ネットワークトラフィックの監視

ネットワーク全体（複数のサブネット）のネットワークトラフィックを監視/分析するのに最適なツールは何ですか？

たとえば、ユーザーが「ネットワークが遅い」と不平を言い始めたときに、帯域幅の問題を解決するのに役立つ何かを探しています。

私はあなたが商用ルーター/スイッチを持っていると仮定している、それはあなたが素晴らしいトラフィックグラフのためにMRTGと結合できるSNMPを持っている可能性が高い。

あなたの最善の策は、サボテンとNtopの混合物になると思います。

ntopは、最も多く消費しているホストなど、ネットワーク上のトラフィックに関する情報を提供します...どのトラフィックが速度低下などを引き起こしていますか...

Cactiは、帯域幅の消費に関する長期的な傾向を示すため、ネットワークトラフィックが時間とともにどのように変化したかを知ることができます。

「ネットワークの問題」を報告するユーザーがいる場合、問題は多数の問題（ルーティング、スイッチング、ホスト構成、ユニキャスト、マルチキャスト、セキュリティポリシー、ハードウェア障害）に関連している可能性があります。潜在的な問題をすべて監視するためのソフトウェアを見つけることはほとんどありません。

代わりに、2つのことに注目してください。

• 計装：定期的に発生する障害を予防的に監視できる監視戦略を考え出します。詳細については、この前の回答を参照してください。

• トラブルシューティング：迅速で標準的な一連のテストを作成し、すぐに実行して問題の可能性のある場所を特定してユーザーに公開します。

いくつかのテスト例：

• デフォルトゲートウェイにpingを実行します
• 同じサブネット上の別のホストにping
• サブネット外のホストへのping
• どのようなパケット損失が発生していますか？
• 結果はパケットサイズによって異なりますか？
• コマンドラインから宛先IP /ポートに正常にtelnetできますか？

これらの種類の単純な診断は、多くの場合、正しい方向に非常に迅速にあなたを指し示すことができます。最後に、可能であれば、常に送信元IP、宛先IP、および宛先ポートを取得します。ユーザーを教育してください。「ネットワークが遅い」などの曖昧な苦情は簡単に診断できません。

MRTGやntopを試してください。

私は自宅でsmoothwallを使用して大成功を収めています。トラフィックを監視するのに非常に役立ちます。

それは企業版でも提供されており、さらに派手な機能も備えています。

私はなぜ帯域幅を使い続けたのかを理解しようとしていました（オーストラリアでは制限があります）、それは私のせいでした:)

私は、小規模から中規模のネットワーク（最大500人のユーザー）と約12個の/ 24サブネット（およびNATの背後にある少数のサブネット）を持つ組織で働いています。さまざまな監視ソフトウェアを使用して、ネットワークのリモート部分を監視し、問題に積極的に対応します。

