11
Netzwerkverkehr und Bandbreite
Es soll der Netzwerkverkehr und die benötigte Bandbreite gemessen werden
Hallo,
ich stehe vor der Aufgabe, dass ich die aktuell benötigte Bandbreite, bezogen auf die IP-Adressen, messen muss.
Hintergrund: Wir haben mehrere Subnetze, die über eine Firewall ins Internet gehen. Nun ist die benötigte Internetkapazität vor kurzem sprunghaft angestiegen und ich muss herausfinden, wer (IP-Adresse) diesen Traffic verursacht.
Da die Firewall keine entsprechende Auswertungsmöglichkeit bietet, habe ich mir bereits verschiedene Tools angeschaut. Das einzige, das mir für geeignet erscheint, ist wohl Wireshark. Hier habe ich aber das Problem, wie ich den gesamten Netzwerkverkehr messen kann. Mit einem normalen Switch geht das ja nicht und Ethernet HUB's gibt es keine mehr.
Wäre schön, wenn jemand eine Idee hätte. Vielleicht gibt es ja noch etwas besseres als Wireshark.
Gruß
Thomas
ich stehe vor der Aufgabe, dass ich die aktuell benötigte Bandbreite, bezogen auf die IP-Adressen, messen muss.
Hintergrund: Wir haben mehrere Subnetze, die über eine Firewall ins Internet gehen. Nun ist die benötigte Internetkapazität vor kurzem sprunghaft angestiegen und ich muss herausfinden, wer (IP-Adresse) diesen Traffic verursacht.
Da die Firewall keine entsprechende Auswertungsmöglichkeit bietet, habe ich mir bereits verschiedene Tools angeschaut. Das einzige, das mir für geeignet erscheint, ist wohl Wireshark. Hier habe ich aber das Problem, wie ich den gesamten Netzwerkverkehr messen kann. Mit einem normalen Switch geht das ja nicht und Ethernet HUB's gibt es keine mehr.
Wäre schön, wenn jemand eine Idee hätte. Vielleicht gibt es ja noch etwas besseres als Wireshark.
Gruß
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202776
Url: https://administrator.de/contentid/202776
Printed on: April 19, 2024 at 22:04 o'clock
11 Comments
Latest comment
Hallo,
zwei Aussagen in einem Satz und beide klärungssbedürftig
Was ist für dich ein Normaler Switch?
Wenn der Konifugrierbar ist, sollte der Portmirroring oder das Spiegeln eines Ports beherrschen....
Und HUB's gibt es schon noch, nur sind die inzwischen schwer zu bekommen...
Aber du kannst auch einen Rechner mit 2 Netzwerkkarten nehmen.
Gab vor Jahren schon einen schönen c't Artikel dazu.
brammer
zwei Aussagen in einem Satz und beide klärungssbedürftig
Mit einem normalen Switch geht das ja nicht und Ethernet HUB's gibt es keine mehr.
Was ist für dich ein Normaler Switch?
Wenn der Konifugrierbar ist, sollte der Portmirroring oder das Spiegeln eines Ports beherrschen....
Und HUB's gibt es schon noch, nur sind die inzwischen schwer zu bekommen...
Aber du kannst auch einen Rechner mit 2 Netzwerkkarten nehmen.
Gab vor Jahren schon einen schönen c't Artikel dazu.
brammer
Hi Thomas,
Wireshark kann man an einem gemanagten Switch mit Port Mirroring benutzen.
Wenn du viele Subnetze hast, solltest du auch managebare Switche haben. Die kosten auch nicht die Welt.
Zum Spiegeln eignet sich der Ausgangsport der Firewall oder der Eingangsport des Routers.
Da der gesammte Verkehr etwas viel ist solltest du nicht Capturen (Aufzeichnen) sondern Monitoren (Analysieren) und eine Listenansicht der IPs/Namen nehmen. Da kann man noch evtl tiefer gehen und das Protokoll wählen.
