Monitoramento de tráfego de rede

Qual é a melhor ferramenta para monitorar / analisar o tráfego de rede em uma rede inteira (várias sub-redes)?

Estou procurando algo que me ajude a solucionar problemas de largura de banda quando, por exemplo, os usuários começarem a reclamar que a "rede está lenta"

Suponho que você tenha um roteador / switch comercial, provavelmente ele possui SNMP, que você pode combinar com o MRTG para obter um bom gráfico de tráfego.

Eu acho que sua melhor aposta será uma mistura de cactos e ntop .

O ntop fornecerá informações sobre o tráfego na sua rede, como os hosts que mais consomem ... qual tráfego está causando lentidão, etc ...

O Cacti fornecerá tendências de longo prazo sobre o consumo de largura de banda, para que você possa saber como o tráfego de rede mudou ao longo do tempo.

Quando você tem usuários relatando 'problemas de rede', o problema pode estar relacionado a vários problemas (roteamento, comutação, configuração de host, unicast, multicast, política de segurança, falha de hardware). É muito improvável que você encontre um software para monitorar todos os seus diferentes problemas em potencial.

Em vez disso, concentre-se em duas coisas:

• Instrumentação : crie uma estratégia de monitoramento que permita monitorar proativamente as falhas que ocorrem regularmente. Veja esta resposta anterior para mais detalhes.

• Solução de problemas : crie uma série rápida e padrão de testes que você pode executar para tentar imediatamente isolar onde está o problema e publique-o para seus usuários.

Alguns exemplos de testes:

• executar ping no seu gateway padrão
• executar ping em outro host na mesma sub-rede
• executar ping em um host de sub-rede
• que tipo de perda de pacotes você está recebendo?
• os resultados variam com o tamanho do pacote?
• você pode telnet com sucesso da linha de comando para o IP / porta de destino?

Esses tipos de diagnósticos simples costumam apontar você muito rapidamente na direção certa. Finalmente, se você puder, sempre obtenha um IP de origem, um IP de destino e uma porta de destino. Experimente e eduque seus usuários; queixas ambíguas como 'a rede está lenta' não podem ser facilmente diagnosticadas.

Tente MRTG e / ou ntop .

Eu tenho usado o smoothwall em casa com muito sucesso, ele faz um ótimo trabalho monitorando o tráfego e muito mais.

Ele também vem em uma edição corporativa que faz algumas coisas mais chiques.

Eu estava tentando descobrir por que continuava ficando sem largura de banda (na Austrália, temos limites), a culpa foi minha :)

Estou trabalhando em uma organização que possui uma rede de pequeno a médio porte (~ 500 usuários) e cerca de uma dúzia / 24 sub-redes (e várias outras menores por trás do NAT). Utilizamos um software de monitoramento variado que nos permite acompanhar as partes remotas da rede e responder a problemas de forma proativa.