• SNMP-これは、監視システムの基礎となります。すべてのネットワークインフラストラクチャは、少なくともSNMPをサポートし、syslogを介して中央サーバーに記録する必要があります。
• OpenNMS-主にイベントの監視に使用されますが、資産とパフォーマンスの追跡に使用し始めています。OpenNMSを常に監視しています。ネットワークに問題がある場合、誰かが私に電話する前にそれについて知りたいです。
• SFlow / Netflow-これは、ネットワークのどの部分をどのトラフィックが流れており、どのホストがそのトラフィック（トップトーカー/トップリスナー）を生成しているかを判断するのに非常に役立ちます。
• スモーキング -これは主に、特にワイヤレスブリッジまたはその他の問題のある接続で、遅延と接続の追跡に使用されます。
• MRTG -SFlow / Netflowをサポートしないインフラストラクチャデバイスでのトラフィックの監視は、MRTGを使用して行われます。
• Linuxネットワーク「プローブ」-ネットワークの一部は設計では到達できず、個別の物理的に個別の接続があります。両方のネットワークセグメントに存在するLinuxインストール済みの古いワークステーションでは、前述のSmokepingやMRTGなどのツールだけでなく、ntop、tcpdump、 tcptraceroute、httping、および由緒あるping。
• TippingPoint IPSシステム -基本的にはブラックボックスでSnortです。TippingPointシステムはパターン認識に完全に依存していますが、ネットワークエッジに位置し、興味深いレイヤー7イベント（マルウェア、スキャン、TCP / IPの異常など）を探すことができます。
• BlueCoat Packeteer-これは主にQoSおよびWebフィルタリングデバイスですが、レイヤー7の入力トラフィックと出力トラフィックが何に分解されるかについての高レベルのビューを提供します。例：入力トラフィックの80％がHTTPであることは驚くことではありませんが、そのどれだけがFacebook、Pandora、YouTubeなどですか？また、アプリケーションごとにトップトーカー/トップリスナーのリストも提供しますが、これも興味深い情報です。
• Wavemonと適切なワイヤレスカードを搭載したラップトップは、Fluke AirCheckのかなり安価な代替品として802.11ワイヤレスモニタリングとトラブルシューティングに使用されます。Flukeは5Ghz（一部のワイヤレスブリッジが使用する）をサポートし、801.11以外のトラフィックを拾うことができ、便利なRFツールですが、コストのため推奨するのに苦労しています。

VSS Monitoringから製品を確認してください。ネットワークトラフィックをリモートで監視するためのいくつかの異なるインラインフェールセーフ製品があります。ネットワークとバックボーンでそれらをピアリングしたら、そこにいるのと同じくらい良いです。

netflowを報告できるルーターがある場合は、netflowハンドラーを調べます。MRTGがリンク使用率を提供する場合、netflowsはルーターを流れるIPおよびプロトコルの使用状況を報告します。そのため、「大量のトラフィックを使用した課金のスージー」または「WAPが使用されているポートの使用率が高い」の代わりに、「課金のスージーは10％のLANトラフィック、40％のストリーミングメディア、50％のインターネットHTTPトラフィック。

残念ながら、フリーフローアグリゲーターの推奨事項はありません。ネット監視会社が私の会社にソリューションを販売しようとして、製品全体がネットフローに基づいていると判断した後、私はそれらを調査するためにメモを取りました。それに取りかかる前に、フローアグリゲーターも含む別のNOCソリューションを購入しました。

Wiresharkを何年も使用しています。大好きです。

まず第一に、ユーザーはあなたのローカルネットワークについて不平を言っていますか？

ファイルサーバーが遅い！

または彼らはリモートウェブサイトについて不平を言っていますか？

Facebookは遅いです！仕事ができません！

前者の場合、問題のファイルサーバーから始めて、逆方向に作業します。最初にファイルサーバーをチェックします、それは通常の使用率ですか？ユーザートラフィックが流れるインターフェイスを確認します。釘付けですか？自動ネゴシエーションは有効ですか？両端で有効になっていますか...

そこですべてが正常に見え、サーバーに過度の負荷がかかっていない場合は、ユーザーとサーバーの間のパスでルーターとスイッチを試してください。それらは過負荷ですか？自動ネガを有効にしますか？インターフェイスカウンタのエラーを確認してください。

何も問題がないように見える場合、問題はユーザーのワークステーションに限られている可能性があります。過度の負荷がかかっていますか？ハードウェアエラー（ファームウェアの再試行中にブロッキングを引き起こすディスクエラー）はありますか？彼らのマシンは実際のメモリが少ない（firefoxのページングが難しい）か？

これは通常、問題の99％を解決します。

これらのリクエストを処理する必要がある頻度に応じて、これらの手順の順序を逆にすることをお勧めします。

あるいは、ネットワークのデバッグ後にリモートサイトに問題がある場合、ユーザーワークステーションはmtrなどのツールを使用して、ユーザーとリモートサイト間のパケット損失を検出します。問題がネットワークに限定されていない場合、オプションはおそらくプロバイダーにケースを記録するか、リモートサイトがそれが何であれ、それを乗り越えるまで待つことに制限されます。