Софт для сканирования и мониторинга локальной сети?

Question

[Данил]

Доброго времени суток, подскажите, пожалуйста, какой-нибудь софт для мониторинга и сканирования на конфликты и прочее локальной сети. Желательно что бы было видно какого рода трафик гуляет по локалке и кто в какой мере нагружает сеть.
Спасибо!

Comments

[tut_nick]

Какие конфликты и прочее??

[Ppelipp]

На самом деле Я бы немного перефразировал запрос. Как мне понять, что с моей сетью? Для этого, я бы предложил начать по следующему сценарию:
1. Определить топологию сети.
Для этого требуется:
1. Определить подключение провайдеров и сколько их.
2. Определить маршрутизаторы в которые включены провайдеры. Сколько их.
3. Определить коммутаторы подключённые к маршрутизаторам и связь между ними. Если коммутаторы управляемые, то определить можно при помощи команд протокола cdp и lldp. Для cisco это команда sh cdp neighbors или sh lldp remote device. Если неуправляемые коммутаторы, то только методом отключения uplink (соединяющих кабелей) или прозвонкой линий. После построения топологии сети можно воспользоваться программами
1. Advanced ip scanner
2. Advanced port scanner
3. Wireshark
4. Netflow analyzer.
Для взятие сети под полный контроль воспользоваться программами Мониторинга
1. Zabbix
2. Prtg

Если речь идёт о коллизиях в сети -то нужно понять, что происходит во время коллизии и что является источником.

Answer 1

[hint000]

Куда вы собираетесь ставить такой софт? Чтобы "было видно какого рода трафик гуляет по локалке и кто в какой мере нагружает сеть", требуется, чтобы весь этот трафик проходил через компьютер с предполагаемым мониторинговым софтом. Локальная сеть работает не так. Трафик по локальной сети ходит через свитчи. Да, вы можете каждого посадить в отдельный VLAN и сделать ваш ПК маршрутизатором между всеми VLAN'ами, но рискуете этим сильно затормозить работу локальной сети.
Если свитчи умеют по SNMP рассказывать про счётчики траффика на отдельных портах, то это был бы оптимальный вариант. Тогда нужно выбрать подходящий софт, умеющий собирать данные по SNMP и генерировать отчёты. Возможно, Zabbix, но он монструозный. А возможно, вам хватит зайти в интерфейс управляемого свитча и просто глазами посмотреть счётчики трафика по портам, вы увидите, кто в данный момент нагружает больше, без всякого дополнительного софта (если свитчи неуправляемые, то придётся заменить их на управляемые).

Вообще, трафик в локальной сети редко вызывает какие-то проблемы. Рассуждения про "конфликты" даже странно слышать. Могут быть конфликты адресов, если вы будете назначать адреса вручную и при этом забывать, какие уже назначили. На практике таких конфликтов не встречал десятки лет, 90% адресов выдаёт DHCP, небольшое количество прописанных статически вручную нетрудно учитывать. Что касается "конфликтов" в виде L2-петель в топологии, то их на уровне настроек управляемых свитчей можно обнаруживать и предотвращать. За всё время раза два видел петли: один раз лет 10 назад сам сделал во время настройки (через несколько минут заметил косяк), другой раз лет 5 назад при аварийном вызове обнаружил чужой косяк в виде петли. Вот и все "конфликты", а для постоянного мониторинга хватает пингов в Nagios.
Если же интересует трафик между локальной сетью и интернетом, то как раз желательно иметь ПК-маршрутизатор.

Comments

[lex899]

На практике таких конфликтов не встречал десятки лет

Вы в каких-то идеальных условиях видимо работаете, сходу несколько вариантов получить конфликт:
1. Берём в магазине 2 железяки с заводским ip
2. железяка сбрасывает ip на дефолтный
3. склонировали конфиг при замене оборудования а потом поставили его в другое место

На практике я видел даже конфликт mac. Петли тоже явление достаточно частое - когда увидели болтающийся кабель и воткнули или новый воткнули не туда, самое подлое что сеть при петле может лечь не сразу а работать некоторое время (самое долгое что видел - больше месяца).

каждого посадить в отдельный VLAN и сделать ваш ПК маршрутизатором между всеми VLAN'ами

Port mirroring же есть. На неуправляемых просто Wireshark. Из тяжёлой артиллерии в стиле zabbix - snort может помочь.

[hint000]

lex899,

1. Берём в магазине 2 железяки с заводским ip

Дык первым делом назначаем новый адрес же. Хотя большинство управляемых свитчей (какие попадались) по DHCP берут адрес прямо с завода. SOHO-роутеры, конечно, имеют фиксированные адреса.

2. железяка сбрасывает ip на дефолтный

Бывает. Дней десять назад было, то ли глюк железа, то ли пользователи кнопкой сбросили (не признаются же в любом случае). Ну Wi-Fi отвалился у пользователя, получилось удалённо исправить (а то бы в соседний город ехать); конфликта адресов не было, потому что локальная сеть изначально делается не 192.168.0.0/24, и не 192.168.1.0/24, и не 192.168.88.0/24, и не 192.168.100.0/24 (других дефолтных сходу не припомню). Если где-то со старых времён осталась одна из дефолтных сетей (и не хочется менять), то по крайней мере шлюз у меня никогда не будет x.x.x.1, чтобы не попасть в конфликт со случайно сброшенной железкой.

