Analiza traficului în rețeaua locală Mikrotik 6.38. Mikrotik - Analiza traficului - NetFlow Analyzer. Instalarea NetFlow Analyzer

Să analizăm utilitarele pentru depanarea în rețelele MikroTik, cum ar fi lanterna, scanarea ip, romon, testul lățimii de bandă și altele.

În acest articol, vom vorbi despre ce să folosim pentru depanarea într-o rețea de pe echipamentele MikroTik. Vom vorbi despre următoarele instrumente:

  • Torta
  • Scanare IP
  • Sniffir
  • Test de cablu
  • Romon
  • Testul lățimii de bandă
  • Monitor de trafic

Cu siguranță ați folosit deja multe dintre ele, dar voi încerca să vă spun lucruri interesante care vă pot ajuta în munca voastră. În orice caz, noi, în practica noastră de externalizare IT, le folosim în mod regulat

Torta

Acest instrument este utilizat pentru a monitoriza traficul în timp real, atât pentru tot traficul, cât și printr-o interfață specifică.

Disponibil în winbox, cli, webfug. Amplasat / lanternă pentru scule.

De asemenea, pe lângă locația standard, torța poate fi deschisă prin Simple Queue și în setările interfeței.

Vreau să menționez că torța vede etichete de identificare DSCP și VLAN.

Torch are câteva funcții suplimentare prin CLI, de exemplu, porniți-l pentru o anumită perioadă de timp cu comanda de durată și setați intervalul de reîmprospătare a datelor cu comanda freeze-frame-interval.

SCANARE IP

Următorul instrument foarte util pe care îl folosesc întotdeauna în munca mea este scanarea ip.

Este localizat / instrument IP scan. Cu ajutorul acestuia, puteți scana rapid rețeaua și vă puteți da seama aproximativ ce este în ea. De asemenea, folosindu-l, puteți determina imediat dacă avem undeva pentru duplicarea adreselor IP.

Dacă Mikrotik are servere DNS specificate în câmpul corespunzător, vor fi completate și numele. Întârzierea este, de asemenea, afișată în mod convenabil în coloana Timp (ms). Este disponibil și în CLI.

Sniffer

Sniffer este un instrument care poate captura și analiza pachetele care pleacă sau trec printr-un router. Este localizat / sniffer instrument, disponibil și în CLI. Este posibil să salvați dump-ul într-un fișier sau să îl trimiteți la un server de la distanță (de exemplu, în wireshark), precum și vizualizarea live.

În fila General

  • Limita Memiry - setează câtă memorie RAM va fi disponibilă pentru sniffer pentru lucru
  • Nume fișier - numele fișierului dump
  • Limită fișier - dimensiunea maximă a fișierului de descărcare.
  • Casete de selectare Numai anteturi - colectați numai anteturi.
  • memory-scroll - dacă se rescrie datele învechite atunci când limita de memorie este atinsă.

În filele Streaming, activați-l singur și indicați serverul către care va fi trimis.

În filele Filtru, setați parametrii de filtrare. După început, puteți face clic pe butonul „Pachete” și puteți vedea rezultatele.

Test de cablu

Un alt instrument microtic util se numește testul cablului. Este disponibil în setările interfeței, ajută la determinarea distanței până la pauză, există și lungimea cablului

În exemplul meu, am mușcat o pereche la o distanță de aproximativ 50 cm. Nu măsoară perfect + - câțiva metri.

Romon

RoMON este un utilitar pentru accesarea dispozitivelor prin MikroTik situat în același segment l2 cu un dispozitiv edge la care avem acces direct. Situat în / tool RoMON, ajută la administrarea de la distanță.

Acest instrument este convenabil de utilizat atunci când, dintr-un anumit motiv, nu dorim să folosim CLI (Mac Telnet) pentru a configura noi dispozitive în spatele unui router, ci dorim să facem totul prin winbox.

Pentru a utiliza această funcție, trebuie să o activați atât pe routerul la care avem acces, cât și pe cele (prin Mac Telnet) care se află în spatele dispozitivului nostru. Include / instrument RoMON.

