Hej!

Jag undrar om det går, och om någon känner till något program, att kolla vad som rör sig inom nätverket. Med nätverk menar jag ett nätverk som ligger i ett privat ip-nummer-område (10.1.1.0/24 i detta fall) där alla datorer är anslutna till en utav två switchar. Switcharna är sedan ihopkopplade.

Går det att på något sätt få ut information om följande:
1) Bandbreddsutnyttjande på en viss länk (syftar här på nätverkskortet på en dator körandes win2k3, agerar router)
2) Vad det är för trafik som rör sig i nätverket? (syftar här på en dator som ansluts till nätverket med antingen win2k3 eller linux, jag vill ha tag på trafik mellan ip-adresser med info om hastighet samt vilka portar som används. Den här datorn är oberoende och fyller ingen funktion för nätverket mer än att plocka fram statistik)

Rent spontant känns det som att 1) inte borde vara några större problem, finns ju egentligen inbyggt redan (performance counters) med 2) känns knepigare. Jag har inte 100% på ip men det känns som att eftersom att det är switchar och inte hubbar som används så kommer ju ingen trafik passera den här datorn?

Målet är att på ett mindre lan (för mig blir det egentligen ett tillfälle att testa hur man kan få lite kontroll över ett nätverk) där jag som "nätverksansvarig" har som fix idé att få lite trevlig statistik för att t.ex. kunna ta reda på ifall någon av någon anledning sitter med skumma virus som spammar nätverket eller liknande.

(Switcharna stödjer snmp, vilket jag tänker utnyttja, har dock på känn att det är ganska begränsat med vad för statistik man kan få ut, mest belastning rent allmänt tror jag)

1:
När det gäller att se trafikmängd på en länk får man nog anse MRTG som defacto standard: http://people.ee.ethz.ch/~oetiker/webtools/mrtg/

2:
Här är det lite knivigare. Har du möjlighet att konfigurera switchen som gatewayen är ansluten till med en monitorport kan du spegla trafiken som går dit till din övervakningsdator och då blir det genast enklare. Här skulle t.ex. NTOP kunna fungera: http://www.ntop.org/ Har inte testat det så mycket själv, men det jag har kört fungerar bra. Har du möjligthet att att byta ut gatewayen till UNIX eller Linux har du däremot större möjligheter, antingen kan du köra NTOP direkt på den eller så kan du tagga trafiken i brandväggen och logga helt som du vill. Jag har själv gjort en sådan sak där jag loggar trafik på protokollnivå. Krävs en del scriptande, men det är kul :)

/Johan

Tack för svaret :) Jo, jag har tittat på MRTG, och det är nog det jag har tänkt att köra, just för att det är så utbrett.

Angående switcharna så räknar jag inte med att jag kan få någon trevlig monitorport :/ Men att sätta dit en burk som gateway lär inte vara några problem, men då uppstår följande fråga: Det är väl bara trafik som inte ligger inom samma nät (10.1.1.0/24) som kommer gå igenom den burken, resten kommer väl ta kortaste vägen? Och jag vill inte tvinga burkarna att köra all trafik genom en punkt, det känns bara som att hastigheten kommer gå i botten.

Jag har ingen jättebra idé i mitt huvud om hur det ska gå till rent praktiskt, tror du att du skulle kunna ta och förklara lite mer detaljerat hur du menar? NTOP har jag tittat lite på tidigare (skumläste allt som låg under net-analyze eller vad det var på packages.gentoo.org förra helgen.)

En fråga: Om jag skulle spegla all trafik mot en port, kommer inte det överbelasta den porten då? Eller vad kommer hända? (Ska kolla om switcharna stödjer sådana trevliga saker som att spegla trafiken först iofs, men, men :P )

(Linux är alltså inte några problem, om jag nu lyckas få igång nätverkskorten under Linux :P )

Har kollat, verkar inte som att jag kan räkna med att det går att spegla trafiken något :/ De två switcharna är:

1) 3Com SuperStack II 3300 (24p á 100 mbit)
2) Netgear FS726T (24 p á 100 mbit + 2 gbit uplink)

Den första är donerad, den andra ska köpas in väldigt, väldigt snart. Jag kan inte hitta något om att det går att köra mirror på sakerna, men är det någon som kan bevisa motsatsen för mig? :P

<b>Jag kan inte hitta något om att det går att köra mirror på sakerna, men är det någon som kan bevisa motsatsen för mig? :P</b>

Kolla http://www.dustin.se/DustinPictures/PDF/N/5010080654.pdf "Port Mirroring Support" :)

<b>Det är väl bara trafik som inte ligger inom samma nät (10.1.1.0/24) som kommer gå igenom den burken, resten kommer väl ta kortaste vägen?</b>

Japp, därför är det svårare att mäta trafik inom ett segment på ett switchat nät. Jag ska testa att köra NTOP ikväll så får vi se vad jag får ut. Kommer det inget svar så har jag troligtvis glömt det, då är det läge att påminna mig! ;)

<b>Om jag skulle spegla all trafik mot en port, kommer inte det överbelasta den porten då? Eller vad kommer hända?</b>

Jag har inte testat funktionen själv, men jag tror att man speglar trafiken på EN port (lämpligtvis den som går till gatewayen) alltså blir det inget problem.

Men som sagt, jag återkommer när jag har testat att övervaka trafik inom ett segment.

/Johan

> Kolla http://www.dustin.se/DustinPictures/PDF/N/5010080654.pdf "Port Mirroring Support" :)

Tja, jag måste ha taskig syn :P Har ju läst igenom den där pdf:en två gånger nu ju :) (Iofs. i jakt på annan info, men, men ;) )

Har testat nu och det blev som väntat inget bra att köra NTOP på switchat nät om man inte kör det på gatewayen... Men med portmirroring borde det inte vara något problem att lösa, men du ser ju inte vad som sker inom subnätet. Jag känner inte till något sätt att fixa detta utan att det kostar massa pengar. Cisco har något som heter NetFlow som jag tror kan fixa detta, men då behöver du Cisco switch...

/Johan

Jo, jag har tittat lite på det. Port mirroring finns att tillgå, men då är det ju som sagt bara en port i taget. Jag vet att jag kan få ut statistik för enskilda portar på iaf. ena switchen, dock bara bandbreddutnyttjning :/

Jag har en liten idé om att man skulle kunna använda port mirroring och sedan "rotera" vilken port man vill "kopiera" från. Sedan får man på något sätt ta så den enbart räknar statistik för en viss ip då den övervakas. Borde gå genom lite modifiering av källkoden tycker jag... Känns dock jobbigt :/

Ska nog satsa på att bara ha lite koll på det som går genom gateway (ska stänga ute onlinespel, massa nedladdningar och liknande så jag behöver info om vad som "stör") och ha möjlighet att ta en titt på burkar som strular om genom mirroring...

Har isf. två nätverkskort i den burken, en som sitter så att all trafik mot nätet routas genom den och vidare, dvs. vänder bara trafiken där, men får tag på den i alla fall, och det andra kan kopplas in när man känner för det mot switcharna. Sätter nog en hub där och drar en nätverkskabel till varje switch isf.