Master 1 SIGL/SISN

Semestre 8

SUPERVISION ET
MONITORING DES RESEAUX

Chapitre 1 : LA SUPERVISION DES RESEAUX

Chapitre 2 : LA MONITORING DES RESEAUX

Chapitre 3 : METROLOGIE DES RESEAUX

Chapitre 4 : METHODE ITIL

Chapitre 5 : ETUDE DE CAS (SNMP, NAGIOS…)

Dr Henri GANYON Supervision et monitoring des réseaux 1

 Chapitre 1 :
LA SUPERVISION DES RESEAUX

La gestion d'un parc de serveurs est un travail à temps réel. Un bon administrateur
réseau doit savoir à tout moment l'état des différentes machines et des différents
services.
Cependant, l'administrateur ne peut pas se permettre de passer son temps devant
un tableau avec des voyants verts en attendant qu'un voyant passe au rouge pour
agir, son temps est occupé à d'autres tâches, donc il ne peut pas surveiller les statuts
des machines en permanence. L'examen quotidien des logs systèmes est un bon
début, mais, si un problème survient, on s'en rend compte seulement le lendemain,
ce qui peut être trop tard.
Pour simplifier leur travail, les administrateurs utilisent généralement ce qu'on
appelle un `'moniteur de supervision informatique'', un tel moniteur permet d'avoir
une vue globale du fonctionnement de réseau ainsi que du niveau de performances
des systèmes, et d'alerter par différents moyens l'apparition d'une anomalie.
En informatique, la supervision est une technique de suivi, qui permet de surveiller,
analyser, rapporter et d'alerter les fonctionnements anormaux des systèmes
informatiques.

Les objectifs principaux de l’administration de réseau et de systèmes consistent à :

 Réduire les périodes d'indisponibilité
 Fournir à tout moment l'état du réseau et de ses composants
 Inventorier les équipements
 Quantifier et optimiser les trafics
 Faciliter la planification des interventions sur le réseau
 Permettre une automatisation des procédures de correction des problèmes

La supervision permet la surveillance de l'état de santé des systèmes d'informations.

Elle permet aux administrateurs d'effectuer les actions suivantes sur le SI :
 surveillance
 visualisation
 analyse
L'administrateur est donc en mesure d'agir pour résoudre les éventuels problèmes
qui pourraient survenir sur son réseau.

Dr Henri GANYON Supervision et monitoring des réseaux 2

Entre outre, La supervision informatique consiste à indiquer et/ou commander l'état
d'un serveur, d'un équipement réseau ou d'un service software pour anticiper les
plantages ou diagnostiquer rapidement une panne.
Les moniteurs de supervision regroupent les fonctionnalités illustrées dans la figure
suivante :

Supervision réseau : elle porte sur la surveillance de manière continue de la

disponibilité des services en ligne, du fonctionnement du réseau, des débits et bande
passante, de la sécurité, etc.
Supervision système : c'est la vérification de la santé d'un serveur coté ressources
matérielles (la mémoire, le CPU, le disque dur, etc.).
Exécution de commandes : qui sont des actions ou programmes lancés
automatiquement.
Envoi d'alertes : c'est une émission de message d'alerte sous forme sonore, visuelle
ou encore par e-mail.
Cartographie : présente la vue d'ensemble de l'architecture informatique surveillé.
Rapports d'activité (reporting): comme les tableaux de bord et les histogrammes.

Les niveaux d’informations

1. Les informations sur le système
Cette supervision fournira des informations sur le fonctionnement du système comme
l'utilisation du CPU, l'occupation de la mémoire physique, l'espace libre des disques
durs, l'état de la table de partitionnement du disque, la chaleur dégagée, etc.
2. Les informations sur les réseaux
Ce type de surveillance va permettre de diagnostiquer la disponibilité d'un
équipement physique connecté à un réseau. Les technologies employées pour ce type
de supervision sont assez simples et le niveau des informations retournées est assez