Test de lățime de bandă

  • Un instrument care vă permite să estimați viteza unei conexiuni la un server la distanță
  • Disponibil în winbox, cli, webfig
  • Există un client și un server
  • Utilizare posibilă în diverse scripturi

Există un utilitar separat pentru Windows. Există servere publice pe care le puteți utiliza. https://forum.mikrotik.com/viewtopic.php?t=104266

Este foarte convenabil să măsurați viteza cu acest instrument. De asemenea, merită avertizat că, dacă aveți o viteză mare de conectare și un dispozitiv nu foarte puternic (smips), atunci când rulați testul, puteți încărca CPU cu 100% și pierde temporar accesul la dispozitiv.

TrafficMonitor

Și ultimul instrument despre care vom vorbi este Traffic Monitor. Este folosit pentru a executa scripturi de consolă atunci când traficul de interfață trece de un prag specificat. Este localizat / instrument de monitorizare a traficului.

Poate fi comparat cu utilitarul „Netwatch” care, în funcție de disponibilitatea sau inaccesibilitatea unei anumite gazde, efectuează unele acțiuni. Un exemplu al uneia dintre aplicații, puteți configura trimiterea unei notificări prin e-mail dacă canalul este încărcat la 95% în 5 minute, există multe opțiuni și exemple și pe Internet.

Asta e tot pentru astăzi.

MiktoTik - Articole anterioare Partea 1 - MikroTik - Ce fel de animal este acesta? Partea 2 - MikroTik - Instalare Partea 3 - MikroTik - Configurare inițială Partea 4 - MikroTik - Liste și grupuri de adrese Partea 5 - MiktoTik - Doi furnizori - Echilibrarea încărcării Partea 6 - MiktoTik - Doi furnizori - Distribuirea canalelor Partea 7 - MikroTik - Winbox și consolă partea 8 - MikroTik - Lățime de bandă / Limită simplă partea 9 - Mikrotik - Lățime de bandă - Reguli individuale

Cu mini-recenzia mea, vreau să vă spun despre un produs software care ajută foarte bine în analiza traficului. Da, produsul este comercial, dar în opinia mea merită.


Folosind NetFlow Analyzer este posibil să proiectați „tablouri de bord” funcționale cu propriile mâini, potrivite pentru monitorizarea celor mai importante părți ale infrastructurii de rețea. Fiecare astfel de panou este creat luând în considerare rolul specific al unui administrator individual și poate consta din numeroase elemente (widget-uri) responsabile pentru extragerea informațiilor din diverse surse.

Tablourile de bord intuitive ale NetFlow Analyzer vă oferă o primă privire asupra situației, vă faceți o idee despre încărcarea curentă pe diferite părți ale rețelei și examinați valorile de performanță fără a pierde timpul căutând și vizualizând rapoarte disparate. Pachetul NetFlow Analyzer include mai mult de cincizeci de „widget-uri”.

Ceva de genul :)

Să începem de la bun început, adică instalare și configurare inițială.

Instalarea NetFlow Analyzer.

Lansăm.


Toate componentele sunt plasate într-un singur folder, astfel încât să puteți alege oricare dintre ele dacă doriți.


De asemenea, în timpul instalării, sunt solicitate porturile pe care vor funcționa serviciile. Portul interfeței web și portul către care vor ajunge pachetele NetFlow.


Vă indicăm ce ar fi început ca un serviciu.

Vă indicăm datele de înregistrare


La finalizarea instalării, se lansează browserul, care intră în pagina de autorizare, în mod implicit utilizatorul este admin, parola este admin.

Configurarea unui microtic.

Ei bine, sau totul este la fel, numai de pe consolă:

/ set de flux de trafic ip activat = da

/ ip target-flow trafic add address = 192.168.1.78: versiunea 9996 = 9

Cu prima comandă activăm serviciul, cu a doua specificăm punctul de recepție, portul și versiunea protocolului.

Configurarea inițială a NetFlow Analyzer.

Acum hai să intrăm în NetFlow Analyzer și să vedem ce s-a întâmplat.

Primul lucru la care ajungem este lista interfețelor monitorizate, în acest exemplu interfețele numite IfIndex * sunt conexiuni de intrare prin vpn, interfețele comgate * și vcraft * sunt furnizori, local este interfața de rețea locală.


Dacă ceva nu a funcționat, atunci este logic să verificați corespondența porturilor pe care analizorul ascultă portul specificat în microtic.

Să mergem la secțiunea Operațiuni de administrare, Setări produs.


