Traffic vom Switch zählen und grafisch darstellen

moodsx · Beitrag von **moodsx** » 05.10.2007 14:53:38

Hallo Community,

ich habe einen Cisco 3524 / 3548 Switch und möchte jetzt gern den gesamten Traffic der über diesen Switch läuft zählen und grafisch geordnet nach IP-Adressen darstellen.

Kann mir dazu jemand einen Tipp geben wie ich das am besten realisieren könnte?

Ich hätte mir das ungefähr so vorgestellt: Einen Port als Monitoring-Port eingerichtet und diesen per SNMP abfragen. Könnte das so hinhauen? Wenn ja, mit welchem Tool sollte der dann ausgelesen werden? Wie oft müsste man den dann auslesen? Käme dafür MRTG in Frage?

Wenn das so nicht hinhaut, welche Alternative habe ich?

Danke für Eure Hilfe

rene04 · Beitrag von **rene04** » 05.10.2007 15:03:25

Ich hätte mir das ungefähr so vorgestellt: Einen Port als Monitoring-Port eingerichtet und diesen per SNMP abfragen. Könnte das so hinhauen? Wenn ja, mit welchem Tool sollte der dann ausgelesen werden?

guter ansatz. ich empfehle nagios. mit mrtg kenn ich mich net aus.

gruesse

chroiss · Beitrag von **chroiss** » 05.10.2007 15:05:03

Wenn Du schon einen MonitorPort hast is das doch schon mal Klasse.
Und wenn Dir es nicht zu mächtig ist und der Traffic nicht zuuu viel ist ,
wäre ntop http://www.ntop.org/overview.html
sehr zu empfehlen.

Gruss Chroiss

Nagios empfielt sich eher wenn Du eine Diensteüberwachung wünschst. Ist dann aber der absolute Favorit, das stimmt.

[EDIT]
Wenn Du einen Monitor Port hast , brauchst Du nicht auf snmp zurückgreifen.
Du kriegst ja alle Daten schön geschickt und brauchst Sie somit nicht anfordern/abfragen.
[/EDIT]

moodsx · Beitrag von **moodsx** » 05.10.2007 15:23:47

hmm ok Danke erstmal.

Wenn ich mich jetzt richtig erinner war ntop net so das wahre, habe es vor längerer Zeit mal gesehen und fand das von der Auswertung her nicht so toll, da mir einfache die grafische Darstellung gefehlt hat. Was mir von der Ansicht her sehr gut gefällt ist MRTG, habe aber im Moment kein Ansatz wíe ich damit den Verbrauch jeder einzelnen IP darstellen könnte.

Pawel · Beitrag von **Pawel** » 05.10.2007 20:16:56

Das mit dem Monitor Port ist schon mal keine gute Sache. Bei entsprechender Belastung kommen nicht alle Packete beim Monitor Port an.
Aber es gibt eine andere Lösung - wenn der Switch das unterstütz: Cisco Netflow. Google einfach mal danach.

ckoepp · Beitrag von **ckoepp** » 05.10.2007 20:55:13

Pawel hat geschrieben:Bei entsprechender Belastung kommen nicht alle Packete beim Monitor Port an.

Also bei den ASA's ist das garantiert (und hardwaremässig gar nicht anders möglich). Sollte doch allgemein auch für alle Cisco-Geräte gelten oder?
Es wäre schon etwas peinlich so ein Feature einfach per DoS ausschalten zu können ^^

moodsx · Beitrag von **moodsx** » 05.10.2007 21:11:04

ich hab mir jetzt mal zum Test das

Code: Alles auswählen

netacct-mysql

von freshmeat gesaugt und installiert. Noch dazu hab ich das

Code: Alles auswählen

netstat

Webinterface mit genommen. So ansich wird die Datenbank gefüllt aber leider kann ich mich in dem netstat nicht einloggen.

Kann mir dazu einer einen Tipp geben?

Pawel · Beitrag von **Pawel** » 06.10.2007 14:49:55

Es wird gerade etwas offtopic, aber ich kann ja mal weiter was zusammen basteln

ckoepp hat geschrieben:
Pawel hat geschrieben:Bei entsprechender Belastung kommen nicht alle Packete beim Monitor Port an.
Also bei den ASA's ist das garantiert (und hardwaremässig gar nicht anders möglich). Sollte doch allgemein auch für alle Cisco-Geräte gelten oder?
Es wäre schon etwas peinlich so ein Feature einfach per DoS ausschalten zu können ^^

Im Grunde gibt es zwei Ansätze. Entweder der Hersteller setzt den Schwerpunkt auf das Switchen, dann gehen bei entsprechend hohem Traffic Pakete verloren, weil die Schnittstelle nicht mehr kann, oder der Hersteller bevorzugen den Monitor Port und bei entsprechemd hohem Traffic werden die überwachten Ports gedrosselt.
Beides erachte ich für das IP-basierte Auflösen von verbrauchtem Traffic nicht gerade als optimale Lösung.
Deswegen auch mein Vorschlag mit Cisco Netflow. Allerdings wie ich gerade sehe untertstützt die Cisco 3500 Serie dieses nicht (und hier bin ich wieder beim Topic

).

ckoepp · Beitrag von **ckoepp** » 06.10.2007 15:16:57

Ja das leuchtet ein...

Was macht Netflow denn anders? Welche Strategie verfolgt das Tool? Spontan würde ich sagen, dass ist eine Gradwanderung die man nicht verhindern kann.

Sorry wenn ich dich da so löchere - hoffe es ist auch für die anderen interessant.

Pawel · Beitrag von **Pawel** » 06.10.2007 16:32:07

Netflow ist kein Tool, sondern ein Protokoll (ältere Version sind propertär [Cisco], neueste ist als RFC verfügbar) und am besten erhält man einen Überblick in dem Artikel von WIkipedia.
Mittlerweile gibt es auch diverse open-source Software dazu, die unter anderem (nur ein Beispiel) folgenden Report liefern kann:
http://manageengine.adventnet.com/produ ... en0008.jpg

moodsx · Beitrag von **moodsx** » 07.10.2007 09:13:23

ja das ist auch alles sehr interessant, für die Zukunft, sollte ich jemals an solch einen Switch kommen der das unterstützt.

Wie gesagt ich hab mir das ganze Gedöns jetzt mal auf meinem Router installiert um zu schauen obs überhaupt korrekt arbeitet und ja es scheint richtig zu rechnen.

Jetzt wirds dann nur noch interesannt ob das ganze mit dem Mirror-Port vom Cisco 3548 Switch zusammen arbeiten möchte.

Wenn ich da ein Ergebnis zu habe, gebe ich das hier bekannt. Kann aber noch ein paar Tage dauern.