Surveillance du trafic réseau

Quel est le meilleur outil pour surveiller / analyser le trafic réseau sur un réseau entier (plusieurs sous-réseaux)?

Je cherche quelque chose qui m'aidera à résoudre les problèmes de bande passante lorsque, par exemple, les utilisateurs commencent à se plaindre que le "réseau est lent"

Je suppose que vous avez un routeur / commutateur commercial, il a très probablement SNMP que vous pouvez combiner avec MRTG pour un joli graphique de trafic.

Je pense que votre meilleur pari sera un mélange de cactus et de Ntop .

ntop va vous fournir des informations sur le trafic sur votre réseau, comme les hôtes qui consomment le plus ... quel trafic provoque des ralentissements, etc ...

Cacti va donner des tendances à long terme sur votre consommation de bande passante afin que vous puissiez voir comment votre trafic réseau a changé au fil du temps.

Lorsque des utilisateurs signalent des `` problèmes de réseau '', le problème peut être lié à une multitude de problèmes (routage, commutation, configuration d'hôte, unicast, multicast, politique de sécurité, panne matérielle). Il est très peu probable que vous trouviez un logiciel pour surveiller tous vos différents problèmes potentiels.

Au lieu de cela, concentrez-vous sur deux choses:

• Instrumentation : élaborez une stratégie de surveillance qui vous permet de surveiller de manière proactive les erreurs qui se produisent régulièrement. Voir cette réponse précédente pour plus de détails.

• Dépannage : proposez une série de tests standard rapides que vous pouvez exécuter pour essayer immédiatement d'isoler où le problème pourrait être et le publier auprès de vos utilisateurs.

Quelques exemples de tests:

• envoyez une requête ping à votre passerelle par défaut
• ping un autre hôte sur le même sous-réseau
• envoyer un ping à un hôte de sous-réseau
• quel type de perte de paquets obtenez-vous?
• les résultats varient-ils selon la taille du paquet?
• pouvez-vous réussir à telnet de la ligne de commande vers l'IP / port de destination?

Ces types de diagnostics simples peuvent souvent vous orienter très rapidement dans la bonne direction. Enfin, si vous le pouvez, obtenez toujours une IP source, une IP de destination et un port de destination. Essayez d'éduquer vos utilisateurs; les plaintes ambigües comme «le réseau est lent» ne peuvent pas être facilement diagnostiquées.

Essayez MRTG et / ou ntop .

J'utilise le mur lisse à la maison avec beaucoup de succès, il fait un excellent travail de surveillance du trafic et une tonne de plus.

Il vient également dans une édition d'entreprise qui fait des trucs plus fantaisistes.

J'essayais de comprendre pourquoi j'ai continué à manquer de bande passante (en Australie, nous avons des limites), c'est ma faute :)

Je travaille dans une organisation qui possède un réseau de petite à moyenne taille (~ 500 utilisateurs) et environ une douzaine / 24 sous-réseaux (et une poignée de plus petits derrière NAT). Nous utilisons un logiciel de surveillance varié qui nous permet de garder un œil sur les parties distantes du réseau et de répondre aux problèmes de manière proactive.

