Pemantauan Lalu Lintas Jaringan

Apa alat terbaik untuk memantau / menganalisis lalu lintas jaringan di seluruh jaringan (beberapa subnet)?

Saya mencari sesuatu yang akan membantu saya memecahkan masalah bandwidth ketika, misalnya, pengguna mulai mengeluh bahwa "jaringan lambat"

Saya berasumsi Anda memiliki router / switch komersial, kemungkinan besar memiliki SNMP yang dapat Anda gabungkan dengan MRTG untuk grafik traffic yang bagus.

Saya pikir taruhan terbaik Anda adalah campuran Cacti dan Ntop .

ntop akan memberi Anda informasi tentang lalu lintas di jaringan Anda, seperti host yang paling banyak mengonsumsi ... lalu lintas apa yang menyebabkan pelambatan, dll ...

Cacti akan memberikan tren jangka panjang tentang konsumsi bandwidth Anda sehingga Anda dapat mengetahui bagaimana lalu lintas jaringan Anda berubah seiring waktu.

Ketika Anda memiliki pengguna yang melaporkan 'masalah jaringan', masalahnya bisa berhubungan dengan banyak masalah (perutean, pengalihan, konfigurasi host, unicast, multicast, kebijakan keamanan, kegagalan perangkat keras). Sangat tidak mungkin Anda akan menemukan satu perangkat lunak untuk memantau semua masalah potensial Anda yang berbeda.

Sebaliknya, fokuslah pada dua hal:

• Instrumentasi : datang dengan strategi pemantauan yang memungkinkan Anda secara proaktif memantau kesalahan yang terjadi secara teratur. Lihat jawaban sebelumnya untuk lebih detail.

• Pemecahan masalah : datang dengan serangkaian cepat, tes standar yang dapat Anda jalankan untuk segera mencoba dan mengisolasi di mana masalah mungkin, dan mempublikasikannya kepada pengguna Anda.

Beberapa contoh tes:

• ping gateway default Anda
• ping host lain di subnet yang sama
• melakukan ping ke subnet host
• paket apa yang Anda dapatkan?
• apakah hasilnya berbeda dengan ukuran paket?
• dapatkah Anda berhasil telnet dari baris perintah ke IP / port tujuan?

Jenis-jenis diagnosa sederhana ini seringkali dapat mengarahkan Anda dengan sangat cepat ke arah yang benar. Akhirnya, jika Anda bisa, selalu dapatkan IP sumber, IP tujuan, dan port tujuan. Coba dan edukasi pengguna Anda; keluhan-keluhan yang membingungkan seperti 'jaringan lambat' tidak dapat dengan mudah didiagnosis.

Coba MRTG dan / atau ntop .

Saya telah menggunakan smoothwall di rumah dengan sukses besar, ia melakukan pekerjaan yang baik memonitor lalu lintas dan banyak lagi.

Itu datang dalam edisi perusahaan juga yang melakukan beberapa hal yang lebih mewah.

Saya mencoba mencari tahu mengapa saya terus kehabisan bandwidth (di Australia kami memiliki batasan) ternyata itu salah saya :)

Saya bekerja di organisasi yang memiliki jaringan kecil hingga menengah (~ 500 pengguna) dan sekitar selusin / 24 subnet (dan beberapa yang lebih kecil di belakang NAT). Kami menggunakan berbagai perangkat lunak pemantauan yang memungkinkan kami mengawasi bagian-bagian jaringan yang jauh dan merespons masalah secara proaktif.

