Monitorowanie ruchu sieciowego

Jakie jest najlepsze narzędzie do monitorowania / analizy ruchu sieciowego w całej sieci (kilka podsieci)?

Szukam czegoś, co pomoże mi rozwiązać problemy z przepustowością, gdy na przykład użytkownicy zaczną narzekać, że „sieć działa wolno”

Zakładam, że masz komercyjny router / przełącznik, najprawdopodobniej ma on SNMP, który możesz połączyć z MRTG, aby uzyskać ładny wykres ruchu.

Myślę, że najlepszym rozwiązaniem będzie połączenie Cacti i Ntop .

ntop dostarczy Ci informacji o ruchu w Twojej sieci, takich jak hosty, które zużywają najwięcej ... jaki ruch powoduje spowolnienia itp.

Kaktusy podają długoterminowe trendy dotyczące zużycia przepustowości, abyś mógł powiedzieć, jak zmieniał się ruch sieciowy w czasie.

Gdy użytkownicy zgłaszają „problemy z siecią”, problem może dotyczyć wielu problemów (routing, przełączanie, konfiguracja hosta, emisja pojedyncza, multiemisja, polityka bezpieczeństwa, awaria sprzętu). Jest bardzo mało prawdopodobne, że znajdziesz jedno oprogramowanie do monitorowania wszystkich różnych potencjalnych problemów.

Zamiast tego skup się na dwóch rzeczach:

• Oprzyrządowanie : opracuj strategię monitorowania, która pozwala proaktywnie monitorować występujące regularnie usterki. Zobacz tę poprzednią odpowiedź, aby uzyskać więcej szczegółów.

• Rozwiązywanie problemów : wymyśl szybką, standardową serię testów, które możesz uruchomić, aby natychmiast spróbować zlokalizować problem i opublikować go użytkownikom.

Niektóre przykładowe testy:

• pinguj domyślną bramę
• pingować inny host w tej samej podsieci
• pingować hosta podsieci
• jaki rodzaj utraty pakietu otrzymujesz?
• czy wyniki różnią się w zależności od rozmiaru pakietu?
• czy możesz pomyślnie telnet z linii poleceń do docelowego adresu IP / portu?

Tego rodzaju prosta diagnostyka często może bardzo szybko wskazać właściwy kierunek. Wreszcie, jeśli możesz, zawsze uzyskaj źródłowy adres IP, docelowy adres IP i port docelowy. Spróbuj edukować swoich użytkowników; nie można łatwo zdiagnozować niejednoznaczne skargi, takie jak „sieć działa powoli”.

Wypróbuj MRTG i / lub ntop .

Korzystam z gładkiej ściany w domu z wielkim sukcesem, świetnie sprawdza się w monitorowaniu ruchu i wiele więcej.

Występuje również w wersji korporacyjnej, która robi kilka bardziej fantazyjnych rzeczy.

Próbowałem dowiedzieć się, dlaczego wciąż brakowało mi przepustowości (w Australii mamy ograniczenia), okazało się, że to moja wina :)

Pracuję w organizacji, która ma małą lub średnią sieć (~ 500 użytkowników) i około tuzin / 24 podsieci (i garstkę mniejszych za NAT). Używamy różnorodnego oprogramowania do monitorowania, które pozwala nam monitorować odległe części sieci i proaktywnie reagować na problemy.

