Netzwerkverkehr bzw. Traffic-Volumen zwischen zwei Endpunkten ermitteln
Hallo zusammen,
ich habe folgende Aufgabenstellung.
Ich soll den Netzwerkverkehr bzw. das Datenvolumen zwischen zwei "Endpunkten" erfassen (über eine gewisse Zeit hinweg).
Mit Endpunkten meine ich zum einen einen Industrie-PC und ein serielles Gerät welches über einen TCP/IP-Seriell Umsetzer angebunden ist.
Auf dem Industrie-PC läuft ein Dienst welcher letzten Endes mit dem seriellen Gerät (eben über das TCP/IP Netz) kommuniziert bzw. Daten austauscht.
Immer wieder tauchte kundenseitig die Frage auf, wieviel an Datentraffic (pro Gerät) verursacht wird bzw. in wieweit wird das LAN belastet. Dewegen sollte jetzt eben pro Gerätetyp ein Richtwert pro Zeit ermittelt werden.
Quasi pro 24h ca. 10MB Traffic
Im Netz wird man an Informationen bez. Paket-Sniffern etc. überflutet - damit könnte man sich wochenlang beschäftigen...wie würdet Ihr so einen Testaufbau am besten realisieren?
Ich habe mir bisher folgendes überlegt:
Die beiden Komponenten bzw. "Endgeräte" werde ich an unseren verwaltbaren Switch patchen - dieser beherrscht Port-Mirroring.
Somit könnte ich doch ein Spiegelbild der übertragenen Pakete (beide Richtungen) an einen 3 Port weiterleiten bzw. "spiegeln". Am 3 Port lauscht ein Sniffer den Datenverkehr ab und protokolliert das Datenvolumen.
- So überhaupt realisierbar? - wenn ja, welcher Sniffer wäre die Waffe der Wahl?
- Andere Vorschläge zur Realisierung?
Vielen Dank im Voraus
Kollisionskurs
ich habe folgende Aufgabenstellung.
Ich soll den Netzwerkverkehr bzw. das Datenvolumen zwischen zwei "Endpunkten" erfassen (über eine gewisse Zeit hinweg).
Mit Endpunkten meine ich zum einen einen Industrie-PC und ein serielles Gerät welches über einen TCP/IP-Seriell Umsetzer angebunden ist.
Auf dem Industrie-PC läuft ein Dienst welcher letzten Endes mit dem seriellen Gerät (eben über das TCP/IP Netz) kommuniziert bzw. Daten austauscht.
Immer wieder tauchte kundenseitig die Frage auf, wieviel an Datentraffic (pro Gerät) verursacht wird bzw. in wieweit wird das LAN belastet. Dewegen sollte jetzt eben pro Gerätetyp ein Richtwert pro Zeit ermittelt werden.
Quasi pro 24h ca. 10MB Traffic
Im Netz wird man an Informationen bez. Paket-Sniffern etc. überflutet - damit könnte man sich wochenlang beschäftigen...wie würdet Ihr so einen Testaufbau am besten realisieren?
Ich habe mir bisher folgendes überlegt:
Die beiden Komponenten bzw. "Endgeräte" werde ich an unseren verwaltbaren Switch patchen - dieser beherrscht Port-Mirroring.
Somit könnte ich doch ein Spiegelbild der übertragenen Pakete (beide Richtungen) an einen 3 Port weiterleiten bzw. "spiegeln". Am 3 Port lauscht ein Sniffer den Datenverkehr ab und protokolliert das Datenvolumen.
- So überhaupt realisierbar? - wenn ja, welcher Sniffer wäre die Waffe der Wahl?
- Andere Vorschläge zur Realisierung?
Vielen Dank im Voraus
Kollisionskurs
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 159145
Url: https://administrator.de/contentid/159145
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
neben dem von bodyparts empfohlen PRTG kannst du mit dem gespiegelten Port das relativ schnell rausfinden.
Als Sniffer einfach 24 Stunden wireshark mitlaufen lassen und dir anschließend die Größe des Dumps ansehen, durch 24 teilen und du hast eine Menge/Stunde Angabe.
PRTG hätte zwar mehr Option und wäre komfortabler, nur, bis den den Eingerichtet hast und am laufen hast ist der Testaufbau mit dem Port Mirroring schon fertig.
brammer
neben dem von bodyparts empfohlen PRTG kannst du mit dem gespiegelten Port das relativ schnell rausfinden.
