Ein Kunde mit einem 5 Mbit/s CompanyConnect beschwerte sich über schlechte Performance. Da hinter dem Telekom-Equipment eine Securepoint UTM RC100 hängt konnte detailliert geklärt werden, welche Art von Datenverkehr den Anschluss belegt.
Direkt im Web-Interface lässt sich bereits die Auslastung der Schnittstellen anzeigen, allerdings sieht man dort nicht, welches Netzwerkgerät oder welcher Verkehr wie viel Bandbreite belegt.
Meldet man sich via ssh als root an der UTM an, kann man mit dem Befehl iftop, quasi dem top für’s Netzwerk, live beobachten was vor sich geht:
iftop -i <Name des Interfaces>
“<Name des Interfaces>” ist dann z.B. eth0.
Durch drücken der Taste “n” kann die Namensauflösung gesteuert werden. Ebenso kann durch die Taste “p” geregelt werden ob die Portnummern oder, sofern bekannt, die Dienstnamen angezeigt werden.
Bei diesem Kunden konnte dadurch beobachtet werden, das eine POP3-Verbindung den Anschluss nahezu voll und ganz auslastete. Letztlich stellte sich heraus, das der Chef eine E-Mail mit einem 728 MB großen Anhang an sich selbst geschickt hat und diese in einer Endlosschleife festhing (Zustellung wurde immer wieder neu versucht).
Um solchen Problemen entgegenzuwirken kann man ab v11.6 QoS verwenden.
Vielen Dank an den Support von Securepoint für den Tipp mit iftop und die prompte Antwort auf unsere Anfrage.
Update 01.04.2022
Sucht man mit iftop nach einem “Übeltäter” im Netz, der viel Last erzeugt, muss man ggf. zwischen typischerweise wan0 (external) und LAN2 (internal) hin- und her springen, denn typischerweise wird der Internetverkehr (http/https) durch den Proxy geleitet. D.h. auf LAN-Seite sieht man “nur” den Verkehr zwischen der UTM und einem Client:
192.168.0.1 => 192.168.0.139 276Kb 158Kb 170Kb
Auf dem wan0-Interface sieht das am Beispiel von Netflix so aus:
<Öffentliche IP der UTM>:51746 => ipv4-c107-fra002-ix.1.oca.nflxvideo.net:https 83.3KB 0b 4.56Kb 4.04Kb
Verbindungen ohne das HTTP-Proxy, Reverse Proxy, Mailfilter und Co. dazwischen sind, beispielsweise von einer Port-Weiterleitung zu einem internen Server, werden Quelle und Ziel direkt angezeigt:
<Öffentliche IP der Quelle>:64703 => <Interne Ziel-IP>:53307 10.0Mb 11.3Mb 11.3Mb
Gezielt die Verbindung(en) eines Clients kann man mit Hilfe von Filtern anzeigen lassen. In diesem Beispiel ein Computer im VLAN mit der ID 3 auf der Schnittstelle LAN2 und der IP-Adresse 192.168.0.139:
iftop -i LAN2.3 -f "host 192.168.0.139"
Neben den bereits erwähnten Tastenkombinationen
- n – Namensauflösung
- p – Anzeige der Portnummern
können
- b – Balkendarstellung oder B um die Balken nach einem gewissen Intervall zu aktualisieren
- P – Pause
- T – Gesamtmenge
- t – Ein- oder Mehrzeilige Darstellung, nur Sende- oder Empfangs- oder beide Richtungen
- q – Verlassen von iftop
interessant sein.
Quellen
Linux Community – Netzwerkverkehr analysieren mit Iftop (Seite 2)
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Schreibe einen Kommentar