Welches Programm / Rechner erzeugt Traffic auf meiner Standleitung

[Milla 10]

Hallo zusammen,

 

ich überwache mit MRTG (Multi Router Traffic Gapper) meine Standleitungsrouter.

 

Hier werden zu gewissen Zeiten riesen Trafficmengen erzeugt, wie finde ich nun raus, welche Anwendungen/Rechner daran Schuld sind?

[Dr.Melzer 191]

Mit einem Netzwerksniffer.

[cathore 10]

Wildpackets Etherpeek oder auch Ethereal

 

Wobei ich würde Etherpeek bevorzugen wegen der schönen tollen Auswertung nach Protokollen, Nodes usw. :)

[Milla 10]

OK, stimmt eigentlich.. Danke!!

 

habe dann nur noch ein Problem,

die Geräte hängen alle an nem Cisco CAT 2950

 

wie "spiegele" ich dort einen Port, sodass der Sniffer die Daten bekommt die auch der Router bekommt??

[Zion 10]

Also ich arbeite da grad dran für unser Netzwerk.

 

Bei Cisco ich glaub ab den 1700 Routern kannst du das 'Cisco Netflow'

einschalten funktionert glaub auch auf Switchen!

 

Der bspw. Router zeichnet dann alle Pakete (Flows) auf dem Cisco Router auf, wobei man ja nach Flow Version (5) verschiedene Werte auslesen kann! Zum Beispiel Quell und Ziel Port/Adresse Type of Service Feld usw.

 

Diese Flows kannst du dann an eine Linuxbüchse schicken und Sie dort mit beispielweise (Flow-Tools) auswerten, setzt aber voraus das du relativ fit in Linuxskripting und MySQL bist, MySQL als Datenbank da du je nach Netzen sehr viele Daten zusammen bekommst!

Oder du nimmst ein kommerzielles Tool um die Flows abzugreifen zum Beispiel Netramet (kostet aber :o(

 

Gruss Zion

[GerhardG 10]

aktiviere einfach auf allen 2950 switchen snmp und frage den traffic jedes einzelnen ports ab. wenn du viele switche hast, wäre cacti vielleicht eine passende alternative zu mrtg, dank webgui und massig templates ist die verwaltung vieler hosts damit einfacher als mit mrtg.

 

http://www.cargal.org/images/gallery/albums/album73/Cacti_13.sized.jpg

[Milla 10]

Hallo,

 

cacti ist sicher eine gute Idee, probier ich mal aus!!

 

Flow hören sich so kompliziert an :-(

Hast du da eventuell Dokus zu?

 

Normalerweise könnte ich ja mit ne HUB auf dem Router, Sniffer und der Rest meines Netzes gepatch sind schön protokollieren !!

(Hubs liefern ja Broadcasts an alle Ports)

 

Leider habe ich keine Hub sondern nur Switches zur Verfügung !!

Aber ich habe mal gehört, dass man auf den Cisco CATs eben einen einzelnen Port so konfigurieren kann, dass er eine Kopie aller Pakete die für einen anderen Port (indemfall der des Routers) bestimmt sind bekommt!!

 

 

So long, milla

[Operator 10]

Hi,

 

das Feature nennt sich SPAN (Switched Port ANalyzer ).

 

Auf einem Cisco 2950 konfigurierst Du das wiefolgt (laut Cisco):

 

C2950# configure terminal

C2950(config)#

C2950(config)# monitor session 1 source interface fastethernet 0/2

 

!--- Interface fa0/2 is configured as source port.

 

C2950(config)# monitor session 1 destination interface fastethernet 0/3

 

!--- Interface fa0/3 is configured as destination port.

 

Details: http://www.cisco.com/warp/public/473/41.html

 

Gruß

Andre

[Milla 10]

Danke, wusste nicht, dass das SPAN heißt !!

 

so long....

[Zion 10]

Infos zu Netflow findest du bei http://www.cisco.com

 

Infos zu dem Flowcatcher findest du bei

http://www.splintered.net/sw/flow-tools/

 

Aber ist mit ziemlicher Sicherheit zu Umfangreich für deine Belange!

 

Gruss Z.