Dr Henri GANYON Supervision et monitoring des réseaux 3

limité. Les matériels visés sont : les commutateurs, les routeurs et les serveurs
(disponibilité, interrogation des sondes, alertes), ainsi que les onduleurs
(disponibilité, charge, état) et les imprimantes (disponibilité, état de l'imprimante
et des consommables).
3. Les informations sur les applications et les services
On va disposer non seulement d'une visibilité sur l'équipement physique mais
également sur les applications qui y sont exécutées et les informations qu'elles
retournent. Ses principaux axes sont : la disponibilité, le nombre d'utilisateurs, la
cohérence des réponses aux interrogations et les performances

LES ROLES DE LA SUPERVISION

Deux phases sont importantes pour que les administrateurs soient capables
d'atteindre l'objectif voulu par la supervision, à savoir, surveiller le système et
garantir sa disponibilité même en cas d'anomalie.
- Tenter de prévenir en cas de problème (défaillances matérielles ou interruption
des services) et garantir une remontée d'information rapide ;
- Automatiser les tâches de récupération des applications et des services en assurant
des mécanismes de redondance en une durée d'intervention minimale (par exemple
: le redémarrage des services interrompus, l'arrêt de la machine en cas du surcharge
du CPU, la sauvegarde des données en cas du risque de perte d'un disque dur en
miroir, etc.).
LES ASPECTS DE LA SUPERVISION
La supervision peut porter sur plusieurs aspects de l'informatique. Pour simplifier on
peut les classer dans trois catégories principales qui sont les suivantes :
 La Fiabilité : Il s'agit de l'utilisation la plus courante du monitoring
informatique. Une surveillance permanente de la disponibilité de
l'équipement est effectuée, et ce pour détecter la moindre anomalie et de la
signaler à l'administrateur.
 La Performance : Le monitoring de performance a pour but de retourner des
informations sur le rendement d'un équipement ou d'un service comme par
exemple le temps de résolution DNS, le temps de connexion, le temps de
récupération du premier octet et dans le cas d'une page Web le temps de
récupération de la page et de l'ensemble des éléments de celle-ci (image,
scripts...).Grâce à cette analyse, on va pouvoir diagnostiquer une montée en
charge difficile ou même un surdimensionnement de votre bande passante.
 Le Contenu : Dans ce dernier cas, on analyse les informations retournées par
les éléments surveillés pour détecter, par exemple, la suppression d'un fichier
sur un serveur FTP, la modification d'une page Web ou encore la disparition
d'un mot clef.

Dr Henri GANYON Supervision et monitoring des réseaux 4

Toutes ces approches sont complémentaires et peuvent bien entendu se retrouver
regroupée dans une seule analyse. L'analyse Fiabilité étant implicitement présentée
dans le cas d'une analyse Performance et Contenu.

LES OBJECTIFS DE LA SUPERVISION

La supervision a pour objectif le contrôle de l'infrastructure informatique. Cela
s'explique simplement par le fait qu'il s'avère particulièrement difficile de maintenir
une infrastructure de production sans en connaitre les moindres recoins. Il est
nécessaire d'avoir la visibilité sur l'ensemble du par informatique à gérer. De cette
manière, il est alors possible de parler de garantie de service.
La supervision nous permet aussi d'agir pro activement, c'est-à-dire d'anticiper les
incidents sur le parc. En effet, il est possible de positionner des alertes reposant sur
des seuils. Il devient alors très simple de prévenir des crashs de machines dont la
capacité disque deviendrait trop faible. Il en est de même pour toutes sortes
d'indicateurs de performances qui justifient l'état de bon fonctionnement des
serveurs. Les outils de supervision vont nous permettre de visualiser l'état de santé
de notre parc, ce qui est très souvent apprécié par les entités dirigeantes des
entreprises.

LES TYPES DE SUPERVISION

On distingue trois types de supervision qui sont :
 La supervision applicative permet de superviser l'ensemble des applications
telles que les bases de données (Oracle, SQLServer), les serveurs de mails
(Exchange,Notes) et autres serveurs Web.
 La supervision métier permet de superviser les processus de l'entreprise
(Bancaire, Energie).
 La supervision système permet quant à elle de superviser tout ce qui est bas
niveau. A savoir les flux réseaux, le hardware (disques, CPU).

