Problem sa "zagušenjem mreže"
 

pozdrav ljudi,


Imamo jedan problem u firmi pa bih trebao pomoć...

U mreži je posloženo cca 40-ak kompova,
a jedan od kompova vjerovatno downloada sa neta, te nam guši mrežu, tj. pristup citrixu ( program za poslovanje firme, preko neta)

Instalirali smo "COMMVIEW" program da bi vidjeli tko to petlja,
ali nismo baš iz njega uspjeli ništa saznati.

Neka netko bude tako dobar da mi pomogne otkriti koji komp u mreži downloada sa neta.

Prijedlog software-a ili slično bi spasio stvar.

Kako je organizirana mreža (sve na običnom switch - u i adsl - u ili preko servera) ?
Jel moraju svi kompovi imat pristup internetu (nevezano sad za ovu posebnu aplikaciju) ?
Koje portove koristi citrix ?

Imate li firewall u mreži? Tamo se sve vidi.

ako su layer 3 switchevi, trebali bi moći pokazati promet po pojedinom portu, a onda lako otkriti tko je spojen na port gdje je najveći promet.

uostalom, korištenje proxy servera sa reporting modulom (squid i pearl reports npr.) omogućavaju kreiranje statistika na dnevnoj, tjednoj, mjesecnoj bazi etc. pa je i to zgodno rješenje koje bi trebalo uzeti u obzir.

Switch i adsl ( zakupljeni vod).
Citrix server nam je u matičnoj firmi u sloveniji.

Konfiguracija je ovako: Kompovi--> switch-->dsl-->server u slo-->internet.

U Sloveniji su zaključani portovi koje koriste limewire, utorrent i te, ali je svejedno moguće downloadati preko rapidshare-a i slično.

Nije cilj staviti restrikcije, nego samo da admin može vidjeti koja IP u firmi skida recimo sa neta ( npr. Youtube, rapid, itd....)

Evo kako izgleda prikaz prometa po pojedinim IP-ima.
http://img203.imageshack.us/img203/1281/comme.th.jpg
Uploaded with ImageShack.us

Hm, da uz jednu ispravku ovog gore: Kompovi--> switch-->dsl-->internet-->server u slo.
Nekad bez restrikcija ne možeš pripitomit domaće indjance, fino u adsl routeru podesi tko šta može po lokalnoj ip adresi.
Ako to ne uspiješ sa postojećim onda nađi router sa funkcionalnim firewall - om i QoS.
To šta tražiš se može vidit u logovima routera.

Kompovi--> switch-->dsl-->internet-->server u slo.

Mislim da je bash onako kako sam ti napisao.
Radi se o tome da admin u Slo zaključava portove za torrente na svom serveru, tako da mi je predpostavka da ide onako kako sam napisao.
Naš dsl ustvari služi da se spajamo na server u sloveniji, te preko njega na net, ili?

Svejedno zaviri u logove routera

Ne, spajate se na net, preko net na Citrix (vjerojatno CAG) da bi došli do aplikacije / nećeg trećeg.
Da Citrix blokira "cuclanje", ne bi bilo tolikog prometa.

dobro dečki, provjerim sutra logove pa se javim.

thx.

logovi rutera 90% nece nista pokazat... mozda "promet interneta " ., ali pitanje je dali je to samo interneta ili neceg drugog..

ukratko., kad je vec preko 5 kompa, naravno da treba bit neki ruter tipa " cisco " ili " miktorik " ., koji imaju apsolutno sva podesavanja brzine i slicnog "p2p block" te nece bit nikakvih zagusanja interneta ;)

mislim da si svaka firma moze priustit 1 takav ruter :P

Kako neće ? Dosta da naleti na "zahtjev" za promet preko nekog divljeg porta + lokalni ip kompa i po tome zna koje kompove / lusere treba pratit / ulovit.

nisi nam napisao koji je router u pitanju. ako je neki od t-com i sličnih home routera onda nećeš puno naučiti iz njegovih logova.

najvjerojatnije imate neki svoj router kojega administrira tvoj kolega iz slovenije pa se vjerojatno vpn-ate u sloveniju. ako je tako onda pitaj kolegu iz slovenije da ti pomogne. ili to ili postavi neki transparent firewall kod sebe pa proučavaj što se dešava (većina free firewalla podržava transparent mode).

instaliraj si neki od free snmp agenata (nagios recimo ili dude) pa uključi snmp po kompovima u firmi. Onda pusti software da ti poskenira mrežu, nacrta ti je i možeš vidjeti koliko tko radi prometa (kroz vrijeme, me odmah).

uglavnom nema quick and dirty rješenja.

na switchanoj mreži wireshark nema smisla jer ne vidi promet od ostalih računala, samo na svojem interfaceu.

eventualno da spoji hub (da, hub ne switch) izmedju svojeg routera i switcha i tamo upikne masinu koja ce dumpat mrežni promet koji ćeš onda analizirati sa wiresharkom. to je vrlo slično rješenje transparent firewallu koji sam već spomenuo.

http://wiki.wireshark.org/CaptureSet...-in-the-middle
http://wiki.wireshark.org/CaptureSet..._of_the_switch
Di ćeš danas nabavit prokleti hub?
I savjet, ako ima sistemac iznad tebe, pobrini se da dobiješ njegovu suglasnost, napismeno.
Možda diša pretražuje xxx streamove :D

Pa dobro jel sam samo ja pogledao SS? U davoru je problem, lik ima najvise prometa, stavlja nesto na dropbox i najvise se njegova IP pojavljuje na prometu.

Ovo za wireshark i hub stoji, ali danas gotovo svi sw imaju opciju da ti miror porta rade pa mozes sve snimat.

