Brent Asked: 2009-05-03 15:01:42 +0800 CST2009-05-03 15:01:42 +0800 CST 2009-05-03 15:01:42 +0800 CST 网络流量监控 772 监视/分析整个网络(几个子网)上的网络流量的最佳工具是什么? 我正在寻找可以帮助我解决带宽问题的方法,例如,当用户开始抱怨“网络速度很慢”时 monitoring bandwidth traffic 10 个回答 Voted Best Answer Adam Gibbins 2009-05-03T15:04:53+08:002009-05-03T15:04:53+08:00 我假设您有一个商业路由器/交换机,它很可能具有SNMP,您可以将其与MRTG结合使用以获得漂亮的流量图。 Mark Amerine Turner 2009-05-03T15:15:47+08:002009-05-03T15:15:47+08:00 我认为你最好的选择是Cacti和Ntop的混合物。 ntop 将为您提供有关网络流量的信息,例如消耗最多的主机...什么流量导致速度变慢等... Cacti 将提供有关带宽消耗的长期趋势,以便您了解网络流量随时间的变化情况。 Murali Suriar 2009-05-03T15:19:19+08:002009-05-03T15:19:19+08:00 当您有用户报告“网络问题”时,问题可能与许多问题(路由、交换、主机配置、单播、多播、安全策略、硬件故障)有关。您不太可能找到一款软件来监控所有不同的潜在问题。 相反,专注于两件事: Instrumentation:提出一个监控策略,让您主动监控那些经常发生的故障。有关更多详细信息,请参阅此先前的答案。 故障排除:提出一系列快速、标准的测试,您可以运行这些测试来立即尝试找出问题所在,并将其发布给您的用户。 一些示例测试: ping你的默认网关 ping 同一子网上的另一台主机 ping 一个关闭的子网主机 你得到什么样的丢包? 结果是否随数据包大小而变化? 你能成功地从命令行远程登录到目标 IP/端口吗? 这些简单的诊断通常可以很快为您指明正确的方向。最后,如果可以,请始终获取源 IP、目标 IP 和目标端口。尝试并教育您的用户;诸如“网络速度慢”之类的模棱两可的抱怨不容易被诊断出来。 Node 2009-05-03T15:05:49+08:002009-05-03T15:05:49+08:00 尝试MRTG和/或ntop。 Sam Saffron 2009-05-03T21:01:25+08:002009-05-03T21:01:25+08:00 我一直在家里使用smoothwall,取得了巨大的成功,它在监控流量方面做得很好,而且还有很多。 它也有企业版,可以做一些更花哨的东西。 我试图弄清楚为什么我一直在用尽带宽(在澳大利亚我们有限制)原来是我的错:) user62491 2011-07-25T18:07:42+08:002011-07-25T18:07:42+08:00 我在一个拥有中小型网络(约 500 个用户)和大约十几个 /24 子网(以及 NAT 后面的几个较小的子网)的组织工作。我们使用各种监控软件,使我们能够密切关注网络的远程部分并主动响应问题。 SNMP - 这是我们监控系统的基础。所有网络基础设施至少需要支持 SNMP 并通过 syslog 记录到中央服务器。 OpenNMS - 主要用于事件监控,尽管我们开始将它用于资产和性能跟踪。我经常监控 OpenNMS。如果网络有问题,我想在有人打电话给我之前了解一下。 SFlow /Netflow - 这对于确定有多少流量正在流经网络的哪个部分以及哪个主机正在生成该流量(即,顶级谈话者/顶级听众)非常有用。 Smokeping - 这主要用于延迟和连接跟踪,特别是无线网桥或其他麻烦的连接。 MRTG - 不支持 SFlow/Netflow 的基础设施设备上的流量监控是通过 MRTG 完成的。 Linux 网络“探测器”——我们网络的某些部分无法通过设计访问,并且具有单独的物理离散连接。安装了 Linux 的旧工作站在两个网段上都有一个存在点,这使我们可以使用上述 Smokeping 和 MRTG 等工具以及任何有用的命令行工具(例如 ntop、tcpdump、 tcptraceroute、httping 和古老的 ping。 TippingPoint IPS 系统——它基本上是一个黑盒子里的Snort。虽然它完全依赖于模式识别,但 TippingPoint 系统位于网络边缘,允许我们寻找有趣的第 7 层事件(恶意软件、扫描、TCP/IP 异常等)。 BlueCoat Packeteer - 这主要是一个 QoS 和 Web 过滤设备,但它确实提供了一个很好的高级视图,可以很好地了解第 7 层入口和出口流量分解成的内容。例如:我们 80% 的入口流量是 HTTP 并不奇怪,但其中有多少是 Facebook、Pandora、YouTube 等?它还提供了基于每个应用程序的顶级谈话者/顶级听众列表,这也是有趣的信息。 Wavemon和一台带有不错无线网卡的笔记本电脑用于 802.11 无线监控和故障排除,作为Fluke AirCheck的廉价替代品。Fluke 支持 5Ghz(我们的一些无线网桥使用)并且可以接收非 801.11 流量,并且是一个全方位有用的 RF 工具,但由于成本问题,我很难推荐它。 Tall Jeff 2009-05-03T15:14:22+08:002009-05-03T15:14:22+08:00 查看VSS Monitoring的产品。他们有几种不同的在线故障安全产品,用于远程监控网络流量。一旦你让他们窥视到你的网络和骨干网,它就像在那里一样好。 