Monitoraggio del traffico di rete

Qual è lo strumento migliore per monitorare / analizzare il traffico di rete su un'intera rete (diverse sottoreti)?

Sto cercando qualcosa che mi aiuti a risolvere i problemi di larghezza di banda quando, ad esempio, gli utenti iniziano a lamentarsi che la "rete è lenta"

Suppongo che tu abbia un router / switch commerciale, molto probabilmente ha SNMP che puoi combinare con MRTG per un bel grafico del traffico.

Penso che la tua scommessa migliore sarà una miscela di cactus e Ntop .

ntop ti fornirà informazioni sul traffico sulla tua rete, come gli host che consumano di più ... quale traffico sta causando rallentamenti, ecc ...

Cactus fornirà tendenze a lungo termine sul consumo di larghezza di banda in modo da poter sapere come il traffico delle reti è cambiato nel tempo.

Quando gli utenti segnalano "problemi di rete", il problema potrebbe riguardare una moltitudine di problemi (instradamento, commutazione, configurazione host, unicast, multicast, criteri di sicurezza, guasti hardware). È molto improbabile che troverai un software per monitorare tutti i tuoi diversi potenziali problemi.

Concentrati invece su due cose:

• Strumentazione : elaborare una strategia di monitoraggio che consente di monitorare in modo proattivo gli errori che si verificano regolarmente. Vedi questa risposta precedente per maggiori dettagli.

• Risoluzione dei problemi : elaborare una serie rapida e standard di test che è possibile eseguire per provare immediatamente a isolare dove potrebbe essere il problema e pubblicarlo per gli utenti.

Alcuni test di esempio:

• esegui il ping del gateway predefinito
• esegui il ping di un altro host sulla stessa sottorete
• eseguire il ping di un host subnet off
• che tipo di perdita di pacchetti stai ricevendo?
• i risultati variano con la dimensione del pacchetto?
• puoi telnet dalla riga di comando alla porta / indirizzo IP di destinazione?

Questo tipo di diagnostica semplice può spesso indirizzarti molto rapidamente nella giusta direzione. Infine, se puoi, ottieni sempre un IP di origine, un IP di destinazione e una porta di destinazione. Cerca di educare i tuoi utenti; lamentele ambigue come "la rete è lenta" non possono essere facilmente diagnosticate.

Prova MRTG e / o ntop .

Ho usato Smoothwall a casa con grande successo, fa un ottimo lavoro di monitoraggio del traffico e molto altro.

È disponibile anche in un'edizione aziendale che fa cose più fantasiose.

Stavo cercando di capire perché ho continuato a rimanere senza banda (in Australia abbiamo dei limiti) si è scoperto che era colpa mia :)

Sto lavorando in un'organizzazione che ha una rete di dimensioni medio-piccole (~ 500 utenti) e circa una dozzina / 24 sottoreti (e una manciata di reti più piccole dietro NAT). Utilizziamo un software di monitoraggio diversificato che ci consente di tenere sotto controllo le parti remote della rete e di rispondere ai problemi in modo proattivo.

