Ağ Trafiği İzleme

Tüm ağdaki (birkaç alt ağ) ağ trafiğini izlemek / analiz etmek için en iyi araç hangisidir?

Örneğin, kullanıcılar "ağ yavaş" diye şikayet etmeye başladığında bant genişliği sorunlarını gidermeme yardımcı olacak bir şey arıyorum

Sana bir ticari yönlendirici / anahtarı var farz ediyorum, büyük olasılıkla vardır SNMP sizinle birleştirebilirsiniz MRTG güzel trafik grafik için.

Ben en iyi bahis bir karışımı olacak düşünüyorum Cacti ve Ntop .

ntop, ağınızdaki trafik hakkında, en çok tüketen ana bilgisayarlar gibi ... hangi trafiğin yavaşlamaya neden olduğu vb.

Kaktüsler, bant genişliği tüketiminiz hakkında uzun vadeli eğilimler sunacak, böylece ağ trafiğinizin zaman içinde nasıl değiştiğini anlayabilirsiniz.

'Ağ sorunlarını' bildiren kullanıcılarınız olduğunda, sorun çok sayıda sorunla (yönlendirme, anahtarlama, ana bilgisayar yapılandırması, tek noktaya yayın, çok noktaya yayın, güvenlik politikası, donanım hatası) ilgili olabilir. Tüm farklı potansiyel sorunlarınızı izlemek için bir yazılım parçası bulmanız pek olası değildir.

Bunun yerine iki şeye odaklanın:

• Enstrümantasyon : düzenli olarak meydana gelen arızaları proaktif olarak izlemenizi sağlayan bir izleme stratejisi geliştirin. Daha fazla ayrıntı için bu önceki cevaba bakınız .

• Sorun giderme : sorunun nereden kaynaklanabileceğini hemen denemek ve izole etmek için hızlı ve standart bir dizi test yapın ve kullanıcılarınıza yayınlayın.

Bazı örnek testler:

• varsayılan ağ geçidinize ping atın
• aynı alt ağdaki başka bir ana bilgisayara ping atma
• alt ağ ana bilgisayarına ping gönderme
• ne tür bir paket kaybı yaşıyorsunuz?
• sonuçlar paket boyutuna göre değişir mi?
• komut satırından hedef IP / bağlantı noktasına başarıyla telnet yapabilir misiniz?

Bu tür basit teşhisler genellikle sizi çok hızlı bir şekilde doğru yöne yönlendirebilir. Son olarak, mümkünse her zaman bir kaynak IP'si, bir hedef IP ve bir hedef bağlantı noktası alın. Kullanıcılarınızı eğitmeye çalışın; 'ağ yavaş' gibi şüpheli şikayetler kolayca teşhis edilemez.

MRTG ve / veya ntop'u deneyin .

Düz duvarları evde büyük bir başarı ile kullanıyorum , trafiği izlemek ve bir ton daha harika bir iş çıkarıyor.

Bazı daha süslü şeyler yapan kurumsal bir sürümde de geliyor.

Neden bant genişliği tükenmeye devam etmeye çalışıyordum (Avustralya'da sınırlarımız var) benim hatam olduğu ortaya çıkıyor :)

Küçük ve orta ölçekli bir ağa (~ 500 kullanıcı) ve yaklaşık bir düzine / 24 alt ağa (ve NAT'ın arkasında bir avuç küçük ağa) sahip bir kuruluşta çalışıyorum. Ağın uzak kısımlarında sekmeler tutmamıza ve sorunlara proaktif bir şekilde yanıt vermemize izin veren çeşitli bir izleme yazılımı kullanıyoruz.

