网络流量监控

监视/分析整个网络（几个子网）上的网络流量的最佳工具是什么？

我正在寻找可以帮助解决带宽问题的方法，例如，当用户开始抱怨“网络速度慢”时

我假设您有一个商用路由器/交换机，它很可能具有SNMP，您可以将其与MRTG结合使用以获得良好的流量图。

我认为您最好的选择是仙人掌和Ntop的混合物。

ntop将为您提供有关网络流量的信息，例如消耗最大流量的主机，导致流量减慢的流量等。

仙人掌将提供有关带宽消耗的长期趋势，因此您可以了解网络流量如何随时间变化。

当用户报告“网络问题”时，该问题可能与许多问题（路由，交换，主机配置，单播，多播，安全策略，硬件故障）有关。您很难找到一款可以监视所有不同潜在问题的软件。

相反，请专注于两件事：

• 仪器：提出一种监视策略，使您可以主动监视那些经常发生的故障。有关更多详细信息，请参见此先前的答案。

• 故障排除：提出了一系列快速，标准的测试，您可以运行这些测试以立即尝试找出问题所在，然后将其发布给用户。

一些示例测试：

• ping您的默认网关
• ping同一子网中的另一台主机
• ping关闭子网主机
• 您会遇到什么样的丢包情况？
• 结果是否随数据包大小而变化？
• 您可以从命令行成功远程登录到目标IP /端口吗？

这些简单的诊断程序通常可以很快将您指示正确的方向。最后，如果可以，请始终获取源IP，目标IP和目标端口。尝试教育您的用户；诸如“网络速度慢”之类的模棱两可的抱怨很难被诊断出来。

尝试MRTG和/或ntop。

我一直在家里使用Smoothwall取得了巨大的成功，它在监控流量方面做得非常好，并且还有更多其他功能。

它也提供企业版，可以做更多花哨的事情。

我试图弄清楚为什么我继续用尽带宽（在澳大利亚，我们有限制）原来是我的错:)

我在一个拥有中小型网络（约500个用户）和大约十二个/ 24子网（以及少数位于NAT之后的较小子网）的组织中工作。我们使用各种监视软件，使我们可以在网络的远程部分上保持标签，并主动响应问题。

• SNMP-这构成了我们的监控系统的基础。所有网络基础架构至少都需要支持SNMP并通过syslog登录到中央服务器。
• OpenNMS-主要用于事件监视，尽管我们已开始将其用于资产和性能跟踪。我一直在监视OpenNMS。如果网络有问题，我想在有人打电话给我之前先了解一下。
• SFlow / Netflow-这对于确定有多少流量流经哪一部分网络和哪台主机生成该流量（即，顶部通话者/顶部侦听器）非常有用。
• 冒烟 -主要用于延迟和连接跟踪，尤其是用于无线网桥或其他麻烦的连接。
• MRTG -流量上不支持sFlow的基础设施设备监视/ NetFlow是用MRTG来完成。
• Linux网络“探针”-我们的网络的某些部分在设计上无法访问，并且具有单独的物理离散连接。装有Linux的旧工作站安装在两个网段上，因此我们可以使用前面提到的Smokeping和MRTG等工具以及任何有用的命令行工具（例如ntop，tcpdump， tcptraceroute，httping和古老的ping。
• TippingPoint IPS系统 -基本上是黑匣子中的Snort。TippingPoint系统完全依赖于模式识别，它位于网络边缘，可让我们查找有趣的第7层事件（恶意软件，扫描，TCP / IP异常）。
• BlueCoat Packeteer-这主要是QoS和Web过滤设备，但确实可以很好地了解第7层入口和出口流量分解成什么。例如：我们80％的入口流量都是HTTP，这并不奇怪，但是Facebook，Pandora，YouTube等到底有多少呢？它还提供了每个应用程序的主要讲话者/顶级监听者的列表，这再次是有趣的信息。
• Wavemon和带有不错无线卡的笔记本电脑可用于802.11无线监视和故障排除，是Fluke AirCheck的显着便宜的替代品。Fluke支持5Ghz（我们的某些无线网桥使用的5Ghz）并且可以接收非801.11流量，并且是一种非常有用的RF工具，但是由于成本原因，我很难推荐它。

从VSS Monitoring中检出产品。他们有几种不同的在线故障保护产品，可以远程监视网络流量。一旦将它们对等到您的网络并在骨干网上，它就和在那里一样好。

如果您的路由器能够报告网络流量，请查看网络流量处理程序。在MRTG提供链路利用率的地方，网络流报告流经路由器的IP和协议的利用率。因此，您可以看到“ Suzy记账是10％的LAN流量，40％的流媒体和50％的Internet，而不是“ Suzy记账它使用大量流量”或“ WAP所在的端口具有很高的利用率”。 HTTP流量。

不幸的是，我没有建议使用自由流量聚合器。网络监控公司试图向我的公司出售解决方案后，我确定他们的整个产品都基于净流量，我记下了要对其进行研究的记录。在开始研究之前，我们购买了另一个NOC解决方案，其中还包括一个流量聚合器。

我已经使用Wireshark多年了。爱它。

首先，他们的用户抱怨您的本地网络吗？

文件服务器很慢！

还是他们抱怨远程网站？

Facebook很慢！我不能做我的工作！

如果是前者，那么我将从有问题的文件服务器开始，然后向后工作。首先检查文件服务器，它的利用率与众不同吗？检查用户流量流经的接口。钉住了吗？是否启用自动协商？两端都启用了...

如果在那里一切正常，并且服务器没有任何不适当的负载，请尝试在用户和服务器之间的路径中使用路由器和交换机。他们超载吗？自动否定启用？检查接口计数器是否有错误。

如果那似乎没什么问题，那么问题可能出在用户工作站上。是在不适当的负载下吗？是否有任何硬件错误（磁盘错误导致固件重试时阻塞）？他们的机器内存不足（firefox分页很难）吗？

这通常可以解决99％的问题。

根据您处理这些请求的频率，您可能希望颠倒这些步骤的顺序。

或者，如果远程站点有问题，请在调试网络后，用户工作站尝试使用诸如mtr之类的工具来检测您与远程站点之间的数据包丢失。如果问题不是您的网络本地的，那么您的选择可能仅限于与您的提供商一起记录案例，或者等到远程站点克服它遇到的麻烦为止。