Le besoin des entreprises s'exprime en trois points :

 Visibilité de l'état de santé de leur infrastructure
 Garantie du niveau de service optimal (anticipation des pannes et temps
minimum d'interruption de service)
 Etre rassurée(s)

Dr Henri GANYON Supervision et monitoring des réseaux 5

 Chapitre 2 :
ETUDE DES OUTILS DE SURVEILLANCE
(MONITORING) RESEAU

Depuis le développement de l'informatisation des entreprises, il y a quelques années,

la question de la sécurité et de la robustesse du système d'information est au coeur
des préoccupations.
Ces craintes sont à l'origine de la création et du succès des outils de surveillance :
Des logiciels de supervision permettant de faciliter la gestion des parcs informatiques
devenant de plus en plus complexes.
Leur but principal est la collecte de données et la présentation de celles-ci pour que
l'administrateur puisse consulter aisément les écrans de contrôle pour mesurer l'état
du réseau. Toutefois, ces outils se sont étoffés offrant des services d'alertes sur
panne ou préemption de pannes, de configuration d'équipements à distance ainsi que
de cartographie.

Base théorique : Sur quoi reposent les outils de monitoring ?

Définition de la supervision
La supervision se définit comme une technique utilisant au mieux les ressources
informatiques pour obtenir des informations sur l'état des réseaux et de leurs
composants. Ces données seront ensuite traitées et affichées afin de mettre en
lumière d'éventuels problèmes.
La supervision peut résoudre les problèmes automatiquement ou dans le cas
contraire prévenir via un système d'alerte (email ou SMS par exemple) les
administrateurs. Cette définition de la supervision est décrite plus en détail dans la
norme ISO7498/4.
Plusieurs actions sont ainsi réalisées : Acquisition de données, analyse, puis
visualisation et réaction.
Un tel processus est réalisé à plusieurs niveaux d'un parc de machines : Au niveau
interconnexions (Réseau), au niveau de la machine elle-même (Système) et au niveau
des services offerts par cette machine (Applications).

Supervision réseau
Par le terme réseau on entend ici l'aspect communication entre les machines. Le rôle
est de s'assurer du bon fonctionnement des communications et de la performance
des liens (débit, latence, taux d'erreurs). C'est dans ce cadre que l'on va vérifier par

Dr Henri GANYON Supervision et monitoring des réseaux 6

exemple si une adresse IP est toujours joignable, ou si tel port est ouvert sur telle
machine, ou faire des statistiques sur la latence du lien réseau.

Supervision système
La surveillance se cantonne dans ce cas à la machine elle-même et en particulier ses
ressources. Si l'on souhaite par exemple contrôler la mémoire utilisée ou la charge
processeur sur le serveur voire analyser les fichiers de logs système.

Supervision applicative
Cette technique est plus subtile, c'est elle qui va nous permettre de vérifier le
fonctionnement d'une application lancée sur une machine. Cela peut être par
exemple une tentative de connexion sur le port de l'application pour voir si elle
retourne ou demande bien les bonnes informations, mais aussi de l'analyse de logs
applicatifs.
En effet rien ne garantit qu'un port X ouvert veut dire que l'application qui tourne
derrière n'est pas "plantée".

Les fonctionnalités essentielles pour un logiciel de surveillance réseau ?

 Le contrôle à distance, cela vous fera gagner du temps et de l’argent car le

contrôle à distance vous évite de vous déplacer sur place pour les
configurations du réseau.
 Statut des points d’accès en temps-réel, de même que pour le contrôle à
distance, gagnez du temps en contrôlant le statut de vos points d’accès en
ligne et en temps-réel.
 Contrôle de la bande passante, afin de pouvoir contrôler les
téléchargements, l’utilisation du débit par appareil. Limiter la bande
passante par appareil vous permet de garantir à tous un accès relativement
rapide à internet.
 Possibilité de configurer différentes alertes, i.e. via email ou SMS, dans le
cas où votre réseau rencontre un problème, vous pouvez être mis au courant
très rapidement grâce à un système d’alerte.
 Installation et intégration du logiciel facile à votre réseau Wi-Fi.
 Possibilité de traquer et de tracer les appareils se connectant à votre réseau
Wi-Fi et leurs activités en général afin de récolter des données et
comprendre l’utilisation faite de votre réseau Wi-Fi.

