Dziwne zachowanie sieci

Pytanie: Próbuję analizować niektóre aspekty dostępu do Internetu oraz wydajności naszej małej sieci. W krótkim przedziale czasu - przez kilka minut dziennie - sieć LAN znacznie spowalnia pracę oraz odcina dostęp do Internetu. Moja zapora ogniowa nie zgłasza żadnych problemów z wyjątkiem pojawiających się raz na jakiś czas komunikatów ''Limit sesji Src IP został osiągnięty'' dla konkretnego adresu IP.

Pytanie: Próbuję analizować niektóre aspekty dostępu do Internetu oraz wydajności naszej małej sieci. W krótkim przedziale czasu - przez kilka minut dziennie - sieć LAN znacznie spowalnia pracę oraz odcina dostęp do Internetu. Moja zapora ogniowa nie zgłasza żadnych problemów z wyjątkiem pojawiających się raz na jakiś czas komunikatów ''Limit sesji Src IP został osiągnięty'' dla konkretnego adresu IP.

Szukam oprogramowania, które pomoże zebrać dane oraz będzie umożliwiało analizę dziwnych zachowań mojej sieci. Zarządzam ok. 125 stanowiskami roboczymi przyłączonymi do przełączników, mającymi dostęp do Internetu przez łącze E1. Wszystkie hosty są chronione przez zaporę sprzętową. Nie mam dużego budżetu przeznaczonego na sprzęt, więc potrzebuję narzędzi, które pozwolą obserwować całą sieć i nie będą zbyt wiele kosztować. Proszę o pomoc w doborze odpowiedniego rozwiązania.

Odpowiedź: Jest kilka programów, które można polecić i w dodatku są bezpłatne. Pierwszym interesującym pakietem jest darmowy program o nazwie MRTGhttp://people.ee.ethz.ch/~oetiker/webtools/mrtg/ . Aby program mógł zbierać dane, konieczne jest włączenie SNMP na przełączniku. Potrzebne będzie też stworzenie stacji roboczej działającej pod kontrolą systemu Linux lub Windows z serwerem WWW (nieważne IIS czy Apache), na której uruchamiamy MRTG. Z MRTG można obserwować przełączniki na poziomie portu i wykorzystać tworzone zestawienia do stwierdzenia, który port generuje nadmierny ruch.

Warto także skonfigurować serwer syslog, używając np. Kiwi Syslog Daemonhttp://www.kiwisyslog.com/ . Podobnie jak MRTG oprogramowanie ma bezpłatną wersję tego oprogramowania, ale płatna wersja ma jedną wartą wydania pieniędzy cechę - zawiera bazę danych. Używając syslog do rejestracji zdarzeń na przełączniku i zaporze ogniowej, można uzyskać wiele dodatkowych informacji o źródle problemu, którego przyczyną może być więcej niż jedno urządzenie w sieci.

Gdy zidentyfikujemy już podejrzany port na przełączniku, zastosujemy Ethereal w celu obserwacji ruchu wychodzącego i wchodzącego do przełącznika. Należy upewnić się, że posiadamy najnowszą wersję Ethereal, ponieważ oprogramowanie to jest bardzo często uaktualniane. Warto też zadbać o zainstalowanie najnowszych wersji oprogramowania dla używanych w sieci przełączników i zapory ogniowej.


TOP 200