Setări server - Setări server.

Portul de ascultare NetFlow / sFlow - portul către care sunt primite fluxurile de pe dispozitive.

WebServer Port - port de interfață web.

Numărul de înregistrări de top pentru stocare - numărul maxim de rânduri afișate în tabelele de date.

Setări DNS - Setări pentru determinarea numelor DNS.

Rezolvați numai când se face clic pe linkul „Rezolvați DNS” - ​​Selectat în mod implicit, rezolvați numele DNS la clic.

Rezolvați automat numele DNS în mod implicit

Număr DNS rezolvat în cache - dimensiunea cache DNS.

Nume DNS definite de utilizator - Aici puteți seta înregistrări statice dns.

Probabil că al doilea loc de căutare în setări este setările pentru trimiterea de e-mail.

Faceți clic pe Test Mail.

Bord.

După cum sa menționat la început, o caracteristică interesantă este DashBoard, care există într-o anumită stare inițială.

Dar administratorul poate face un panou cu widget-uri „pentru el însuși”. De exemplu, faceți așa ceva (nu este nevoie să aprofundați prea mult înțelesul :-) Tocmai am scos widgeturile maxime posibile)

Acolo - aici sau cine se duce unde și ce se agită.

Să ne întoarcem la fila interfețe și să vedem statisticile pentru una specifică.

Fila Aplicație afișează informații după tipul de trafic.

Faceți clic pe o anumită linie și vom obține informații detaliate. De exemplu, informații despre traficul http.

Puteți scurta ieșirea la (de exemplu) 10 și puteți converti ip în nume (nu întotdeauna ajută).

De asemenea, puteți solicita un program detaliat al fiecărei conexiuni.

În fila Sursă, primim un raport despre sursele de trafic și, de asemenea, selectând un anumit element, obținem un detaliu despre acesta.

NetFlow Analyzer este un program Java. Vă permite să creați rapid „tablouri de bord complexe” pentru a monitoriza segmentele critice ale rețelei. În cazul meu, trebuia să număr traficul de la fiecare port la Mikrotik, cu posibilitatea de a-l detalia pentru o anumită perioadă (zi / săptămână / lună). Tabloul de bord este personalizabil pentru sarcinile unui anumit utilizator și poate consta din numeroase widget-uri responsabile pentru primirea informațiilor de pe diferite dispozitive. Datorită ușurinței de utilizare a NetFlow Analyzer, puteți evalua rapid situația, vă puteți face o idee despre încărcarea curentă pe secțiuni critice ale rețelei și puteți examina valorile de performanță fără a pierde timpul căutând și vizualizând rapoarte disparate. Mai mult de cincizeci de „widget-uri” sunt incluse în pachetul NetFlow Analyzer.

Nu ar trebui să existe dificultăți în instalarea acestui produs. Pentru test, a fost luat Windows 7 x64 și a fost instalat un JRE cu o bititate similară. După instalarea cu succes, accesați adresa: http: // localhost: 8080 / netflow / jspui / dashBoard.do
Aceste porturi sunt utilizate în mod implicit:
web: 8080
NetFlow: 9996

Comunitatea SNMP: publică
SNMP: 161

Acum să trecem la configurarea microticului:
Mergi la IP -> TraficFlowși setați setările ca în exemplu, schimbând adresa de destinație la cea necesară.

Activați Fluxul de trafic cu o casetă de selectare
Interfețe- Numele acelor interfețe care vor fi utilizate pentru colectarea statisticilor de trafic. Puteți specifica mai multe
intrări cache(128k | 16k | 1k | 256k | 2k |…; implicit: 4k) - Numărul de fluxuri care pot fi stocate simultan în memoria routerului.
time-flow activ(implicit: 30 min.) - Durata maximă de viață a fluxului.
inactiv-time-flow-timeout(implicit: 15 sec.) - Cât timp să păstrați fluxul dacă este inactiv. Dacă conexiunea nu vede pachetul în timpul acestui timeout, acesta va fi marcat ca nou. Dacă timpul de expirare este prea scurt, poate crea un număr semnificativ de fire și depășiri de tampon.

