Frage Netzwerkverkehrsüberwachung


Was ist das beste Werkzeug zur Überwachung / Analyse des Netzwerkverkehrs in einem ganzen Netzwerk (mehrere Subnetze)?

Ich bin auf der Suche nach etwas, das mir hilft, Bandbreitenprobleme zu beheben, wenn zum Beispiel Benutzer sich beschweren, dass das Netzwerk langsam ist.


18
2018-05-02 23:01


Ursprung




Antworten:


Ich nehme an, Sie haben einen kommerziellen Router / Switch, wahrscheinlich hat es SNMP mit denen Sie kombinieren können MRTG für ein nettes Verkehrsdiagramm.


10
2018-05-02 23:04



+1 \ für ntop :-) So einfach einzurichten und so nützlich - Chris_K
Umm .. Er erwähnt nur MRTG. - Mark Turner
+1 für ihn, Nptop präventiv zu erwähnen - chiggsy


Ich denke, deine beste Wette ist eine Mischung aus Kakteen und Ntop.

ntop liefert Ihnen Informationen über den Verkehr in Ihrem Netzwerk, wie die Hosts, die am meisten verbrauchen ... welcher Traffic Verlangsamungen verursacht, etc ...

Cacti wird langfristige Trends bezüglich Ihres Bandbreitenverbrauchs liefern, so dass Sie sehen können, wie sich der Netzwerkverkehr im Laufe der Zeit verändert hat.


10
2018-05-02 23:15



Ntop ist wunderbar, aber es stürzt wie verrückt und isst eine Menge Widder - reconbot


Wenn Benutzer "Netzwerkprobleme" melden, könnte das Problem mit einer Vielzahl von Problemen zusammenhängen (Routing, Switching, Hostkonfiguration, Unicast, Multicast, Sicherheitsrichtlinie, Hardwarefehler). Es ist sehr unwahrscheinlich, dass Sie eine einzige Software finden, um all Ihre verschiedenen potenziellen Probleme zu überwachen.

Konzentrieren Sie sich stattdessen auf zwei Dinge:

  • Instrumentierung: Erarbeiten Sie eine Überwachungsstrategie, mit der Sie die regelmäßig auftretenden Fehler proaktiv überwachen können. Sieh dir das an vorherige Antwort für mehr Details.

  • FehlerbehebungStellen Sie sich eine schnelle Standardserie von Tests vor, die Sie ausführen können, um sofort herauszufinden, wo das Problem liegt, und diese für Ihre Benutzer zu veröffentlichen.

Einige Beispieltests:

  • Pingen Sie Ihr Standard-Gateway
  • ping einen anderen Host im selben Subnetz
  • einen Subnetz-Host pingen
  • Welche Art von Paketverlust bekommst du?
  • Sind die Ergebnisse abhängig von der Paketgröße?
  • Kannst du erfolgreich von der Kommandozeile zum Ziel IP / Port telnet?

Diese einfache Diagnose kann Sie oft sehr schnell in die richtige Richtung weisen. Schließlich, wenn Sie können, erhalten Sie immer eine Quell-IP, eine Ziel-IP und einen Ziel-Port. Versuchen Sie, Ihre Benutzer zu erziehen; Zweideutige Beschwerden wie "das Netzwerk ist langsam" können nicht einfach diagnostiziert werden.


4
2018-05-02 23:19





Versuchen MRTG und / oder ntop.


3
2018-05-02 23:05





Ich habe benutzt glatte Wand zu Hause mit großem Erfolg, es macht einen tollen Job Überwachung des Verkehrs und eine Tonne mehr.

Es kommt auch in einer Corporate Edition, die etwas ausgefallenere Sachen macht.

Ich habe versucht herauszufinden, warum mir die Bandbreite immer knapper wurde (in Australien haben wir Limits), stellt sich heraus, dass es meine Schuld war :)


2
2018-05-03 05:01





Ich arbeite in einer Organisation mit einem kleinen bis mittleren Netzwerk (~ 500 Benutzer) und etwa einem Dutzend / 24 Subnetzen (und einer Handvoll kleinerer hinter NAT). Wir verwenden eine Software zur Überwachung von Programmen, mit der wir entfernte Teile des Netzwerks überwachen und proaktiv auf Probleme reagieren können.