La surveillance réseau est essentielle quel que soit la taille de votre entreprise.
Une solution de surveillance efficace ne vous prévient pas seulement en cas de

Dr Henri GANYON Supervision et monitoring des réseaux 7

 panne, mais accroît aussi la performance grâce à la surveillance de la bande
passante et de l'utilisation des ressources.
 La surveillance réseau offre les avantages suivants :
 Réduction des temps d'arrêt : aucune défaillance des systèmes non détectés
 Amélioration de la satisfaction du client grâce à un système plus rapide et
plus fiable
 Dormez tranquille : si vous ne recevez pas d’alarme, vous pouvez être sûr
que votre réseau fonctionne correctement

Les protocoles existants

Il existe des protocoles réseau qui permettent de récupérer des informations sur le
parc informatique. Nous allons en étudier deux particulièrement importants qui
possèdent des rôles très différents mais qui ont un point en commun : Ils sont tous
deux largement utilisés par les logiciels de supervision.
 ICMP (Internet Control Message Protocol)
ICMP est un protocole de couche réseau (couche 3 du modèle OSI) qui vient palier
à l'absence de message d'erreur du protocole IP (Internet Protocol). En effet s’il y
a un incident de transmission les équipements intermédiaires vont utiliser ce
protocole pour prévenir la machine émettrice. Les paquets ICMP sont encapsulés
dans des paquets IP (malgré qu'ils soient au même niveau OSI), et peuvent contenir
des bouts de paquets IP pour citer celui ayant généré l'erreur. Afin de catégoriser
les erreurs, elles sont divisés en types eux-mêmes parfois redivisés en codes. Par
exemple le type 3 représente un destinataire inaccessible : Il existe 16 codes
différents en fonction de la raison pour laquelle le destinataire n'est pas joignable.
C'est un protocole très simple, qui n'a pas pour fonction directe la supervision d'un
réseau mais qui est utilisé comme source d'information sur la qualité du réseau ou
sur la présence d'une machine.
 SNMP (Simple Network Management Protocol)

 Présentation
SNMP (Simple Network Management Protocol) est un protocole de couche
applicative qui a pour but de superviser les réseaux. Il a été conçu en 1988
par l'IETF (Internet Engineering Task Force) avec pour idée directrice de créer
un protocole simple qui ne vienne pas gêner le trafic du réseau qu'il supervise.
Depuis sa création, le protocole a évolué par soucis de sécurité: La version 2
qui est pour l'instant la plus utilisée possède une notion de communauté qui
est utilisée comme un mot de passe, la version 3 durcit un peu plus le
protocole en y ajoutant le chiffrement.

Dr Henri GANYON Supervision et monitoring des réseaux 8

  Fonctionnement
Par soucis de simplicité et donc de rapidité, SNMP ne transporte que des
variables et s'appuie sur le protocole UDP (User Datagram Protocol). SNMP va
créer un dialogue entre des agents installés sur des machines à superviser et
un serveur de supervision.
Les échanges entre agents et serveur se résument à trois opérations, les
alarmes, les requêtes et les réponses :
o Une requête est émise du serveur vers un agent via le port 161 UDP si le
serveur veut demander ou imposer quelque chose à cet agent. La requète
peut être de quatre types
­ GetRequest : Demande la valeur d'une variable à un agent
­ GetNextRequest : Demande la valeur suivante de la variable
­ GetBulk : Demande un ensemble de variables regroupées
­ SetRequest : Demande la modification de la valeur d'une
variable sur un agent
o L'agent va ensuite traiter cette requète et emettre une réponse via le
même port. Si tout se passe bien, l'agent répond un GetResponse
accompagné de la valeur demandée. Mais dans le cas contraire l'agent
ajoutera un code d'erreur en réponse (par exemple No Access ou Read
Only)
o Une alarme est créée par un agent en cas d'évènement et utilise un
message dit de type trap ou de type inform pour prévenir le serveur. Ce
message SNMP transite via le port 162 UDP. Les alarmes peuvent prendre
les formes suivantes :
­ ColdStart(0) : Redémarrage à froid du système
­ WarmStart(1) : Redémarrage à chaud du système
­ LinkDown(2) : Le lien réseau n'est plus opérationnel
­ LinkUp(3) : Le lien réseau est opérationnel
­ AuthentificationFailure(4) : Tentative d'accès à l'agent avec un
mauvais nom de communauté
­ EGPNeighboorLoss(5) : La passerelle adjacente ne répond plus
­ EntrepriseSpecific(6) : Alarme propre aux constructeurs
Étant donné que ces requêtes utilisent des noms de variables, ceux-ci doivent
être communs à tout matériel que l'on souhaite monitorer (et supportant
SNMP).
C'est pour cette raison que les données sont stockées dans une base
normalisée nommée MIB (Managed Information Base). Cette base organisée de
manière hiérarchique et est assez compliquée à lire pour un humain. Chaque