Als Sniffer einfach 24 Stunden wireshark mitlaufen lassen und dir anschließend die Größe des Dumps ansehen, durch 24 teilen und du hast eine Menge/Stunde Angabe.
PRTG hätte zwar mehr Option und wäre komfortabler, nur, bis den den Eingerichtet hast und am laufen hast ist der Testaufbau mit dem Port Mirroring schon fertig.
brammer
So seh ich das auch. (Brammer, Bodyparts)
Ansonsten könntest du, Falls es wirklich kein größeres Netz hast auch einen einfach Hub einsetzen.
Jedoch, wie gesagt, sollte sowas nur in kleinen Netzen überhaupt in Erwägung gezogen werden, da der einfache Hub ein dummes Gerät ist ( ;) ) und jedes Paket an jeden Port schickt.
Da ist das Mirroring wirklich die eleganteste Lösung. Plus Wireshark und los gehts ;)
Ansonsten könntest du, Falls es wirklich kein größeres Netz hast auch einen einfach Hub einsetzen.
Jedoch, wie gesagt, sollte sowas nur in kleinen Netzen überhaupt in Erwägung gezogen werden, da der einfache Hub ein dummes Gerät ist ( ;) ) und jedes Paket an jeden Port schickt.
Da ist das Mirroring wirklich die eleganteste Lösung. Plus Wireshark und los gehts ;)
Achtung: Tools wie Paessler und Cati nutzen nur SNMP um diese Daten vom Switch bzw. den Ports abzufragen. Damit scheitert man also schon mal gleich am Anfang bei nicht mangebaren Switches. Da du aber Mirror'n kannst ist das ja dann kein Thema für dich, denn das klappt logischerweise nur mit managebaren Switches !.
Die SNMP Methode hat aber den gravierenden Nachteil das du damit auch das oben bereits angesprochene "Grundrauschen", nämlich alle Pakete der die Switch am Port fluten muss wie Broad- und Unicasts mitzählst und dir das dein Messwert massiv verfälscht, da der SNMP Wert nur ein simpler Counter pro Zeit ist aber dein Pakete nie klassifizieren kann. Gerade wenn du in einem großen Netz sitzt und einen Flow mit sehr wenig Traffic monitoren bzw. beurteilen musst wie das vermutlich bei dir der Fall ist. Besser das also vergessen wenn du eingermaßen genau und verlässlich mit deiner Aussage sein willst...
Am elegantesten erledigst du das dann in einer Laborumgebung wo du nur diese beiden Geräte am Switch hast...das wäre dann mehr oder weniger realistisch.
Der Vorschlag von Kollege brammer ist aber die Direktive für dich:
Die SNMP Methode hat aber den gravierenden Nachteil das du damit auch das oben bereits angesprochene "Grundrauschen", nämlich alle Pakete der die Switch am Port fluten muss wie Broad- und Unicasts mitzählst und dir das dein Messwert massiv verfälscht, da der SNMP Wert nur ein simpler Counter pro Zeit ist aber dein Pakete nie klassifizieren kann. Gerade wenn du in einem großen Netz sitzt und einen Flow mit sehr wenig Traffic monitoren bzw. beurteilen musst wie das vermutlich bei dir der Fall ist. Besser das also vergessen wenn du eingermaßen genau und verlässlich mit deiner Aussage sein willst...
Am elegantesten erledigst du das dann in einer Laborumgebung wo du nur diese beiden Geräte am Switch hast...das wäre dann mehr oder weniger realistisch.
Der Vorschlag von Kollege brammer ist aber die Direktive für dich:
- Mirrorport mit bidirektionalem Port Mirroring aktivieren am Switch für den Messport.
- (Falls man nicht Mirrorn kann auf der Switchhardware hilft das_hier. )
- Wireshark installieren und am Mirrorport anschliessen
- Im Wireshark einen Capture Filter aktivieren auf die beiden beteiligten IP Adressen der zu messenden Partner um das Grundrauschen fernzuhalten
- Komponenten anschliessen und Applikation starten.
- Wireshark mit Filter starten und die "Methode brammer" anwenden !
- Fertisch...