Gruß
Netman
Wireshark kann man an einem gemanagten Switch mit Port Mirroring benutzen.
Wenn du viele Subnetze hast, solltest du auch managebare Switche haben. Die kosten auch nicht die Welt.
Zum Spiegeln eignet sich der Ausgangsport der Firewall oder der Eingangsport des Routers.
Da der gesammte Verkehr etwas viel ist solltest du nicht Capturen (Aufzeichnen) sondern Monitoren (Analysieren) und eine Listenansicht der IPs/Namen nehmen. Da kann man noch evtl tiefer gehen und das Protokoll wählen.
Gruß
Netman
Zitat von @syncmaster:
Hier habe ich aber das Problem, wie ich den gesamten
Netzwerkverkehr messen kann. Mit einem normalen Switch geht das ja nicht und Ethernet HUB's gibt es keine mehr.
Hier habe ich aber das Problem, wie ich den gesamten
Netzwerkverkehr messen kann. Mit einem normalen Switch geht das ja nicht und Ethernet HUB's gibt es keine mehr.
Alle normalen managebaren switche switche bieten zumindest rudimentäres accounting.
Und Repaeater gibt es sehr wohl auch noch, zumindest gebraucht findet man viele.
Wäre schön, wenn jemand eine Idee hätte. Vielleicht gibt es ja noch etwas besseres als Wireshark.
Einfach einen Rechner mit zwei Nics als bridge schalten und z.B. per iptables traffic accounten.
meines erachtens wäre es aber am sinnvollsten einfach einen mangabaren Switch zu nehmen und bei dem die Portstatistiken regelmäßig auszulesen. das führt dann recht schnell zu dem "Störenfried".
lks
Zitat von @Lochkartenstanzer:
meines erachtens wäre es aber am sinnvollsten einfach einen mangabaren Switch zu nehmen und bei dem die Portstatistiken regelmäßig auszulesen. das führt dann recht schnell zu dem "Störenfried".
Leider bringen Portstatisken auf Switches keinerlei Hinweise auf die Verteilung der Endanwender am Internetzugang. Mirroring ist zwingend oder wenns mehr Luxus sein darf, sflow, netflow.meines erachtens wäre es aber am sinnvollsten einfach einen mangabaren Switch zu nehmen und bei dem die Portstatistiken regelmäßig auszulesen. das führt dann recht schnell zu dem "Störenfried".
Gruß
Netman
Zitat von @MrNetman:
> Zitat von @Lochkartenstanzer:
> meines erachtens wäre es aber am sinnvollsten einfach einen mangabaren Switch zu nehmen und bei dem die Portstatistiken
regelmäßig auszulesen. das führt dann recht schnell zu dem "Störenfried".
Leider bringen Portstatisken auf Switches keinerlei Hinweise auf die Verteilung der Endanwender am Internetzugang. Mirroring ist
zwingend oder wenns mehr Luxus sein darf, sflow, netflow.
> Zitat von @Lochkartenstanzer:
> meines erachtens wäre es aber am sinnvollsten einfach einen mangabaren Switch zu nehmen und bei dem die Portstatistiken
regelmäßig auszulesen. das führt dann recht schnell zu dem "Störenfried".
Leider bringen Portstatisken auf Switches keinerlei Hinweise auf die Verteilung der Endanwender am Internetzugang. Mirroring ist
zwingend oder wenns mehr Luxus sein darf, sflow, netflow.
Sorry, hab mich Mißverständlich ausgedrückt. Meine natürlich nicht die reinen Portstatistiken, sondern die Informationen aus den *flow-Messungen.
lks
Hallo,
OK.
Gruß,
Peter
OK.
die über eine Firewall ins Internet gehen
OK. Eine Firewall für verschiedene Netze.ist wohl Wireshark
OK.Mit einem normalen Switch
Was ist ein Normaler Switch? Hättest du die Güte uns auch in deine Gehemnisse einzuweihen? Wie nennst sich dein Switch und deine Firewall genau? Dann wird es für uns leichter dir zu helfen. Aber falls dies unter Geheimhaltung fällt, dann wird unsere Antwort wohl auch als Geheim einzustufen seinund Ethernet HUB's gibt es keine mehr.
