Мониторинг сетевого трафика

Я думаю, что лучше всего будет смесь Кактусы и Ntop.

ntop предоставит вам информацию о трафике в вашей сети, например о хостах, которые потребляют больше всего ... какой трафик вызывает замедление и т. д.

Cacti предоставит долгосрочные тренды о потреблении полосы пропускания, чтобы вы могли сказать, как сетевой трафик менялся с течением времени.

Я предполагаю, что у вас есть коммерческий маршрутизатор / коммутатор, скорее всего, он SNMP что вы можете комбинировать с MRTG для красивого графика трафика.

Когда у вас есть пользователи, сообщающие о «сетевых проблемах», проблема может быть связана с множеством проблем (маршрутизация, коммутация, конфигурация хоста, одноадресная рассылка, многоадресная рассылка, политика безопасности, отказ оборудования). Маловероятно, что вы найдете одно программное обеспечение для отслеживания всех ваших потенциальных проблем.

Вместо этого сосредоточьтесь на двух вещах:

• Приборы: придумайте стратегию мониторинга, которая позволит вам заранее отслеживать те неисправности, которые происходят регулярно. Посмотри это предыдущий ответ для более подробной информации.

• Исправление проблем: придумайте быструю стандартную серию тестов, которые вы можете запустить, чтобы сразу же попытаться определить, где может быть проблема, и опубликовать ее для своих пользователей.

Некоторые примеры тестов:

• ping ваш шлюз по умолчанию
• пинговать другой хост в той же подсети
• ping хост вне подсети
• какие потери пакетов вы получаете?
• зависят ли результаты от размера пакета?
• Можете ли вы успешно telnet из командной строки к IP / порту назначения?

Эти виды простой диагностики часто могут очень быстро указать вам правильное направление. Наконец, если вы можете, всегда получите IP-адрес источника, IP-адрес назначения и порт назначения. Попробуйте обучить своих пользователей; неоднозначные жалобы, такие как «медленная сеть», нелегко диагностировать.

Пытаться MRTG и / или ntop.

Я использовал гладкая стена дома с большим успехом, он отлично отслеживает трафик и многое другое.

Он также доступен в корпоративной версии, в которой есть еще кое-что.

Я пытался понять, почему у меня не хватало полосы пропускания (в Австралии есть ограничения), но оказалось, что это моя вина :)

Я работаю в организации, у которой есть сеть малого и среднего размера (~ 500 пользователей) и около дюжины / 24 подсетей (и несколько более мелких подсетей за NAT). Мы используем разнообразное программное обеспечение для мониторинга, которое позволяет нам отслеживать удаленные части сети и проактивно реагировать на проблемы.

• SNMP - Это основа нашей системы мониторинга. Вся сетевая инфраструктура должна как минимум поддерживать SNMP и вести журнал на центральном сервере через системный журнал.
• OpenNMS - В основном используется для мониторинга событий, хотя мы начинаем использовать его для отслеживания активов и производительности. Я постоянно слежу за OpenNMS. Если есть проблема с сетью, я хочу знать об этом до того, как мне позвонят.
• SFlow/ Netflow - это действительно полезно, чтобы определить, какой объем трафика проходит через какую часть сети и какой хост генерирует этот трафик (то есть самые популярные участники / самые популярные слушатели).
• Копчение - Это в основном используется для отслеживания задержки и подключения, особенно для беспроводных мостов или других проблемных подключений.
• MRTG - Мониторинг трафика на инфраструктурных устройствах, не поддерживающих SFlow / Netflow, осуществляется с помощью MRTG.
• Сеть Linux «Зонды» - Некоторые части нашей сети недоступны по конструкции и имеют отдельные физически дискретные соединения. Старая рабочая станция с установленным Linux, имеющая точки присутствия в обоих сегментах сети, позволяет нам следить за этими сегментами, используя такие инструменты, как вышеупомянутые Smokeping и MRTG, а также любые полезные инструменты командной строки, такие как ntop, tcpdump, tcptraceroute, httping и почтенный пинг.
• Система IPS TippingPoint - Это в основном Фырканье в черный ящик. Хотя она полностью зависит от распознавания образов, система TippingPoint находится на границе сети и позволяет нам искать интересные события уровня 7 (вредоносное ПО, сканирование, странности TCP / IP и т. Д.).
• BlueCoat Packeteer - Это в основном устройство QoS и веб-фильтрации, но оно дает хорошее высокоуровневое представление о том, на что разбивается входящий и исходящий трафик уровня 7. Например: неудивительно, что 80% нашего входящего трафика составляет HTTP, но какая часть этого трафика приходится на Facebook, Pandora, YouTube и т. Д.? Он также предоставляет список наиболее активных пользователей / слушателей для каждого приложения, что опять же является интересной информацией.
• Wavemon а ноутбук с приличной беспроводной картой используется для беспроводного мониторинга 802.11 и устранения неполадок в качестве существенно менее дорогая замена Fluke AirCheck. Fluke поддерживает частоту 5 ГГц (которую используют некоторые из наших беспроводных мостов) и может принимать трафик, отличный от 801.11, и является универсальным радиочастотным инструментом, но мне трудно рекомендовать его из-за стоимости.

