Pages

Monday, April 21, 2014

Analyse réseau "next-gen" avec Cascade Pilot par Riverbed

Un petit billet pour partager vous faire un retour d'expérience sur ce qui est peut-être l'analyseur de paquet "next-gen : Cascade Pilot par Riverbed.

Cascade Pilot fait partie de la gamme Cascade de Riverbed, en gros ce sont des produits pour suivre les performance du réseau : Cascade Shark qui collecte les paquets, Cascade Profiler qui traite les statistiques réseau (plus ou moins un collecteur Netflow) et Cascade Pilot.

La licence
Premièrement, Cascade Pilot est un produit sous licence (et donc payant malheureusement), mais bon il suffit qu'il y au moins un Shark dans l'infrastructure, et il est alors indispensable de l'avoir. Il y a possibilité d'avoir des licences propres ou bien d'opter pour un système de licences dit "flottantes" (en gros, X utilisateurs peuvent lancer Cascade Pilot en simultanée). C'est surtout intéressant pour déployer Cascade Pilot sur plusieurs postes, et d'optimiser l'utilisation des licences (si un poste n'est pas allumée, la licence peut être utilisée par un autre utilisateur).

Interface d'utilisation de Cascade Shark
Comme expliqué plus haut, s'il faut travailler avec les collecteurs Cascade Shark, il vaut mieux passer par Cascade Pilot car sinon l'utilisation brute de Cascade Shark, il faut vraiment aimer télécharger les paquets et les traiter avec un analyseur. Avec Cascade Pilot, il suffit d'ajouter le Shark, et on a directement accès aux captures en cours. Il suffit alors simplement de travailler à distance sur les paquets et de ne récupérer que ce qui est intéressant.

Analyse "graphique"
Enfin un outil qui fait oublier le style "ligne brute" des analyseurs classiques. Cascade Pilot affiche suivant des "vues", les informations que l'on recherche.
Un exemple de vue : IP conversations, peut-être ma vue favorite.
Ci-dessus, j'ai appliqué la vue "IP Conversations" sur une capture (ospf.pcapng), et on voit tout de suite les machines qui discutent. Je ne dis pas que d'autres outils ne le font pas, mais là ca saute au yeux.
Et il y a pas mal de "vues" intéressantes, il suffit de voir sur l'image en haut les différents vues disponibles.

Intégration avec Wireshark
Enfin, Cascade Pilot s'intègre parfaitement avec Wireshark, que ce soit sur une trace à distance ou hébergée en local, une fois qu'on a appliqué les différentes vues pertinentes pour avoir les informations intéressantes, il suffit ensuite de faire un simple "Send to Wireshark", pour ensuite communiquer que ce qui est réellement utile, comme illustré ci-dessous.

Envoi d'une conversation spécifique vers Wireshark
Support des formats
C'est peut-être un des points à améliorer de Cascade Pilot, il ne supporte que les traces enregistrées avec la librairie libpcap. Donc si vous avez un fichier au format .cap provenant d'un collecteur Infinistream par exemple, il va falloir ouvrir Wireshark pour l'enregistrer en .pcap ou bien utiliser la ligne de commande editcap afin de convertir dans le bon format.

Si vous voulez plus d'information ou essayer Cascade Pilot pendant 30 jours, c'est par ici

Concernant le fichier de capture que j'ai utilisé pour les vues de cet article : ospf.cap (converti au format .pcapng)

No comments: