Моніторинг мережевого трафіку

Який найкращий інструмент для контролю / аналізу мережевого трафіку по всій мережі (кілька підмереж)?

Я шукаю те, що допоможе мені усунути проблеми з пропускною здатністю, коли, наприклад, користувачі починають скаржитися, що "мережа повільна"

Я припускаю, що у вас є комерційний маршрутизатор / комутатор, він, швидше за все, має SNMP, який ви можете комбінувати з MRTG, щоб отримати хороший графік трафіку.

Я думаю, що найкраща ваша ставка буде сумішшю кактусів і нетоп .

ntop збирається надавати вам інформацію про трафік у вашій мережі, як-от хости, які споживають найбільше ... який трафік викликає уповільнення тощо.

Кактуси дадуть довгострокові тенденції щодо споживання вашої пропускної здатності, щоб ви могли розповісти, як ваш мережевий трафік змінювався з часом.

Якщо у вас є користувачі, які повідомляють про "мережеві проблеми", проблема може стосуватися безлічі питань (маршрутизація, комутація, конфігурація хоста, одноадресна передача, багатоадресна передача, політика безпеки, відмова обладнання). Це малоймовірно, що ви знайдете одну частину програмного забезпечення для контролю всіх ваших потенційних проблем.

Натомість зосередьтесь на двох речах:

• Приладобудування : придумайте стратегію моніторингу, яка дозволяє вам активно проводити моніторинг тих несправностей, які виникають регулярно. Дивіться цю попередню відповідь для більш детальної інформації.

• Усунення несправностей : придумайте швидку, стандартну серію тестів, яку можна запустити, щоб негайно спробувати і виділити, де може бути проблема, та опублікувати її своїм користувачам.

Деякі приклади тестів:

• ping ваш шлюз за замовчуванням
• ping іншого хоста в тій самій підмережі
• ping вихід хоста підмережі
• яку втрату пакетів ви отримуєте?
• чи змінюються результати залежно від розміру пакету?
• Ви можете успішно telnet з командного рядка до IP / порту призначення?

Такі види простої діагностики часто можуть дуже швидко направити вас у правильному напрямку. Нарешті, якщо ви можете, завжди отримуйте вихідний IP-адресу, IP-адресу призначення та порт призначення. Спробуйте та навчайте своїх користувачів; амбітні скарги на кшталт "мережа повільна" важко діагностувати.

Спробуйте MRTG та / або ntop .

Я з великим успіхом використовую гладкий стін вдома, він робить чудову роботу з моніторингу трафіку і тонну більше.

Це випускається і в корпоративному виданні, що робить ще кілька вигадливих речей.

Я намагався з'ясувати, чому я продовжував працювати з пропускною здатністю (в Австралії у нас є обмеження) виявилося, що я винен :)

Я працюю в організації, яка має мережу невеликих і середніх розмірів (~ 500 користувачів) і близько десятка / 24 підмереж (і кілька менших за NAT). Ми використовуємо різноманітне програмне забезпечення для моніторингу, яке дозволяє вести вкладки у віддалених частинах мережі та активно реагувати на проблеми.

• SNMP - Це є основою нашої системи моніторингу. Вся мережева інфраструктура, як мінімум, повинна підтримувати SNMP та вхід на центральний сервер через syslog.
• OpenNMS - в основному використовується для моніторингу подій, хоча ми починаємо використовувати його для відстеження активів та ефективності. Я постійно відстежую OpenNMS. Якщо є проблема з мережею, я хочу знати про це, перш ніж хтось зателефонує мені.
• SFlow / Netflow - Це дійсно корисно для того, щоб визначити, скільки трафіку протікає через яку частину мережі та який хост генерує цей трафік (тобто, найкращі динаміки / топ-слухачі).
• Куріння - це в основному використовується для відстеження затримок і підключення, особливо для бездротових мостів або інших проблемних з’єднань.
• MRTG - моніторинг трафіку на інфраструктурних пристроях, які не підтримують SFlow / Netflow, здійснюється за допомогою MRTG.
• Мережа Linux «Пробники» - Деякі частини нашої мережі не доступні за конструкцією і мають окремі фізично дискретні з'єднання. Стара робоча станція з установкою Linux, яка має присутність на обох сегментах мережі, дозволяє нам слідкувати за цими сегментами, використовуючи такі інструменти, як згадані Smokeping та MRTG, а також будь-який з корисних інструментів командного рядка, таких як ntop, tcpdump, tcptraceroute, https та поважний пінг.
• Система IPS TippingPoint - це в основному Snort в чорному полі . Хоча це повністю залежить від розпізнавання шаблонів, система TippingPoint сидить на межі мережі і дозволяє нам шукати цікаві події рівня 7 (зловмисне програмне забезпечення, сканування, дивності TCP / IP тощо).
• BlueCoat Packeteer - це здебільшого пристрій QoS та фільтрування веб-сторінок, але він дає гарне уявлення на високому рівні того, на що трапляється трафік проникнення та виходу з рівня 7. Наприклад: Не дивно, що 80% нашого вхідного трафіку становить HTTP, але скільки цього складає Facebook, Pandora, YouTube тощо? Він також містить список найкращих спікерів / топ-слухачів за кожним додатком, що знову ж таки є цікавою інформацією.
• Wavemon і ноутбук з гідною бездротовою карткою використовуються для бездротового моніторингу та усунення несправностей 802.11 як істотно менш дорога заміна Fluke AirCheck . Fluke підтримує 5 ГГц (якими користуються деякі наші бездротові мости) і може забирати трафік не 801.11 і є корисним радіочастотним інструментом, але мені важко рекомендувати його через вартість.

Ознайомтеся з продуктами VSS Monitoring . У них є декілька різних надійних безпечних продуктів для віддаленого моніторингу мережевого трафіку. Після того, як ви їх зазирнули у вашу мережу (мережі) та на магістраль, це так добре, як там.

Якщо у вас є маршрутизатор, здатний повідомляти про Netflow, загляньте в обробник netflow. Там, де MRTG забезпечить використання посилань, netflows повідомляють IP та використання протоколу, що проходить через маршрутизатор. Таким чином, замість "Suzy для обліку цього з використанням великого трафіку" або "Порт, на якому працює WAP, має високу віддачу", ви можете побачити "Suzy в бухгалтерському обліку - це 10% трафіку локальної мережі, 40% потокових медіа та 50% Інтернету HTTP-трафік.

На жаль, у мене немає рекомендації щодо агрегатора вільного потоку. Після того як компанія з моніторингу в мережі намагалася продати моїй компанії рішення, і я визначила, що весь їхній продукт базується на чистому потоці, я зробив записку щодо їх дослідження. Перш ніж я обійшов його, ми купили ще одне рішення NOC, яке також включало проточний агрегатор.

Я використовую Wireshark роками. Любіть це.

Перш за все, чи користувачі скаржаться на вашу локальну мережу?

Файл-сервер повільно!

чи вони скаржаться на віддалені веб-сайти?

Facebook повільно! Я не можу робити свою роботу!

Якщо це колишній, то я б почав із відповідного файлового сервера і працював би назад. Перш за все перевірте файл-сервер, чи це використання незвичайне? Перевірте інтерфейс, через який протікає користувацький трафік. Це прив’язано? Чи включено автоматичне ведення переговорів? Чи ввімкнено це з обох кінців ...

Якщо там все виглядає нормально, і сервер не знаходиться під зайвим навантаженням, спробуйте маршрутизатори та комутатори в шляху між користувачем та сервером. Вони перевантажені? автоматичний тьюг увімкнено? перевірити лічильники інтерфейсів на наявність помилок.

Якщо в цьому нічого поганого, проблема може бути локальною для робочої станції користувачів. Чи знаходиться під надмірним навантаженням? Чи є якісь апаратні помилки (помилки на диску, що спричиняють блокування під час повторної перевірки програмного забезпечення)? Чи є в їх машині мало реального обсягу пам’яті (жорсткий виклик Firefox)?

Це звичайно вирішує 99% проблем.

Залежно від частоти, з якою ви маєте звертатися з цими запитами, ви можете скористатися порядком зміни цих послідовностей.

Крім того, якщо це проблема з віддаленим сайтом, після налагодження вашої мережі та робочої станції користувачів спробуйте такі інструменти, як mtr, щоб виявити втрату пакету між вами та віддаленим сайтом. Якщо проблема не локальна у вашій мережі, то, можливо, ваші варіанти обмежуються реєстрацією справи у вашого постачальника або очікуванням, поки віддалений сайт перейде через будь-яке галасливе.