Dr Henri GANYON Supervision et monitoring des réseaux 9

 information (les fameuses variables précédentes) est identifiée par un OID
(Object IDentifier).
Par exemple, pour obtenir l'uptime (durée de temps depuis le dernier redémarrage
de la machine) :
Fig1 snmpget -v 2c -c public localhost .1.3.6.1.2.1.1.3.0 system.sysUpTime.0 =
Timeticks: (23599841) 2 days, 17:33:18.41
Ici nous avons lancé une requête GetRequest en SNMP v2 avec pour communauté
"public" vers l'agent "localhost" en demandant l'information d'OID
".1.3.6.1.2.1.1.3.0" correspondant à la variable system.sysUpTime.0.

Les petits outils permettant de surveiller un réseau

On ne peut pas réellement parler de supervision, mais quand même de surveillance
en utilisant des petits outils simples qui, une fois combinés à l'aide de langages de
scripts permettent de réaliser des choses très intéressantes. D'autres part, ces
petits outils sont la base des plus grosses solutions de supervision, il semble donc
intéressant d'appréhender leur fonctionnement.

Ping
Voilà un outil très simple, qui remplit une tâche très importante. C'est en effet ce
programme qui va nous permettre, en utilisant le protocole ICMP, de savoir si une
machine destination est accessible (dans le cas contraire, connaître
approximativement la raison via le code d'erreur ICMP) et de mesurer la latence
existante entre les deux extrémités.
L'implémentation est simple, Ping envoi une requête ICMP Echo et attend en retour
une requête ICMP Echo Reply. Ping est par exemple souvent utilisé pour réaliser
une alerte qui prévient l'administrateur d'une machine quand celle-ci n'est plus
joignable.

Outils SNMP
Il existe bien évidemment des programmes simples destinés à utiliser le protocole
SNMP. Leurs noms indiquent quelle requête ils peuvent envoyer, par exemple :
snmpget, snmpgetnext, snmpinform, snmpset etc...
Chacune de ses commandes permet de réaliser la requête en utilisant une des trois
versions du protocole SNMP. Elles sont énormément utilisées dans le cadre de
scripts qui stockent les valeurs obtenues afin de réaliser des statistiques ou des
alertes. (exemple d'utilisation fournis en Fig 1).