• SNMP - stanowi to podstawę naszego systemu monitorowania. Cała infrastruktura sieci musi co najmniej obsługiwać SNMP i logowanie do centralnego serwera za pośrednictwem syslog.
• OpenNMS - głównie używany do monitorowania zdarzeń, chociaż zaczynamy go używać do śledzenia zasobów i wydajności. Ciągle monitoruję OpenNMS. Jeśli jest problem z siecią, chcę o tym wiedzieć, zanim ktoś do mnie zadzwoni.
• SFlow / Netflow - Jest to naprawdę przydatne do ustalenia, ile ruchu przepływa przez który fragment sieci i który host generuje ten ruch (tj. Najlepsi mówcy / najlepsi słuchacze).
• Zadymienie - służy głównie do śledzenia opóźnień i śledzenia połączeń, szczególnie w przypadku mostów bezprzewodowych lub innych kłopotliwych połączeń.
• MRTG - Monitorowanie ruchu na urządzeniach infrastruktury, które nie obsługują SFlow / Netflow, odbywa się za pomocą MRTG.
• „Sondy” systemu Linux - Niektóre części naszej sieci są nieosiągalne z założenia i mają osobne fizycznie dyskretne połączenia. Stara stacja robocza z instalacją Linuksa, która ma punkt obecności w obu segmentach sieci, pozwala nam kontrolować te segmenty za pomocą narzędzi takich jak wspomniany Smokeping i MRTG, ale także dowolne z przydatnych narzędzi wiersza poleceń, takich jak ntop, tcpdump, tcptraceroute, httping i czcigodny ping.
• System IPS TippingPoint - to w zasadzie Snort w czarnej skrzynce . Chociaż system TippingPoint jest całkowicie zależny od rozpoznawania wzorców, znajduje się na krawędzi sieci i pozwala nam szukać interesujących zdarzeń w warstwie 7 (złośliwe oprogramowanie, skanowanie, dziwność TCP / IP itp.).
• BlueCoat Packeteer - jest to przeważnie urządzenie QoS i filtrujące sieć, ale daje ładny ogólny widok tego, na co rozkłada się ruch wchodzący i wychodzący z warstwy 7. Na przykład: nic dziwnego, że 80% naszego ruchu przychodzącego to HTTP, ale ile z tego to Facebook, Pandora, YouTube itp.? Zapewnia również listę najlepszych mówców / najlepszych słuchaczy według aplikacji, co znowu jest interesującą informacją.
• Wavemon i laptop z przyzwoitą kartą bezprzewodową są używane do bezprzewodowego monitorowania i rozwiązywania problemów w standardzie 802.11 jako znacznie tańszy zamiennik Fluke AirCheck . Fluke obsługuje 5Ghz (z którego korzystają niektóre nasze mosty bezprzewodowe) i może odbierać ruch inny niż 801.11 i jest wszechstronnym użytecznym narzędziem RF, ale trudno mi go polecić ze względu na koszty.

Sprawdź produkty VSS Monitoring . Mają kilka różnych wbudowanych bezpiecznych produktów do zdalnego monitorowania ruchu w sieci. Gdy już zajrzysz do sieci lub sieci szkieletowej, będzie to tak samo dobre, jak bycie tam.

Jeśli masz router zdolny do raportowania przepływów sieci, zajrzyj do modułu obsługi przepływu sieci. Tam, gdzie MRTG zapewni wykorzystanie łącza, przepływy sieciowe zgłaszają użycie IP i protokołu przepływającego przez router. Tak więc zamiast „Suzy w rozliczaniu przy użyciu dużego ruchu” lub „Port, na którym działa WAP ma duże wykorzystanie”, można zobaczyć „Suzy w rozliczeniach to 10% ruchu w sieci LAN, 40% mediów strumieniowych i 50% internetu Ruch HTTP.

Niestety nie mam rekomendacji dla agregatora swobodnego przepływu. Po tym, jak firma monitorująca sieć próbowała sprzedać mojemu przedsiębiorstwu rozwiązanie i ustaliłem, że cały ich produkt opiera się na przepływach sieciowych, zanotowałem ich zbadanie. Zanim się tym zająłem, kupiliśmy kolejne rozwiązanie NOC, które zawierało także agregator przepływu.

Korzystam z Wireshark od lat. Kocham to.

Przede wszystkim, czy użytkownicy narzekają na twoją sieć lokalną?

Serwer plików działa wolno!

czy narzekają na zdalne strony internetowe?

Facebook jest wolny! Nie mogę wykonywać swojej pracy!

Jeśli jest to ten pierwszy, zacznę od danego serwera plików i zacznę działać wstecz. Przede wszystkim sprawdź serwer plików, czy jego wykorzystanie jest niezwykłe? Sprawdź interfejs, przez który przepływa ruch użytkowników. Czy to jest ustalone? Czy włączona jest automatyczna negocjacja? Czy jest włączony na obu końcach ...

Jeśli wszystko wygląda tam dobrze, a serwer nie jest nadmiernie obciążony, wypróbuj routery i przełączniki na ścieżce między użytkownikiem a serwerem. Czy są przeciążone? włączone automatyczne negowanie? sprawdź liczniki interfejsu pod kątem błędów.

Jeśli wydaje się, że to nic złego, problem może być lokalny dla stacji roboczej użytkowników. Czy jest pod nadmiernym obciążeniem? Czy są jakieś błędy sprzętowe (błędy dysku powodujące blokowanie podczas ponawiania oprogramowania układowego)? Czy ich komputer ma mało pamięci rzeczywistej (firefox stronicuje mocno)?

To zwykle rozwiązuje 99% problemów.

W zależności od częstotliwości zajmowania się tymi żądaniami możesz chcieć odwrócić kolejność tych kroków.

Ewentualnie, jeśli jest to problem ze zdalną witryną, po debugowaniu sieci, a stacja robocza użytkownika wypróbuje narzędzia takie jak mtr, aby wykryć utratę pakietów między tobą a zdalną witryną. Jeśli problem nie jest lokalny dla Twojej sieci, twoje opcje prawdopodobnie ograniczają się do zarejestrowania sprawy u swojego dostawcy lub czekania, aż zdalna strona przejdzie przez to, co posiada.