Могу ли я использовать мои настройки mrtg, чтобы как-то определить, какие IP-адреса потребляют всю мою пропускную способность? Или есть другой инструмент, который я могу использовать для этого против моего Cisco PIX?
Спасибо!
MRTG отлично подходит для снятия счетчиков с сетевых интерфейсов (и температуры, и использования ЦП, и других вещей). Однако, если устройство не имеет счетчика, доступного по протоколу SNMP для того, что вы хотите измерить, MRTG не очень поможет.
В случае Cisco PIX счетчики SNMP не предусмотрены в его MIB для «сеансов». PIX может сообщать об установке и удалении записей таблицы NAT (включая количество байтов, перемещенных в «диалоге») через SYSLOG.
Инструмент, с которым у меня нет личного опыта, но который выглядит интересным, - это FirePlotter.
У меня есть некоторый опыт работы с Архитектура регистрации PIX проект с открытым исходным кодом, который получает данные из вывода SYSLOG от брандмауэров PIX / ASA. Однако его схема базы данных не фиксирует байты, передаваемые из записей журнала, поэтому вы не можете создавать отчеты об использовании полосы пропускания. (Вероятно, было бы довольно легко добавить, но их выбор базы данных, MySQL, отвлек меня от идеи помочь с их проектом ...)
Если вы хотите посмотреть на использование полосы пропускания IP, вы можете использовать ntop для небольших установок. У меня были проблемы с масштабированием ntop, поэтому я использую Комбинация nfsen / nfdump выяснить, кто чем занимается. Это может быть подходящим вариантом, если ваше устройство Cisco может генерировать сетевые потоки.
Если вы собираетесь пойти по маршруту snmp, я рекомендую вам изучить кактусы, поскольку его готовые возможности превосходят возможности mrtg, и их легче расширить.
Если вы используете Windows на вашей NMS или рабочей станции, вы можете установить PRTG и создать датчик анализатора пакетов. Затем создайте монитор порта на порту коммутатора, к которому подключен PIX, и зеркалируйте трафик на порт, к которому подключена ваша NMS или рабочая станция. Датчик анализатора пакетов будет видеть весь трафик, поступающий в PIX или исходящий из него, и классифицирует его на основе источника, пункта назначения, типа трафика (http, ftp и т. Д.).
Теоретически это можно сделать с помощью MRTG, но я бы использовал ntop (http://www.ntop.org/). Ntop использует libpcap для проверки пакетов, и он не только отображает графики использования IP-адресов, но также показывает, какие протоколы используют наибольшую пропускную способность.
Вы можете использовать netflow для отправки данных из PIX в ntop (хотя я не знаю, поддерживает ли PIX netflow) или вы можете использовать SPAN на коммутаторе для мониторинга порта, к которому подключен PIX.