• SNMP - Bu, izleme sistemimizin temelini oluşturur. Tüm ağ altyapısının en azından SNMP'yi desteklemesi ve syslog üzerinden merkezi bir sunucuda oturum açması gerekir.
• OpenNMS - Öncelikle etkinlik izleme için kullanılır, ancak bunu varlık ve performans izleme için kullanmaya başlıyoruz. OpenNMS'yi sürekli izliyorum. Ağla ilgili bir sorun varsa, biri beni aramadan önce bunu bilmek istiyorum.
• SFlow / Netflow - Bu, ağın hangi parçasından ne kadar trafik aktığını ve hangi ana bilgisayarın bu trafiği (yani en iyi konuşmacılar / en iyi dinleyiciler) ürettiğini belirlemek için gerçekten yararlıdır.
• Sigara - Bu özellikle kablosuz köprüler veya diğer zahmetli bağlantılar için gecikme ve bağlantı takibi için kullanılır.
• MRTG - SFlow / Netflow'u desteklemeyen altyapı cihazlarında trafik izleme MRTG ile yapılır.
• Linux Ağı "Problar" - Ağımızın bazı kısımlarına tasarım ile ulaşılamaz ve fiziksel olarak ayrı bağlantılara sahiptir. Her iki ağ segmentinde de bir varlığı bulunan bir Linux kurulumuna sahip eski bir iş istasyonu, yukarıda bahsedilen Smokeping ve MRTG gibi araçları kullanarak, ancak aynı zamanda ntop, tcpdump, tcptraceroute, httping ve saygıdeğer ping.
• TippingPoint IPS Sistemi - Bu temelde Snort bir de kara kutu . Tamamen desen tanımaya bağlı olsa da, TippingPoint sistemi ağ kenarında oturur ve ilginç Katman-7 olaylarını (kötü amaçlı yazılım, tarama, TCP / IP garipliği vb.) Aramamızı sağlar.
• BlueCoat Packeteer - Bu çoğunlukla bir QoS ve web filtreleme cihazıdır, ancak Layer-7 giriş ve çıkış trafiğinin neye karıştığına dair güzel bir üst düzey görünüm sağlar. Örneğin: Giriş trafiğimizin% 80'inin HTTP olması şaşırtıcı değil, bunun ne kadarı Facebook, Pandora, YouTube vb. Ayrıca, uygulama başına en iyi konuşmacıların / en iyi dinleyicilerin bir listesini sağlar, bu da yine ilginç bilgilerdir.
• Wavemon ve iyi bir kablosuz karta sahip bir dizüstü bilgisayar, 802.11 kablosuz izleme ve sorun giderme için bir Fluke AirCheck'in çok daha ucuz bir yerine kullanılır . Fluke (bazı kablosuz köprülerimizin kullandığı) 5Ghz'i destekler ve 801.11 dışı trafiği alabilir ve her yerde kullanışlı bir RF aracıdır, ancak maliyet nedeniyle bunu tavsiye etmekte zorlanıyorum.

VSS Monitoring'in ürünlerini inceleyin . Ağ trafiğini uzaktan izlemek için birkaç farklı hat içi arıza güvenliği ürünü var. Ağ (lar) ınıza ve omurgaya baktıktan sonra, orada olmak kadar iyidir.

Ağ akışlarını bildirebilen bir yönlendiriciniz varsa, bir ağ akışı işleyicisine bakın. MRTG'nin bağlantı kullanımını sağlayacağı yerlerde, ağ akışları yönlendiriciden akan IP ve protokol kullanımını bildirir. Yani, "Çok fazla trafik kullanarak muhasebede Suzy" ya da "WAP'ın bulunduğu limanın yüksek kullanımı var" yerine, "Muhasebede Suzy% 10 LAN trafiği,% 40 medya akışı ve% 50 internet" HTTP trafiği.

Maalesef, serbest akış toplayıcı için bir tavsiyem yok. Bir net izleme şirketi şirketime bir çözüm satmaya çalıştıktan ve tüm ürünlerinin net akışlara dayandığını belirledikten sonra, bunları araştırmak için bir not aldım. Buraya gelmeden önce, bir akış toplayıcı da içeren başka bir NOC çözümü aldık.

Wireshark'ı yıllardır kullanıyorum . Sevdim.

Her şeyden önce, kullanıcılar yerel ağınızdan şikayet ediyorlar mı?

Dosya sunucusu yavaş!

Yoksa uzak web sitelerinden şikayet ediyorlar mı?

Facebook yavaş! İşimi yapamam!

Eğer eski ise, söz konusu dosya sunucusuyla başlayıp geriye doğru çalışırdım. Her şeyden önce dosya sunucusunu kontrol edin, kullanımı olağandışı mı? Kullanıcı trafiğinin aktığı arayüzü kontrol edin. Sabitlenmiş mi? Otomatik görüşme etkin mi? Her iki uçta da etkin mi?

Orada her şey yolunda görünüyorsa ve sunucu gereksiz yük altında değilse, kullanıcı ve sunucu arasındaki yolda yönlendiricileri ve anahtarları deneyin. Aşırı yüklenmiş mi? otomatik neg etkin mi? arayüz sayaçlarında hata olup olmadığını kontrol edin.

Bu yanlış bir şey gibi gözükmüyorsa, sorun kullanıcıların iş istasyonu için yerel olabilir. Aşırı yük altında mı? Herhangi bir donanım hatası var mı (ürün yazılımı yeniden denenirken engellenmeye neden olan disk hataları)? Makinelerinin belleği yetersiz mi (firefox disk belleği zor)?

Bu olağan problemlerin% 99'unu çözer.

Bu isteklerle uğraşmanız gereken sıklığa bağlı olarak, bu adımların sırasını tersine çevirmeyi tercih edebilirsiniz.

Alternatif olarak, uzak bir siteyle ilgili bir sorun varsa, ağınızda hata ayıkladıktan sonra ve kullanıcı iş istasyonu, siz ve uzak site arasındaki paket kaybını algılamak için mtr gibi araçları deneyin. Sorun ağınızda yerel değilse, seçenekleriniz büyük olasılıkla sağlayıcınızla bir vakayı günlüğe kaydetmek veya uzak sitenin sahip olduğu herhangi bir tizzy'yi ele geçirmesini beklemekle sınırlıdır.