Doch, gibt es schon noch. Habe sogar noch 2 bei mir wegen solcher Szenarien stehenVielleicht gibt es ja noch etwas besseres als Wireshark.
Was sollte besser sein als ein Werkzeug welches dir alle Pakete mitschneiden kann? http://www.gl.com/packetshark-handheld-gigabit-ethernet-tester.html Gruß,
Peter
Hallo,
natürlich setzen wir managebare Switche ein und ich denke, dass die auch Mirroring können. Aber wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln.
Mit einem Hub könnte man das, aber einen solchen habe ich nicht und auch die Händler, bei denen ich nachgefragt habe, besitzen keine mehr. Eigentlich würde ich gerne einen Hub zwischen Ausgangsport der Firewall und dem Netzwerkport des ISP's schalten. Dann könnte man auch alles analysieren.
Kannst Du mir sagen, wieviele Daten durch das Mirroring verloren gehen und somit nicht analysiert werden können?
Gruß Thomas
natürlich setzen wir managebare Switche ein und ich denke, dass die auch Mirroring können. Aber wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln.
Mit einem Hub könnte man das, aber einen solchen habe ich nicht und auch die Händler, bei denen ich nachgefragt habe, besitzen keine mehr. Eigentlich würde ich gerne einen Hub zwischen Ausgangsport der Firewall und dem Netzwerkport des ISP's schalten. Dann könnte man auch alles analysieren.
Kannst Du mir sagen, wieviele Daten durch das Mirroring verloren gehen und somit nicht analysiert werden können?
Gruß Thomas
Hallo,
als "normalen Switch" bezeichne ich einen Switch der nicht dazu gebaut wurde zur Datenanalyse eingesetzt zu werden. Wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln, wodurch die Messung u.U. sehr ungenau würde.
Da ich jetzt nicht der große Trafficanalyzer bin ist mir nicht bekannt, wie ungenau die Messung durch das Portmirroring wird. Ein Hub wäre für mich, rein logisch, die bessere Wahl.
Kannst Du mir sagen, wo man noch Hub's bekommt? Ich habe keine mehr gefunden.
Gruß Thomas
als "normalen Switch" bezeichne ich einen Switch der nicht dazu gebaut wurde zur Datenanalyse eingesetzt zu werden. Wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln, wodurch die Messung u.U. sehr ungenau würde.
Da ich jetzt nicht der große Trafficanalyzer bin ist mir nicht bekannt, wie ungenau die Messung durch das Portmirroring wird. Ein Hub wäre für mich, rein logisch, die bessere Wahl.
Kannst Du mir sagen, wo man noch Hub's bekommt? Ich habe keine mehr gefunden.
Gruß Thomas
Hallo Peter,
es ist kein Geheimnis welche Geräte wir einsetzen. Ich wollte einfach bei Leuten, die hier mehr Erfahrungen haben als ich, die prinzipielle Vorgehensweise erfragen.
Natürlich wäre ein Ethernet Tester das ideale Werkzeug, abe die die ich kenne, schlagen gleich mit mehreren tausend Euro zu Buche.
Im Übrigen sind beim genannten Problem etwa 10 St. 24/48 Port Switches (HP/D-Link) und eine Watchguard, verteilt über 6 Verteilerschränke, im Einsatz. Die Tatsache, dass praktisch keine Dokumentation zum Netzwerk vorhanden ist, macht die Sache nicht gerade leichter.
Wenn Du einen Händler oder Disti kennst der noch Hub's hat, dann wäre es nett, wenn Du mir den Namen geben könntest.
Gruß Thomas
es ist kein Geheimnis welche Geräte wir einsetzen. Ich wollte einfach bei Leuten, die hier mehr Erfahrungen haben als ich, die prinzipielle Vorgehensweise erfragen.
