네트워크 트래픽 모니터링

전체 네트워크 (여러 서브넷)에서 네트워크 트래픽을 모니터링 / 분석하는 가장 좋은 도구는 무엇입니까?

예를 들어 사용자가 "네트워크 속도가 느리다"고 불평 할 때 대역폭 문제를 해결하는 데 도움이되는 것을 찾고 있습니다.

상용 라우터 / 스위치가 있다고 가정하면 SNMP 를 사용하여 MRTG 와 결합 하여 멋진 트래픽 그래프 를 얻을 수 있습니다 .

나는 당신의 최선의 방법은 Cacti 와 Ntop 의 혼합 일 것이라고 생각합니다 .

ntop은 가장 많이 소비하는 호스트와 같은 네트워크 트래픽에 대한 정보를 제공합니다. 트래픽이 느려지는 원인 등.

Cacti는 대역폭 소비에 대한 장기적인 트렌드를 제시하여 시간이 지남에 따라 네트워크 트래픽이 어떻게 변했는지 알 수 있습니다.

'네트워크 문제'를보고하는 사용자가있는 경우 문제는 여러 가지 문제 (라우팅, 전환, 호스트 구성, 유니 캐스트, 멀티 캐스트, 보안 정책, 하드웨어 오류)와 관련이있을 수 있습니다. 서로 다른 잠재적 인 문제를 모두 모니터링 할 소프트웨어를 찾을 가능성은 거의 없습니다.

대신 두 가지에 집중하십시오.

• 계측 : 정기적으로 발생하는 결함을 사전에 모니터링 할 수있는 모니터링 전략을 제시합니다. 자세한 내용은이 이전 답변 을 참조하십시오 .

• 문제 해결 : 문제가있는 위치를 즉시 찾아 격리하고 사용자에게 게시하기 위해 실행할 수있는 신속하고 표준적인 일련의 테스트가 제공됩니다.

몇 가지 예제 테스트 :

• 기본 게이트웨이 핑
• 동일한 서브넷에서 다른 호스트를 ping
• 오프 서브넷 호스트 핑
• 어떤 종류의 패킷 손실이 발생합니까?
• 패킷 크기에 따라 결과가 달라 집니까?
• 명령 행에서 대상 IP / 포트로 텔넷 할 수 있습니까?

이러한 종류의 간단한 진단은 종종 올바른 방향으로 매우 빠르게 지시 할 수 있습니다. 마지막으로 가능하면 항상 소스 IP, 대상 IP 및 대상 포트를 얻습니다. 사용자를 교육하고 교육하십시오. '네트워크 속도가 느립니다'와 같은 모호한 불만은 쉽게 진단 할 수 없습니다.

MRTG 및 / 또는 ntop을 시도하십시오 .

나는 집에서 smoothwall 을 사용하여 큰 성공을 거두었으며 트래픽과 톤을 더 많이 모니터링합니다.

그것은 더 멋진 일을하는 기업 판으로도 제공됩니다.

대역폭이 계속 부족한 이유를 알아 내려고 노력했습니다 (호주에는 한계가 있음). 내 잘못이라고 밝혀졌습니다. :)

저는 중소 규모의 네트워크 (최대 500 명의 사용자)와 약 12 ​​개의 / 24 서브넷 (및 NAT 뒤에있는 소수의 작은 서브넷)을 가진 조직에서 일하고 있습니다. 우리는 네트워크의 원격 부분에 대한 탭을 유지하고 문제에 능동적으로 대응할 수있는 다양한 모니터링 소프트웨어를 사용합니다.