  • SNMP - Dies bildet die Grundlage unseres Überwachungssystems. Die gesamte Netzwerkinfrastruktur muss mindestens SNMP unterstützen und sich über Syslog auf einem zentralen Server anmelden.
  • OpenNMS - Wird hauptsächlich für die Ereignisüberwachung verwendet, obwohl wir damit beginnen, es für das Asset- und Performance-Tracking zu verwenden. Ich überwache ständig OpenNMS. Wenn es ein Problem mit dem Netzwerk gibt, möchte ich darüber Bescheid wissen, bevor mich jemand anruft.
  • SFlow/ Netflow - Dies ist sehr nützlich, um zu bestimmen, wie viel Datenverkehr durch welchen Teil des Netzwerks fließt und welcher Host diesen Datenverkehr generiert (d. H. Top Talkers / Top Listeners).
  • Räuchern - Dies wird hauptsächlich für die Überwachung von Latenz und Konnektivität verwendet, insbesondere für drahtlose Bridges oder andere problematische Verbindungen.
  • MRTG - Die Verkehrsüberwachung auf Infrastrukturgeräten, die SFlow / Netflow nicht unterstützen, erfolgt mit MRTG.
  • Linux-Netzwerk "Sonden" - Einige Teile unseres Netzwerks sind nicht vom Entwurf her erreichbar und haben separate physisch getrennte Verbindungen. Eine alte Workstation mit einer Linux-Installation, die in beiden Netzwerksegmenten präsent ist, erlaubt es uns, diese Segmente mit Tools wie dem bereits erwähnten Smokeping und MRTG im Auge zu behalten, aber auch mit den nützlichen Kommandozeilenwerkzeugen wie ntop, tcpdump, tcptraceroute, httping und der ehrwürdige Ping.
  • TippingPoint IPS-System - Es ist im Grunde Schnauben in einem schwarze Box. Während es vollständig von der Mustererkennung abhängig ist, befindet sich das TippingPoint-System am Rand des Netzwerks und ermöglicht uns die Suche nach interessanten Layer-7-Ereignissen (Malware, Scannen, TCP / IP-Verrücktheit usw.).
  • BlueCoat Packeteer - Dies ist meist ein QoS- und Web-Filter-Gerät, aber es bietet eine gute Übersicht darüber, wo der Ein- und Ausstiegsverkehr von Layer-7 aufgeteilt ist. Zum Beispiel: Es ist nicht verwunderlich, dass 80% unseres Ingress-Traffics HTTP ist, aber wie viel davon ist Facebook, Pandora, YouTube usw.? Es bietet auch eine Liste der Top-Sprecher / Top-Listener pro Anwendung, die wiederum interessante Informationen sind.
  • Wavemon und ein Laptop mit einer anständigen WLAN - Karte wird für 802.11 drahtlose Überwachung und Fehlerbehebung als verwendet im Wesentlichen weniger teurer Ersatz für ein Fluke AirCheck. Der Fluke unterstützt 5Ghz (die einige unserer drahtlosen Brücken verwenden) und kann nicht-801.11-Verkehr aufnehmen und ist ein rundum nützliches RF-Tool, aber ich habe es schwer, es wegen der Kosten zu empfehlen.

2
2017-07-25 02:07





Schauen Sie sich die Produkte von an VSS-Überwachung. Sie verfügen über verschiedene in-line-fehlersichere Produkte zur Fernüberwachung des Netzwerkverkehrs. Sobald Sie sie in Ihr Netzwerk (e) und auf das Backbone gespäht haben, ist es so gut wie dort zu sein.


1
2018-05-02 23:14





Wenn Sie einen Router haben, der in der Lage ist, Netflows zu melden, sehen Sie sich einen Netflow-Handler an. Wenn MRTG die Verwendung von Verbindungen bereitstellt, melden Netflows die IP- und Protokollnutzung, die durch den Router fließt. Anstatt "Suzy bei der Abrechnung mit viel Verkehr" oder "Der Port, auf dem der WAP läuft, hat er eine hohe Auslastung", konnte man sehen "Suzy in der Buchhaltung ist 10% LAN-Verkehr, 40% Streaming Media und 50% Internet HTTP-Verkehr

Leider habe ich keine Empfehlung für einen Free Flow Aggregator. Nachdem eine Netzüberwachungsfirma versucht hat, meiner Firma eine Lösung zu verkaufen und ich festgestellt habe, dass ihr gesamtes Produkt auf Netflows basiert, machte ich mir eine Notiz, sie zu recherchieren. Bevor ich dazu kam, kauften wir eine weitere NOC-Lösung, die auch einen Flow Aggregator enthielt.


1
2018-05-03 01:30





Ich habe benutzt Wireshark jahrelang. Liebe es.


1
2018-05-03 03:57





Vor allem, beschweren sich Benutzer über Ihr lokales Netzwerk?

Der Fileserver ist langsam!

Oder beschweren sie sich über entfernte Websites?

Facebook ist langsam! Ich kann meine Arbeit nicht machen!

Wenn es ersteres ist, würde ich mit dem fraglichen Dateiserver beginnen und rückwärts arbeiten. Überprüfen Sie zuerst den Fileserver, ist es eine ungewöhnliche Nutzung? Überprüfen Sie die Schnittstelle, über die der Benutzerverkehr fließt. Ist es gebunden? Ist die automatische Verhandlung aktiviert? Ist es an beiden Enden aktiviert ...

Wenn dort alles in Ordnung ist und der Server nicht überlastet ist, versuchen Sie die Router und Switches im Pfad zwischen dem Benutzer und dem Server. Sind sie überlastet? Auto-Negierung aktiviert? Überprüfen Sie die Schnittstellenzähler auf Fehler.

Wenn das scheinbar nichts Falsches ist, kann das Problem lokal für den Benutzerarbeitsplatz sein. Ist es unter übermäßiger Belastung? Gibt es Hardwarefehler (Datenträgerfehler verursachen Blockierung während der Firmware-Versuche)? Ist ihre Maschine auf echtem Gedächtnis niedrig (firefox paging hart)?

Das Übliche löst 99% der Probleme.

Abhängig von der Häufigkeit, mit der Sie diese Anfragen bearbeiten müssen, möchten Sie möglicherweise die Reihenfolge dieser Schritte ändern.

Wenn es sich um ein Problem mit einer Remote-Site handelt, versuchen Sie nach dem Debuggen Ihres Netzwerks und der Benutzer-Workstation Tools wie mtr, um Paketverluste zwischen Ihnen und der Remote-Site zu erkennen. Wenn das Problem nicht lokal in Ihrem Netzwerk ist, dann sind Ihre Optionen wahrscheinlich darauf beschränkt, einen Fall bei Ihrem Provider zu protokollieren oder zu warten, bis die entfernte Seite über alles, was sie zu bieten hat, hinwegkommt.


1
2018-05-03 04:53