Tráfico en una red

Como administrador de sistemas uno de los primeros problemas a los que tuve que hacer frente es el temido:

La red va lenta.

Y claro, me conecto al firewall y veo que sí, que alguien está descargado a tope y la conexión está al 100%. Pero eso sólo certifica el origen del problema pero no la solución. ¿Cómo puedo saber quién de los casi 100 pcs que hay conectados a mi red está saturando la conexión?

Hay multitud de programas que te permiten ver el tráfico desde un PC en concreto. O que requieren que instales algo en cada uno de los ordenadores que quieres gestionar. Ninguna de las soluciones era factible para mí.

Yo necesito controlar, desde un único punto, qué cantidad de ancho de banda me consume cada usuario. Para ello y teniendo una configuración típica como la siguiente:

red

Hay que realizar los siguientes pasos:

Entrar al último switch, al que se conecta el Firewall o el Router ADSL y hacer un port mirroring. Es decir, que el switch envíe por una boca (a nosotros) una copia de lo que se envía/recibe de Internet. Para conectarnos al switch (en el dibujo un 3COM pero en mi caso particular un D-Link) hay que prepara la conexión como se muestra a continuación (obtenida del manual del fabricante):

Imagen

Yo recomiendo hacerlo con un portátil ya que tendremos que ir al armario de servidores y conectarnos con un cable de red a una de las bocas libres del switch (en mi caso usé la 46).

Con dicha configuración podremos abrir un navegador y conectarnos a la web de configuración del switch: 10.90.90.90 y pedirá contraseña. Si no has configurado ninguna será “admin” pero te recomiendo encarecidamente que la cambies. Esta dirección es la que trae por defecto mi switch D-Link. Consulta el manual de tu fabricante para conocer los parámetros a configurar para poder gestionar el switch.

Cierra la ventana de configuración inicial y podrás acceder a la web de gestión. En ella, tendrás que realizar el port mirroring:

portMirroring

En mi caso, he realizado una copia de todo lo que “se mueva” por la boca 6 hacia la boca 47. ¿Por qué? Porque la boca 6 se conecta con el firewall de salida. En caso de no tener, tendrías que seleccionar la boca que va hacia el router de Telefónica/Ono/Jazztel y que te da conexión a Internet. El puerto 47 es una boca del switch cualquiera que estaba libre.

Ya podemos cerrar todo, volver a establecer nuestra configuración de red usual y conectarnos a dicha boca: la 47. Usando un software que haga de sniffer es posible obtener un gráfico detallado de quién está generando más tráfico.

Yo he optado por el Network Protocol Analyzer de SoftPerfect que ha funcionado a la perfección. Basta con elegir qué tarjeta de red quieres usar (en el caso de que tengas más de una) y sospecho que automáticamente pone la tarjeta de red en modo promiscuo para poder realizar la captura de todo el tráfico.

En la siguiente imagen se puede ver una captura del programa ejecutándose y donde se puede comprobar como un usuario está acaparando casi el 75% de los datos de bajada.

pruebaOK

¡Justo lo que buscábamos!

Anuncios