การตรวจสอบเครือข่ายการจราจร

เครื่องมือที่ดีที่สุดในการตรวจสอบ / วิเคราะห์ทราฟฟิกเครือข่ายในเครือข่ายทั้งหมดคืออะไร (หลายเครือข่ายย่อย)

ฉันกำลังมองหาบางอย่างที่จะช่วยฉันเพิ่มปัญหาแบนด์วิดท์เป็นสองเท่าเมื่อผู้ใช้เริ่มบ่นว่า "เครือข่ายช้า"

ฉันสมมติว่าคุณมีเราเตอร์ / สวิตช์เชิงพาณิชย์น่าจะมีSNMPซึ่งคุณสามารถใช้ร่วมกับMRTGเพื่อกราฟการจราจรที่ดี

ผมคิดว่าทางออกที่ดีที่สุดของคุณเป็นไปได้ที่มีส่วนผสมของCactiและNTOP

ntop จะให้ข้อมูลเกี่ยวกับทราฟฟิกของคุณบนเครือข่ายของคุณเช่นโฮสต์ที่ใช้งานมากที่สุด ... ทราฟฟิกใดที่ทำให้เกิดการชะลอตัว ฯลฯ

Cacti จะให้แนวโน้มระยะยาวเกี่ยวกับปริมาณการใช้แบนด์วิดท์ของคุณเพื่อให้คุณสามารถบอกได้ว่าเครือข่ายของคุณมีการเปลี่ยนแปลงตลอดเวลาอย่างไร

เมื่อคุณมีผู้ใช้รายงาน 'ปัญหาเครือข่าย' ปัญหาอาจเกี่ยวข้องกับปัญหามากมาย (การกำหนดเส้นทางการสลับการกำหนดค่าโฮสต์ยูนิคาสต์มัลติคาสต์นโยบายความปลอดภัยฮาร์ดแวร์ล้มเหลว) ไม่น่าเป็นไปได้มากที่คุณจะพบซอฟต์แวร์หนึ่งชิ้นเพื่อตรวจสอบปัญหาที่อาจเกิดขึ้นทั้งหมดของคุณ

ให้เน้นไปที่สองสิ่งแทน:

• การประพันธ์ดนตรี : มาพร้อมกับกลยุทธ์การตรวจสอบที่ช่วยให้คุณตรวจสอบความผิดพลาดที่เกิดขึ้นเป็นประจำ ดูคำตอบก่อนหน้านี้สำหรับรายละเอียดเพิ่มเติม

• การแก้ไขปัญหา : มาพร้อมกับชุดการทดสอบมาตรฐานที่รวดเร็วที่คุณสามารถเรียกใช้เพื่อลองและแยกปัญหาที่อาจเกิดขึ้นทันทีและเผยแพร่ให้ผู้ใช้ของคุณทราบ

ตัวอย่างการทดสอบ:

• ping เกตเวย์เริ่มต้นของคุณ
• ping โฮสต์อื่นในซับเน็ตเดียวกัน
• ping โฮสต์เครือข่ายย่อยปิด
• คุณได้รับแพ็กเก็ตสูญเสียประเภทใด
• ผลลัพธ์แตกต่างกันไปตามขนาดแพ็คเก็ตหรือไม่
• คุณสามารถ telnet จากบรรทัดคำสั่งไปยังปลายทาง IP / พอร์ตได้สำเร็จหรือไม่

การวินิจฉัยแบบง่าย ๆ เหล่านี้มักจะชี้ให้คุณอย่างรวดเร็วในทิศทางที่ถูกต้อง ในที่สุดหากคุณสามารถรับ IP ต้นทางเสมอ IP ปลายทางและพอร์ตปลายทาง ลองและให้ความรู้แก่ผู้ใช้ของคุณ การร้องเรียนที่น่าสงสัยเช่น 'เครือข่ายช้า' ไม่สามารถวินิจฉัยได้ง่าย

ลองMRTGและ / หรือntop

ฉันใช้สมูทวอลล์ที่บ้านด้วยความสำเร็จที่ยิ่งใหญ่มันทำงานได้ยอดเยี่ยมในการตรวจสอบปริมาณการใช้งานและอีกมากมาย

มันมาในรุ่นองค์กรเช่นเดียวกับที่ทำสิ่งที่แฟนซีมากขึ้น

ฉันพยายามคิดว่าทำไมฉันถึงใช้แบนด์วิดท์เหลืออยู่ (ในออสเตรเลียเรามีขีด จำกัด ) ปรากฎว่ามันเป็นความผิดของฉัน :)