• SNMP - Ini membentuk dasar dari sistem pemantauan kami. Semua infrastruktur jaringan, minimal harus mendukung SNMP dan masuk ke server pusat melalui syslog.
• OpenNMS - Terutama digunakan untuk pemantauan acara, meskipun kami mulai menggunakannya untuk pelacakan aset dan kinerja. Saya selalu memonitor OpenNMS. Jika ada masalah dengan jaringan, saya ingin mengetahuinya sebelum seseorang memanggil saya.
• SFlow / Netflow - Ini benar-benar berguna untuk menentukan berapa banyak lalu lintas yang mengalir melalui bagian mana dari jaringan dan host mana yang menghasilkan lalu lintas tersebut (yaitu, pembicara top / pendengar top).
• Perokok - Ini sebagian besar digunakan untuk pelacakan latensi dan konektivitas, terutama untuk jembatan nirkabel atau koneksi bermasalah lainnya.
• MRTG - Pemantauan lalu lintas pada perangkat infrastruktur yang tidak mendukung SFlow / Netflow dilakukan dengan MRTG.
• "Probe" Jaringan Linux - Beberapa bagian dari jaringan kami tidak dapat dijangkau oleh desain dan memiliki koneksi terpisah yang terpisah secara fisik. Sebuah workstation lama dengan instalasi Linux yang memiliki titik keberadaan pada kedua segmen jaringan memungkinkan kita untuk mengawasi segmen-segmen ini menggunakan alat-alat seperti Smokeping dan MRTG yang disebutkan di atas, tetapi juga salah satu alat baris perintah yang berguna seperti ntop, tcpdump, tcptraceroute, httping, dan ping yang dimuliakan.
• TippingPoint IPS System - Ini pada dasarnya Snort dalam kotak hitam . Meskipun sepenuhnya tergantung pada pengenalan pola, sistem TippingPoint berada di tepi jaringan dan memungkinkan kami untuk mencari acara Layer-7 yang menarik (malware, pemindaian, keanehan TCP / IP, dll.).
• BlueCoat Packeteer - Ini sebagian besar adalah QoS dan perangkat penyaringan web tetapi memberikan tampilan tingkat tinggi yang bagus tentang apa yang dimasukkan oleh Layer-7 dan lalu lintas keluar masuk. Misalnya: Tidak mengherankan bahwa 80% dari lalu lintas masuk kami adalah HTTP, tetapi berapa banyak dari itu adalah Facebook, Pandora, YouTube, dll? Ini juga menyediakan daftar pembicara top / top pendengar berdasarkan aplikasi, yang lagi-lagi adalah informasi yang menarik.
• Wavemon dan laptop dengan kartu nirkabel yang layak digunakan untuk pemantauan dan pemecahan masalah nirkabel 802.11 sebagai pengganti yang jauh lebih murah untuk Fluke AirCheck . Fluke mendukung 5Ghz (yang beberapa jembatan nirkabel kami gunakan) dan dapat mengambil lalu lintas non-801.11 dan merupakan alat RF yang berguna, tetapi saya kesulitan merekomendasikannya karena biayanya.

Lihatlah produk-produk dari VSS Monitoring . Mereka memiliki beberapa produk in-line gagal aman yang berbeda untuk memantau lalu lintas jaringan dari jarak jauh. Setelah Anda mengintip ke jaringan Anda dan di tulang punggung, itu sama saja dengan berada di sana.

Jika Anda memiliki router yang mampu melaporkan netflows, lihat handler netflow. Di mana MRTG akan menyediakan pemanfaatan tautan, netflows melaporkan IP dan penggunaan protokol mengalir melalui router. Jadi, alih-alih "Suzy dalam akuntansi menggunakan banyak lalu lintas" atau "Port yang digunakan WAP memiliki pemanfaatan tinggi", Anda dapat melihat "Suzy dalam akuntansi adalah 10% lalu lintas LAN, 40% media streaming, dan 50% internet Lalu lintas HTTP.

Sayangnya saya tidak memiliki rekomendasi untuk agregator aliran bebas. Setelah perusahaan pemantau netto mencoba menjual perusahaan saya solusi dan saya memutuskan bahwa seluruh produk mereka didasarkan pada arus neto, saya membuat catatan untuk merisetnya. Sebelum saya sampai di sana kami membeli solusi NOC lain yang juga termasuk pengumpul aliran.

Saya telah menggunakan Wireshark selama bertahun-tahun. Suka.

Pertama-tama, apakah mereka mengeluh tentang jaringan lokal Anda?

Server file lambat!

atau mereka mengeluh tentang situs web jarak jauh?

Facebook lambat! Saya tidak bisa melakukan pekerjaan saya!

Jika yang pertama, maka saya akan mulai dengan fileserver yang dimaksud dan bekerja mundur. Pertama-tama periksa fileserver, apakah pemanfaatannya tidak seperti biasanya? Periksa antarmuka tempat lalu lintas pengguna mengalir. Apakah dipatok? Apakah negosiasi otomatis diaktifkan? Apakah ini diaktifkan di kedua ujung ...

Jika semuanya terlihat ok di sana dan server tidak berada di bawah beban yang tidak semestinya, coba perute dan sakelar di jalur antara pengguna dan server. Apakah mereka kelebihan beban? auto neg diaktifkan? periksa penghitung antarmuka untuk kesalahan.

Jika tampaknya tidak ada yang salah, maka masalahnya mungkin lokal untuk stasiun kerja pengguna. Apakah itu di bawah beban yang tidak semestinya? Apakah ada kesalahan perangkat keras (kesalahan disk yang menyebabkan pemblokiran saat firmware mencoba ulang)? Apakah mesin mereka kehabisan memori nyata (paging firefox keras)?

Ini biasa memecahkan 99% masalah.

Bergantung pada frekuensi Anda harus berurusan dengan permintaan ini, Anda dapat memilih untuk membalik urutan langkah-langkah ini.

Atau jika itu masalah dengan situs jarak jauh, setelah men-debug jaringan Anda, dan workstation pengguna mencoba alat-alat seperti mtr untuk mendeteksi kehilangan paket antara Anda dan situs jarak jauh. Jika masalahnya bukan lokal ke jaringan Anda, maka opsi Anda mungkin terbatas pada pencatatan kasus dengan penyedia Anda, atau menunggu hingga situs jarak jauh menyelesaikan masalah apa pun yang dimilikinya.