În fereastra Ținte:
abordare(IP: port) - adresa IP și portul (UDP) al gazdei care primește pachete statistice de flux de la router.
v9-template-refresh(implicit: 20) - Numărul de pachete după care șablonul este trimis gazdei primitoare (numai pentru NetFlow versiunea 9)
v9-template-timeout(implicit: 1800) - Cât timp să trimiteți un șablon dacă nu a fost trimis.
versiune(implicit: 9) - Ce versiune de NetFlow să utilizați.

Pentru a configura de sub terminal, trebuie să executați următoarele comenzi:

# Activați fluxul de trafic / setul de flux de trafic ip activat = da # Verificați / imprimați fluxul de trafic ip activat: da interfețe: toate intrările în cache: 4k activ-flux-timeout: 1m inactiv-flux-timeout: 15s # Specificați IP -adresa și portul gazdei care vor primi pachete de trafic de flux / trafic IP-flux de țintă adăugați adresa dst = 10.10.1.3 port = versiunea 9996 = 9

# Activați fluxul de trafic

/ ip traffic -flow set enabled = yes

# Verifica

/ ip traffic -flow print

activat: da

interfețe: toate

cache-intrări: 4k

active -flow -timeout: 1m

inactiv -flux-timeout: 15s

# Specificați adresa IP și portul gazdei care va primi pachetele de trafic ale fluxului

/ ip traffic -flow target add dst -address = 10.10.1.3port = 9996version = 9

Activați SNMP:
IP -> SNMP

După ce ați reintrat în meniul NetFlow Analyzer, ar trebui să vedeți ceva de genul:

Dacă porturile de pe Mikrotik sunt afișate incorect sau incorect, accesați Dispozitive -> Setați SNMP
În fereastra care se deschide, selectați dispozitivul dorit, verificați dacă comunitatea și portul SNMP sunt specificate corect. Apoi, setați numele interfeței ifNameși puneți un daw pe, de asemenea, recupera numele routerului. După actualizare, totul ar trebui să fie afișat corect.

Dacă nu a început nimic, trebuie să verificați porturile care sunt instalate pe mikrotik și pe care colectorul le ascultă.
Administrator -> Setări server

Portul de ascultare NetFlow / sFlow- portul către care se primesc fluxuri de pe dispozitive.
Port WebServer- port interfață web.
Numărul primelor înregistrări de stocat- numărul maxim de linii afișate în tabelele de date.

Dacă NetFlow Analyzer nu vede porturi Ethernet conectate la pod, introduceți:

/ setări de punte de interfață set use-ip-firewall da

/ setările de punte de interfață setate utilizează -ip-firewall da

Asta e tot. Sper că acest material v-a ajutat la configurare. Dacă aveți întrebări, scrieți în comentarii.

Cu mini recenzia mea, vreau să vă spun despre un produs software care ajută foarte bine la analiza traficului. Da, produsul este comercial, dar în opinia mea merită.
Numele său este ManageEngine NetFlow Analyzer.

Aceasta este o aplicație web scrisă în Java, Apache acționează ca un server http, MySQL este folosit pentru a stoca date.
Folosind NetFlow Analyzer este posibil să proiectați „tablouri de bord” funcționale cu propriile mâini, potrivite pentru monitorizarea celor mai importante părți ale infrastructurii de rețea. Fiecare astfel de panou este creat luând în considerare rolul specific al unui administrator individual și poate consta din numeroase elemente (widget-uri) responsabile pentru extragerea informațiilor din diverse surse.
Tablourile de bord intuitive ale NetFlow Analyzer vă oferă o primă privire asupra situației, vă faceți o idee despre încărcarea curentă pe diferite părți ale rețelei și examinați valorile performanței fără a pierde timpul căutând și vizualizând rapoarte disparate. Pachetul NetFlow Analyzer include mai mult de cincizeci de „widget-uri”.
Ceva de genul :)
Să începem de la bun început, adică instalare și configurare inițială.


Instalarea NetFlow Analyzer.
Descarcăm pentru platforma care ne interesează (Windows, Linux), în cazul nostru este Windows.
Lansăm.

Toate componentele sunt puse într-un singur folder, astfel încât să puteți alege oricare dintre ele dacă doriți.

De asemenea, în timpul instalării, sunt solicitate porturile pe care vor funcționa serviciile. Portul interfeței web și portul către care vor ajunge pachetele NetFlow.

Vă indicăm ce ar fi început ca un serviciu.