ฉันทำงานในองค์กรที่มีเครือข่ายขนาดเล็กถึงขนาดกลาง (ผู้ใช้ประมาณ 500 คน) และเครือข่ายย่อยประมาณ 24 โหล (และเครือข่ายขนาดเล็กจำนวนหนึ่งที่อยู่เบื้องหลัง NAT) เราใช้ซอฟต์แวร์ตรวจสอบที่หลากหลายที่ช่วยให้เราสามารถติดตามดูแท็บในส่วนที่ห่างไกลของเครือข่ายและตอบสนองต่อปัญหาเชิงรุก

• SNMP - สิ่งนี้เป็นพื้นฐานของระบบการตรวจสอบของเรา โครงสร้างพื้นฐานเครือข่ายทั้งหมดที่ต้องการขั้นต่ำเพื่อสนับสนุน SNMP และการเข้าสู่เซิร์ฟเวอร์กลางผ่าน syslog
• OpenNMS - ใช้สำหรับการตรวจสอบเหตุการณ์เป็นหลักแม้ว่าเราจะเริ่มใช้เพื่อการติดตามสินทรัพย์และประสิทธิภาพ ฉันติดตาม OpenNMS อย่างต่อเนื่อง หากมีปัญหากับเครือข่ายฉันต้องการทราบเกี่ยวกับมันก่อนที่จะมีคนโทรหาฉัน
• SFlow / Netflow - สิ่งนี้มีประโยชน์จริง ๆ ในการกำหนดปริมาณการรับส่งข้อมูลที่ไหลผ่านส่วนใดของเครือข่ายและโฮสต์ใดที่สร้างปริมาณการใช้งานนั้น (เช่นนักพูดอันดับต้น ๆ / ผู้ฟังอันดับต้น ๆ )
• Smokeping - ส่วนใหญ่จะใช้สำหรับการหน่วงเวลาและการติดตามการเชื่อมต่อโดยเฉพาะอย่างยิ่งสำหรับบริดจ์ไร้สายหรือการเชื่อมต่อที่ยุ่งยากอื่น ๆ
• MRTG - การตรวจสอบสภาพการจราจรบนอุปกรณ์โครงสร้างพื้นฐานที่ไม่รองรับ SFlow / Netflow นั้นทำได้ด้วย MRTG
• Linux "Probes" เครือข่าย - บางส่วนของเครือข่ายของเราไม่สามารถเข้าถึงได้โดยการออกแบบและมีการเชื่อมต่อที่แยกจากกันทางกายภาพ เวิร์กสเตชันเก่าที่มีการติดตั้ง Linux ที่มีจุดแสดงตนบนทั้งสองส่วนของเครือข่ายทำให้เราสามารถจับตาดูเซ็กเมนต์เหล่านี้ได้โดยใช้เครื่องมือเช่น Smokeping และ MRTG ดังกล่าวข้างต้น แต่ยังมีเครื่องมือบรรทัดคำสั่งที่มีประโยชน์เช่น ntop, tcpdump tcptraceroute, httping และ ping ที่เคารพ
• TippingPoint IPS ระบบ - มันเป็นพื้นSnortในกล่องสีดำ ในขณะที่มันขึ้นอยู่กับการจดจำรูปแบบโดยสมบูรณ์ระบบ TippingPoint ตั้งอยู่บนขอบเครือข่ายและช่วยให้เราสามารถค้นหาเหตุการณ์ Layer-7 ที่น่าสนใจ (มัลแวร์การสแกนความแปลกประหลาดของ TCP / IP ฯลฯ )
• BlueCoat Packeteer - ส่วนใหญ่เป็นอุปกรณ์ QoS และการกรองเว็บ แต่ให้มุมมองระดับสูงที่ดีเกี่ยวกับสิ่งที่ Layer-7 ทางเข้าและทางออกของการจราจรติดขัด ตัวอย่างเช่น: ไม่น่าแปลกใจที่ 80% ของปริมาณการใช้ข้อมูลของเราคือ HTTP แต่ Facebook นั้นมีเท่าใดแพนดอร่า YouTube หรือไม่ นอกจากนี้ยังมีรายชื่อนักพูดอันดับต้น ๆ / ผู้ฟังอันดับต้น ๆ ในแต่ละแอปพลิเคชันซึ่งเป็นข้อมูลที่น่าสนใจอีกครั้ง
• Wavemonและแล็ปท็อปที่มีการ์ดไร้สายที่ดีจะใช้สำหรับการตรวจสอบไร้สาย 802.11 และการแก้ไขปัญหาเป็นอย่างมากทดแทนน้อยราคาแพงสำหรับFluke Aircheck Fluke รองรับ 5Ghz (ซึ่งบางส่วนของสะพานไร้สายของเราใช้) และสามารถรับส่งข้อมูลที่ไม่ใช่ 801.11 และเป็นเครื่องมือ RF ที่มีประโยชน์รอบตัว แต่ฉันมีเวลาแนะนำเพราะค่าใช้จ่าย

