Hellstorm
Cadet 4th Year
- Registriert
- Nov. 2008
- Beiträge
- 104
Moin zusammen,
für eine genauere Analyse versuche ich aktuell den Traffic unseres Firewall-Uplinks zu messen. Die Granularität auf der Firewall selbst ist mir zu grob. Dazu zählt sie auch nur beendete Sessions, was ebenfalls zu einer Abweichung führt.
SFlow/Netflow sieht mir da auch etwas zu ungenau aus, daher habe ich mir ntopng angeschaut.
Die Herausforderung ist hier allerdings folgende:
Die Firewall ist mit zwei Uplinks über ein LACP angebunden. Das LACP läuft dabei auf zwei separate Switche, die kein Stack sind.
Daher habe ich mir je einen Port-Mirror von diesen Switches zu einem weiteren temporären Switch gebaut - und diese beiden Ports auf dem temporären Switch wiederum sind auch für einen Port-Mirror konfiguriert. Und dort hängt dann ein Laptop, der dann das Packet-Capture betreibt und auf dem die ntopng-Instanz liegt.
ntopng ist soweit auch ganz hübsch, aber ich habe z.B. obskure Lücken im Gesamt-Traffic-Graphen, siehe Screenshot.
Die Peak-Werte passen soweit auch zum vermuteten Gesamt-Traffic und überschreiten auch definitiv nicht die Bandbreite der einzelnen Ports/Uplinks. Aber selbst wenn ich davon ausginge, dass der Laptop überlastet sei (CPU und RAM-Auslastung sind jedoch OK), so dürften nicht so große und regelmäßige Lücken zu finden sein. Die Port-Mirrors sind auch performant genug. Schaue ich mir zu einzelnen Clients oder Verbindungen die Details an, so erhalte ich auch aktuelle Traffic-Statistiken, die im unten gezeigten Screenshot eigentlich in den Lücken liegen würden.
Hat hier jemand eine Vermutung was das Problem sein könnte, oder kennt ein ähnliches Tool um zu sehen, ob hier auch das Problem auftritt?
Ich kenne jetzt zwar noch iptraf oder nload, aber ich hätte schon gerne eine grafische Auswertung über ein Webinterface.
für eine genauere Analyse versuche ich aktuell den Traffic unseres Firewall-Uplinks zu messen. Die Granularität auf der Firewall selbst ist mir zu grob. Dazu zählt sie auch nur beendete Sessions, was ebenfalls zu einer Abweichung führt.
SFlow/Netflow sieht mir da auch etwas zu ungenau aus, daher habe ich mir ntopng angeschaut.
Die Herausforderung ist hier allerdings folgende:
Die Firewall ist mit zwei Uplinks über ein LACP angebunden. Das LACP läuft dabei auf zwei separate Switche, die kein Stack sind.
Daher habe ich mir je einen Port-Mirror von diesen Switches zu einem weiteren temporären Switch gebaut - und diese beiden Ports auf dem temporären Switch wiederum sind auch für einen Port-Mirror konfiguriert. Und dort hängt dann ein Laptop, der dann das Packet-Capture betreibt und auf dem die ntopng-Instanz liegt.
ntopng ist soweit auch ganz hübsch, aber ich habe z.B. obskure Lücken im Gesamt-Traffic-Graphen, siehe Screenshot.
Die Peak-Werte passen soweit auch zum vermuteten Gesamt-Traffic und überschreiten auch definitiv nicht die Bandbreite der einzelnen Ports/Uplinks. Aber selbst wenn ich davon ausginge, dass der Laptop überlastet sei (CPU und RAM-Auslastung sind jedoch OK), so dürften nicht so große und regelmäßige Lücken zu finden sein. Die Port-Mirrors sind auch performant genug. Schaue ich mir zu einzelnen Clients oder Verbindungen die Details an, so erhalte ich auch aktuelle Traffic-Statistiken, die im unten gezeigten Screenshot eigentlich in den Lücken liegen würden.
Hat hier jemand eine Vermutung was das Problem sein könnte, oder kennt ein ähnliches Tool um zu sehen, ob hier auch das Problem auftritt?
Ich kenne jetzt zwar noch iptraf oder nload, aber ich hätte schon gerne eine grafische Auswertung über ein Webinterface.
