Сеть нюхает и концентраторы
Это, вероятно, покажется наивным экспертам... но в последнее время я думал об этом.
В течение многих лет я использовал ntop и дешевый 4-портовый концентратор, чтобы прослушивать клиентские сети, чтобы определить, кто что делает и сколько. Отличный способ увидеть, что происходит, когда они звонят и говорят: "Черт, сеть сегодня кажется очень медленной". Нет необходимости вводить управляемый коммутатор (или получать доступ к существующему) и не нужно настраивать связывание или зеркалирование. Я просто подключаюсь к центру, где хочу измерять.
В последнее время я заметил, что практически невозможно купить настоящий центр добросовестности. При поиске нового мне кто-то сказал, что я должен быть уверен, что получу полнодуплексный концентратор, или я буду видеть только половину трафика, когда буду следить.
В самом деле?
Я все это время использовал старый хрупкий Netgear DS104. Понятия не имею, если это половина или FD. Я действительно занижал свои измерения? Я просто недостаточно разбираюсь в физическом уровне, чтобы действительно знать...
Примечание: только что заказал TAP-коммутатор Dualcomm Ethernet в качестве замены концентратора. Похоже на изящный гаджет. Любые заметки или советы по этому поводу будут приветствоваться в комментариях:-)
3 ответа
Дело в том, что, хотя концентратор обычно допускает только полудуплексную связь (я слышал о полнодуплексных концентраторах, но никогда не видел ни одного), это не означает, что вы увидите только половину трафик, что означает, что устройства, взаимодействующие друг с другом через концентратор, будут взаимодействовать в полудуплексном режиме. Вы по-прежнему будете видеть весь трафик, проходящий через концентратор. Когда clientA общается с clientB, вы увидите это, и когда clientB ответит на clientA, вы увидите это также. Концентратор перенаправляет трафик на все порты, поэтому вы увидите весь трафик независимо от дуплекса.
В процессе мониторинга вы, вероятно, представляете временную проблему с производительностью из-за того факта, что любые устройства, подключенные к концентратору, вероятно, будут пытаться установить связь в полнодуплексном режиме (особенно если они жестко запрограммированы в полнодуплексном режиме) и поэтому будут возникать коллизии, что потребует повторной передачи большого количества трафика в дополнение к "замедлению" в результате полудуплексного характера концентратора.
Преимущество использования концентратора в том, что он действует как пассивный сетевой отвод. Вы можете вставить его в линию между клиентским коммутатором и межсетевым экраном / маршрутизатором и отслеживать их использование в Интернете, видеть, кто куда идет, посмотреть, какое использование происходит (HTTP, FTP и т. Д.), Посмотреть, сколько используется их интернет-соединение и посмотрите, сколько вещательного трафика существует в сети.
Вероятно, вы не видите проблем, которые связаны с конкретными хостами в сети, поскольку вы не можете вставить концентратор между каждым хостом в сети (вы можете подключить концентратор только к одному порту коммутатора, а не ко всем). Для этого вам нужен коммутатор с возможностью зеркалирования портов, чтобы вы могли зеркалировать трафик от определенных портов коммутатора или групп портов на порт монитора.
Я использую как концентратор, так и коммутатор с возможностью зеркалирования портов, в зависимости от проблемы, которую я устраняю. Я обычно начинаю с концентратора, подключенного между клиентским коммутатором и межсетевым экраном / маршрутизатором. Это дает мне представление о том, сколько интернет-трафика существует, какой это трафик, и дает мне представление о том, сколько вещания происходит в сети. Я бы сказал, что в большинстве случаев проблема заключается в недостаточной пропускной способности интернета или большом объеме вещания, вызывающем перегрузку, повторные передачи, медленные ACK, дублированные ACK и т. Д.
В зависимости от того, с чем вам удобно, портативным решением является создание собственного сетевого моста. Для этого можно использовать любой ноутбук с двумя интерфейсами. Подключите провод от стены к одному интерфейсу, а второй провод к устройству, сообщающему о проблеме, и проведите анализатор на мосту.
Двойные порты можно найти многими способами. USB NIC или используйте этот никогда не используемый слот ExpressCard на некоторых ноутбуках, чтобы добавить второй GigE NIC ( пример устройства на NewEgg).
В Linux это несколько команд корневого режима для его настройки.
brctl addbr snifbr
brctl addif snifbr eth0 eth1
То же самое можно сделать в Windows через общий доступ к подключению к Интернету и другими способами, но я не знаю, что это за голова.
А теперь, примечание:
Простота в этом - одна из причин, по которой некоторые сети используют защиту на уровне портов. Зарегистрируйте конкретный MAC-адрес для определенного гнезда Ethernet, и такой захват встроенного пакета намного сложнее. Не невозможно, просто сложнее.
Преимущество использования этого метода заключается в том, что он не требует дополнительного блока питания для коммутатора / концентратора, он полностью автономен в ноутбуке. Вы даже можете добавить адрес к мосту, если вам нужно.
ifconfig snifbr 10.31.25.101 netmask 255.255.255.0
И SSH в него для удаленных захватов.
Если это хаб, он должен быть полудуплексным. Трудно найти концентратор и практически невозможно найти 100-миллиметровый "концентратор".
В наши дни 10 Мбайт просто не помогают, поэтому концентраторы на самом деле не очень удачное решение.
Управляемые коммутаторы, которые могут выполнять зеркалирование портов, не так уж дороги в наши дни. Или вы можете создать сетевой кран, если вам нравится стиль гетто.
Это список коммутаторов и инструкции о том, как включить зеркалирование портов.
И если вы используете сетевой отвод, вам обычно требуется 2 интерфейса для мониторинга заданной ссылки - вам нужно отслеживать входы и выходы, и, надеюсь, ваше программное обеспечение сможет выполнить объединение за вас.