ti-enxame.com

Monitoramento de tráfego de rede

Qual é a melhor ferramenta para monitorar/analisar o tráfego de rede em uma rede inteira (várias sub-redes)?

Eu estou procurando por algo que vai me ajudar a toubleshot problemas de largura de banda quando, por exemplo, os usuários começarem a reclamar que a "rede é lenta"

18
Brent

Eu estou supondo que você tenha um roteador/interruptor comercial, é mais provável que tenha [~ #] snmp [~ # ~] que você pode combinar com [~ #] MRTG [#] ~ # ~] para um bom gráfico de tráfego.

10
Adam Gibbins

Acho que sua melhor aposta será uma mistura de cactos e NTOP .

nTtop irá fornecer informações sobre o tráfego em sua rede, como os hosts que estão consumindo mais ... que tráfego está causando desaceleração, etc ...

Os cactos vão dar tendências de longo prazo sobre o consumo de largura de banda para que você possa dizer como o tráfego de redes mudou ao longo do tempo.

10
Mark Turner

Quando você tem usuários relatando 'problemas de rede', o problema pode se relacionar com uma infinidade de problemas (roteamento, alternância, configuração de host, unicast, multicast, política de segurança, falha de hardware). É muito improvável que você encontre um software para monitorar todos os seus diferentes problemas potenciais.

Em vez disso, concentre-se em duas coisas:

  • Instrumentation : Crie uma estratégia de monitoramento que permite monitorar proativamente para essas falhas que ocorrem regularmente. Veja isso Resposta anterior para mais detalhes.

  • Solução de problemas : venha com uma série rápida e padrão de testes que você pode executar para tentar imediatamente e isolar onde o problema pode ser, e publicá-lo ao seu Comercial.

Alguns testes de exemplo:

  • ping seu gateway padrão
  • ping outro host na mesma sub-rede
  • ping um host de sub-rede off
  • que tipo de perda de pacotes você está recebendo?
  • os resultados variam com o tamanho do pacote?
  • você pode telet com sucesso a partir da linha de comando para o ponto/porta de destino?

Esses tipos de diagnósticos simples costumam apontá-lo muito rapidamente na direção certa. Finalmente, se você puder, sempre obter um IP de origem, um IP de destino e uma porta de destino. Tente e eduque seus usuários; Reclamações ambigas como 'a rede é lenta' não pode ser facilmente diagnosticada.

4
Murali Suriar

Tente MRTG e/ou NTOP .

3
Node

Estou trabalhando em uma organização que tem uma rede pequena a médio porte (~ 500 usuários) e cerca de uma dúzia/24 sub-redes (e um punhado de menores por trás do NAT). Usamos um software de monitoramento de variedades que nos permite manter guias em partes remotas da rede e responder a problemas proativamente.

  • SNMP - Isso forma a base do nosso sistema de monitoramento. Toda a infraestrutura de rede, em uma necessidade mínima para suportar o SNMP e o login em um servidor central via syslog.
  • opennms - usado principalmente para monitoramento de eventos, embora estamos começando a usá-lo para ativo e rastreamento de desempenho. Eu constantemente monitoramento de opennms. Se houver um problema com a rede, quero saber sobre isso antes que alguém me chama.
  • SIFLOW /NetFlow - Isso é realmente útil para determinar quanto tráfego está fluindo através de qual parte da rede e qual host está gerando esse tráfego (ou seja, os principais locadores/ouvintes superiores).
  • Smoking - Isso é usado principalmente para rastreamento de latência e conectividade, particularmente para pontes sem fio ou outras conexões problemáticas.
  • MRTG - Monitoramento de tráfego em dispositivos de infraestrutura que não suportam SOFlow/NetFlow é feito com MRTG.
  • Network Linux "Sondes" - Algumas partes da nossa rede não são acessíveis por design e têm conexões separadas fisicamente discretas. Uma antiga estação de trabalho com uma instalação do Linux que tem um ponto de presença em ambos os segmentos de rede nos permite manter um olho nesses segmentos usando ferramentas como o fumamento e mrtg acima mencionados, mas também qualquer uma das ferramentas de linha de comando úteis, como NOP, TCPDUMP, tcptraceroute, httping e o venerável ping.
  • TippingPoint IPS Sistema - é basicamente snort em A caixa preta . Enquanto é completamente dependente do reconhecimento padrão, O sistema TippingPoint fica na borda de rede e nos permite procurar por eventos camada-7 interessantes (malware, digitalização, tcp/ip weirdness, etc.).
  • Packeteer BlueCoat - Isso é principalmente um dispositivo de filtragem de QoS e Web, mas dá uma boa visão de alto nível do que o tráfego de entrada e saída da camada e saída diminui. Por exemplo: não é de surpreender que 80% do nosso tráfego de ingresso seja http, mas quanto disso é o Facebook, Pandora, YouTube, etc? Ele também fornece uma lista de alicercers/restaurantes superiores por candidatura, que mais uma vez é a informação interessante.
  • Wavemon e um laptop com uma placa sem fio decente é usada para 802.11 monitoramento sem fio e solução de problemas como um substancialmente Substituição menos dispendiosa para um Fluke Aircheck . O Fluke suporta 5GHz (que algumas das nossas pontes sem fio usam) e podem pegar o tráfego não 801.11 e é um pouco útil RF ferramenta, mas tenho dificuldade em recomendá-lo por causa do custo.
2
user62491

