Überwachung des Netzwerkverkehrs

Was ist das beste Tool zum Überwachen / Analysieren des Netzwerkverkehrs in einem gesamten Netzwerk (mehrere Subnetze)?

Ich bin auf der Suche nach etwas, das mir hilft, Bandbreitenprobleme zu beheben, wenn Benutzer beispielsweise anfangen, sich über die Langsamkeit des Netzwerks zu beklagen.

Ich gehe davon aus, dass Sie einen kommerziellen Router / Switch haben, der höchstwahrscheinlich über SNMP verfügt, das Sie mit MRTG kombinieren können, um eine schöne Verkehrsgrafik zu erhalten.

Ich denke, Ihre beste Wette wird eine Mischung aus Cacti und Ntop sein .

ntop wird Ihnen Informationen über den Datenverkehr in Ihrem Netzwerk bereitstellen, z. B. über die Hosts, die den größten Datenverkehr verbrauchen.

Cacti gibt langfristige Trends zu Ihrem Bandbreitenverbrauch an, damit Sie feststellen können, wie sich der Datenverkehr in Ihrem Netzwerk im Laufe der Zeit verändert hat.

Wenn Benutzer "Netzwerkprobleme" melden, kann sich das Problem auf eine Vielzahl von Problemen beziehen (Routing, Switching, Hostkonfiguration, Unicast, Multicast, Sicherheitsrichtlinien, Hardwarefehler). Es ist sehr unwahrscheinlich, dass Sie eine einzige Software zur Überwachung all Ihrer potenziellen Probleme finden.

Konzentrieren Sie sich stattdessen auf zwei Dinge:

• Instrumentierung : Entwickeln Sie eine Überwachungsstrategie, mit der Sie proaktiv auf regelmäßig auftretende Fehler hin überwachen können. Weitere Informationen finden Sie in dieser vorherigen Antwort .

• Fehlerbehebung : Erstellen Sie eine schnelle Standard-Testreihe, mit der Sie sofort versuchen können, das Problem zu lokalisieren und es für Ihre Benutzer zu veröffentlichen.

Einige Beispieltests:

• Pingen Sie Ihr Standard-Gateway
• Pingen Sie einen anderen Host im selben Subnetz
• Pingen Sie einen Host außerhalb des Subnetzes
• Welche Art von Paketverlust haben Sie?
• variieren die Ergebnisse mit der Paketgröße?
• Können Sie erfolgreich von der Befehlszeile zum Ziel-IP / -Port telneten?

Solche einfachen Diagnosen können Sie oft sehr schnell in die richtige Richtung lenken. Wenn Sie können, erhalten Sie schließlich immer eine Quell-IP, eine Ziel-IP und einen Ziel-Port. Versuchen Sie, Ihre Benutzer zu schulen. ambitionierte Beschwerden wie "Das Netzwerk ist langsam" können nicht einfach diagnostiziert werden.

Probieren Sie MRTG und / oder ntop aus .

Ich habe Smoothwall zu Hause mit großem Erfolg verwendet. Es ist eine großartige Lösung, um den Datenverkehr zu überwachen und vieles mehr.

Es gibt es auch in einer Corporate Edition, die noch mehr schicke Sachen macht.

Ich habe versucht herauszufinden, warum mir immer wieder die Bandbreite ausgeht (in Australien haben wir Grenzen). Es stellte sich heraus, dass es meine Schuld war :)

Ich arbeite in einer Organisation mit einem kleinen bis mittleren Netzwerk (~ 500 Benutzer) und etwa einem Dutzend / 24 Subnetzen (und einer Handvoll kleinerer hinter NAT). Wir verwenden eine Software zur Überwachung verschiedener Arten, mit der wir entfernte Teile des Netzwerks überwachen und proaktiv auf Probleme reagieren können.

