В настоящее время у нас есть линия T3 для примерно 28 человек, и она становится смертельно медленной в течение дня, поэтому мне нужно что-то, чтобы помочь выяснить, почему. Я предполагаю, что кто-то загружает что-то, о чем они могут не знать.
Я бы не рекомендовал использовать wirehark для отслеживания трафика. Вы получите слишком много данных, но вам будет сложно их анализировать. Если вам нужно посмотреть / устранить неполадки взаимодействия между парой машин, wirehark отлично подойдет. Как инструмент мониторинга, IMHO, wirehark не совсем тот инструмент, который вам нужен.
Профилируйте сетевой трафик. Попробуйте несколько реальных инструментов мониторинга: http://sectools.org/traffic-monitors.html. Вы ищете Top Type трафика (вероятно, HTTP, но кто знает), Top Talkers (должны быть ваши серверы, но кто знает) и потенциально искаженный трафик (большое количество повторных передач TCP, искаженные пакеты, высокие скорости очень маленьких пакетов. Наверное не увидят, но кто знает)
В то же время вместе со своим руководством разработайте политику использования сетевых ресурсов. В целом, с точки зрения бизнеса, для удовлетворения потребностей бизнеса существует компьютерная сеть и каковы подходящие способы использования ресурса. Эта вещь стоит денег, поэтому само ее существование должно иметь коммерческое оправдание. У вашей компании есть правила работы с ящиком «мелкой наличности», и я готов поспорить, что ваша сетевая инфраструктура стоит намного дороже. Главное, на чем нужно сосредоточиться, - это не ловить людей, делающих плохие вещи, а скорее наблюдать за потенциальной вредоносной деятельностью, которая ухудшает функциональность сети (то есть способность сотрудников выполнять свою работу). Подкаст Southern Fried Security и PaulDotCom Security Weekly охватить информацию о создании соответствующих политик безопасности.
Идея @John_Rabotnik для прокси-сервера была отличной. Реализуйте прокси-сервер для веб-трафика. По сравнению с традиционными брандмауэрами прокси-серверы дают вам гораздо лучшую видимость того, что происходит, а также более детальный контроль над тем, какой трафик разрешить (например, реальные веб-сайты) и какой трафик блокировать (URL-адреса, состоящие из [20 случайных символов ] .com)
Сообщите людям - проблема в сети. Вы отслеживаете сетевой трафик. Предоставьте им механизм регистрации замедления работы сети и сбора достаточного количества метаданных об отчете, чтобы в совокупности вы могли анализировать производительность сети. Общайтесь со своими коллегами. Они хотят, чтобы вы хорошо работали, а они - хорошо. Вы в одной команде.
Как правило, блокируйте все, а затем разрешайте то, что следует разрешить. Ваш мониторинг с первого шага должен дать вам знать, что необходимо разрешить, как это фильтруется вашей политикой использования сети / безопасности. Ваша политика также должна включать механизм, с помощью которого менеджер может запрашивать новые виды доступа.
Таким образом, первый шаг: мониторинг трафика (Nagios, похоже, является стандартным инструментом) помогает вам понять, в общем, что происходит, чтобы остановить немедленную боль. Шаги 2–5 помогают предотвратить проблему в будущем.
28 человек, насыщающих Т3? Это маловероятно (каждый может использовать потоковое мультимедиа в течение всего дня, и это вряд ли удастся.) Вы можете проверить петли маршрутизации и другие типы неправильной конфигурации сети. Также следует проверить на вирусы. Если в вашей локальной сети работает небольшой ботнет, это легко объяснит трафик.
Какой тип переключения / брандмауэра вы используете? Возможно, у вас уже есть возможность отслеживать пакетный трафик.
Редактировать: Я также большой поклонник Wireshark (хотя я стар, поэтому все еще думаю о "Ethereal" в голове). Если вы собираетесь его использовать, лучший способ - это подключить машину к сети, чтобы весь трафик проходил через нее. Это позволит вам вести исчерпывающий журнал без необходимости переключать ваше оборудование в беспорядочный режим.
И если окажется, что вам нужно какое-то формирование трафика, у вас будет хорошая возможность настроить прокси-сервер Snort ... Однако я бы не стал начинать с намерения его установить. Я действительно сомневаюсь, что ваша проблема в пропускной способности.
Если у вас есть запасная машина, вы можете настроить ее как прокси-сервер в Интернете. Вместо того, чтобы машины подключались к Интернету через маршрутизатор, они обращаются к нему через прокси-сервер (который обращается к Интернету через маршрутизатор для них). Это будет регистрировать весь интернет-трафик и с какой машины он пришел. Вы даже можете заблокировать определенные веб-сайты или типы файлов и многое другое.
Прокси-сервер также будет кэшировать часто используемые веб-страницы, поэтому пользователи посещают одни и те же веб-сайты, изображения, загрузки и т. Д. Уже будут на прокси-сервере, поэтому их не нужно будет повторно загружать снова. Это также может сэкономить вам пропускную способность.
Это может потребовать некоторой настройки, но если у вас есть время и терпение, то это определенно стоит того. Настройка прокси-сервера, вероятно, выходит за рамки этого вопроса, но вот несколько советов, которые помогут вам начать:
Установите операционную систему Ubuntu на запасной компьютер (получите серверную версию, если вам нравится Linux):
Установите прокси-сервер squid на машину, открыв окно терминала / консоли и набрав следующую команду:
sudo apt-get install squid
Настройте squid так, как вам нравится, вот руководство по его настройке в Ubuntu. Вы также можете проверить сайт кальмара для получения дополнительной документации и помощи по настройке:
Настройте клиентские машины на использование сервера Ubuntu в качестве прокси-сервера для доступа в Интернет:
Возможно, вы захотите заблокировать доступ в Интернет на маршрутизаторе для всех машин, кроме прокси-сервера, чтобы не позволить хитрым пользователям получать доступ в Интернет с маршрутизатора и в обход прокси-сервера.
Есть много справок по настройке прокси-сервера Squid в Ubuntu.
Всего наилучшего, я надеюсь, что вы докопаетесь до сути.
Wireshark создаст захват пакетов, и с его помощью вы сможете анализировать сетевой трафик. http://www.wireshark.org/
Если вам нужно больше визуализировать трафик, вы можете использовать фильтры, чтобы показать вам только определенный трафик в зависимости от его размера, типа и т. Д.
См. Ответ Дайсэцу для программного решения.
По понятным причинам законы большинства / некоторых стран требуют, чтобы вы сообщали сотрудникам, что трафик будет контролироваться. Но я полагаю, вы это уже знаете.
Более того низкотехнологичный, но менее инвазивный Методика заключается в визуальной проверке физических переключателей на мигание индикаторов: когда сеть замедляется, кто-то, вероятно, использует большую полосу пропускания, поэтому светодиодный индикатор на его кабеле будет яростно мигать по сравнению с остальными. С 28 компьютерами отсеивание «невиновных» не займет много времени, и пользователь, о котором идет речь, может быть проинформирован о том, что его компьютер плохо себя ведет, и вскоре будет проверен вами.
Если вас не волнует конфиденциальность ваших сотрудников (в конце концов, они могут умышленно злоупотреблять вашей пропускной способностью) и они либо подписали соглашение, либо местная юрисдикция позволяет вам это сделать, вы можете просто проигнорировать этот шаг и проверить, что они делают, без предварительного уведомления. , конечно. Но если вы не думаете, что кто-то может активно причинить вред компании (например, нарушить законы, утечка информации), это может привести к неловкой ситуации (сверхвысокая широкополосная связь заманчива, и в Интернете есть много вещей, которые вы можете скачать в массовом порядке ежедневно, большинство из которых вы не должен на работе, но может возникнуть соблазн).
http://www.clearfoundation.com/ или http://sourceforge.net/apps/trac/ipcop/wiki
Clear OS особо отмечает эту способность на своем сайте: http://www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop
Я не могу поверить, что никто не упомянул iptraf.
Расскажите нам еще о типе трафика, который вы обычно ожидаете по сети. Вы обмениваетесь файлами через него? Доступ к почтовым ящикам через него? Доступ к файлам PST через него? Есть базы данных Access? Локальные серверы или удаленные серверы для пользователей? Что еще нам нужно знать?