Analyseur de chemin réseau

En savoir plus sur l'outil Network Path Analyzer.

Présentation de l'analyseur de chemin réseau

L'analyseur de chemin réseau fournit une fonctionnalité unifiée et intuitive permettant d'identifier les problèmes de configuration de réseau virtuel qui affectent la connectivité. NPA collecte et analyse la configuration réseau pour décider comment les chemins entre la source et la destination fonctionnent ou échouent. Aucun trafic réel n'est envoyé, mais la configuration est examinée et utilisée pour vérifier l'accessibilité.

L'analyseur de chemin de réseau examine soigneusement la configuration de routage et la configuration de sécurité, et identifie le chemin réseau potentiel parcouru par les trafics définis, ainsi que des informations relatives aux entités de réseau virtuel contenues dans le chemin. En plus des informations relatives au chemin, la sortie de ces vérifications inclut la manière dont les règles de routage et les fonctions de sécurité du réseau (listes d'accès réseau, groupes de sécurité système, Zero Trust Packet Routing, etc.) autorisent ou refusent le trafic. Les sources et les destinations peuvent se trouver dans OCI uniquement, sur OCI et sur le réseau sur site, ou sur OCI et sur Internet. L'analyseur de chemin réseau analyse tous les éléments de fonctions de réseau OCI standard et la configuration associée.

Avec l'analyseur de chemin réseau, vous pouvez :

Résoudre les erreurs de configuration de routage et de sécurité à l'origine de problèmes de connectivité
Vérifier que les chemins réseau logiques sont conformes à l'intention
Vérifier que la configuration de la connectivité du réseau virtuel fonctionne comme prévu avant de commencer à envoyer le trafic

Pour atteindre l'un de ces objectifs, créez un test qui, selon vous, devrait fonctionner, puis exécutez-le. Vous pouvez également enregistrer la définition de test pour l'exécuter à nouveau ultérieurement. Les tests enregistrés sont affichés sur la page ANP pour que vous puissiez les sélectionner.

Les scénarios source/destination suivants sont pris en charge :

D'OCI vers OCI
D'OCI vers le réseau sur site
Du réseau sur site vers OCI
D'Internet vers OCI
D'OCI vers Internet

Des tests peuvent être définis pour les paramètres suivants :

Options de source	Options de destination	Protocole	Informations sur le port	Indicateur bidirectionnel
Adresse IP (dans OCI, sur site ou Internet) Carte d'interface réseau virtuelle d'instance de calcul LBaaS Equilibreur de charge réseau	Adresse IP (dans OCI, sur site ou Internet) Carte d'interface réseau virtuelle d'instance de calcul LBaaS Equilibreur de charge réseau	Tout protocole IP pris en charge dans la liste de sécurité actuelle.	Selon le type de protocole indiqué : Port de destination Port source Options ICMP	Indicateur de vérification bidirectionnel activé par défaut pour TCP et UDP. Vous avez la possibilité de désactiver cet indicateur pour vérifier la connectivité et le chemin unidirectionnels (de la source à la destination). Cet indicateur est désactivé pour les protocoles autres que TCP/UDP.

Options de source

Options de destination

Protocole

Informations sur le port

Indicateur bidirectionnel

Adresse IP (dans OCI, sur site ou Internet)
Carte d'interface réseau virtuelle d'instance de calcul
LBaaS
Equilibreur de charge réseau

Adresse IP (dans OCI, sur site ou Internet)
Carte d'interface réseau virtuelle d'instance de calcul
LBaaS
Equilibreur de charge réseau

Tout protocole IP pris en charge dans la liste de sécurité actuelle.

Selon le type de protocole indiqué :

Port de destination
Port source
Options ICMP

Indicateur de vérification bidirectionnel activé par défaut pour TCP et UDP. Vous avez la possibilité de désactiver cet indicateur pour vérifier la connectivité et le chemin unidirectionnels (de la source à la destination). Cet indicateur est désactivé pour les protocoles autres que TCP/UDP.

L'analyse effectuée utilise un cliché de configuration complet, mais le chemin réseau affiché se limite aux entités que vous êtes autorisé à visualiser. Lorsque vous ne disposez pas des droits d'accès nécessaires pour visualiser des objets du chemin, la sortie de test n'affiche ni ces objets, ni détails supplémentaires.

Le NPA utilise Batfish, une bibliothèque d'analyse d'analyse de configuration réseau open source. L'analyseur de chemin réseau utilise Batfish pour effectuer une analyse d'accessibilité et identifier les erreurs de configuration. Intentionet gère la bibliothèque Batfish.

Remarque

Si une adresse possède un attribut de sécurité Zero Trust Packet Routing (ZPR), le trafic vers l'adresse doit satisfaire aux stratégies ZPR, ainsi qu'à toutes les règles de groupe de sécurité réseau et de liste de sécurité. Par exemple, si vous utilisez déjà des groupes de sécurité réseau et que vous ajoutez un attribut de sécurité à une adresse, tout le trafic vers cette adresse est bloqué. Ensuite, une stratégie ZPR doit autoriser explicitement le trafic vers l'adresse.

Le NPA permet d'identifier les problèmes liés aux attributs de sécurité et aux stratégies ZPR Zero Trust Packet Routing. Reportez-vous aux documents liés pour plus de détails sur les prérequis et la configuration de Zero Trust Packet Routing.

Droits d'accès requis

Nous vous recommandons de toujours définir les stratégies de droit d'accès suivantes au niveau de la location (leur définition au niveau d'un compartiment peut rendre les résultats de l'analyse de Chemin moins précis) lors de l'utilisation de l'analyseur de Chemin Réseau.