Vă indicăm datele de înregistrare

La finalizarea instalării, se lansează browserul, care merge la pagina de autorizare, în mod implicit utilizatorul este admin, parola este admin.

Configurarea unui microtic.
Totul este gata aici, acum mergem la consola de control microtic și trimitem fluxul de date la serverul nostru.

Ei bine, sau totul este la fel, numai de pe consolă:


/ set de flux de trafic ip activat = da
/ ip target-flow trafic add address = 192.168.1.78: versiunea 9996 = 9


Cu prima comandă activăm serviciul, cu a doua specificăm punctul de recepție, portul și versiunea protocolului.

Configurarea inițială a NetFlow Analyzer.
Acum hai să intrăm în NetFlow Analyzer și să vedem ce s-a întâmplat.
Primul lucru la care ajungem este lista interfețelor monitorizate, în acest exemplu, interfețele numite IfIndex * sunt conexiuni primite prin vpn, interfețele comgate * și vcraft * sunt furnizori, local este interfața de rețea locală.

Dacă ceva nu a funcționat, atunci este logic să verificați corespondența porturilor pe care analizorul ascultă portul specificat în microtic.
Să mergem la secțiunea Operațiuni de administrare, Setări produs.

Setări server - Setări server.
NetFlow / sFlow Listener Port - port către care sunt recepționate fluxuri de pe dispozitive.
WebServer Port - port de interfață web.
Numărul de înregistrări de top pentru stocare - numărul maxim de rânduri afișate în tabelele de date.


Setări DNS - Setări pentru determinarea numelor DNS.
Rezolvați numai când se face clic pe linkul „Rezolvați DNS” - ​​Selectat în mod implicit, rezolvați numele DNS la clic.
Rezolvați automat numele DNS în mod implicit
Număr DNS rezolvat în cache - dimensiunea cache DNS.
Nume DNS definite de utilizator - Aici puteți seta înregistrări statice DNS.

Probabil că al doilea loc de căutare în setări este setările pentru trimiterea de e-mail.

Faceți clic pe Test Mail.


Bord.
După cum sa menționat la început, o caracteristică interesantă este DashBoard, care există într-o anumită stare inițială.

Dar administratorul poate face un panou cu widget-uri „pentru el însuși”. De exemplu, faceți așa ceva (nu este nevoie să aprofundați prea mult înțelesul :-) Tocmai am scos widgeturile maxime posibile)

Acolo - aici sau cine merge unde și ce pompează.
Să ne întoarcem la fila interfețe și să vedem statisticile pentru una specifică.

Fila Aplicație afișează informații după tipul de trafic.

Faceți clic pe o anumită linie și vom obține informații detaliate. De exemplu, informații despre traficul http.

Puteți scurta ieșirea la (de exemplu) 10 și puteți converti ip în nume (nu întotdeauna ajută).

De asemenea, puteți solicita un program detaliat al fiecărei conexiuni.

În fila Sursă, obținem un raport despre sursele de trafic și, de asemenea, selectând un anumit element, obținem un detaliu despre acesta.

Grupuri de adrese.
Uneori este interesant să ia în considerare traficul mai multor utilizatori în același timp, de exemplu, servere care îndeplinesc același rol.
În secțiunea Operațiuni de administrare există o subsecțiune Grupuri IP, unde puteți combina mai multe adrese într-un grup, puteți crea un grup de subrețele întregi etc.

Pentru leneși - rapoarte prin poștă.
Probabil cel mai plăcut lucru care mi-a plăcut a fost abilitatea de a genera rapoarte și de a le primi prin poștă, nu era nevoie să intrați în această interfață și să le comandați în fiecare dimineață, ci doar veneau cu poșta de dimineață.
Accesați secțiunea Operațiuni de administrare, la subsecțiunea Planificare rapoarte.

Drept urmare, dimineața veți primi o scrisoare cu aproximativ același conținut.

Unde va fi un pdf pentru fiecare interfață cu aproximativ același conținut.

