Monitorizare trafic retea

[Mboog12]

Salutare,
Am de administrat o retea de calculatoare (aprox 30), si din cauza ca multi oameni s-au plans in ultima vreme de viteza execrabila a internetului am primit sarcina sa monitorizez internet bandwith-ul si cat mananca fiecare calculator din banda de internet (conexiunea este de 256kB garantat). Deci tot ce ma intereseaza este sa vad cat a downloadat sau cat a uploadat pe internet un anumit calculator din retea la un moment dat.
Mentionez ca conexiunea noastra la internet este de felul urmator : avem cablul de internet care intra in router, care apoi are conectat la el mai multe switchuri. Toate calculatoarele sunt pe Windows Xp/Server 2003, si sunt conectate in workgroup.
Am incercat sa monitorizez ce trafic genereaza fiecare calculator cu ajutorul unor programele care merg pe principiul de sniffere, dar am impresia ca snifferele merg doar daca in retea toate switchurile sunt de nivel 2.
De asemenea, am gasit pe unul din calculatoarele cu Windows Server 2003 un programel Network Monitor, pe am incercat sa-l folosesc. Dar am aflat ca acest Network Monitor este o varianta foarte light a lui Network Monitor care vine cu Systems Management Server de la Microsoft, si care varianta light nu stie sa monitorizeze decat traficul de la/inspre calculatorul pe care ruleaza Network Monitor.
Acum ma gandesc sa iau un alt calculator pe care sa-l pun intre routerul principal si conexiunea la internet, astfel incat sa treaca tot traficul prin el, sa pun Windows Server 2003 pe el si sa monitorizez cu Network Monitor cat trafic se genereaza la internet. Dar astfel nu cred ca am cum sa aflu cine genereaza acel trafic (ce calculator din reteaua mea).
Ma mai gandesc la o alta varianta, dar nu stiu daca e posibila: sa monitorizez direct din router (e un router Allied Telesyn). Adica sa ma conectez la consola lui si sa vad daca e posibil sa sa vad cat trafic din internet este adresat unui calculator din retea -Routerul face NAT, deci ma gandesc ca e posibil, cel putin teoretic, sa asociez traficul care vine de pe internet pe un anumit port in router cate unui calculator din retea-.

Evident, nu am mai facut niciodata asa ceva, sunt noob la acest capitol.
A mai facut cineva astfel de monitorizare de bandwith inainte? Sau mai aveti idei de cum as putea sa incerc?
Va multumesc

[Mr_Devil83]

Da, o facem si noi doar ca ne place sa ne jucam cu linux.

Ai sanse mai mari sa fi ajutat daca pui o masina cu linux pe ea acolo, intre serverul tau si internet pentru ca mai toti folosim ca ruter un linux pe care il cunoastem cat de cat si e si gratis.

Pe windows solutia de a monitoriza traficul inseamna bani si spre deosebire de linux traffic shaping-ul este de rahat.

[Mboog12]

okey
am luat un pc, am pus ubuntu server pe el (i-am instalat si un desktop), stiu cat de cat sa-l setez sa fie firewall si routing server. nu stiu insa cum se monitorizeaza traficul acuma

[aurasdoom]

iti trebuie un ansamblu format din iptraf si un program de generare a graficelor caruia i-am uitat numele.

[KillerOPS]

mai exact mrtg. Ai un script numit ipt2mrtg care iti extrage din iptables traficul care trece prin diverse chain-uri, dar nu merge "by default". Trebuie sa-l modifici sa puste cu ce ai tu acolo.

[droopy]

Vezi cu ntop http://www.ntop.org/overview.html dar dezactiveaza tot ce nu ai nevoie din el, ca altfel nu-i ajung nici 19 procesoare. Ia vezi Telesyn-ul ala daca e mai pricopsit ar trebui sa aiba ceva traffic accounting built-in.

