Мониторинг сетевого трафика

18

Каков наилучший инструмент для мониторинга / анализа сетевого трафика во всей сети (несколько подсетей)?

Я ищу что-то, что поможет мне решить проблему пропускной способности, когда, например, пользователи начинают жаловаться, что "сеть работает медленно"

казарка
источник

Ответы:

10

Я предполагаю, что у вас есть коммерческий маршрутизатор / коммутатор, он, скорее всего, имеет SNMP, который вы можете объединить с MRTG для получения хорошего графика трафика.

Адам Гиббинс
источник
1
+1 \ для ntop :-) Так легко установить и так полезно
Chris_K
1
Ммм ... Он только упоминает MRTG.
Марк Тернер
+1 для него упоминание ntop превентивно
chiggsy
10

Я думаю, что ваша лучшая ставка будет смесь кактусов и Ntop .

ntop предоставит вам информацию о трафике в вашей сети, например, о хостах, которые потребляют больше всего ... какой трафик вызывает замедление и т. д.

Cacti расскажет о потреблении пропускной способности в долгосрочной перспективе, чтобы вы могли понять, как трафик вашей сети менялся со временем.

Марк Тернер
источник
Ntop замечательный, но он падает как сумасшедший и ест много барана
Реконбот
4

Когда пользователи сообщают о «проблемах сети», проблема может быть связана с множеством проблем (маршрутизация, коммутация, конфигурация хоста, одноадресная рассылка, многоадресная рассылка, политика безопасности, сбой оборудования). Маловероятно, что вы найдете один программный продукт для мониторинга всех ваших потенциальных проблем.

Вместо этого сосредоточьтесь на двух вещах:

  • Инструментарий : разработайте стратегию мониторинга, которая позволит вам активно отслеживать те неисправности, которые возникают регулярно. Смотрите этот предыдущий ответ для более подробной информации.

  • Устранение неисправностей : создайте быструю стандартную серию тестов, которые вы можете запустить, чтобы сразу попытаться определить причину проблемы и опубликовать ее своим пользователям.

Некоторые примеры тестов:

  • пинг вашего шлюза по умолчанию
  • пропинговать другой хост в той же подсети
  • проверить связь с хостом подсети
  • какую потерю пакетов вы получаете?
  • результаты зависят от размера пакета?
  • Вы можете успешно Telnet из командной строки на IP-адрес / порт назначения?

Эти виды простой диагностики часто могут очень быстро направить вас в правильном направлении. Наконец, если вы можете, всегда получите IP-адрес источника, IP-адрес назначения и порт назначения. Попробуйте и обучите своих пользователей; амбициозные жалобы типа «сеть медленная» не могут быть легко диагностированы.

Мурали Суриар
источник
2

Я пользуюсь smoothwall дома с большим успехом, он отлично контролирует трафик и многое другое.

Это входит в корпоративное издание, которое делает некоторые более причудливые вещи.

Я пытался выяснить, почему я продолжал исчерпывать пропускную способность (в Австралии у нас есть ограничения), оказывается, это была моя ошибка :)

Сэм Шафран
источник
2

Я работаю в организации, которая имеет сеть от небольшого до среднего размера (~ 500 пользователей) и около дюжины / 24 подсетей (и несколько небольших за NAT). Мы используем разнообразное программное обеспечение для мониторинга, которое позволяет нам следить за удаленными частями сети и активно реагировать на проблемы.