• SNMP - Dies ist die Grundlage unseres Überwachungssystems. Die gesamte Netzwerkinfrastruktur muss mindestens SNMP unterstützen und sich über Syslog auf einem zentralen Server anmelden.
• OpenNMS - Wird hauptsächlich für die Ereignisüberwachung verwendet, obwohl wir beginnen, es für die Nachverfolgung von Ressourcen und Leistung zu verwenden. Ich überwache ständig OpenNMS. Wenn es ein Problem mit dem Netzwerk gibt, möchte ich es wissen, bevor mich jemand anruft.
• SFlow / Netflow - Dies ist sehr nützlich, um zu bestimmen, wie viel Verkehr durch welches Teil des Netzwerks fließt und welcher Host diesen Verkehr erzeugt (dh Top-Talker / Top-Listener).
• Smokeping - Dies wird hauptsächlich für Latenz- und Konnektivitätsnachverfolgung verwendet, insbesondere für drahtlose Bridges oder andere problematische Verbindungen.
• MRTG - Die Verkehrsüberwachung auf Infrastrukturgeräten, die SFlow / Netflow nicht unterstützen, erfolgt mit MRTG.
• Linux Network "Probes" - Einige Teile unseres Netzwerks sind nicht über das Design erreichbar und verfügen über separate physikalisch getrennte Verbindungen. Eine alte Workstation mit einer Linux-Installation, die auf beiden Netzwerksegmenten präsent ist, ermöglicht es uns, diese Segmente mit Tools wie Smokeping und MRTG, aber auch mit allen nützlichen Befehlszeilentools wie ntop, tcpdump, tcptraceroute, httping und der ehrwürdige Ping.
• TippingPoint IPS-System - Im Grunde ist es Snort in einer Blackbox . Das TippingPoint-System ist zwar vollständig von der Mustererkennung abhängig, befindet sich jedoch am Netzwerkrand und ermöglicht es uns, nach interessanten Layer-7-Ereignissen (Malware, Scannen, TCP / IP-Verrücktheit usw.) zu suchen.
• BlueCoat Packeteer - Dies ist hauptsächlich ein QoS- und Webfiltergerät, bietet jedoch einen guten Überblick darüber, in was der Layer-7-Ingress- und -Egress-Verkehr zerfällt. Zum Beispiel: Es ist nicht überraschend, dass 80% unseres Eingangsverkehrs HTTP ist, aber wie viel davon sind Facebook, Pandora, YouTube usw.? Es enthält auch eine Liste der Top-Sprecher / Top-Zuhörer nach Anwendung, was wiederum eine interessante Information darstellt.
• Wavemon und ein Laptop mit einer anständigen WLAN-Karte werden für die drahtlose 802.11-Überwachung und -Fehlerbehebung als wesentlich kostengünstigerer Ersatz für einen Fluke AirCheck verwendet . Der Fluke unterstützt 5 GHz (die von einigen unserer drahtlosen Bridges verwendet werden) und kann Datenverkehr außerhalb von 801.11 aufzeichnen. Er ist ein rundum nützliches HF-Tool, es fällt mir jedoch schwer, ihn aufgrund der Kosten zu empfehlen.

Schauen Sie sich die Produkte von VSS Monitoring an . Sie verfügen über verschiedene ausfallsichere Inline-Produkte zur Remote-Überwachung des Netzwerkverkehrs. Sobald Sie sie in Ihre Netzwerke und auf das Backbone gespäht haben, ist es so gut wie dort zu sein.

Wenn Sie einen Router haben, der in der Lage ist, Netflows zu melden, schauen Sie in einen Netflow-Handler. Während MRTG die Verbindungsauslastung bereitstellt, melden Netflows die IP- und Protokollauslastung, die durch den Router fließt. Anstelle von "Suzy bei der Abrechnung mit viel Verkehr" oder "Der Port, auf dem der WAP läuft, ist stark ausgelastet" wird "Suzy bei der Abrechnung mit 10% LAN-Verkehr, 40% Streaming-Medien und 50% Internet" angezeigt HTTP-Verkehr.

Leider habe ich keine Empfehlung für einen Free Flow Aggregator. Nachdem eine Netzüberwachungsfirma versucht hatte, meiner Firma eine Lösung zu verkaufen und ich feststellte, dass ihr gesamtes Produkt auf Netzströmen basierte, machte ich mir eine Notiz, um sie zu untersuchen. Bevor ich dazu kam, kauften wir eine andere NOC-Lösung, die auch einen Durchflussaggregator enthielt.

Ich benutze Wireshark seit Jahren. Liebe es.

Beschweren sich die Benutzer über Ihr lokales Netzwerk?

Der Fileserver ist langsam!

oder beschweren sie sich über entfernte Websites?

Facebook ist langsam! Ich kann meine Arbeit nicht machen!

Wenn es das erstere ist, würde ich mit dem fraglichen Dateiserver beginnen und rückwärts arbeiten. Überprüfen Sie zunächst den Dateiserver, ob er ungewöhnlich ausgelastet ist. Überprüfen Sie die Schnittstelle, über die der Benutzerverkehr fließt. Ist es gebunden? Ist die automatische Aushandlung aktiviert? Ist es an beiden Enden aktiviert ...

Wenn dort alles in Ordnung aussieht und der Server nicht überlastet ist, probieren Sie die Router und Switches im Pfad zwischen Benutzer und Server aus. Sind sie überlastet? Auto Neg aktiviert? Überprüfen Sie die Schnittstellenzähler auf Fehler.

Wenn dies nicht der Fall zu sein scheint, liegt das Problem möglicherweise lokal am Arbeitsplatz des Benutzers. Steht es unter übermäßiger Last? Gibt es Hardware-Fehler (Festplattenfehler, die zu Blockierungen führen, während die Firmware erneut versucht)? Hat ihr Computer nur noch wenig Arbeitsspeicher (Firefox pagt hart)?

Dies löst normalerweise 99% der Probleme.

Abhängig von der Häufigkeit, mit der Sie diese Anforderungen bearbeiten müssen, möchten Sie möglicherweise die Reihenfolge dieser Schritte umkehren.

Alternativ können Sie nach dem Debuggen Ihres Netzwerks und der Workstation des Benutzers Tools wie mtr verwenden, um einen Paketverlust zwischen Ihnen und dem Remotestandort zu erkennen, wenn es ein Problem mit einem Remotestandort gibt. Wenn das Problem nicht lokal in Ihrem Netzwerk auftritt, beschränken sich Ihre Optionen wahrscheinlich darauf, einen Fall bei Ihrem Provider zu protokollieren oder abzuwarten, bis der Remote-Standort das Problem gelöst hat.