[guru]

Ntop e misto, dar dupa cum spunea si droopy, consuma foarte multe resurse. Ti-as recomanda Cacti http://www.cacti.net/ . Are o interfata destul de simplu de folosit, face grafice dragute , nu consuma resurse multe si nu e greu de instalat (singurul loc unde s-ar putea sa te pierzi e instalarea Net-SNMP, dar sunt multe tutoriale pe net). Gasesti pe site-ul lor how-to pentru instalare si cuprinde si instalarea Net-SNMP: http://docs.cacti.net/node/70

Si daca Telesyn ala stie SNMP poti sa il monitorizezi tot prin Cacti..

Daca vrei sa mergi pe calea asta, poti sa mai arunci cate o intrebare pe aici, te mai ajut cu un sfat, chiar de curand am instalat un Cacti, sunt fresh

[wirespot]

În general routerele de uz casnic au SNMP, dar nu spun decît traficul (in/out) "bulk", pe interfața externă. În care caz e inutil să te complici cu Cacti, te scoți direct cu rrdtool. Bine, asta o zic eu că știu să folosesc rrdtool, presupun că dacă nu știi nu ți se mai mare convenabil.

Oricum, nu prea are rost dacă scula de monitorizare nu e instalată direct pe router, sau un calculator adiacent care stă tot timpul pornit, că nu văd rostul să monitorizezi de pe un PC din LAN, doar cînd e PC-ul ăla pornit. Deci prima chestie ar fi un PC sau router cu Linux pe undeva pe acolo.

[Mboog12]

super, acu le incerc. revin maine cu intrebari

[Mboog12]

okay, tot incerc cacti. asta in momentele cand merge reteaua :O. am instalat snmp si apoi mysql server si apoi cacti. cred insa ca nu am configurat prea bine snmp, caci nu prea imi apare recunoscut in cacti. imi puteti sugera un tutorial mai pentru nubi? sau poate imi spuneti freo smekerie de care trebe sa fiu atent la instalarea snmp (eu in mare i-am dat <Default> la tot ce ma intreba el). Cacti s-a instalat ok, imi face niste grafice pe care le avea setate by default, insa nu reusesc deloc sa-l fac sa-mi mearga cu snmp.

[migabi]

Citeste http://martybugs.net/linux/rrdtool/traffic.cgi ca iti ofera solutia completa si e mai simpla decat snmp + mysql.

[guru]

De pe pc pe care ai instalat linux + cacti incearca comanda snmpwalk -v 1 -c comunitatea_pe_care_ai_setat-o ip_echip_pe_care_il_monitorizezi si vezi daca iti da vreun rezultat. Daca iti umple ecranul cu informatii pe care nu le intelegi, inseamna ca merge. Daca nu.. ai o problema cu snmp.
In principiu trebuie sa fi atent la setarile de securitate, ce spuneam mai sus de "comunitate". Comunitatea e un fel de "parola" ca sa spunem asa, probabil ai setat-o default pe "public" cand ai raspuns default la toate intrebarile din instalare. Incearca sa te uiti in fisierul /etc/snmpd.conf sau /etc/snmp/snmpd.conf la comunitate RO (read-only) si sa vezi ce ai setat. Tot acolo poti sa o schimbi (ceea ce e si recomandat). Vino si spune-ne dupa asta ce ai rezolvat.

[d34dly]

un alt lucru care ai putea sa-l faci daca tot ai o masina linux este sa implementezi un sistem de traffic shaping gen qdisc ( htb) cu fair queue intre ip`urile din retea.

http://wiki.openvz.org/Traffic_shaping_with_tc

iar cu generarea de grafice ptr fiecare ip in parte iti spun cum faceam eu:

chainuri iptables care sa cuprinda ip`urile respective

un mic scriptulet perl ce inclutea iptables -nxv din chainul existent ce scria intr-o tabela mysql din 5 in 5 minute . apoi cu mrtgtool scoteam din mysql si generam rrd`urile . apoi cacti desena graficele pe baza la rrd`uri.

sorry ca am fost foarte succint dar plecand de la acesti pasi poti cauta tutoriale pe net. si oricum principiul meu este ca orice informatia costa ( mai ales in domeniul IT`ului ) fapt pentru care sunt si foarte zgarcit in a da sfaturi si a prezenta solutii complete pe forumuri .

[Mr_Devil83]

http://bandwidthd.sourceforge.net/

simplu si fara batai de cap.