Droits d'accès utilisateur
- Configurez les droits d'accès suivants pour accorder aux utilisateurs du groupe d'utilisateurs <group-name> la possibilité d'utiliser NPA, où <group-name> est le nom du groupe d'administrateurs pour les ressources réseau.
```
allow group <group-name> to manage vn-path-analyzer-test in tenancy
```

Droits d'accès au service

Configurez les droits d'accès suivants pour permettre au service NPA d'accéder aux ressources et aux services de la location à des fins d'analyse de chemin.


allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } 
allow any-user to read zpr-family in tenancy where all { request.principal.type = 'vnpa-service' }

Remarque

L'octroi de droits d'accès pour utiliser cet outil peut entraîner une surexposition des informations sur les paramètres de configuration et de sécurité réseau. Un utilisateur malveillant pourrait déduire de l'observation de l'état d'accessibilité la présence de services réseau ainsi que des informations de routage et de sécurité associées. Donnez uniquement l'accès à l'outil aux utilisateurs et administrateurs de confiance.

Reportez-vous à la section path-analyzer-test dans Détails du service Network Monitoring pour plus de détails sur les droits d'accès de l'APN.

Limites et avertissements connus

Les cas d'emploi de l'analyseur de chemin réseau suivants ne sont pas pris en charge :

Les sources et les destinations qui se trouvent dans le même sous-réseau et avec une adresse IP privée différente produisent des résultats incorrects.
Lorsque la table de routage d'un sous-réseau comporte un saut suivant défini en tant qu'adresse IP privée, le statut Aucun routage peut être affiché par erreur.
Si les passerelles d'appairage local sont appairées entre plusieurs locations, la réponse de l'analyse de chemin est Indéterminé.
Si les connexions d'appairage à distance transitent par des locations ou des régions, la réponse de l'analyse de chemin est Indéterminé.
NPA ne prend pas en charge IPv6. Les adresses IPv6 ne peuvent pas être utilisées comme sources ou destinations. Les paramètres de routage et de sécurité IPv6 sont ignorés et n'ont aucune incidence sur les résultats.
L'analyseur de chemin réseau ne détecte pas les boucles de routage. Si des boucles de routage sont présentes, les résultats peuvent ne pas être concluants ou indiquer un échec.
Le routage intra-VCN et le routage de passerelle Internet ne sont pas encore pris en charge dans les ANP et peuvent entraîner des résultats d'analyse de chemin inexacts.
L'ANP ne fonctionne pas si le nombre de compartiments de la location demandant l'analyse de chemin est supérieur à 100. Pour ces locations, vous devez lancer une demande d'assistance afin d'utiliser l'analyseur de chemin réseau.
L'APN ne peut pas évaluer les stratégies ZPR si elle ne parvient pas à atteindre la destination en raison d'un problème lié au routage, à la liste de sécurité ou au groupe de sécurité réseau. Dans ce cas, l'ANP affiche une notification ZPR n'a pas pu être évalué.
La définition d'une adresse PSA en tant qu'adresse source n'est pas prise en charge. Une adresse PSA ne peut être qu'une adresse de destination pour l'analyse de chemin.

Cas d'emploi spéciaux

Lorsque certaines entités se trouvent dans un chemin pour une analyse et qu'elles ne sont ni la source ni la destination, les comportements suivants sont observés. Vous pouvez utiliser la solution indiquée pour ces cas d'emploi, le cas échéant.

Noeud dans le chemin	Résultat de l'analyseur de chemin réseau	Solution
Appliance virtuelle réseau	Indéterminé	Créez deux vérifications d'analyse de chemin : de la source vers l'appliance virtuelle réseau et de cette dernière vers la destination.
Equilibreur de charge réseau déployé en mode non transparent avec traduction d'adresse réseau source configurée	Aucun routage	Créez deux vérifications d'analyse de chemin : de la source vers l'équilibreur de charge réseau et de ce dernier vers la destination.
Equilibreur de charge réseau en mode transparent	Indéterminé	Créez deux vérifications d'analyse de chemin : de la source vers l'équilibreur de charge réseau et de ce dernier vers la destination.
Equilibreur de charge	Aucun routage	Créez deux vérifications d'analyse de chemin : de la source vers l'équilibreur de charge et de ce dernier vers la destination.
FWaaS	Indéterminé	Créez deux vérifications d'analyse de chemin : de la source vers FWaaS et de FWaaS vers la destination.
Entre des régions via une connexion d'appairage à distance	Indéterminé	Créez deux vérifications d'analyse de chemin, une pour chaque région.
Entre des locations via une passerelle d'appairage local	Indéterminé	Créez deux vérifications d'analyse de chemin, une pour chaque location.
Passerelle de routage dynamique version 1	Indéterminé	Effectuez une mise à niveau vers la passerelle de routage dynamique version 2.

Le diagramme suivant présente l'un des cas d'emploi où l'analyse de chemin doit être divisée en deux.

Figure illustrant une situation dans laquelle l'analyse de chemin doit être divisée en deux.

Demandes de travail d'analyse de chemin réseau

Utilisez les demandes de travail pour surveiller les opérations à longue durée d'exécution, telles que les tests d'analyse de chemin réseau. Lorsque vous exécutez une opération de ce type, le service génère une demande de travail . Une demande de travail est un journal d'activités que vous pouvez utiliser pour suivre chaque étape de la progression de l'opération. Chaque demande de travail dispose d'un OCID (identificateur Oracle Cloud) que vous pouvez utiliser pour interagir avec elle par programmation et pour l'automatisation. Les demandes de travail sont conservées pendant 12 heures.

Tâches de l'analyseur de chemin réseau

Vous pouvez effectuer les tâches suivantes à l'aide de l'outil Network Path Analyzer :

Documentation Oracle Cloud Infrastructure