  • SNMP - это основа нашей системы мониторинга. Вся сетевая инфраструктура, как минимум, должна поддерживать SNMP и вход на центральный сервер через системный журнал.
  • OpenNMS - в основном используется для мониторинга событий, хотя мы начинаем использовать его для отслеживания активов и производительности. Я постоянно отслеживаю OpenNMS. Если есть проблема с сетью, я хочу знать об этом прежде, чем кто-то позвонит мне.
  • SFlow / Netflow - Это действительно полезно для определения того, сколько трафика проходит через какой участок сети и какой хост генерирует этот трафик (т. Е. Лучшие участники разговора / лучшие слушатели).
  • Smokeping - это в основном используется для отслеживания задержки и подключения, особенно для беспроводных мостов или других проблемных соединений.
  • MRTG - Мониторинг трафика на устройствах инфраструктуры, которые не поддерживают SFlow / Netflow, выполняется с помощью MRTG.
  • Сеть Linux «Пробники» - Некоторые части нашей сети не доступны по замыслу и имеют отдельные физически дискретные соединения. Старая рабочая станция с установкой Linux, имеющая точку присутствия в обоих сегментах сети, позволяет нам следить за этими сегментами, используя такие инструменты, как вышеупомянутые Smokeping и MRTG, а также любые полезные инструменты командной строки, такие как ntop, tcpdump, tcptraceroute, httping и почтенный пинг.
  • Система TippingPoint IPS - это в основном Snort в черном ящике . Хотя система TippingPoint полностью зависит от распознавания образов, она находится на краю сети и позволяет нам искать интересные события уровня 7 (вредоносное ПО, сканирование, странности TCP / IP и т. Д.).
  • BlueCoat Packeteer - Это в основном устройство QoS и веб-фильтрации, но оно дает хорошее общее представление о том, на что разбивается входной и выходной трафик Layer-7. Например: неудивительно, что 80% нашего входящего трафика - это HTTP, но сколько это Facebook, Pandora, YouTube и т. Д.? Он также предоставляет список лучших собеседников / лучших слушателей для каждого приложения, что также является интересной информацией.
  • Wavemon и ноутбук с приличной беспроводной картой используются для беспроводного мониторинга и устранения неполадок 802.11 в качестве существенно более дешевой замены Fluke AirCheck . Fluke поддерживает 5 ГГц (который используют некоторые из наших беспроводных мостов) и может принимать трафик не-801.11 и является универсальным полезным инструментом RF, но я с трудом рекомендую его из-за его стоимости.

источник
1

Ознакомьтесь с продукцией VSS Monitoring . У них есть несколько различных встроенных отказоустойчивых продуктов для удаленного мониторинга сетевого трафика. После того, как вы ввели их в свою сеть (и) и на магистральную сеть, это так же хорошо, как и быть там.

Высокий Джефф
источник
1

Если у вас есть маршрутизатор, способный сообщать о сетевых потоках, посмотрите на обработчик сетевых потоков. В тех случаях, когда MRTG будет обеспечивать использование канала, сетевые потоки сообщают об IP-адресе и использовании протокола, проходящих через маршрутизатор. Таким образом, вместо «Сьюзи в учете использует много трафика» или «Порт, на котором работает WAP, имеет высокую загрузку», вы можете увидеть «Сьюзи в учете - это 10% трафика локальной сети, 40% потокового мультимедиа и 50% Интернета. HTTP трафик.

К сожалению, у меня нет рекомендации для агрегатора свободного потока. После того, как сетевая мониторинговая компания попыталась продать моей компании решение, и я решил, что весь их продукт основан на сетевых потоках, я сделал заметку, чтобы изучить их. Прежде, чем я обошел это, мы купили другое решение NOC, которое также включало агрегатор потока.

jj33
источник
1

Я использую Wireshark в течение многих лет. Любить это.

Спенсер Рупорт
источник
1

Прежде всего, они пользователи жалуются на вашу локальную сеть?

Файловый сервер работает медленно!

или они жалуются на удаленные сайты?

Фейсбук медленный! Я не могу делать свою работу!

Если это первое, то я бы начал с рассматриваемого файлового сервера и работал бы в обратном направлении. Прежде всего, проверьте файловый сервер, это использование необычно? Проверьте интерфейс, через который проходит пользовательский трафик. Это привязано? Автосогласование включено? Это включено на обоих концах ...

Если там все выглядит нормально и сервер не находится под чрезмерной нагрузкой, попробуйте маршрутизаторы и коммутаторы на пути между пользователем и сервером. Они перегружены? авто негр включен? проверьте счетчики интерфейса на наличие ошибок.

Если в этом нет ничего плохого, проблема может быть локальной для рабочей станции пользователя. Под чрезмерной нагрузкой? Есть ли какие-либо аппаратные ошибки (ошибки диска, вызывающие блокировку при повторной попытке прошивки)? У их машины мало реальной памяти (страничка Firefox сильно загружается)?

Это обычно решает 99% проблем.

В зависимости от частоты выполнения этих запросов вы можете изменить порядок действий в обратном порядке.

В качестве альтернативы, если это проблема с удаленным сайтом, после отладки вашей сети и рабочей станции пользователей, попробуйте такие инструменты, как mtr, чтобы обнаружить потерю пакетов между вами и удаленным сайтом. Если проблема не локальна для вашей сети, тогда ваши возможности, вероятно, ограничены регистрацией дела у вашего провайдера или ожиданием, пока удаленный сайт не справится с тем, что он испытывает.

Дейв Чейни
источник