Des solutions plus complètes de supervision

Nagios

Dr Henri GANYON Supervision et monitoring des réseaux 10

Présentation
Successeur de NetSaint, Nagios est certainement le logiciel libre le plus connu dans
le milieu de la supervision réseau. Appréciée des entreprises ainsi que des
particuliers, cette application possède une très grande communauté qui participent
activement au développement.
L'architecture logicielle est modulaire comme chez ses concurrents :
 Le moteur qui gère l'ordonnancement de la supervision, écrit en C
 L'interface Web réalisé à l'aide des CGI
 Des greffons, ou plugins qui étendent les possibilités de Nagios (Plus de 1200
plugins existants sur nagiosexchange.org)
Il existe notamment des plugins Nagios nommée NRPE et NCSA qui fonctionnent un
peu sur le même principe que ceux de Zabbix. NRPE est un agent esclave qui attend
les ordres du moteur Nagios (polling) et NCSA envoi de lui-même les données
(trapping).
L'interface est divisée en trois :
 Partie monitoring, qui permet plusieurs vues : vue globale, vue précise, vue de
la carte du réseau, vue des problèmes, ... même une vue "3D".
 Partie reporting regroupant les tendances des statistiques, les alertes et
évènements ainsi qu'un rapport de disponibilités des services.
 Partie configuration classique permettant de tout configurer.
Avantages
 Reconnu auprès des entreprises, grande communauté
 Plétore de plugins qui permettent d'étendre les possibilités (agents comme
zabbix, reporting amélioré, etc...)
 Une solution complète permettant le reporting, la gestion de panne et
d'alarmes, gestion utilisateurs, ainsi que la cartographie des réseaux
 Beaucoup de documentations sur le web
 Performances du moteur
Inconvénients
 Interface non ergonomique et peu intuitive
 Configuration fastidieuse via beaucoup de fichiers
 Pour avoir toute les fonctionnalités il faut installer des plugins, de base c'est
assez limité.

Dr Henri GANYON Supervision et monitoring des réseaux 11

 Chapitre 3 :
LA METROLOGIE DES RESEAUX

Depuis sa création il y a vingt ans, l'Internet connaît une mutation au niveau de ses
usages. De réseau mono service pour transporter des fichiers binaires ou textuels,
l'Internet est aujourd'hui un réseau multiservices pour le transport de données
diverses et variées comme des données audio et vidéo (films, vidéo à la demande,
téléphonie, etc.). Ainsi, il est nécessaire de faire évoluer la technologique du réseau
de façon à le rendre capable de transporter avec des QoS adéquates les différents
types d'informations proposées par toutes les applications utilisant l'Internet.
L'amélioration de ces technologies devra donc passer par une meilleure connaissance
du réseau et de ces utilisations actuelles.
La métrologie des réseaux de l'Internet - "la science des mesures" appliquée à
l'Internet - doit permettre d'apporter une réponse à ces problèmes. En premier lieu,
s'il faut fournir des services ayant des qualités prédéfinies, il faut être capable de
mesurer ces qualités. La métrologie des réseaux se décompose en deux parties
distinctes : - La métrologie passive - La métrologie active
Nous étudierons donc par la suite ces deux domaines. Nous verrons ainsi pour chacun
leurs principes de fonctionnement ainsi que quelques outils.
Définitions de la Métrologie des Réseaux
Par définition, la métrologie désigne la science des mesures. Dans le cadre des
réseaux, son objectif est de connaître et comprendre le réseau afin de pouvoir, non
seulement intervenir dans l'urgence en cas de problème, mais aussi anticiper
l'évolution du réseau, planifier l'introduction de nouvelles applications et améliorer
les performances pour les utilisateurs
La métrologie des réseaux désigne la mesure des caractéristiques d'un réseau sous
de nombreux aspects. La complexité du réseau étant en augmentation constante, la
mesure du comportement de ce réseau est devenue essentielle pour avoir une
compréhension de son fonctionnement et de l'interaction des protocoles mis
successivement en œuvre. Selon le résultat attendu, la nature des mesures et les
méthodes employées seront bien différentes.