• SNMP - Isso forma a base do nosso sistema de monitoramento. Toda a infraestrutura de rede, no mínimo, precisa oferecer suporte ao SNMP e ao log em um servidor central via syslog.
• OpenNMS - Usado principalmente para monitoramento de eventos, embora estejamos começando a usá-lo para rastreamento de ativos e desempenho. Monitoro constantemente o OpenNMS. Se houver um problema com a rede, quero saber antes que alguém me ligue.
• SFlow / Netflow - Isso é realmente útil para determinar quanto tráfego está fluindo através de qual parte da rede e qual host está gerando esse tráfego (ou seja, os principais oradores / principais ouvintes).
• Fumo - usado principalmente para rastreamento de latência e conectividade, principalmente para pontes sem fio ou outras conexões problemáticas.
• MRTG - O monitoramento de tráfego em dispositivos de infraestrutura que não oferecem suporte ao SFlow / Netflow é feito com o MRTG.
• "Probes" da rede Linux - Algumas partes da nossa rede não são alcançáveis ​​por design e possuem conexões fisicamente distintas separadas. Uma estação de trabalho antiga com uma instalação do Linux com um ponto de presença nos dois segmentos de rede nos permite acompanhar esses segmentos usando ferramentas como o Smokeping e o MRTG acima mencionados, mas também qualquer uma das ferramentas úteis de linha de comando, como ntop, tcpdump, tcptraceroute, httping e o venerável ping.
• Sistema TippingPoint IPS - é basicamente o Snort em uma caixa preta . Embora seja completamente dependente do reconhecimento de padrões, o sistema TippingPoint fica na extremidade da rede e nos permite procurar eventos interessantes da camada 7 (malware, varredura, estranheza TCP / IP, etc.).
• BlueCoat Packeteer - Esse é principalmente um dispositivo de QoS e de filtragem da Web, mas fornece uma boa visão de alto nível do tráfego de entrada e saída da camada 7. Por exemplo: Não é de surpreender que 80% do nosso tráfego de entrada seja HTTP, mas quanto disso é o Facebook, Pandora, YouTube etc.? Ele também fornece uma lista dos principais oradores / ouvintes por aplicativo, o que novamente é uma informação interessante.
• O Wavemon e um laptop com uma placa sem fio decente são usados ​​para monitoramento e solução de problemas sem fio 802.11 como um substituto substancialmente mais barato para o Fluke AirCheck . O Fluke suporta 5Ghz (que algumas de nossas pontes sem fio usam) e pode captar tráfego que não seja o 801.11 e é uma ferramenta de RF útil, mas é difícil recomendá-lo por causa do custo.

Confira os produtos do VSS Monitoring . Eles têm vários produtos em linha à prova de falhas para monitorar o tráfego de rede remotamente. Depois de examiná-los na (s) sua (s) rede (s) e na espinha dorsal, é tão bom quanto estar lá.

Se você possui um roteador capaz de relatar fluxos de rede, procure um manipulador de fluxo de rede. Onde o MRTG fornecerá a utilização do link, os fluxos de rede relatam o uso de IP e protocolo fluindo pelo roteador. Portanto, em vez de "Suzy na contabilidade usando muito tráfego" ou "A porta em que o WAP está possui alta utilização", você pode ver "Suzy na contabilidade é 10% do tráfego da LAN, 40% da mídia de streaming e 50% da Internet Tráfego HTTP.

Infelizmente, não tenho uma recomendação para um agregador de fluxo livre. Depois que uma empresa de monitoramento de rede tentou vender uma solução para minha empresa e eu determinei que todo o seu produto se baseava em fluxos de rede, anotei a pesquisa. Antes de começar, compramos outra solução NOC que também incluía um agregador de fluxo.

Eu uso o Wireshark há anos. Adoro.

Primeiro de tudo, eles são usuários queixam-se da sua rede local?

O servidor de arquivos está lento!

ou eles estão reclamando de sites remotos?

O Facebook está lento! Eu não posso fazer o meu trabalho!

Se for o primeiro, eu começaria com o servidor de arquivos em questão e trabalharia para trás. Antes de mais nada, verifique o servidor de arquivos, é uma utilização fora do comum? Verifique a interface pela qual o tráfego do usuário flui. Está atrelado? A negociação automática está ativada? Está ativado nos dois extremos ...

Se tudo parecer ok e o servidor não estiver sob carga indevida, tente os roteadores e os switches no caminho entre o usuário e o servidor. Eles estão sobrecarregados? neg automático ativado? verifique se há erros nos contadores de interface.

Se isso não parecer nada de errado, o problema pode ser local para a estação de trabalho dos usuários. Está sob carga indevida? Existem erros de hardware (erros de disco causando bloqueio enquanto o firmware tenta novamente)? A máquina está com pouca memória real (paginação do firefox com dificuldade)?

Isso costuma resolver 99% dos problemas.

Dependendo da frequência com que você deve lidar com essas solicitações, você pode preferir reverter a ordem dessas etapas.

Como alternativa, se houver um problema com um site remoto, após a depuração da rede e a estação de trabalho dos usuários, tente ferramentas como mtr para detectar a perda de pacotes entre você e o site remoto. Se o problema não for local na sua rede, é provável que suas opções estejam limitadas ao registro de um caso com o seu provedor ou à espera até que o site remoto supere qualquer problema que esteja ocorrendo.