Мониторинг количества активных хостов в сети

[SysCat]

Отличная идея для мониторинга нагрузки локальной сети

[FilimoniC]

Нагрузку вы врят-ли так померяете

[hardex]

врят-ли

[el777]

Вряд ли надо так усложнять правописание этого наречия.

[FilimoniC]

Идея отличная

[amario]

Решение интересное, но больше направленно на подсчет активных хостов в сети.
В связи с тем, что zabbix у вас уже есть, и надеюсь у вас коммутаторы в сети управляемые, то предложение, настройте на них snmp (сложностей возникнуть не должно при настройке).
И вы увидите больше информации.

[gag_fenix]

Я нигде и не писал, что я нагрузку меряю. Мой скрипт нужен, например, чтобы смотреть сколько посетителей приконектилось к вайфай.

Все правильно говорите: у меня для определения нагрузки на сеть zabbix по snmp получает информацию со свичей и маршрутизатора. Правда я в основном смотрю только насколько занят порт в интернет.

[amario]

Извиняюсь, меня сбил с толку, вот этот комментарий.

[blezalex]

«поставить на все компьютеры агент мониторинга»
за такое надо сразу руки админу отрывать. Запускаешь комп а там пару десятков таких агентов которые решили «посчитать» тебя, комп грузится минут 20, зато админ счастлив. Хорошо что в итоге нашли решение без агентов

[bondbig]

Ага, зато со спамящим сервером. Хорошо, когда компов сотня всего, а если их пару тысяч? Для каждой задачи есть свое правильное решение.

[gag_fenix]

Сервер каждый компьютер опрашивает раз в 5-10 минут. По сравнению с остальным трафиком — капля в море.
С другой стороны, агент на клиенте тоже не помешает. Но не для мониторинга, а для инвентаризации: железо, софт и т.п. Сеть должна быть управляемой.

[bondbig]

Если уж заморачиваться с агентами, то делать с их помощью уже по максимуму.

[IlyaPodkopaev]

ARP шлется бродкастом, так что объем трафика вполне существенный для больших подсетей.

[skynoname]

А можно поинтересоваться, как у вас arp не вешает сеть?

Там идут запросы проходя по всем мак-адресам, и уж точно (на практике проверено) где-то подвисать должно… у нас тут сеть компов в сто — не больше, а если больше брать, то я не знаю что должно случиться ) Правда у меня роутер настроен на отключение закидывающего ипа от привязки к нему или просто блокирование мака на время пока не решится вопрос со spoofing'ом жестоким ) Так что иногда доходит до конца процедуры, иногда нет. Но я чекаю только на наличие открытых портов и папок в системе…

[gag_fenix]

Вопрос правильный, но я сейчас глянул статистику интерфейса свитча — ~15 arp запросов в секунду идет от клиентских машин. Мой 1 запрос в секунду вряд ли портит картину.
А в большой сети будет еще больше запросов. В таком случае лучше сеть делить на сегменты.

[skynoname]

" А в большой сети будет еще больше запросов. В таком случае лучше сеть делить на сегменты. "

Да это я так ) Просто у нас раньше был провайдер, неправильно сеть спроектировал, где любой пользователь мог делать в LAN всё что захочет (контролить юзеров, трафик и пр.) =) Сейчас-то вроде всё хорошо

[skynoname]

И кстати, если применять arping не внутри компании, это считается чуть ли незаконным делом, если далее будут выявлены его последствия (например, закидывание руткита через открытый порт компу, где нет файервола и антивиря, или антивирус тупо не находит проблемы). Насколько помню, такую технологию используют прошки типа icqsnif для перехвата smtp-пакетов и многих других шалостей )

[gag_fenix]

Что значит «не внутри компании»? ARP не уйдет дальше следующего маршрутизатора. Поэтому в интернете это работать не будет.

[skynoname]

Я в смысле в LAN-сетях, но не работе ))

[skynoname]

Аааай, да, есть такое, немного попутал, т.к. там по-моему и функция так же называется =) Но всё равно, сначала-то опрашиваются все компы по их мак-адресам и пингуются в начальной стадии процесса, даже там могут быть задержки… Но я с Вами полностью согласен

[yadaya]

На мой взгляд правильным «саксесс стори» была бы статья «Как удалось разгрести кучу эффективно и без потерь». Очередной костыль, конечно интересно, но ни к чему.

[gag_fenix]

Расскажите мне, как заставить работать ИТ-отдел, где большинство ждет или пенсии или ухода в декрет, и не все «инженеры» знают, что такое IP-адрес, а я вам напишу такую статью :)

[phasma]

Поднимаешь задницу и делаешь. Там где я хочу себе красивые графики, snmp, разные типы бэкапов, репликации БД и прочие плюшки для быстрого восстановления, я просто взял, перенес сервисы ночью на другую машину, снес со старой все, поставил, перенес данные обратно и сделал общие конфиги для интересующих меня машинок.

[gag_fenix]

Молодец. Но у нас организационная проблема. Сеть физически принадлежит «лентяям» :)
Т.е. они сами не делают и другим доступ не дают. Так что…
Впрочем, это оффтоп.

[tassadar_ha]

Поправьте меня, если я ошибаюсь, но по-моему, где-то в спецификациях по ARP я видел, что при определенных условиях на ARP запрос может отвечать не только владелец MAC адреса, но и другой узел сети, который этот MAC адрес знает?

[gag_fenix]

В RFC 826 такого не нашел, но в любом случае ARP-кэш живет минуты, и я не вижу здесь проблемы.

[SaveTheRbtz]

По хорошему, ваша штука должна быть многопоточным демоном складывающим данные в rrd/*sql

ПС. В ipv6-enabled сетях я люблю делать ping6 ff02::1%em0

[polyakstar]

1. subnet_count_parent.php, 46-я строка, не стоит указывать явно путь к интерпритатору php. У меня, он, например, лежит в другом месте.

2. $ sudo php subnet_count_parent.php
PHP Notice: Undefined variable: process in /var/www/net_count/subnet_count_parent.php on line 44

[kamazee]

Я в паре небольших сетей использую arp-scan. Если нужно только количество хостов, то и никаких похапе, в общем-то, не нужно.

[Akint]

Интересное решение. В качестве альтернативы, на мой взгляд, можно снимать кэш arp-таблицы с маршрутизаторов соответствующих сетей. Плюсы: отсутствие «лишнего» arp-траффика, минусы: будет показывать только активные хосты (т.е. только те, которые проявляют какую-то сетевую активность), а не все, как в случае с арпингом перебором.