3. склонировали конфиг при замене оборудования а потом поставили его в другое место

Теоретически согласен, что тут есть место для ошибки, но практически не могу припомнить случая. Редко что-то клонируется.

На практике я видел даже конфликт mac.

Тоже видел - две железки, прошитых OpenWRT и получивших MAC при этой прошивке, достались от предшественника. Не критично было, т.к. эти "мыльницы" работали в режиме точек доступа, потеря пинга по очереди до первой, потом до второй, потом снова до первой,.. не влияла на исполнение их функций, только мониторингу помеха и всё. Но ситуация курьёзная.

Port mirroring же есть.

+100, упустил это.

На неуправляемых просто Wireshark.

Без зеркалирования трафик других хостов просто не попадёт на хост, где запущен Wireshark. Будет видно в Wireshark только трафик самого этого хоста и всё. Если этот хост - маршрутизатор, то будет видно интернет-трафик разных хостов, но трафик локальной сети опять же будет видно.

[lex899]

Дык первым делом назначаем новый адрес же

локальная сеть изначально делается не 192.168.0.0

В идеальном мире да.

Будет видно в Wireshark только трафик самого этого хоста

+ широковещательный. Строго говоря можно применить arp spoofing.
С mirroring тоже не все гладко, даже завернув все порты коммутатора на себя вы увидите только трафик через этот коммутатор.

Answer 2

[Komrus]

Про трафик и нагрузки умные (шибко умные :) коммутаторы умеют рассказывать по потоколу NetFlow/SFlow
Например:
https://www.cisco.com/c/en/us/td/docs/iosxr/cisco8...

Собирать информацию можно в PRTG (или можно попробовать Zabbix настроить...)
Но актуально это на действительно больших сетях...
На небольшой сетке надоьочень уж постараться, чтобы трафик упёрся в способности коммутатора...

Answer 3

[Максим Корнеев]

Вижу два решения:
1. Нанять того кто знает и умеет и платить ему.
2. Пойти таки учиться.
Оба эти варианта дадут решение более надёжное и быстрое чем ответы от та их же горемык, которые принципиально не хотят делать правильно и хорошо потому что "это реальный мир"...

Comments

[BombaBomba]

Сейчас я пойду учиться в университет, на 5 лет, чтобы узнать ответ на вопрос, на который нормальный человек ответит на этом или другом ресурсе сегодня или завтра.
Ещё было бы неплохо, чтобы таких ответчиков, как ты, было бы поменьше. Лучше бы совсем не было.

[Максим Корнеев]

BombaBomba, ага, лучше нефига не знать, ничего не делать и получать бабки пользуясь чужими ответами. что тебе ответят - я не сомневаюсь. это значит что у меня будет работа чтобы из того, что ты сделаешь по этим ответам, сделать нормально ли хорошо, а твои клиенты узнают что такое плохо и сколько стоит "экономия" на специалистах :)
это хорошо что есть такие как ты. еще лучше когда вас очень много - тогда начинают ценить таких как я :)

а и это, в университете ты ответа на свои вопросы не получишь. так что с 5 лет это ты промахнулся.

Answer 4

[Dupych]

1. Чтобы нормально понимать свою сеть нужно построить ее карту. Мне нравится Nagios заипростоту
2. Чтобы вообще както понимать сеть и видеть ее. Нужны Управляемые коммутаторы, а не 5 портовые хабмки, разбросанные по кабинетам.
3. Собирает инфу с оборудования и выдает данные умеет NETXMS. Zabbix мне не зашел.
Nagios и NETXMS на одном Ubuntu сервере.
Nagios смотрю с телефона карту р виже где и что отвалилось.
NetXMS сервер логов, нагрузка на каналы между коммутаторами, ИБП нагрузка и время. И много еще чего

Answer 5

[Maksim Herasim]

Для анализа пакетов гуляющих по сети используйте wireshark
Для сканирование сети и доступных открытых сервисах внутри сети можно nmap

Answer 6

[CityCat4]

Расплывчатая задача. Конкретнее. Есть туева хуча софта, есть туева хуча задач, они все решаемые.

Answer 7

[swshoo]

Если коммутаторы управляемые, то для оперативного мониторинга именно сети, идеално подходит mikrotik dude.

Answer 8

[journeym]

Lancope
На кор свитче миррор порт и в него.

Answer 9

[oller]

Не ищите волшебную таблетку
Такого по нет, а тот что есть требует оборудования на миллионы и ПО на десятки миллионов, да и незачем вам, ибо разобраться в том ПО это месяцами бесполезной работой заниматься, в итого будет похоронено и забыто

Answer 10

[maxsol007]

www.unicnet.ru крайне рекомендую, неплохая система с российскими корнями. Работает со всеми типами и вендорами устройств.

Answer 11

[Данил]

Спасибо всем за выраженное мнение, из многих комментариев и ответов, подчеркнул необходимое себе. Сейчас веду работу по замене всех оставшихся "тупых" свитчей, на что-то управляемое и оптимизации физических моментов, т.к. мне досталась сеть где до сих пор используется оборудование 2007-2010 годов (частично), все старое что работает до сих пор так и работает, а что выходило из строя - не демонтировалось, а просто кидалось поверх новое. Дело доходит до того, что я демонтирую целые кабель канал в котором 24 4-х жильные витые пары, !КОТОРЫЕ ПРОСТО ВИСЯТ!. Работы ещё много, по этому и поинтересовался, чем я могу на данный момент хоть немного облегчить ситуацию.
Ещё раз спасибо!