Att följa med användningen av bandbredd

Jag hoppas att detta är rätt avdelning för jag tänkte ställa en enkel fråga till alla som kan ha synpunkter på detta. Om avdelningen är fel så kanske moderator kan flytta inlägget.

Hur kan man enklast följa med bandbredden på stamnäts/backbone nivå i vårt fibernät? Det gäller Pedersöre öppna fibernät med ca 500 abonnenter. Det handlar om total trafik och tjänsteleverantörernas vlan för TV och internet. Allt tillsammans och särskilt för sig eller olika kombinationer av detta.

Jag kan linux rätt väl och har kollat på olika program i öppen källkod men jag är osäker på hur bra de skalar i större sammanhang. Men linux är inget självändamål om något annat kan anses säkrare. Huvudswitcharna skall i dagarna bytas ut från 10 Gbit till 100 Gbit. Jag har för mig att IP- TV tar rätt mycket bandbredd men jag vet inte exakt hur det ligger till i verkligheten.

Vi har inga problem i dagens läge men vi har en del kunder med höga systemkrav och vår framförhållning bör vara exemplarisk här.

Om det gäller enkelt... Alla switchar pratar SNMP, så inledningsvis räcker det med ett enkelt program som pratar det, t.ex. cacti, munin eller zabbix. Osäkert dock hur munin skalar med sin rrdb, kan gå bra. Från "säker källa" fick Netadmin inga höga poäng, hellre då föregående nämnda program. Kör man windows är det kanske PRTG (då ska javan och tomcaten pysslas om och sparkas på regelbundet).

Om du pratar om säkerhet, så ligger inte det på den nivån. Apparaten kan vara windows eller linux. Huvudsaken är att nätverksinterfacen är spärrade, de ska inte gå annanstans än mellan apparaten och switcharna, man öppnar också endast SNMP-trafik (förslagsvis read-only), med användarnamn och lösenord förstås. SNMP-trafiken ska inte gå andra vägar än på de definierade interfacen. I det fallet klarar man sig med okrypterad SNMP v2. Är det en webbsida man har på apparaten, så ska den säkras och det ska vara omöjligt att läsa den från andra än definierade ställen.

Tillägg: Detta var ett förslag hämtat från en verklig tillämpning (där används Zabbix). Det finns säkert andra lösningar!

Tack Johan för mycket relevanta synpunkter. Jag har laddat hem Zabbix för att testa i mitt hemmanätverk. Får se hur det lyckas, trafiken är ju minimal. Zabbix ser för övrigt ut att kunna göra det mesta.

Då det gäller säkerheten är jag ännu något fundersam om jag förstått det hela rätt men jag hoppas att få återkomma med eventuella frågor senare då jag närmre bekantat mig med Zabbix. Som jag nu ser på saken tänker jag mig att ha Zabbix eller något liknande på en dedikerad server inom backbonenätet men en systemadminstratör måste ha full access till servern och ytterligare två till tre personer bör kunna avläsa övervakningen och registreringen. Jag tar gärna emot synpunkter på ett dylikt upplägg.

Den version som jag nu har installerat hemma rekommenderas inte för produktionsmiljöer. Men fungerar Zabbix normalt "out of the box" i linuxdistributioner som Ubuntu och Debian? Jag ser att flera demoversioner körs på OpenSuse så kanske det också kunde vara ett alternativ även om jag inte är så bekväm med Suse och YAST.

Det är fullt möjligt att göra det du tänker.

Zabbix fungerar bra på Debian eller vilken linux som helst.

Jag använder ntop och mrtg för att övervaka trafiken. mrtg kan konfigureras ganska lätt med scripten cfgmaker och indexmaker så får du fina kurvor på trafiken. Jag kör alltså Debian.

Debian understödes :)

Alla lösningar har sina födelar men Zabbix är i min åsikt det bästa utav alla tidigare nämnda. Till bästa sidorna hör att det finns en server och en agent varav ingendera är skrivna i skriptspråk, som i sin tur överätts till att prestandan är minst en dekad bättre. Zabbix poller-schedulern är dessutom bra på att sprida ut pollningen så att lasten hålls jämn och fin.

Zabbix är dock inte en vals på rosor men det är enkelt att få realtidsdata och också enkelt att få historisk data presenterad. Största nackdelen är att man måste ange SNMP-kredentialerna i templates istället för per host.

Skydda maskinerna och webbsiddan med SSL/TLS och ACL av något slag så blir det bra. Och kom ihåg att köra in uppdateringar...