ตรวจสอบผลิตภัณฑ์จากการตรวจสอบ VSS พวกเขามีผลิตภัณฑ์ที่แตกต่างกันในสายการผลิตที่ไม่ปลอดภัยสำหรับการตรวจสอบการรับส่งข้อมูลเครือข่ายจากระยะไกล เมื่อคุณให้พวกเขาเข้ามาในเครือข่ายของคุณและบนกระดูกสันหลังมันก็ดีพอ ๆ กับการอยู่ที่นั่น

หากคุณมีเราเตอร์ที่สามารถรายงานเน็ตโฟลว์ให้ดูที่ตัวจัดการเน็ตโฟลว์ โดยที่ MRTG จะให้บริการการใช้ลิงก์ netflow จะรายงานการใช้ IP และโปรโตคอลที่ไหลผ่านเราเตอร์ ดังนั้นแทนที่จะ "Suzy ในบัญชีใช้ปริมาณข้อมูลมาก" หรือ "พอร์ต WAP เปิดอยู่มีการใช้ประโยชน์สูง" คุณจะเห็น "Suzy ในบัญชีมีปริมาณการใช้งาน 10% LAN, สื่อสตรีมมิ่ง 40% และอินเทอร์เน็ต 50% การรับส่งข้อมูล HTTP

น่าเสียดายที่ฉันไม่มีคำแนะนำสำหรับผู้รวบรวมโฟลว์ฟรี หลังจาก บริษัท ตรวจสอบเครือข่ายพยายามขายวิธีแก้ปัญหาให้ บริษัท ของฉันและฉันพิจารณาแล้วว่าผลิตภัณฑ์ทั้งหมดของพวกเขามาจาก netflows ฉันได้จดบันทึกเพื่อทำการวิจัย ก่อนที่ฉันจะไปถึงที่นั่นเราซื้อโซลูชัน NOC อื่นที่รวมตัวรวบรวมโฟลว์ด้วย

ฉันใช้Wiresharkมาหลายปีแล้ว รักมัน

ก่อนอื่นพวกเขาจะบ่นเกี่ยวกับเครือข่ายท้องถิ่นของคุณหรือไม่?

ไฟล์เซิร์ฟเวอร์ช้า!

หรือพวกเขาบ่นเกี่ยวกับเว็บไซต์ระยะไกล?

Facebook ช้า! ฉันทำงานของฉันไม่ได้!

หากเป็นรุ่นก่อนหน้าฉันจะเริ่มด้วย fileserver ที่เป็นปัญหาและทำงานย้อนหลัง ก่อนอื่นให้ตรวจสอบไฟล์เซิร์ฟเวอร์มันเป็นการใช้งานที่ผิดปกติหรือไม่? ตรวจสอบอินเตอร์เฟสที่ทราฟฟิกของผู้ใช้ไหลผ่าน มันตรึงไว้หรือเปล่า? เปิดใช้การเจรจาอัตโนมัติหรือไม่ เปิดใช้งานทั้งสองด้านหรือไม่ ...

หากทุกอย่างดูโอเคที่นั่นและเซิร์ฟเวอร์ไม่ได้โหลดเกินควรลองเราเตอร์และสวิตช์ในเส้นทางระหว่างผู้ใช้และเซิร์ฟเวอร์ มีมากเกินไปหรือไม่ เปิดใช้งาน neg อัตโนมัติหรือไม่ ตรวจสอบเคาน์เตอร์อินเทอร์เฟซสำหรับข้อผิดพลาด

หากปรากฏว่าไม่มีอะไรผิดปกติปัญหาอาจเกิดขึ้นในพื้นที่ทำงานของผู้ใช้ มันอยู่ภายใต้การโหลดเกินควร? มีข้อผิดพลาดของฮาร์ดแวร์หรือไม่ (ข้อผิดพลาดของดิสก์ทำให้เกิดการบล็อคขณะที่เฟิร์มแวร์ลองใหม่) เครื่องของพวกเขาเหลือน้อยในหน่วยความจำจริง (firefox paging hard) หรือไม่?

วิธีนี้แก้ปัญหาได้ 99%

ขึ้นอยู่กับความถี่ที่คุณต้องจัดการกับคำขอเหล่านี้คุณอาจต้องการกลับลำดับของขั้นตอนเหล่านี้

อีกทางหนึ่งถ้าเป็นปัญหากับไซต์ระยะไกลหลังจากแก้ไขข้อบกพร่องเครือข่ายของคุณและผู้ใช้เวิร์กสเตชันลองใช้เครื่องมือเช่น mtr เพื่อตรวจหาการสูญหายของแพ็กเก็ตระหว่างคุณและไซต์ระยะไกล หากปัญหาไม่ได้อยู่ในเครือข่ายของคุณตัวเลือกของคุณอาจถูก จำกัด การบันทึกเคสกับผู้ให้บริการของคุณหรือรอจนกว่าไซต์ระยะไกลจะผ่านสิ่งที่มันกำลังมีปัญหา