Ознакомьтесь с продуктами из VSS мониторинг. У них есть несколько различных встроенных отказоустойчивых продуктов для удаленного мониторинга сетевого трафика. После того, как они заглянули в вашу сеть (сети) и в магистраль, это так же хорошо, как и там.

Если у вас есть маршрутизатор, способный сообщать о чистых потоках, изучите обработчик сетевых потоков. Если MRTG предоставляет информацию об использовании канала, netflows сообщает об использовании IP и протокола, проходящего через маршрутизатор. Таким образом, вместо «Сюзи в учете с использованием большого объема трафика» или «Порт, на котором находится WAP, имеет высокую степень использования», вы могли увидеть «Сюзи в учете составляет 10% трафика LAN, 40% потокового мультимедиа и 50% Интернета. HTTP-трафик.

К сожалению, у меня нет рекомендации по агрегатору бесплатного потока. После того, как компания по сетевому мониторингу попыталась продать моей компании решение, и я определил, что весь их продукт основан на чистых потоках, я сделал заметку, чтобы изучить их. Прежде чем я дошел до этого, мы купили другое решение NOC, которое также включало агрегатор потока.

Я использовал Wireshark годами. Любить это.

Прежде всего, жалуются ли пользователи на вашу локальную сеть?

Файловый сервер работает медленно!

или они жалуются на удаленные сайты?

Facebook работает медленно! Я не могу работать!

Если это первое, то я бы начал с рассматриваемого файлового сервера и работал бы в обратном направлении. Прежде всего проверьте файловый сервер, нет ли необычной загрузки? Проверьте интерфейс, через который проходит пользовательский трафик. Это привязано? Включено ли автосогласование? Включен ли он на обоих концах ...

Если там все выглядит нормально и сервер не находится под чрезмерной нагрузкой, попробуйте маршрутизаторы и переключитесь на путь между пользователем и сервером. Они перегружены? автоматическое отрицание включено? проверьте счетчики интерфейса на наличие ошибок.

Если в этом нет ничего плохого, то проблема может быть связана с рабочей станцией пользователя. Под чрезмерной нагрузкой? Есть ли аппаратные ошибки (ошибки диска, вызывающие блокировку при повторных попытках прошивки)? На их машине не хватает реальной памяти (страничная подкачка firefox жесткая)?

Это обычно решает 99% проблем.

В зависимости от того, насколько часто вам приходится обрабатывать эти запросы, вы можете изменить порядок этих шагов в обратном порядке.

В качестве альтернативы, если это проблема с удаленным сайтом, после отладки вашей сети и на рабочей станции пользователя попробуйте такие инструменты, как mtr, для обнаружения потери пакетов между вами и удаленным сайтом. Если проблема не локальна в вашей сети, то ваши возможности, вероятно, ограничиваются регистрацией обращения к вашему провайдеру или ожиданием, пока удаленный сайт не справится с любопытством.