d'administrateurs pour les ressources de fonctions de réseau.
L'octroi de droits d'accès pour utiliser cet outil peut entraîner une surexposition des informations sur les paramètres de configuration et de sécurité réseau. Un utilisateur malveillant pourrait déduire de l'observation de l'état d'accessibilité la présence de services réseau ainsi que des informations de routage et de sécurité associées. L'accès à l'outil ne doit être accordé qu'à des utilisateurs et administrateurs de confiance.
Reportez-vous à la section path-analyzer-test dans Détails du service Network Monitoring pour plus de détails sur les droits d'accès de l'analyseur de chemin réseau.
Limites et avertissements connus
Les cas d'emploi de l'analyseur de chemin réseau suivants ne sont pas pris en charge :
- Des résultats incorrects seront obtenus avec une source et des destinations qui se trouvent dans le même sous-réseau et disposent d'une adresse IP privée différente.
- Lorsque la table de routage d'un sous-réseau comporte un saut suivant défini en tant qu'adresse IP privée, le statut Aucun routage peut être affiché par erreur.
- Si les passerelles d'appairage local sont appairées entre plusieurs locations, la réponse de l'analyse de chemin est Indéterminé.
- Si les connexions d'appairage à distance transitent par des locations ou des régions, la réponse de l'analyse de chemin est Indéterminé.
- L'analyseur de chemin réseau ne prend pas en charge IPv6. Les adresses IPv6 ne peuvent pas être utilisées comme sources ou destinations. Les paramètres de routage et de sécurité IPv6 sont ignorés et n'ont aucune incidence sur les résultats.
- L'analyseur de chemin réseau ne détecte pas les boucles de routage. Si de telles boucles sont présentes, les résultats peuvent ne pas être concluants ou indiquer un échec.
- Le routage intra-réseau cloud virtuel et le routage de passerelle Internet ne sont pas encore pris en charge dans l'analyseur de chemin réseau et peuvent entraîner des résultats d'analyse de chemin inexacts.
- Actuellement, l'analyseur de chemin réseau ne fonctionne pas si le nombre de compartiments de la location demandant l'analyse de chemin est supérieur à 100. Pour ces locations, vous devez émettre une demande d'assistance afin d'utiliser l'analyse NPA.
Cas d'emploi spéciaux
Lorsque certaines entités se trouvent dans un chemin concerné par une analyse et qu'elles ne sont ni la source ni la destination, les comportements suivants sont observés. Vous pouvez utiliser la solution indiquée pour ces cas d'emploi, le cas échéant.
| Noeud dans le chemin | Résultat de l'analyseur de chemin réseau | Solution |
|---|---|---|
|
Appliance virtuelle réseau |
Indéterminé |
Créez deux vérifications d'analyse de chemin : de la source vers l'appliance virtuelle réseau et de cette dernière vers la destination. |
|
Equilibreur de charge réseau déployé en mode non transparent avec traduction d'adresse réseau source configurée |
Aucun routage |
Créez deux vérifications d'analyse de chemin : de la source vers l'équilibreur de charge réseau et de ce dernier vers la destination. |
|
Equilibreur de charge réseau en mode transparent |
Indéterminé |
Créez deux vérifications d'analyse de chemin : de la source vers l'équilibreur de charge réseau et de ce dernier vers la destination. |
|
Equilibreur de charge |
Aucun routage |
Créez deux vérifications d'analyse de chemin : de la source vers l'équilibreur de charge et de ce dernier vers la destination. |
|
FWaaS |
Indéterminé |
Créez deux vérifications d'analyse de chemin : de la source vers FWaaS et de FWaaS vers la destination. |
| Entre des régions via une connexion d'appairage à distance |
Indéterminé |
Créez deux vérifications d'analyse de chemin, une pour chaque région. |
| Entre des locations via une passerelle d'appairage local |
Indéterminé |
Créez deux vérifications d'analyse de chemin, une pour chaque location. |
| Passerelle de routage dynamique version 1 |
Indéterminé |
Effectuez une mise à niveau vers la passerelle de routage dynamique version 2. |
Le diagramme suivant présente l'un des cas d'emploi où l'analyse de chemin doit être divisée en deux.
Demandes de travail d'analyse de chemin réseau
Les demandes de travail vous permettent de surveiller les opérations à long terme telles que les tests d'analyse de chemin réseau. Lorsque vous lancez une opération de ce type, le service génère une demande de travail . Une demande de travail est un journal d'activités qui vous permet de suivre chaque étape de la progression de l'opération. Chaque demande de travail dispose d'un OCID (identificateur Oracle Cloud) qui vous permet d'interagir avec elle par programmation et de l'utiliser à des fins d'automatisation. Les demandes de travail sont conservées pendant 12 heures.
Tâches de l'analyseur de chemin réseau
Vous pouvez effectuer les tâches suivantes à l'aide de l'outil Network Path Analyzer :
Tâches de test d'analyse de chemin
- Création d'un test d'analyse de chemin
- Exécution d'un test d'analyse de chemin
- Liste des tests d'analyse de chemin
- Obtention des détails d'un test d'analyse de chemin
- Modification d'un test d'analyse de chemin
- Déplacement d'un test d'analyse de chemin vers un autre compartiment
- Suppression d'un test d'analyse de chemin