• SNMP - Questo costituisce la base del nostro sistema di monitoraggio. Tutta l'infrastruttura di rete, come minimo, deve supportare SNMP e accedere a un server centrale tramite syslog.
• OpenNMS : utilizzato principalmente per il monitoraggio degli eventi, anche se stiamo iniziando a utilizzarlo per il monitoraggio delle risorse e delle prestazioni. Controllo costantemente OpenNMS. Se c'è un problema con la rete, voglio saperlo prima che qualcuno mi chiami.
• SFlow / Netflow - Questo è davvero utile per determinare la quantità di traffico che fluisce attraverso quale parte della rete e quale host sta generando quel traffico (ad esempio, i migliori oratori / migliori ascoltatori).
• Smokeping : utilizzato principalmente per il monitoraggio della latenza e della connettività, in particolare per i bridge wireless o altre connessioni problematiche.
• MRTG - Il monitoraggio del traffico su dispositivi infrastrutturali che non supportano SFlow / Netflow viene eseguito con MRTG.
• "Sonde" di rete Linux - Alcune parti della nostra rete non sono raggiungibili in base alla progettazione e hanno connessioni separate fisicamente discrete. Una vecchia workstation con un'installazione Linux che ha un punto di presenza su entrambi i segmenti di rete ci consente di tenere d'occhio questi segmenti utilizzando strumenti come il già citato Smokeping e MRTG, ma anche uno qualsiasi degli utili strumenti da riga di comando come ntop, tcpdump, tcptraceroute, httping e il venerabile ping.
• Sistema IPS TippingPoint - Fondamentalmente è Snort in una scatola nera . Sebbene sia completamente dipendente dal riconoscimento dei pattern, il sistema TippingPoint si trova ai margini della rete e ci consente di cercare interessanti eventi Layer-7 (malware, scansione, stranezze TCP / IP, ecc.).
• BlueCoat Packeteer : si tratta principalmente di un dispositivo di filtraggio web e QoS, ma offre una buona visione di alto livello di ciò in cui si divide il traffico in entrata e in uscita di Layer 7. Ad esempio: non sorprende che l'80% del nostro traffico in ingresso sia HTTP, ma quanto di questo è Facebook, Pandora, YouTube, ecc.? Fornisce inoltre un elenco dei migliori oratori / migliori ascoltatori in base all'applicazione, che è di nuovo un'informazione interessante.
• Wavemon e un laptop con una discreta scheda wireless vengono utilizzati per il monitoraggio e la risoluzione dei problemi wireless 802.11 come sostituti sostanzialmente meno costosi di un Fluke AirCheck . Fluke supporta 5 Ghz (che utilizzano alcuni dei nostri ponti wireless) e può raccogliere traffico non 801.11 ed è uno strumento RF tuttofare utile, ma faccio fatica a consigliarlo a causa del costo.

Scopri i prodotti da VSS Monitoring . Hanno diversi prodotti fail-safe in linea diversi per il monitoraggio remoto del traffico di rete. Una volta che li hai scrutati nella tua rete (e) e sul backbone, è bello come essere lì.

Se si dispone di un router in grado di segnalare netflow, esaminare un gestore di netflow. Laddove MRTG fornirà l'utilizzo dei collegamenti, netflows riporta l'utilizzo dell'IP e del protocollo che fluisce attraverso il router. Quindi, invece di "Suzy nella contabilità utilizzando molto traffico" o "La porta su cui si trova il WAP ha un elevato utilizzo", potresti vedere "Suzy nella contabilità è il 10% del traffico LAN, il 40% di streaming multimediale e il 50% di Internet Traffico HTTP.

Sfortunatamente non ho una raccomandazione per un aggregatore a flusso libero. Dopo che una società di monitoraggio della rete ha cercato di vendere una soluzione alla mia azienda e ho stabilito che il loro intero prodotto era basato su flussi di rete, ho preso nota per ricercarli. Prima di arrivarci, abbiamo acquistato un'altra soluzione NOC che includeva anche un aggregatore di flusso.

Uso Wireshark da anni. Lo adoro.

Prima di tutto, sono utenti che si lamentano della tua rete locale?

Il file server è lento!

o si lamentano dei siti Web remoti?

Facebook è lento! Non posso fare il mio lavoro!

Se è il primo, allora inizierei con il fileserver in questione e lavorerei all'indietro. Prima di tutto controlla il fileserver, è un utilizzo fuori dal comune? Controlla l'interfaccia su cui scorre il traffico degli utenti. È ancorato? La negoziazione automatica è abilitata? È abilitato su entrambe le estremità ...

Se tutto sembra a posto e il server non è sotto carico eccessivo, provare i router e cambiare il percorso tra l'utente e il server. Sono sovraccarichi? auto neg abilitato? verificare la presenza di errori nei contatori dell'interfaccia.

Se sembra che non ci sia nulla di sbagliato, il problema potrebbe essere locale alla stazione di lavoro degli utenti. È sotto carico eccessivo? Ci sono errori hardware (errori del disco che causano il blocco durante il tentativo del firmware)? La loro macchina ha poca memoria reale (paging di Firefox difficile)?

Questo di solito risolve il 99% dei problemi.

A seconda della frequenza con cui hai a che fare con queste richieste, potresti preferire invertire l'ordine di questi passaggi.

In alternativa, se si tratta di un problema con un sito remoto, dopo aver eseguito il debug della rete e la workstation degli utenti prova strumenti come mtr per rilevare la perdita di pacchetti tra te e il sito remoto. Se il problema non è locale nella tua rete, allora le tue opzioni sono probabilmente limitate alla registrazione di un caso con il tuo provider o all'attesa che il sito remoto superi tutto ciò che sta accadendo.