PortKatterno efterlyste synpunkter på nätövervakning. Här är mina:

a) Övervakning av bandbredd. I vanliga fall onödigt. Små nätverk behöver inte logga trafiken. Vid DOS-attacker bör man dock kunna ta reda på vem som far iväg med kapaciteten. I vårt fall, under 300 abonnenter och 5 byacentraler, får vi uppgiften från Watchguard brandmuren mellan Karis Telefon och oss. Idag har alla switchar egna funktioner för log och att övervakning. Vid behov använder vi dem och slipper overheaden med annan utrustning och softa.

b) Tjänsteleverantörernas VLAN. Släpp aldrig in sånt i nätet! Det är både tungrott och dyrt. Om ni redan har eländet så sätt tjänsteproducenterna att betala kalaset. Månne inte VLAN-tjänsterna dör ut i takt med att produktionskostnaderna stiger. Det är väl klart att nån måste betala även era timmar ni sätter ner på VLAN-nätet, inte sant?

c) IP TV. Trots att vi kör best effort i nätet har vi inte haft några som helst problem med HD kvalitet på allt som bara finns att se på. Å andra sidan har vi kabel-TV i skild fiber som säkert avlastar en del. Den dag vi får problem med hushållens 1 Gbps och switcharnas 10 Gbps så köper vi nya.

d) Den övervakning vi har haft störst behov av är att kolla att nätet funkar vid höga (och låga) temperaturer samt vid längre strömavbrott. Hur löser man tex. nätövervakningen då switcharna och servrarna inte har nån ström? I reserven finns ett batterimatat 3G-modem anslutet till några i/o portar som har spännings- och temperaturgivare inkopplade. Samma utrustning styr kylning/värmning.

c) IP TV. Trots att vi kör best effort i nätet har vi inte haft några som helst problem med HD kvalitet på allt som bara finns att se på. Å andra sidan har vi kabel-TV i skild fiber som säkert avlastar en del. Den dag vi får problem med hushållens 1 Gbps och switcharnas 10 Gbps så köper vi nya.

Tack Guje.

Kan du beskriva litet närmare hur er TV-lösning ser ut? Om jag förstår det hela rätt så har ni något slag av kabel TV via fibernätet utan att använda vlan?

Jag vet inte om övervakning av bandbredd är så viktigt men däremot övervakning av säkerheten. Viktigt är att snabbt hitta infekterade maskiner som sprider skurkprogram.

Viktigt är att snabbt hitta infekterade maskiner som sprider skurkprogram.

Mjo, en IPS är bra att ha men den är dyr. Det är mycket enklare att säkra nätet genom ruttning och be kunderna använda en NAT-låda av något slag. Kunden ska ju ha trådlöst i alla fall och då kostar det mera att få en låda utan NAT

För man statistik över switchportar så är det mycket enklare att lösa problem, ta nu exemplet då kunden ringer och säger att igår då "Karpolla on asiaa" gick på TV så bråkade min Internet-anslutning. Om man inte har denna statistik tillgänglig från igår så kan man bara svara att man fått meddelandet. Om statisktiken visar avsaknad av trafik på kundens port men inga andra fenomen så är det kunden som snubblat på någon sladd eller i misstag pluggat i sladden fel och skapat en loop som sänkte kundens nät...

Citerar Nisse:
Jag vet inte om övervakning av bandbredd är så viktigt men däremot övervakning av säkerheten. Viktigt är att snabbt hitta infekterade maskiner som sprider skurkprogram.

Med övervakning av bandbredd har jag tänkt mig att det vore bra att följa med åtminstone följande:

Användningen av inköpt bulkinternet

Använd bandbredd för operatörernas tjänster via vlan

Balansering av trafiken i nätet så att den är någorlunda jämn i alla delar

Hålla koll på att hårdvaran har tillräcklig kapacitet för trafiken. Utan övervakning blir det hela en gissningslek vilket jag misstänker att leder till en överskattning av behovet. Om så sker är det dålig ekonomi.

Rätt?

Då det gäller att övervaka om infekterade dator stör andra undrar jag om detta kan göras med vanliga övervakningsprogram som mrtg, zabbix, cacti o.s.v.? Vilka eventuella program behövs?

Editerat tillägg:

Ser sedan jag postat detta att MarkusI postat ett inlägg om infekterade maskiner som berör detta.

Jodå, vi kör ntop och mrtg hela tiden så visst följer vi med. Dessutom har vi både brandmur mellan lokalnätet och Internet OCH en router för varje anslutning (hemmarouter). Åtminstoen rekommenderar vi att alla skall ah. Nätet fungerar också om de kopplar sin maskin direkt till mediakonvertern.

Då jag söker infekterade maskiner så kollar jag både ntop och mrtg. Nu har vi ju fasta IP-adresser för varje anslutning och det gör det mycket lättare. man kan också söka utgående från MAC-adress men den går ju att byta hur lätt som helst. Det som inte går att byta är fiberporten i växlarna och där ger mrtg information.

ntop använder jag för att kolla vilken IP-adress som har vilken trafik. Genom att kolla protokoll och sessioner (till vilka IP-adresser skickas trafik) så hittar man infekterade burkar. Men det tar tid i alla fall.

Jag samlar alltså in information från växlarna med mrtg.