Les facteurs importants

Lorsque l'on effectue des mesures, il faut tenir compte de plusieurs facteurs :
Les caractéristiques du trafic IP
On trouve ainsi deux grandes classes de trafic :
 Le trafic de type « streaming », dont la durée et le débit sont des éléments
incompressibles. En effet, ce trafic est associé à la notion de services «
Dr Henri GANYON Supervision et monitoring des réseaux 12
 orientés connexion », son intégrité temporelle doit être préservée par le
réseau. Le délai de transfert des données et la gigue, doivent être
contrôlables, tandis qu'un certain degré de perte de paquets peut être
tolérable. Les flux de trafic streaming sont typiquement produits par les
services téléphoniques et vidéo.
 Le trafic dit « élastique », ainsi nommé car son débit peut s'adapter à des
contraintes extérieures (bande passante insuffisante par exemple) sans pour
autant remettre en cause la viabilité du service. Cette classe de trafic est
essentiellement engendrée par le transfert d'objets numériques tels que des
pages Web (application HTTP), des messages électroniques (e-mail,
application SMTP) ou des fichiers de données (application FTP). Le respect de
leur intégrité est indispensable mais les contraintes de délai de transfert sont
moins fortes.
Le trafic de type élastique est actuellement largement majoritaire sur les réseaux IP
: on constate couramment [THO 97] des proportions supérieures à 95% en volume
(octets) et à 90% en nombre de paquets pour le trafic TCP, protocole avec lequel
fonctionnent la plupart des applications mentionnées ci-dessus.Le trafic peut
également être décomposé en trois entités :
Les « paquets » forment l'entité de trafic la plus fine que l'on considère dans les
réseaux de données, le paquet étant l'unité élémentaire traitée par la couche «
réseau ». Les paquets sont de longueur variable dans un réseau IP et leur processus
d'apparitionest très complexe, en raison notamment de la superposition de services
de nature très diverse.
Les « flots » constituent une entité de trafic intermédiaire que l'on pense être la
mieux adaptée pour effectuer les études d'ingénierie du trafic IP. Ils correspondent
à des transferts plus ou moins continus de séries de paquets associés à une même
instance d'une application donnée. Les flots de type streaming sont associés à des
communications audio/vidéo (téléphonie sur IP, vidéoconférence) ou encore à des
téléchargements en temps réel de séquences vidéos. Les flots de trafic élastique
sont créés par le transfert d'un fichier, d'un message, d'un objet (ou document) au
sein d'une page HTML, etc.
Au plus haut niveau, on peut tenter de définir la notion de « sessions » dans le but
de se rapprocher des périodes d'activité des utilisateurs (transposition de la notion
d'appels considérée en téléphonie à commutation de circuits). Pour le trafic
streaming, ce niveau ne se distingue guère de celui des flots, du moins
temporellement, puisque ce dernier correspond déjà à des communications ou des
appels. S'agissant du trafic élastique, les sessions peuvent être associées à des
connexions Telnet, FTP, ou à des envois de messages électroniques.

Dr Henri GANYON Supervision et monitoring des réseaux 13

Il est donc important en métrologie d'analyser le trafic Internet à ces 3 niveaux.
Toutefois, en termes de mesures, les informations des 3 niveaux sont contenues dans
les informations du niveau le plus bas, soit le niveau paquet. Dès lors, les mesures à
proprement parler sont généralement faites au niveau paquet, et ce sont ensuite des
logiciels de traitement des traces et mesures qui permettent d'en extraire les
informations de niveaux flots et sessions
Les métriques
La QoS est aujourd'hui délicate à définir, ainsi beaucoup se limitent à ces trois points
:
 Délais de transmission des paquets
 Débit
 Taux de perte au niveau des paquets
Cette définition se limite à considérer les paramètres physiques de la transmission
de paquets de données, qui sont actuellement les seuls paramètres quantifiables
aisément.
Autres éléments à prendre en compte
Enfin, avant de mettre en place une solution de métrologie, il est important de tenir
compte des points suivant :
 Complexité et taille du réseau
 Référence temporelle unique inexistante
 Rapatriement des mesures aux points de traitement
 Adapter les mesures aux supports

I. La métrologie passive

Principe
Les mesures passives ont pour objectif la mesure des flots réseaux dans un point
particulier du réseau. Ces mesures peuvent être effectuées soit au niveau
microscopique, soit au niveau macroscopique (agrégé):
Les mesures passives microscopiques tendent à enregistrer des informations sur
chacun des paquets qui traversent un point (un routeur ou un point de présence POP)
du réseau. Ces informations, qui sont fréquemment l'entête des paquets ainsi que la
taille des paquets, permettent ensuite de dépiler les connections qui ont partagées
une ressource à un instant donné.
Les mesures passives macroscopiques sont effectuées sur des métriques agrégées
comme le débit total, le débit par flot ou le nombre de connexions traversant le
point de mesures.