• SNMP - Ceci constitue la base de notre système de surveillance. Toute l'infrastructure réseau doit au minimum prendre en charge SNMP et se connecter à un serveur central via syslog.
• OpenNMS - Principalement utilisé pour la surveillance des événements, bien que nous commencions à l'utiliser pour le suivi des actifs et des performances. Je surveille constamment OpenNMS. S'il y a un problème avec le réseau, je veux le savoir avant que quelqu'un m'appelle.
• SFlow / Netflow - Ceci est vraiment utile pour déterminer la quantité de trafic qui circule à travers quelle partie du réseau et quel hôte génère ce trafic (c.-à-d. Les meilleurs interlocuteurs / meilleurs auditeurs).
• Smokeping - Ceci est principalement utilisé pour le suivi de la latence et de la connectivité, en particulier pour les ponts sans fil ou autres connexions gênantes.
• MRTG - La surveillance du trafic sur les périphériques d'infrastructure qui ne prennent pas en charge SFlow / Netflow se fait avec MRTG.
• "Sondes" du réseau Linux - Certaines parties de notre réseau ne sont pas accessibles par conception et ont des connexions physiques distinctes distinctes. Un ancien poste de travail avec une installation Linux qui a un point de présence sur les deux segments de réseau nous permet de garder un œil sur ces segments en utilisant des outils tels que Smokeping et MRTG susmentionnés, mais aussi l'un des outils de ligne de commande utiles tels que ntop, tcpdump, tcptraceroute, httping et le vénérable ping.
• Système IPS TippingPoint - Il s'agit essentiellement de Snort dans une boîte noire . Bien qu'il dépende entièrement de la reconnaissance des formes, le système TippingPoint se trouve à la périphérie du réseau et nous permet de rechercher des événements de couche 7 intéressants (logiciels malveillants, numérisation, bizarrerie TCP / IP, etc.).
• BlueCoat Packeteer - Il s'agit principalement d'un dispositif de filtrage QoS et Web, mais il donne une belle vue de haut niveau de ce que le trafic d'entrée et de sortie de la couche 7 se décompose. Par exemple: il n'est pas surprenant que 80% de notre trafic entrant soit HTTP, mais quelle part de Facebook, Pandora, YouTube, etc.? Il fournit également une liste des meilleurs orateurs / principaux auditeurs par application, ce qui est encore une fois des informations intéressantes.
• Wavemon et un ordinateur portable avec une carte sans fil décente sont utilisés pour la surveillance et le dépannage sans fil 802.11 en remplacement substantiellement moins cher d'un Fluke AirCheck . Le Fluke prend en charge le 5 GHz (que certains de nos ponts sans fil utilisent) et peut capter du trafic non 801.11 et est un outil RF utile tout autour, mais j'ai du mal à le recommander en raison du coût.

Découvrez les produits de VSS Monitoring . Ils ont plusieurs produits de sécurité en ligne différents pour surveiller le trafic réseau à distance. Une fois que vous les avez regardés dans votre ou vos réseaux et sur la dorsale, c'est comme si vous y étiez.

Si vous disposez d'un routeur capable de signaler les flux nets, recherchez un gestionnaire de flux net. Là où MRTG fournira l'utilisation des liaisons, les flux nets signalent l'utilisation de l'IP et du protocole passant par le routeur. Ainsi, au lieu de «Suzy dans la comptabilité en utilisant beaucoup de trafic» ou «Le port sur lequel le WAP est utilisé a une utilisation élevée», vous pouvez voir «Suzy dans la comptabilité est de 10% du trafic LAN, 40% des médias en streaming et 50% d'Internet Trafic HTTP.

Malheureusement, je n'ai pas de recommandation pour un agrégateur de flux libre. Après qu'une entreprise de surveillance du réseau ait essayé de vendre une solution à mon entreprise et que j'ai déterminé que l'ensemble de son produit était basé sur des flux nets, j'ai pris une note pour les rechercher. Avant d'y arriver, nous avons acheté une autre solution NOC qui comprenait également un agrégateur de flux.

J'utilise Wireshark depuis des années. Aimer.

Tout d'abord, s'agit-il d'utilisateurs se plaignant de votre réseau local?

Le serveur de fichiers est lent!

ou se plaignent-ils de sites Web distants?

Facebook est lent! Je ne peux pas faire mon travail!

Si c'est le premier, je commencerais par le serveur de fichiers en question et travaillerais en arrière. Vérifiez d'abord le serveur de fichiers, son utilisation est-elle hors du commun? Vérifiez l'interface sur laquelle le trafic utilisateur circule. Est-il ancré? La négociation automatique est-elle activée? Est-il activé aux deux extrémités ...

Si tout semble correct là-bas et que le serveur n'est pas soumis à une charge excessive, essayez les routeurs et commutateurs dans le chemin entre l'utilisateur et le serveur. Sont-ils surchargés? négation automatique activée? vérifiez les compteurs d'interface pour les erreurs.

Si cela ne semble pas être un problème, le problème peut être local au poste de travail des utilisateurs. Est-il sous une charge excessive? Y a-t-il des erreurs matérielles (des erreurs de disque provoquant un blocage pendant la relance du firmware)? Leur machine manque-t-elle de mémoire réelle (la pagination de Firefox est-elle difficile)?

Cela résout habituellement 99% des problèmes.

Selon la fréquence à laquelle vous devez traiter ces demandes, vous pouvez préférer inverser l'ordre de ces étapes.

Alternativement, s'il s'agit d'un problème avec un site distant, après le débogage de votre réseau et la station de travail des utilisateurs, essayez des outils comme mtr pour détecter la perte de paquets entre vous et le site distant. Si le problème n'est pas local sur votre réseau, vos options sont probablement limitées à l'enregistrement d'un cas avec votre fournisseur ou à l'attente que le site distant se remette de tout ce qu'il a.