• SNMP- 모니터링 시스템의 기초를 형성합니다. 모든 네트워크 인프라는 최소한 syslog를 통해 SNMP 및 중앙 서버에 로깅을 지원해야합니다.
• OpenNMS- 자산 및 성능 추적에 사용하기 시작했지만 주로 이벤트 모니터링에 사용됩니다. OpenNMS를 지속적으로 모니터링합니다. 네트워크에 문제가있는 경우 누군가 전화하기 전에 네트워크에 대해 알고 싶습니다.
• SFlow / Netflow- 네트워크의 어느 부분을 통해 얼마나 많은 트래픽이 흐르고 있으며 어떤 호스트가 해당 트래픽을 생성하는지 (즉, 최상위 통화 자 / 상위 리스너)를 결정하는 데 실제로 유용합니다.
• 흡연 -대기 시간 및 연결 추적, 특히 무선 브리지 또는 기타 까다로운 연결에 주로 사용됩니다.
• MRTG -SFlow / Netflow를 지원하지 않는 인프라 장치의 트래픽 모니터링은 MRTG로 수행됩니다.
• Linux 네트워크 "프로브"-네트워크의 일부는 의도적으로 도달 할 수 없으며 물리적으로 분리 된 개별 연결이 있습니다. 두 네트워크 세그먼트에 모두 존재하는 Linux 설치가있는 오래된 워크 스테이션을 사용하면 위에서 언급 한 Smokeping 및 MRTG와 같은 도구를 사용하여 neg, tcpdump, tcptraceroute, httping 및 유서 깊은 핑.
• TippingPoint IPS 시스템 -기본적으로 블랙 박스에 Snort 입니다 . 패턴 인식에 전적으로 의존하지만 TippingPoint 시스템은 네트워크 에지에 위치하여 흥미로운 Layer-7 이벤트 (맬웨어, 스캔, TCP / IP 기이함 등)를 찾을 수 있습니다.
• BlueCoat Packeteer- 주로 QoS 및 웹 필터링 장치이지만 Layer-7 수신 및 송신 트래픽이 어떻게 분류되는지에 대한 높은 수준의보기를 제공합니다. 예를 들어, 유입 트래픽의 80 %가 HTTP 인 것은 놀라운 일이 아니지만 Facebook, Pandora, YouTube 등은 얼마입니까? 또한 응용 프로그램별로 최고의 화자 / 탑 청취자 목록을 제공하며, 이는 다시 흥미로운 정보입니다.
• Wavemon 하고 예의 바른 무선 카드가 장착 된 노트북은 802.11 무선 모니터링에 사용하고로 해결되어 실질적으로 A에 대한 더 저렴한 대체 가자미 AirCheck . Fluke는 5Ghz (일부 무선 브리지에서 사용)를 지원하고 801.11이 아닌 트래픽을 수집 할 수 있으며 유용한 RF 도구를 모두 다루고 있지만 비용 때문에 권장하지 않습니다.

VSS Monitoring 에서 제품을 확인하십시오 . 네트워크 트래픽을 원격으로 모니터링하기위한 여러 가지 인라인 페일 세이프 제품이 있습니다. 일단 당신의 네트워크와 백본에 피어링을한다면 거기에있는 것만 큼 좋습니다.

넷 플로우를보고 할 수있는 라우터가 있으면 넷 플로우 핸들러를 살펴보십시오. MRTG가 링크 사용률을 제공 할 경우 netflows는 라우터를 통해 흐르는 IP 및 프로토콜 사용률을보고합니다. 따라서 "많은 트래픽을 사용하여 계정을 관리하는 데 도움이 됨"또는 "WAP가있는 포트의 사용률이 높음"대신 "계정을 관리하는 데 도움이되는 것은 10 % LAN 트래픽, 40 % 스트리밍 미디어 및 50 % 인터넷 HTTP 트래픽.

불행히도 나는 자유 흐름 어 그리 게이터에 대한 권장 사항이 없습니다. 순 모니터링 회사가 회사에 솔루션을 판매하려고 시도한 후 전체 제품이 넷 플로우를 기반으로한다는 것을 확인한 후이를 조사 할 메모를했습니다. 문제를 해결하기 전에 플로우 애그리 게이터가 포함 된 또 다른 NOC 솔루션을 구입했습니다.

나는 몇 년 동안 Wireshark 를 사용해 왔습니다. 그것을 사랑하십시오.

우선, 사용자가 로컬 네트워크에 대해 불평하고 있습니까?

파일 서버가 느립니다!

아니면 원격 웹 사이트에 대해 불평하고 있습니까?

페이스 북이 느리다! 나는 내 일을 할 수 없습니다!

전자 인 경우 문제의 파일 서버로 시작하여 거꾸로 작업합니다. 우선 파일 서버를 확인하십시오. 일반적으로 사용되지 않습니까? 사용자 트래픽이 흐르는 인터페이스를 확인하십시오. 페깅되어 있습니까? 자동 협상이 활성화되어 있습니까? 양쪽에서 활성화되어 있습니까?

모든 것이 정상으로 보이고 서버에 과도한 부하가 걸리지 않으면 사용자와 서버 사이의 경로에서 라우터와 스위치를 사용해보십시오. 오버로드 되었습니까? 자동 네거 가능? 인터페이스 카운터에 오류가 있는지 확인하십시오.

이것이 잘못된 것으로 보이면 사용자 워크 스테이션에 국한된 문제 일 수 있습니다. 과도한 하중을 받습니까? 하드웨어 오류가 있습니까 (펌웨어 재시도 동안 블로킹을 유발하는 디스크 오류)? 컴퓨터의 실제 메모리가 부족합니까 (firefox 페이징 하드)?

이것은 보통 99 %의 문제를 해결합니다.

이러한 요청을 처리해야하는 빈도에 따라이 단계의 순서를 바꾸는 것이 좋습니다.

또는 원격 사이트에 문제가있는 경우 네트워크를 디버깅 한 후 사용자 워크 스테이션은 mtr과 같은 도구를 사용하여 사용자와 원격 사이트 간의 패킷 손실을 감지합니다. 문제가 네트워크에 국한되지 않은 경우, 옵션은 아마도 제공자에게 사례를 기록하거나 원격 사이트가 어지러운 것을 피할 때까지 기다리는 것으로 제한됩니다.