Dr Henri GANYON Supervision et monitoring des réseaux 14

Ces mesures donnent des informations très utiles sur la distribution des flots dans le
réseau et elles ont pour caractéristiques principales de mesurer des métriques qui
sont en relation directe avec les paramètres classique de l'ingénierie du trafic
réseau.
Les mesures passives microscopiques sont essentielles car elles permettent de relier
le comportement macroscopique et observable du réseau aux micro flots
élémentaires qui constituent le trafic sur le réseau.
Néanmoins ces mesures souffrent de deux faiblesses essentielles : elles restent
locales et il est difficile de les étendre à la globalité du réseau. D'autre part, il est
très difficile de transformer ces mesures en qualité de service observable par une
application sur le réseau. Les mesures microscopiques aboutissent très facilement à
des volumes de données colossaux.

Problématique
La métrologie passive est confrontée à plusieurs problèmes :
Il est nécessaire d'adapter la précision et la capacité de traitement en fonction du
débit, car on ne peut mesurer de la même manière le débit d'un réseau LAN et celui
du backbone d'un opérateur.
Il faudrait avoir la possibilité de corréler les événements de plusieurs traces et de
suivre les flux à travers le réseau.
Il est également nécessaire de trouver un moyen de ramener les données vers les
machines d'analyse de façon efficace et sans trop influer sur le réseau et sa charge
Enfin, il se pose un problème juridique lié aux données collectées : en effet, en
France, la CNIL interdit de créer des fichiers contenant des données sur les individus
et leurs usages. Typiquement, la collecte de traces de trafic entre sous le coup de
cette loi. Il faut donc, pour être en toute légalité, demander une autorisation à la
CNIL pour constituer de tels fichiers de traces. En effet, une trace contient les
adresses IP des machines source et destination, et à ce titre, les ordinateurs étant
de plus en plus individuels, cela identifie une personne physique, dont on pourra
analyser les faits et gestes sur le réseau.

Quelques outils
Voici quelques outils de métrologie active :
 TCPDump, Ethéreal, qui sont les outils de métrologie passive de base.
 SNMP et les MIBs
 Traffic Designer
 IPANEMA
 NAGIOS
 DAG

Dr Henri GANYON Supervision et monitoring des réseaux 15

  Netflow
Nous étudierons plus loin SNMP, Nagios ainsi que Netflow.

II. La métrologie active

Principe
Le principe des mesures actives est fondé sur l'hypothèse que la qualité offerte de
bout en bout ne peut être évaluée que par une application qui emprunte ce lien. Les
mesures actives visent à mesurer directement la qualité de service du réseau telle
qu'elle est ressentie par une application quelconque sur le réseau.
Pour les mécanismes de mesures actives chaque paquet émis est une sonde qui en
traversant le réseau se charge de l'information de qualité du lien. Le trafic généré
par un mécanisme de mesures actives est restreint de façon à ne pas perturber l'état
du réseau. Les métriques mesurées par les mesures actives sont généralement le
processus de pertes et la variation de délai observé par les paquets sondes.

Problématique
Tout d'abord, il faut faire face à un inconvénient de taille : en effet, les outils de
métrologie active doivent générer du trafic pour effectuer leurs mesures, ce qui peut
engendrer des perturbations sur le réseau. En effet, si l'on souhaite mesurer la bande
passante à un instant X, il faut envoyer des trames de plus en plus grande, jusqu'à
constater des pertes (et donc la saturation du lien)
Ensuite, la précision des mesures est difficiles à assurer : par exemple, le calcul du
délai de transmission d'un paquet peut poser problème dans le cas ou l'on souhaite
avoir uniquement le temps du trajet aller (cela pose moins de problèmes pour les
temps d'aller-retour comme ping peut le faire). Il faut donc trouver un moyen pour
s'assurer que les sondes sont bien synchronisées sur la même heure, car dans le cas
contraire, la mesure n'aurait plus d'intérêt.

Quelques outils
Voici quelques outils de métrologie active :
 Ping, Traceroute, qui sont les outils de métrologie active de base.
 MGEN
 CoSMon
 Cisco SAA
 NIMI
 RIPE-TTM
Nous étudierons plus loin NIMI ainsi que RIPE-TTM

Dr Henri GANYON Supervision et monitoring des réseaux 16