Скорее всего, это покажется наивным экспертам ... но в последнее время я думал об этом.
В течение многих лет я использовал ntop и дешевый 4-портовый концентратор для прослушивания клиентских сетей, чтобы определить, кто что делает и в каком объеме. Отличный способ узнать, что происходит, когда они звонят и говорят: «Блин, сеть сегодня очень медленная». Нет необходимости вводить управляемый коммутатор (или получать доступ к существующему) и не нужно настраивать охват или зеркалирование. Я просто вставляю ступицу прямо там, где хочу измерить.
В последнее время я заметил, что это примерно невозможно чтобы больше не покупать настоящий хаб. Когда я искал новый, кто-то сказал мне, что я должен обязательно получить полнодуплексный концентратор, иначе я буду видеть только половину трафика при мониторинге.
В самом деле?
Все это время я использовал старый твердый Netgear DS104. Не знаю, половина это или FD. Неужели я занижал свои измерения? Я просто недостаточно разбираюсь в физическом уровне, чтобы действительно знать ...
Примечание: только что заказал Коммутатор Dualcomm Ethernet TAP как замена ступицы. Похоже на изящный гаджет. Любые заметки или советы по этому поводу приветствуются в комментариях :-)
В зависимости от того, что вам удобно, портативным решением является создание собственного сетевого моста. Для этого подойдет любой ноутбук с двумя интерфейсами. Подключите провод от стены к одному интерфейсу, а второй провод к устройству, которое сообщает о проблеме, и запустите анализ на мосту.
Двойные порты можно найти разными способами. USB-адаптеры или используйте неиспользуемый слот ExpressCard на некоторых ноутбуках, чтобы добавить вторую сетевую карту GigE (пример устройства в NewEgg).
В Linux его можно настроить с помощью нескольких команд корневого режима.
brctl addbr snifbr
brctl addif snifbr eth0 eth1
То же самое можно сделать в Windows через общий доступ к подключению к Интернету и другие средства, но я не знаю, какие они у меня в голове.
А теперь примечание:
Простота этого - одна из причин, по которой в некоторых сетях используется защита на уровне портов. Зарегистрируйте конкретный MAC-адрес для определенного разъема Ethernet, и сделать такой встроенный захват пакетов намного сложнее. Не невозможно, просто сложнее.
Преимущество использования этого метода заключается в том, что он не требует дополнительного блока питания для коммутатора / концентратора, он полностью автономен в ноутбуке. Вы даже можете добавить адрес к мосту, если вам нужно.
ifconfig snifbr 10.31.25.101 netmask 255.255.255.0
И SSH для удаленного захвата.
Если это хаб, это должен быть полудуплексом. Трудно найти концентратор и практически невозможно найти «концентратор» 100 МБ.
В наши дни 10 МБ просто не подходят, поэтому концентраторы действительно не лучшее решение.
Управляемые коммутаторы, которые могут выполнять зеркалирование портов, на самом деле не так уж дороги в наши дни. Или вы можете строить Себя коснитесь сети, если вам нравится кататься в стиле гетто.
это это список переключателей и инструкции по включению зеркалирования портов.
А если вы используете сетевой ответвитель, обычно вам нужны 2 интерфейса для мониторинга данной ссылки - вам нужно отслеживать вход и выход, и, надеюсь, ваше программное обеспечение может выполнять агрегацию за вас.
Дело в том, что хотя концентратор обычно допускает только полудуплексную связь (я слышал о полнодуплексных концентраторах, но никогда не видел), это не означает, что вы увидите только половину Это означает, что устройства, взаимодействующие друг с другом через концентратор, будут обмениваться данными в полудуплексном режиме. Вы по-прежнему будете видеть весь трафик, проходящий через хаб. Когда clientA связывается с clientB, вы это увидите, а когда clientB отвечает на clientA, вы тоже это увидите. Концентратор перенаправляет трафик на все порты, поэтому вы будете видеть весь трафик независимо от дуплекса.
В процессе мониторинга вы, вероятно, создаете временную проблему с производительностью из-за того, что любые устройства, подключенные к концентратору, вероятно, будут пытаться общаться в полнодуплексном режиме (особенно если они жестко запрограммированы на полнодуплексный режим) и поэтому возникнут коллизии, что потребует повторной передачи большого количества трафика в дополнение к «замедлению» в результате полудуплексного характера концентратора.
В использовании концентратора хорошо то, что он действует как пассивный сетевой ответвитель. Вы можете вставить его между коммутатором клиента и брандмауэром / маршрутизатором и контролировать их использование Интернета, видеть, кто куда идет, видеть, какой тип использования происходит (HTTP, FTP и т. Д.), Видеть, какая часть их интернет-соединения используется и посмотрите, сколько широковещательного трафика существует в сети.
То, что вы, вероятно, не видите, - это проблемы, которые возникают с конкретными хостами в сети, поскольку вы не можете вставить концентратор между каждым хостом в сети (вы можете подключить концентратор только к одному порту коммутатора, а не ко всем). Для этого вам понадобится коммутатор с возможностью зеркалирования портов, чтобы вы могли зеркалировать трафик с определенных портов коммутатора или групп портов на порт монитора.
Я использую как концентратор, так и коммутатор с функцией зеркалирования портов, в зависимости от решаемой мной проблемы. Обычно я начинаю с концентратора, подключенного между клиентским коммутатором и межсетевым экраном / маршрутизатором. Это дает мне представление о том, сколько существует интернет-трафика, что это за трафик, и дает мне представление о том, сколько широковещания происходит в сети. Я бы сказал, что в большинстве случаев проблема заключается в недостаточной пропускной способности интернета или большом объеме вещания, вызывающем перегрузку, повторную передачу, медленные ACK, дублирующиеся ACK и т. Д.