Eu tenho usado smoothwall em casa com grande sucesso, faz um ótimo tráfego de monitoramento de trabalho e uma tonelada mais.

Ele vem em uma edição corporativa, bem que faz algumas coisas mais extravagantes.

Eu estava tentando descobrir por que eu continuei ficando sem largura de banda (na Austrália nós temos limites) acaba sendo minha culpa :)

2
Sam Saffron

Confira os produtos de Monitoramento VSS . Eles têm vários produtos diferentes em linha em linha em linha para monitorar o tráfego de rede remotamente. Uma vez que você os pegue em sua (s) rede (s) e na espinha dorsal, é tão bom quanto estar lá.

1
Tall Jeff

Se você tiver um roteador capaz de relatar netflows, examine um manipulador de rede. Quando o MRTG fornecerá a utilização do link, o relatório do relatório de rede e o uso do protocolo fluem através do roteador. Então, em vez de "Suzy em contabilizá-lo usando muito tráfego" ou "a porta, a WAP está em alta utilização", você pode ver "Suzy na contabilidade é de 10% de tráfego LAN, 40% de mídia de streaming e 50% de internet Tráfego http.

Infelizmente não tenho uma recomendação para um agregador de fluxo livre. Depois que uma empresa de monitoramento líquido tentou vender minha empresa uma solução e determinei que todo o seu produto foi baseado em netflows, fiz uma nota para pesquisá-las. Antes de chegar a ele, compramos outra solução NOC que também incluía um agregador de fluxo.

1
jj33

Eu tenho usado Wireshark por anos. Adoro.

1
Spencer Ruport

Primeiro de tudo, eles são usuários reclamando sobre sua rede local?

O FileServer é lento!

ou eles estão reclamando sobre sites remotos?

Facebook é lento! Eu não posso fazer meu trabalho!

Se for o primeiro, então eu começaria com o FileServer em questão e trabalharia para trás. Primeiro de tudo, verifique o FileServer, é a utilização do comum? Verifique a interface que o tráfego do usuário flui. Está pegado? A negociação automática é ativada? É ativado em ambas as extremidades ...

Se tudo parece ok, e o servidor não estiver em nenhuma carga indevida, tente os roteadores e alterna no caminho entre o usuário e o servidor. Eles estão sobrecarregados? Auto NEG ativado? Verifique os contadores de interface para erros.

Se parece ser errado, o problema pode ser local para a estação de trabalho dos usuários. Está sob carga indevida? Existem erros de hardware (erros de disco que causam bloqueio enquanto a tentativa de firmware)? Sua máquina é baixa na memória real (Firefox paging dura)?

Este usual resolve 99% dos problemas.

Dependendo da frequência que você tem que lidar com esses pedidos, você pode preferir inverter a ordem dessas etapas.

Alternativamente, se for um problema com um site remoto, depois de depurar sua rede, e os usuários Workstation tentar ferramentas como MTR para detectar a perda de pacotes entre você e o site remoto. Se o problema não for local para sua rede, suas opções provavelmente estão limitadas a registrar um caso com seu provedor, ou esperar até que o site remoto supere o que está tendo.

1
Dave Cheney