Monitoreo de tráfico de red

¿Cuál es la mejor herramienta para monitorear / analizar el tráfico de red en una red completa (varias subredes)?

Estoy buscando algo que me ayude a solucionar problemas de ancho de banda cuando, por ejemplo, los usuarios comienzan a quejarse de que la "red es lenta"

Supongo que tiene un enrutador / conmutador comercial, lo más probable es que tenga SNMP, que puede combinar con MRTG para obtener un buen gráfico de tráfico.

Creo que tu mejor apuesta será una mezcla de Cacti y Ntop .

ntop le proporcionará información sobre el tráfico en su red, como los hosts que más consumen ... qué tráfico está causando la desaceleración, etc.

Cacti dará tendencias a largo plazo sobre su consumo de ancho de banda para que pueda saber cómo ha cambiado el tráfico de su red con el tiempo.

Cuando los usuarios informan "problemas de red", el problema podría estar relacionado con una multitud de problemas (enrutamiento, conmutación, configuración de host, unidifusión, multidifusión, política de seguridad, falla de hardware). Es muy poco probable que encuentre una pieza de software para monitorear todos sus diferentes problemas potenciales.

En cambio, concéntrate en dos cosas:

• Instrumentación : proponga una estrategia de monitoreo que le permita monitorear proactivamente las fallas que ocurren regularmente. Vea esta respuesta anterior para más detalles.

• Solución de problemas : proponga una serie de pruebas rápidas y estándar que puede ejecutar para intentar aislar de inmediato dónde podría estar el problema y publicarlo para sus usuarios.

Algunas pruebas de ejemplo:

• haga ping a su puerta de enlace predeterminada
• hacer ping a otro host en la misma subred
• hacer ping a un host fuera de la subred
• ¿Qué tipo de pérdida de paquetes está recibiendo?
• ¿Los resultados varían con el tamaño del paquete?
• ¿Puede telnet con éxito desde la línea de comandos a la IP / puerto de destino?

Este tipo de diagnósticos simples a menudo puede guiarlo muy rápidamente en la dirección correcta. Finalmente, si puede, obtenga siempre una IP de origen, una IP de destino y un puerto de destino. Prueba y educa a tus usuarios; las quejas ambiguas como "la red es lenta" no se pueden diagnosticar fácilmente.

Prueba MRTG y / o ntop .

He estado usando smoothwall en casa con gran éxito, hace un gran trabajo monitoreando el tráfico y muchísimo más.

También viene en una edición corporativa que hace algunas cosas más elegantes.

Estaba tratando de averiguar por qué seguía quedando sin ancho de banda (en Australia tenemos límites) resulta que fue mi culpa :)

Estoy trabajando en una organización que tiene una red de tamaño pequeño a mediano (~ 500 usuarios) y aproximadamente una docena / 24 subredes (y un puñado de redes más pequeñas detrás de NAT). Utilizamos un software de monitoreo variado que nos permite controlar las partes remotas de la red y responder a los problemas de manera proactiva.