Da, jesi. I, sorry, ali 7,5 megabyta prometa i nije neki dokaz.
Najviši promet je nekih 18 megabyta? WTF?
To bi zagušilo što, 56k modem?
A ako je ovo stvarno komplet promet, mislim da bi problem trebalo potražiti negdje drugdje, a ne u samim korisnicima.

koliki upload imate? mozda je upload zagusen, pa automatski gusi i dld

Ne pise nigdje u kojoj jedinici vremena, i pretpostavka je da ovo nisu realni brojevi vec se po postotku vidi ko gdje ide i sta radi - hint dropbox.
Mislim da je tu previse nepoznanica, pozoves nekog mreznog znalca nek si covjek zaradi dnevnicu i slozi ti mrezu.

Pogledao i primijetio upravo to, no Commview nije ništa drugačiji od Wiresharka po tom pitanju i dalje ne vidi sav promet na mreži, dakle nepouzdana informacija. Također, možda nisi primijetio, no davor nije izlazio van mreže pa napravio promet nego je to lokalni promet.

Pa i ne baš, L2 manageable switch ti treba za takvo nešto, u hrvatskoj je mali postotak firmi koje su se odlučile za kupovinu takvog switcha. Nije da ti kontriram, no baš "gotovo svi" ne stoji, bar ne u hrvatskoj.

Slažem se.

istina, no mozda nije snimao dovoljno dugo, pa je samo lokalni promet.
ovo kad vidim da na nekom losem linku ljudi imaju rs i dropbox to je mogucnost da naprave zagusenje bas kad netreba.

da, to sam zaboravio za L2 mng. no nema smisla da raspravljamo dok se autor teme ne javi dalje.

zz.

ponavljam, commview _ne može_ vidjeti sav promet na mreži i taj screenshot nam ne vrijedi apsolutno ništa, ne vrijedi čak niti za nagađanje.

a to da bi se OP mogao javiti, to stoji.

Nije baš stručno rješenje, ali možda bi se dalo zaviriti na switch, obično svaki port ima svoju LEDiodu. Sumnjiva je ona koja živčano treperi dok ostale trepnu jednom u sekundu-dvije (naravno ne gledati onu koja je uplink prema routeru). Onda se fino isključi kabel iz tog porta i krivac će se uskoro sam prozvati riječima 'ne radi mi internet!'. :)

lol da u pravu si hehe.

ukratko., ako to jos nisi rijesio., i stvarno imas namjeru vidjet tko skida i sto skida... nadi neki stari komp od 200mhz pa nadalje.. ( moze biti i jaki komp svejedno ), metni 2 mrezne kartice na njega, hdd od preko 200mb , lijepo metnes mikrotik... lanove u bridge., i samo ga metnes da malo radi ispred cijele mreze.. pa da vidis lijepo detalja :D , tko sto skida, s koje stranice , kojom brzinom.. p2p ili ne.. itd :D

e shimpa, a zakaj misliš da se ne može sniffat na switchanoj mreži? naime, skužio sam da puno ljudi to u startu otpisuje (i to većinom oni koji kuže zašto ne bi trebalo raditi). Ali, probao sam (beskrajno puno puta u puno različitih kućnih ali prvenstveno poslovnih okruženja), i to od najmanjih do 48-portnih managed switcheva i sasvim fino se vidi promet. Mrežna u promiskuitetni mod, naravno. Iskreno, nikad nisam išao gledati *zašto* radi jer mi je u datom trenutku uvijek bilo bitnije da jednostavno radi :)

Inače, vjerovali ili ne, radi i na dedicated serverima u nekim (prilično dobrim) datacentrima... Znam za barem 3 u kojima sniffa sve što je na istom switchu. Problemi nastaju tek kad treba proći iz switcha na sljedeći. onda neće. u datacentrima. u većini mreža na kojima sam probao hoće.

... i osjećam se jako glupo kad ovo pišem ko totalni tudum, al j... ga - radi :)

ne vidi se sav promet, možeš eventualno vidjeti broadcaste i multicaste kojima je jedan od recipienta i tvoje računalo gdje sniffaš.

zašto? zato sto je switch ništa drugo nego x mrežnih interface-a međusobno bridge-anih + cam tablica (posebna vrsta memorije koja se adresira preko sadržaja. cam = content addressable memory).

prevedeno na hrvatski ako sa jednog porta nešto želiš poslati na drugi port na istom switchu oni stvaraju virtualni privatni krug koji nitko drugi ne vidi osim u posebnim slučajevima (port mirroring npr).

svrha toga je povećanje performansi lokalne mreže. Prije doba switcheva su postojali hubovi. kada si bio spojen na hub tada je tvoj mrežni interface trebao prvo vidjeti da li slučajno netko drugi već razgovara na mreži preko csma/cd algoritma i ako bilo tko već razgovara tada je postojalo vremensko razdoblje kada je interface čekao pa ponovno pokušao sve dok nitko drugi ne bi pričao po mreži više. U današnjim mrežama, više od 10 računala ne bi moglo biti u istom lan-u upravo zbog toga, jer nitko ne bi ništa uspio reći uopće od silnog prekidanja. Inače csma/cd algoritam se i danas koristi na 10/100 mrežama čisto zbog kompatibilnosti (gigabitne su zbog načina rada imune na kolizije tj svaka od 4 parice u kabelu istovremeno služi i za slanje i za primanje tj konstantno su u stanju kolizije).

tak da, možda ti se čini da radi, ali sigurno ne radi.

EDIT: da pojasnim još malo;
poanta switcha je da ubrza mrežu upravo na način da ne opterećuje ostatak mreže sa razgovorom između dvojice nego njih dvoje direktno spoji, ostali niti znaju da ovi pričaju niti su svjesni koliko čega prolazi tim virtualnim krugom. upravo to je poanta switcheva.