Giám sát lưu lượng mạng

Công cụ tốt nhất để giám sát / phân tích lưu lượng mạng trên toàn bộ mạng (một số mạng con) là gì?

Tôi đang tìm kiếm thứ gì đó sẽ giúp tôi khắc phục sự cố băng thông khi, ví dụ, người dùng bắt đầu phàn nàn rằng "mạng chậm"

Tôi giả sử bạn có bộ định tuyến / bộ chuyển mạch thương mại, rất có thể nó có SNMP mà bạn có thể kết hợp với MRTG để có một biểu đồ lưu lượng tốt.

Tôi nghĩ rằng đặt cược tốt nhất của bạn sẽ là một hỗn hợp của Cacti và Ntop .

ntop sẽ cung cấp cho bạn thông tin về lưu lượng truy cập trên mạng của bạn, như các máy chủ đang tiêu thụ nhiều nhất ... lưu lượng nào đang gây chậm, v.v ...

Cacti sẽ đưa ra các xu hướng dài hạn về mức tiêu thụ băng thông của bạn để bạn có thể cho biết lưu lượng mạng của bạn đã thay đổi theo thời gian như thế nào.

Khi bạn có người dùng báo cáo 'sự cố mạng', sự cố có thể liên quan đến vô số vấn đề (định tuyến, chuyển mạch, cấu hình máy chủ, unicast, multicast, chính sách bảo mật, lỗi phần cứng). Rất khó có khả năng bạn sẽ tìm thấy một phần mềm để theo dõi tất cả các vấn đề tiềm ẩn khác nhau của bạn.

Thay vào đó, hãy tập trung vào hai điều:

• Thiết bị đo đạc : đưa ra chiến lược giám sát cho phép bạn chủ động theo dõi những lỗi xảy ra thường xuyên. Xem câu trả lời trước để biết thêm chi tiết.

• Xử lý sự cố : đưa ra một loạt các thử nghiệm tiêu chuẩn, nhanh chóng mà bạn có thể chạy để thử ngay lập tức và cách ly vấn đề có thể xảy ra và xuất bản nó cho người dùng của bạn.

Một số ví dụ kiểm tra:

• ping cổng mặc định của bạn
• ping máy chủ khác trên cùng mạng con
• ping một máy chủ mạng con tắt
• bạn đang mất loại gói nào?
• làm kết quả khác nhau với kích thước gói?
• bạn có thể telnet thành công từ dòng lệnh đến IP / cổng đích không?

Những loại chẩn đoán đơn giản này thường có thể chỉ cho bạn rất nhanh theo đúng hướng. Cuối cùng, nếu bạn có thể, hãy luôn lấy IP nguồn, IP đích và cổng đích. Hãy thử và giáo dục người dùng của bạn; những khiếu nại không rõ ràng như "mạng chậm" không thể dễ dàng chẩn đoán.

Hãy thử MRTG và / hoặc ntop .

Tôi đã sử dụng smoothwall ở nhà rất thành công, nó thực hiện công việc giám sát lưu lượng truy cập tuyệt vời và nhiều hơn nữa.

Nó đi kèm trong một phiên bản công ty cũng như một số thứ lạ mắt hơn.

Tôi đã cố gắng tìm ra lý do tại sao tôi tiếp tục hết băng thông (ở Úc chúng tôi có giới hạn) hóa ra đó là lỗi của tôi :)

Tôi đang làm việc tại một tổ chức có mạng cỡ nhỏ đến trung bình (~ 500 người dùng) và khoảng một tá / 24 mạng con (và một số ít mạng nhỏ hơn NAT). Chúng tôi sử dụng một phần mềm giám sát đa dạng cho phép chúng tôi giữ các tab trên các phần xa của mạng và chủ động trả lời các vấn đề.

• SNMP - Đây là cơ sở của hệ thống giám sát của chúng tôi. Tất cả các cơ sở hạ tầng mạng, ở mức tối thiểu cần hỗ trợ SNMP và đăng nhập vào máy chủ trung tâm thông qua syslog.
• OpenNMS - Chủ yếu được sử dụng để theo dõi sự kiện, mặc dù chúng tôi bắt đầu sử dụng nó để theo dõi tài sản và hiệu suất. Tôi liên tục theo dõi OpenNMS. Nếu có vấn đề với mạng, tôi muốn biết về nó trước khi ai đó gọi cho tôi.
• SFlow / Netflow - Điều này thực sự hữu ích để xác định lưu lượng truy cập chảy qua phần nào của mạng và máy chủ nào đang tạo lưu lượng truy cập đó (ví dụ: người nói chuyện hàng đầu / người nghe hàng đầu).
• Hút thuốc - Điều này chủ yếu được sử dụng để theo dõi độ trễ và kết nối, đặc biệt là cho các cầu nối không dây hoặc các kết nối rắc rối khác.
• MRTG - Giám sát lưu lượng trên các thiết bị cơ sở hạ tầng không hỗ trợ SFlow / Netflow được thực hiện với MRTG.
• "Mạng thăm dò" của Linux - Một số phần trong mạng của chúng tôi không thể truy cập được bằng thiết kế và có các kết nối riêng biệt về mặt vật lý. Một máy trạm cũ có cài đặt Linux có điểm hiện diện trên cả hai phân đoạn mạng cho phép chúng tôi theo dõi các phân đoạn này bằng các công cụ như Khói thuốc và MRTG đã nói ở trên, nhưng cũng có bất kỳ công cụ dòng lệnh hữu ích nào như ntop, tcpdump, tcptraceroute, omeping và ping đáng kính.
• Hệ thống IPS TippingPoint - Về cơ bản, Snort trong hộp đen . Mặc dù hoàn toàn phụ thuộc vào nhận dạng mẫu, hệ thống TippingPoint nằm ở rìa mạng và cho phép chúng tôi tìm kiếm các sự kiện Lớp 7 thú vị (phần mềm độc hại, quét, kỳ lạ TCP / IP, v.v.).
• BlueCoat Packeteer - Đây chủ yếu là một thiết bị lọc web và QoS nhưng nó cung cấp một cái nhìn cấp cao tốt đẹp về những gì mà lớp 7 xâm nhập và lưu lượng truy cập đi vào. Ví dụ: Không có gì đáng ngạc nhiên khi 80% lưu lượng truy cập của chúng tôi là HTTP, nhưng bao nhiêu trong số đó là Facebook, Pandora, YouTube, v.v? Nó cũng cung cấp một danh sách những người nói chuyện / người nghe hàng đầu trên mỗi ứng dụng, một lần nữa là thông tin thú vị.
• Wavemon và một máy tính xách tay có thẻ không dây tốt được sử dụng để theo dõi và khắc phục sự cố không dây 802.11 như một sự thay thế ít tốn kém hơn cho Fluke AirCheck . Fluke hỗ trợ 5Ghz (mà một số cầu nối không dây của chúng tôi sử dụng) và có thể nhận lưu lượng không phải là 801.11 và là một công cụ RF hữu ích, nhưng tôi gặp khó khăn khi giới thiệu nó vì chi phí.

Kiểm tra các sản phẩm từ Giám sát VSS . Họ có một số sản phẩm an toàn thất bại nội tuyến khác nhau để giám sát lưu lượng mạng từ xa. Một khi bạn có chúng nhìn vào (các) mạng của bạn và trên xương sống, nó cũng tốt như ở đó.

Nếu bạn có một bộ định tuyến có khả năng báo cáo các luồng mạng, hãy xem xét một trình xử lý netflow. Trường hợp MRTG sẽ cung cấp việc sử dụng liên kết, netflows báo cáo IP và sử dụng giao thức chảy qua bộ định tuyến. Vì vậy, thay vì "Suzy trong kế toán sử dụng nhiều lưu lượng truy cập" hoặc "Cổng mà Wap đang sử dụng có mức độ sử dụng cao", bạn có thể thấy "Suzy trong kế toán là 10% lưu lượng LAN, 40% phương tiện truyền thông trực tuyến và 50% internet Lưu lượng HTTP.

Thật không may, tôi không có đề xuất cho một công cụ tổng hợp lưu lượng miễn phí. Sau khi một công ty giám sát mạng cố gắng bán cho công ty tôi một giải pháp và tôi xác định rằng toàn bộ sản phẩm của họ dựa trên dòng chảy, tôi đã ghi chú để nghiên cứu chúng. Trước khi tôi tìm hiểu về nó, chúng tôi đã mua một giải pháp NOC khác cũng bao gồm một bộ tổng hợp dòng chảy.

Tôi đã sử dụng Wireshark trong nhiều năm. Yêu nó.

Trước hết, họ có phàn nàn về mạng cục bộ của bạn không?

Máy chủ tập tin chậm!

hoặc họ đang phàn nàn về các trang web từ xa?

Facebook chậm! Tôi không thể làm việc của mình!

Nếu đó là trước đây, thì tôi sẽ bắt đầu với máy chủ tệp được đề cập và làm việc ngược lại. Trước hết hãy kiểm tra máy chủ, nó có được sử dụng không bình thường không? Kiểm tra giao diện mà lưu lượng người dùng chảy qua. Có chốt không? Là đàm phán tự động được kích hoạt? Được bật ở cả hai đầu ...

Nếu mọi thứ đều ổn ở đó và máy chủ không chịu bất kỳ tải quá mức nào, hãy thử các bộ định tuyến và chuyển mạch trong đường dẫn giữa người dùng và máy chủ. Có phải họ đang quá tải? tự động phủ định kích hoạt? kiểm tra các bộ đếm giao diện cho các lỗi.

Nếu điều đó dường như không có gì sai, thì vấn đề có thể là cục bộ đối với trạm làm việc của người dùng. Có phải dưới tải quá mức? Có bất kỳ lỗi phần cứng nào (lỗi đĩa gây ra chặn trong khi firmware thử lại) không? Là máy của họ thấp trên bộ nhớ thực (firefox phân trang cứng)?

Điều này thông thường giải quyết 99% các vấn đề.

Tùy thuộc vào tần suất bạn phải xử lý các yêu cầu này, bạn có thể muốn đảo ngược thứ tự của các bước này.

Ngoài ra, nếu đó là sự cố với một trang web từ xa, sau khi gỡ lỗi mạng của bạn và máy trạm người dùng thử các công cụ như mtr để phát hiện mất gói giữa bạn và trang web từ xa. Nếu sự cố không phải là cục bộ đối với mạng của bạn thì các tùy chọn của bạn có thể bị giới hạn trong việc đăng nhập một trường hợp với nhà cung cấp của bạn hoặc đợi cho đến khi trang web từ xa vượt qua bất cứ điều gì khó hiểu.