• SNMP : esta es la base de nuestro sistema de monitoreo. Toda la infraestructura de red, como mínimo, debe admitir SNMP y registrarse en un servidor central a través de syslog.
• OpenNMS : se utiliza principalmente para el monitoreo de eventos, aunque estamos comenzando a usarlo para el seguimiento de activos y rendimiento. Superviso constantemente OpenNMS. Si hay un problema con la red, quiero saberlo antes de que alguien me llame.
• SFlow / Netflow: esto es realmente útil para determinar cuánto tráfico fluye a través de qué parte de la red y qué host está generando ese tráfico (es decir, los que hablan / escuchan mejor).
• Smokeping : se utiliza principalmente para el seguimiento de latencia y conectividad, particularmente para puentes inalámbricos u otras conexiones problemáticas.
• MRTG : la supervisión del tráfico en dispositivos de infraestructura que no admiten SFlow / Netflow se realiza con MRTG.
• "Sondas" de red de Linux: algunas partes de nuestra red no son accesibles por diseño y tienen conexiones separadas físicamente discretas. Una estación de trabajo antigua con una instalación de Linux que tiene un punto de presencia en ambos segmentos de red nos permite vigilar estos segmentos utilizando herramientas como Smokeping y MRTG antes mencionados, pero también cualquiera de las herramientas útiles de línea de comandos como ntop, tcpdump, tcptraceroute, httping y el venerable ping.
• Sistema TippingPoint IPS : básicamente es Snort en una caja negra . Si bien es completamente dependiente del reconocimiento de patrones, el sistema TippingPoint se encuentra en el borde de la red y nos permite buscar eventos interesantes de Layer-7 (malware, escaneo, rarezas TCP / IP, etc.).
• BlueCoat Packeteer : este es principalmente un dispositivo de QoS y filtro web, pero ofrece una buena vista de alto nivel de en qué se divide el tráfico de entrada y salida de Layer-7. Por ejemplo: no es sorprendente que el 80% de nuestro tráfico de entrada sea HTTP, pero ¿cuánto de eso es Facebook, Pandora, YouTube, etc.? También proporciona una lista de los principales conversadores / oyentes principales por aplicación, que nuevamente es información interesante.
• Wavemon y una computadora portátil con una tarjeta inalámbrica decente se utilizan para el monitoreo inalámbrico 802.11 y la resolución de problemas como un reemplazo sustancialmente menos costoso para un Fluke AirCheck . Fluke admite 5 Ghz (que utilizan algunos de nuestros puentes inalámbricos) y puede captar tráfico que no sea 801.11 y es una herramienta de RF útil, pero me resulta difícil recomendarlo debido al costo.

Echa un vistazo a los productos de VSS Monitoring . Tienen varios productos diferentes a prueba de fallas en línea para monitorear el tráfico de red de forma remota. Una vez que los haya observado en su red o redes y en la red troncal, es tan bueno como estar allí.

Si tiene un enrutador capaz de informar flujos de red, busque en un controlador de flujo de red. Donde MRTG proporcionará la utilización del enlace, los flujos de red informan el uso de IP y protocolo que fluye a través del enrutador. Entonces, en lugar de "Suzy en la contabilidad usa mucho tráfico" o "El puerto en el que está el WAP tiene una alta utilización", podría ver "Suzy en la contabilidad es 10% de tráfico LAN, 40% de transmisión de medios y 50% de Internet Tráfico HTTP

Lamentablemente no tengo una recomendación para un agregador de flujo libre. Después de que una compañía de monitoreo de red intentó venderle una solución a mi compañía y determiné que todo su producto estaba basado en flujos de red, tomé una nota para investigarlos. Antes de comenzar, compramos otra solución de NOC que también incluía un agregador de flujo.

He estado usando Wireshark por años. Quiéralo.

En primer lugar, ¿se están quejando los usuarios de su red local?

¡El servidor de archivos es lento!

o se quejan de sitios web remotos?

¡Facebook es lento! ¡No puedo hacer mi trabajo!

Si es el primero, entonces comenzaría con el servidor de archivos en cuestión y trabajaría al revés. Antes que nada, verifique el servidor de archivos, ¿es su uso fuera de lo común? Compruebe la interfaz por la que fluye el tráfico de usuarios. ¿Está vinculado? ¿Está habilitada la negociación automática? ¿Está habilitado en ambos extremos ...

Si todo parece estar bien allí y el servidor no está bajo carga indebida, pruebe los enrutadores y conmutadores en la ruta entre el usuario y el servidor. ¿Están sobrecargados? auto neg habilitado? Verifique los contadores de la interfaz en busca de errores.

Si eso no parece estar mal, entonces el problema puede ser local para la estación de trabajo de los usuarios. ¿Está bajo carga indebida? ¿Hay algún error de hardware (errores de disco que provocan el bloqueo mientras el firmware vuelve a intentarlo)? ¿Su máquina tiene poca memoria real (paginación de firefox)?

Esto generalmente resuelve el 99% de los problemas.

Dependiendo de la frecuencia con la que tenga que lidiar con estas solicitudes, puede preferir invertir el orden de estos pasos.

Alternativamente, si se trata de un problema con un sitio remoto, después de depurar su red, y la estación de trabajo de los usuarios pruebe herramientas como mtr para detectar la pérdida de paquetes entre usted y el sitio remoto. Si el problema no es local en su red, entonces sus opciones probablemente se limiten a registrar un caso con su proveedor, o esperar hasta que el sitio remoto supere cualquier problema que tenga.