jj33 2009-05-03T17:30:24+08:002009-05-03T17:30:24+08:00 如果您有一个能够报告网络流量的路由器,请查看网络流量处理程序。在 MRTG 将提供链路利用率的情况下,netflows 报告流经路由器的 IP 和协议使用情况。因此,您可以看到“Suzy 记帐是 10% 的 LAN 流量、40% 的流媒体和 50% 的 Internet HTTP 流量。 不幸的是,我没有关于自由流量聚合器的建议。在一家网络监控公司试图向我的公司推销解决方案后,我确定他们的整个产品都是基于 netflows 的,我做了一个记录来研究它们。在我开始之前,我们购买了另一个 NOC 解决方案,其中还包括一个流聚合器。 Spencer Ruport 2009-05-03T19:57:31+08:002009-05-03T19:57:31+08:00 我多年来一直在使用Wireshark。爱它。 Dave Cheney 2009-05-03T20:53:42+08:002009-05-03T20:53:42+08:00 首先,他们的用户是否在抱怨您的本地网络? 文件服务器很慢! 还是他们在抱怨远程网站? 脸书很慢!我不能做我的工作! 如果是前者,那么我将从有问题的文件服务器开始并向后工作。首先检查文件服务器,它的利用率是否异常?检查用户流量流过的接口。是挂钩的吗?是否启用了自动协商?是否在两端都启用... 如果那里一切正常并且服务器没有承受任何过度负载,请尝试在用户和服务器之间的路径中使用路由器和交换机。他们超载了吗?自动否定启用?检查接口计数器是否有错误。 如果这看起来没什么问题,那么问题可能是用户工作站的本地问题。是否承受过大的负载?是否有任何硬件错误(在固件重试时导致阻塞的磁盘错误)?他们的机器的实际内存是否不足(firefox 分页困难)? 这通常可以解决 99% 的问题。 根据您必须处理这些请求的频率,您可能更愿意颠倒这些步骤的顺序。 或者,如果远程站点有问题,在调试您的网络之后,用户工作站尝试使用 mtr 等工具来检测您和远程站点之间的数据包丢失。如果问题不在您的网络本地,那么您的选择可能仅限于向您的提供商记录案例,或者等待远程站点克服它所遇到的任何问题。
我假设您有一个商业路由器/交换机,它很可能具有SNMP,您可以将其与MRTG结合使用以获得漂亮的流量图。
我认为你最好的选择是Cacti和Ntop的混合物。
ntop 将为您提供有关网络流量的信息,例如消耗最多的主机...什么流量导致速度变慢等...
Cacti 将提供有关带宽消耗的长期趋势,以便您了解网络流量随时间的变化情况。
当您有用户报告“网络问题”时,问题可能与许多问题(路由、交换、主机配置、单播、多播、安全策略、硬件故障)有关。您不太可能找到一款软件来监控所有不同的潜在问题。
相反,专注于两件事:
Instrumentation:提出一个监控策略,让您主动监控那些经常发生的故障。有关更多详细信息,请参阅此先前的答案。
故障排除:提出一系列快速、标准的测试,您可以运行这些测试来立即尝试找出问题所在,并将其发布给您的用户。
一些示例测试:
这些简单的诊断通常可以很快为您指明正确的方向。最后,如果可以,请始终获取源 IP、目标 IP 和目标端口。尝试并教育您的用户;诸如“网络速度慢”之类的模棱两可的抱怨不容易被诊断出来。
尝试MRTG和/或ntop。
我一直在家里使用smoothwall,取得了巨大的成功,它在监控流量方面做得很好,而且还有很多。
它也有企业版,可以做一些更花哨的东西。
我试图弄清楚为什么我一直在用尽带宽(在澳大利亚我们有限制)原来是我的错:)
我在一个拥有中小型网络(约 500 个用户)和大约十几个 /24 子网(以及 NAT 后面的几个较小的子网)的组织工作。我们使用各种监控软件,使我们能够密切关注网络的远程部分并主动响应问题。
查看VSS Monitoring的产品。他们有几种不同的在线故障安全产品,用于远程监控网络流量。一旦你让他们窥视到你的网络和骨干网,它就像在那里一样好。
如果您有一个能够报告网络流量的路由器,请查看网络流量处理程序。在 MRTG 将提供链路利用率的情况下,netflows 报告流经路由器的 IP 和协议使用情况。因此,您可以看到“Suzy 记帐是 10% 的 LAN 流量、40% 的流媒体和 50% 的 Internet HTTP 流量。
不幸的是,我没有关于自由流量聚合器的建议。在一家网络监控公司试图向我的公司推销解决方案后,我确定他们的整个产品都是基于 netflows 的,我做了一个记录来研究它们。在我开始之前,我们购买了另一个 NOC 解决方案,其中还包括一个流聚合器。
我多年来一直在使用Wireshark。爱它。
首先,他们的用户是否在抱怨您的本地网络?
还是他们在抱怨远程网站?
如果是前者,那么我将从有问题的文件服务器开始并向后工作。首先检查文件服务器,它的利用率是否异常?检查用户流量流过的接口。是挂钩的吗?是否启用了自动协商?是否在两端都启用...
如果那里一切正常并且服务器没有承受任何过度负载,请尝试在用户和服务器之间的路径中使用路由器和交换机。他们超载了吗?自动否定启用?检查接口计数器是否有错误。
如果这看起来没什么问题,那么问题可能是用户工作站的本地问题。是否承受过大的负载?是否有任何硬件错误(在固件重试时导致阻塞的磁盘错误)?他们的机器的实际内存是否不足(firefox 分页困难)?
这通常可以解决 99% 的问题。
根据您必须处理这些请求的频率,您可能更愿意颠倒这些步骤的顺序。
或者,如果远程站点有问题,在调试您的网络之后,用户工作站尝试使用 mtr 等工具来检测您和远程站点之间的数据包丢失。如果问题不在您的网络本地,那么您的选择可能仅限于向您的提供商记录案例,或者等待远程站点克服它所遇到的任何问题。