Concluzie.
Pentru aceasta o să-mi iau rămas bun, cel care căuta ceva, cred că l-a găsit și, dacă începe să sapă mai adânc, va învăța magia secretă a Alertelor, care vă va anunța despre problemele din rețea, iar cineva va avea nevoie lucruri mici din secțiunea Facturare.
În cele din urmă, voi spune că pe site-ul producătorului veți găsi o versiune gratuită a acestui produs, versiunea gratuită de acolo este ciudată, funcționează 30 de zile fără restricții, apoi funcționează doar cu două interfețe, pentru configurații simple, unde una este local și celălalt furnizor, această soluție ar trebui să fie suficientă.

Foarte des, liderii companiei solicită statistici privind vizitele la fața locului de către angajații lor. Această problemă poate fi rezolvată cu ușurință în prezența unei infrastructuri IT dezvoltate, prin instalarea unui server proxy suplimentar și organizarea colectării de statistici pe acesta. Dar ce zici de companiile care nu au sau nu sunt gata să-și umfle infrastructura cu „încă o unitate” de tehnologie? În acest articol, vom arăta un exemplu de utilizare a forțelor unui singur router mikrotik pentru a rezolva problema colectării statisticilor de vizită. Vă propunem să generați rapoarte folosind un utilitar mic pentru Windows - WebProxy-Log.

Următorii pași:
- Deschideți Mikrotik prin Winbox.
- Accesați IP => Proxy Web.
- Filă generală.
- Bifați caseta de lângă Enabled.
- Specificați portul 8080.
- Administrator cache parametru: pe webmaster.
- Parametru Max. Dimensiune cache: nelimitat.
- Parametru Dimensiune obiect maxim cache: la 2048.
- Bifați caseta de lângă Cache On Disk.
- Parametru Max. Conexiuni client: 600
- Parametru Max. Conexiuni server: 600
- Parametrul Max Fresh Time: lăsați 3d 00:00:00.
- Parametru Cache Hit DSCP (TOS): lăsați 4.
- Calea cache-ului parametrilor: pe master-primar.

Faceți clic pe OK.
- Apoi, accesați System => Logging.
- Acțiune Tab.
- Faceți clic pe +.
- Nume: comutați la WebProxyLog.
- Tip: comutați la telecomandă.
- Adresă la distanță: scrieți adresa computerului pe care este instalat programul WebProxy-Log.
- Port la distanță: lăsați 514 (portul UDP).
- Faceți clic pe OK.



După aceea, setarea noastră se va reflecta în fila Acțiune.


Accesați fila Reguli

Faceți clic pe +.
- Subiecte: alegeți web-proxy.
- Prefix: scrie Proxy.
- Acțiune: selectați WebProxyLog.
- Faceți clic pe OK.


Deoarece mikrotik creează o mulțime de înregistrări atunci când generăm jurnale de care nu avem nevoie, vom adăuga excepții. În mod similar, adăugați o regulă proxy web cu valoarea! debug (semn! definește o excepție).
După aceea, setarea noastră va fi reflectată în fila Reguli.


Acum deschideți New Termenal și scrieți o regulă pentru NAT:
- / firewall ip nat
add action = redirect chain = dstnat comment = "Redirecționare cerere port 80 către Web Proxy" dezactivat = fără dst-port = 80 protocol = tcp către porturi = 8080
- Deschideți portul UDP 514.
- chain = protocol dstnat = udp dst-port = 514 acțiune = dst-nat la-adrese = 192.168.0.200 la-porturi = 514

Configurarea Mikrotik este completă.
- Descărcați programul WebProxy-Log.
https://code.google.com/p/ webproxy-log /
- Instalați și rulați programul.
- În fereastra Setări generale, specificați adresa IP: 192.168.0.200 (adresa computerului).
- Port UDP: specificați 514.
- Buffer: specificați 400.
- Scrieți jurnalul: Specificați calea către directorul unde va fi localizat fișierul jurnal.
- Import din: Specificați calea către directorul de unde va fi importat fișierul jurnal.
- Căile mele:
D: \ Documents and Settings \ god \ Desktop \
D: \ Documents and Settings \ god \ Desktop \ New Folder
- Locația DB: părăsim această cale în mod implicit.
- Bifați caseta pentru Utilizați importul nesigur.
- Setați caseta de selectare pentru Optimizarea bazei de date după importul jurnalelor.
- Faceți clic pe Aplicați.



Selectați adresa IP în Selectați utilizator:
- Selectați data de la care la care din intervalul Selectare date:
- Apăsați butonul Generare.

Primim statistici așa cum se arată mai jos: