kollisionskurs
Goto Top

Netzwerkverkehr bzw. Traffic-Volumen zwischen zwei Endpunkten ermitteln

Hallo zusammen,

ich habe folgende Aufgabenstellung.

Ich soll den Netzwerkverkehr bzw. das Datenvolumen zwischen zwei "Endpunkten" erfassen (über eine gewisse Zeit hinweg).
Mit Endpunkten meine ich zum einen einen Industrie-PC und ein serielles Gerät welches über einen TCP/IP-Seriell Umsetzer angebunden ist.
Auf dem Industrie-PC läuft ein Dienst welcher letzten Endes mit dem seriellen Gerät (eben über das TCP/IP Netz) kommuniziert bzw. Daten austauscht.

Immer wieder tauchte kundenseitig die Frage auf, wieviel an Datentraffic (pro Gerät) verursacht wird bzw. in wieweit wird das LAN belastet. Dewegen sollte jetzt eben pro Gerätetyp ein Richtwert pro Zeit ermittelt werden.

Quasi pro 24h ca. 10MB Traffic

Im Netz wird man an Informationen bez. Paket-Sniffern etc. überflutet - damit könnte man sich wochenlang beschäftigen...wie würdet Ihr so einen Testaufbau am besten realisieren?

Ich habe mir bisher folgendes überlegt:

Die beiden Komponenten bzw. "Endgeräte" werde ich an unseren verwaltbaren Switch patchen - dieser beherrscht Port-Mirroring.
Somit könnte ich doch ein Spiegelbild der übertragenen Pakete (beide Richtungen) an einen 3 Port weiterleiten bzw. "spiegeln". Am 3 Port lauscht ein Sniffer den Datenverkehr ab und protokolliert das Datenvolumen.

- So überhaupt realisierbar? - wenn ja, welcher Sniffer wäre die Waffe der Wahl?
- Andere Vorschläge zur Realisierung?

Vielen Dank im Voraus

Kollisionskurs

Content-Key: 159145

Url: https://administrator.de/contentid/159145

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: bodyparts
bodyparts 21.01.2011 um 12:00:25 Uhr
Goto Top
PRTG Network Monitor / Traffic

läuft super
Mitglied: brammer
brammer 21.01.2011 um 13:43:36 Uhr
Goto Top
Hallo,

neben dem von bodyparts empfohlen PRTG kannst du mit dem gespiegelten Port das relativ schnell rausfinden.
Als Sniffer einfach 24 Stunden wireshark mitlaufen lassen und dir anschließend die Größe des Dumps ansehen, durch 24 teilen und du hast eine Menge/Stunde Angabe.

PRTG hätte zwar mehr Option und wäre komfortabler, nur, bis den den Eingerichtet hast und am laufen hast ist der Testaufbau mit dem Port Mirroring schon fertig.

brammer
Mitglied: vonbredowp
vonbredowp 21.01.2011 um 14:08:08 Uhr
Goto Top
So seh ich das auch. (Brammer, Bodyparts)
Ansonsten könntest du, Falls es wirklich kein größeres Netz hast auch einen einfach Hub einsetzen.

Jedoch, wie gesagt, sollte sowas nur in kleinen Netzen überhaupt in Erwägung gezogen werden, da der einfache Hub ein dummes Gerät ist ( ;) ) und jedes Paket an jeden Port schickt.

Da ist das Mirroring wirklich die eleganteste Lösung. Plus Wireshark und los gehts ;)
Mitglied: muftypeter
muftypeter 21.01.2011 um 14:21:59 Uhr
Goto Top
Als Sniffer einfach 24 Stunden wireshark mitlaufen lassen und dir anschließend die Größe des Dumps ansehen, durch 24 teilen und du hast eine Menge/Stunde Angabe. <<

Vorher bitte das ganze Hintergrundrauschen rausfiltern. Also nur, was an die Mac direkt geht.

Grüße vom Peter
Mitglied: chuber
chuber 21.01.2011 um 14:49:02 Uhr
Goto Top
Schnell eine Cacti VM aufsetzen und die Switchports monitoren....

Danach hast du sogar einen Graph dazu....
Mitglied: aqui
aqui 21.01.2011 um 19:07:45 Uhr
Goto Top
Achtung: Tools wie Paessler und Cati nutzen nur SNMP um diese Daten vom Switch bzw. den Ports abzufragen. Damit scheitert man also schon mal gleich am Anfang bei nicht mangebaren Switches. Da du aber Mirror'n kannst ist das ja dann kein Thema für dich, denn das klappt logischerweise nur mit managebaren Switches !.
Die SNMP Methode hat aber den gravierenden Nachteil das du damit auch das oben bereits angesprochene "Grundrauschen", nämlich alle Pakete der die Switch am Port fluten muss wie Broad- und Unicasts mitzählst und dir das dein Messwert massiv verfälscht, da der SNMP Wert nur ein simpler Counter pro Zeit ist aber dein Pakete nie klassifizieren kann. Gerade wenn du in einem großen Netz sitzt und einen Flow mit sehr wenig Traffic monitoren bzw. beurteilen musst wie das vermutlich bei dir der Fall ist. Besser das also vergessen wenn du eingermaßen genau und verlässlich mit deiner Aussage sein willst...
Am elegantesten erledigst du das dann in einer Laborumgebung wo du nur diese beiden Geräte am Switch hast...das wäre dann mehr oder weniger realistisch.
Der Vorschlag von Kollege brammer ist aber die Direktive für dich:
  • Mirrorport mit bidirektionalem Port Mirroring aktivieren am Switch für den Messport.
  • (Falls man nicht Mirrorn kann auf der Switchhardware hilft das_hier. )
  • Wireshark installieren und am Mirrorport anschliessen
  • Im Wireshark einen Capture Filter aktivieren auf die beiden beteiligten IP Adressen der zu messenden Partner um das Grundrauschen fernzuhalten
  • Komponenten anschliessen und Applikation starten.
  • Wireshark mit Filter starten und die "Methode brammer" anwenden !
  • Fertisch...
Mitglied: Kollisionskurs
Kollisionskurs 25.01.2011 um 13:53:51 Uhr
Goto Top
super Sache bzw. ich hab meine Messwerte. Unsere Applikation und die Gerätschaften kommunizieren ausschlieslich über TCP Port 8000.
Somit konnte ich am Mirrorport bequem filtern bzw. mein Dump schreiben.

Vielen Dank! markiere als gelöst...

Gruß

Kollisionskurs