Natürlich wäre ein Ethernet Tester das ideale Werkzeug, abe die die ich kenne, schlagen gleich mit mehreren tausend Euro zu Buche.
Im Übrigen sind beim genannten Problem etwa 10 St. 24/48 Port Switches (HP/D-Link) und eine Watchguard, verteilt über 6 Verteilerschränke, im Einsatz. Die Tatsache, dass praktisch keine Dokumentation zum Netzwerk vorhanden ist, macht die Sache nicht gerade leichter.
Wenn Du einen Händler oder Disti kennst der noch Hub's hat, dann wäre es nett, wenn Du mir den Namen geben könntest.
Gruß Thomas
Zitat von @syncmaster:
Eigentlich würde ich gerne einen Hub zwischen Ausgangsport der Firewall und dem Netzwerkport des
ISP's schalten. Dann könnte man auch alles analysieren.
Eigentlich würde ich gerne einen Hub zwischen Ausgangsport der Firewall und dem Netzwerkport des
ISP's schalten. Dann könnte man auch alles analysieren.
Dann
- nimm eine normale Kiste mit zwei Nics.
- Hau linux/solaris/bsd/windows in Deiner gewünschten Geschmacksrichtung drauf
- aktiviere das bridging
- klemme es dazischen
- schneide mit wireshark/tcpdump/snoop/whatsoever die Pakete mit.
Gleichzeitig kannst du mit IP-tables (bei linux) Accounting-regeln anlegen, die Dir dann einen Teil der Statistiken liefern.
lks
PS. Ja, es gibt auch Bridging bei Windows.
Hi Thomas
Mit einem Hub konnte man Pakte sehen, die ein Switch nicht mehr weiter verteilt: Defekte Pakte (CRC-Fehler) und so. Diese Art von Fehlern kann man aber gut in der Switchportstatistik sehen. Sie sind außerdem nur ein Hinweis auf Hardware Fehler von Kabeln, NICs oder Switchports.
Gruß
Netman
Zitat von @syncmaster:
als "normalen Switch" bezeichne ich einen Switch der nicht dazu gebaut wurde zur Datenanalyse eingesetzt zu werden. Wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln, wodurch die Messung u.U. sehr ungenau würde.
Die nahezu einzige Gefahr beim Portmirroring ist dass nur eine Richtung gespiegelt wird. Darauf ist zu achten (Kommunikationsbeziehungen). Ansonsten ist das mit leidlich aktuellen, unter 10 Jahre alten Switchen leicht zu lösen. Außerdem spiegelst du nicht einen Full-Speed Gigabit.Port oder ein komplettes VLAN sondern nur den Port für den Internetzugang und der ist durch die ISP-Bandbreite sehr begrenzt. Beim Spiegeln wird ja nur Verkehr, den der Switch verarbeiten muss an einem weiteren Port ausgegeben.als "normalen Switch" bezeichne ich einen Switch der nicht dazu gebaut wurde zur Datenanalyse eingesetzt zu werden. Wenn ich mich recht entsinne, kann auch das Mirroring nicht alle Daten spiegeln, wodurch die Messung u.U. sehr ungenau würde.
Ein Hub wäre für mich, rein logisch, die bessere Wahl.
Der Hub ist eine massiver eingriff in die Infrastruktur. 10Mbit Halbduplex. Das ist für einen 8Mbit Internetanschluß überhaupt nicht mehr machbar. 100Mbit Hubs sind Mangelware und mit Recht früh ausgestorben.Mit einem Hub konnte man Pakte sehen, die ein Switch nicht mehr weiter verteilt: Defekte Pakte (CRC-Fehler) und so. Diese Art von Fehlern kann man aber gut in der Switchportstatistik sehen. Sie sind außerdem nur ein Hinweis auf Hardware Fehler von Kabeln, NICs oder Switchports.
Gruß
Netman
