Documentation Rhizome

Documentation de l'association Rhizome, contribution bienvenue !

Outils pour utilisateurs

Outils du site


Panneau latéral

technique:routeur:diagnostic_trafic

Diagnostic trafic/congestion

Il peut-être utile, par exemple pour traquer une lenteur réseau de capturer une empreinte du trafic puis de l'analyser. Cas d'utilisation : 

  • debugguer le fair-queueing
  • Vérifier qu'une lenteur est bien due à un engorgement sur la sortie vers internet et voir s'il s'agit d'un engorgement en voie montante ou descendante.
  • Voir si malgré la QoS de fair queueing, un accès accapare toute la bande passante.

Le principe est de faire une capture dans un fichier pendant quelques minutes, à un moment intéressant. Puis de l'analyser tranquillement après.

Informations utiles

Hormis la démarche de capture et analyse en différé, voici quelques autres informations utiles :

Peut-être le routeur n'arrive-t-il plus à suivre ? Pour conaître sa charge à un instant t, on peut utiliser et enregistrer le résultat de uptime. La commande top ou htop permettent quant-à-elles de diagnostiquer la charge du système en temps réel et de voir si il y a un processus fautif.

Pour visualiser en direct sur le routeur les flux de données et leur débit, on peut utiliser iftop.

Capture

Sur le routeur, on capture le trafic pendant 3 minutes : 

tcpdump -i ppp0 -w /tmp/out.pcap&
sleep 360; killall tcpdump

On obtient un fichier /tmp/out.pcap qu'il convient de rapatrier sur une machine locale pour examen et de supprimer la trace du routeur.

Analyse avec wireshark

Filtre

Un bon début pour analyser la trace réseau est l'outil Wireshark qui permet d'ouvrir le fichier PCAP. On peut ensuite appliquer des filtres pour disséquer plus finement le trafic. Les filtres ne servent pas que dans l'interface principale, nous l'allons voir tout-à-l'heure…

Exemple de filtres : 

  • Trafic IPv4 en download sur le bloc routé :
    ip.dst == 80.67.175.128/26 
  • Trafic IPv4 en upload sur le bloc routé :
    ip.src == 80.67.175.128/26
  • Trafic propre au routeur lui-même (cf adressage pour l'IP du routeur):
    p.addr == 80.67.177.5
  • Trafic montant d'une IP routée (= accès) en particulier :
    ip.src==80.67.175.XXX
  • Trafic descendant d'une IP routée en particulier :
    ip.dst==80.67.175.XXX
  • Trafic “alien” : ni le routeur lui-même, ni le routeur → devrait-être vide :
    (! (ip.addr == 80.67.175.128/26)) && !(ip.addr == 80.67.177.5)

Analyse

Globalement, tout le menu Statistics constitue une boite à outils intéressante. En particulier

Statistics -> Endpoints

Permet de voir les volumes de trafic en fonction des adresses source/destination. Pour repérer par exemple une adresse qui causerait une saturation.

Statistics -> IO Graph

Une fois par exemple repéré les adresses intéressantes avec Endpoints. Wireshark fournit quelques outils statistiques permettant de grapher rapidement le débit selon des filtres par exemple.

On peut afficher plusieurs graphes avec plusieurs filtres. C'est tout l'intérêt.

L'exemple ci-dessous nous permet de voir qu'une adresse seule est quasiment responsable de tout l'usage download sur le temps de la capture1) : corrélation évidente entre la courbe rouge et la rose : on les distingue à peine.

Statistics -> TCPStream Graph -> Round Trip Time Graph

Permet de voir l'ampleur des lags… Et de voir si par exemple tout le monde se met à laguer ou bien seul(s) un/quelques accès.

Statistics -> Protocol Hierarchy

Permet de voir quels sont les protocoles utilisés et en quelle proportion.

Biblio

1)
Ce qui n'a rien de mal en soi :-)
technique/routeur/diagnostic_trafic.txt · Dernière modification: 2019/04/04 08:56 par 80.13.182.16