【IT168 专稿】流量监控对于众多企业网络管理员来说都是非常重要的,一方面我们可以通过流量监控在第一时间发现故障问题根源,另一方面我们也可以通过监控到的数据信息合理规划企业内网,让企业内网应用更加事半功倍。然而在实际使用过程中我们基本上都是通过sniffer类工具来完成流量监控目的的,要想更好的发挥sniffer类工具的监控效果我们就需要在路由交换设备上针对外网或多个内网接口进行镜像应用,通过一个专门的镜像端口来完成数据流量监控的目的。
不过对于部分中小企业来说由于经费有限所以购买来的核心设备可能自身并不具备端口镜像的功能;又或者很多小型SOHO网络都是通过高端家用型路由器来完成外网接入目的的。那么在这些情况下我们该如何完成流量监控与管理的功能呢?今天笔者就以DD-WRT类无线路由器为例为各位介绍告别镜像端口完成流量监控全功略。
一,用路由器自身功能监控网络流量
不少路由器都提供了流量监控的功能,我们可以通过路由器管理界面来了解通过路由器各个端口的网络流量和数据包信息,不过这种监控所能够显示的信息比较少,基本上只有上传速度,下载速度和通讯总数据量而已。例如笔者的DD-WRT在管理界面下的“状态”标签->“WAN”标签下就能够了解到WAN接口的数据流量信息。(如图1)
在TRAFFIC选项中可以通过incoming以及outgoing信息查看到当前上传和下载数据流量的具体情况,这里将以绿色显示下载数据总量以红色显示上传数据总量。每天的相关数据都有所保留,一般会显示最近一个月的流量情况,如果需要查询之前月份的情况可以通过下面的按钮进行选择。当我们把鼠标放到相关日期上时可以在下方看到具体的流量数据,例如笔者在2009年2月2日总共下在935MB而上传数据是23MB。(如图2)
在路由器管理界面中我们同样可以通过“状态”标签->“LAN”来查看内网数据通讯情况,在DD-WRT中可以了解到当前活动的主机信息,包括IP地址,主机名以及MAC地址。(如图3)
小结——通过路由器自身提供的监控网络流量功能我们只能够对通过路由器各个接口的数据总量有一个了解,对内网主机连接情况有一个了解。但是具体到数据内容则无法显示,另外通过此功能也谈不上管理流量,只能够查看通讯情况。
二,开启Rflow让流量监控更上层楼
如果说使用路由器自带的监控功能略显单薄,那么我们完全可以通过rflow功能让流量监控更上一层楼,一般来说大部分路由设备都支持基于Rflow或SNMP等网络管理协议,通过这些协议我们可以在计算机或网络终端上更灵活的查看流量数据信息,必要时结合统计工具可以绘制出更详尽的流量图表来。下面笔者就以DD-WRT为例为各位介绍如何开启和使用Rflow为我们服务。
第一步:在DD-WRT管理界面中我们找到“services服务”标签,接下来选择Services。(如图4)
第二步:在服务标签下面找到rflow和macupd选项,默认他们都是禁用的,因为开启他们势必会影响路由器自身性能。同时我们可以选择该服务监听的端口,包括LAN接口和WAN接口或全部端口等。(如图5)
第三步:我们将rflow和macupd选项都选择为启用,要知道在实际使用过程中这两者结合起来应用效果会更好,所以在这里笔者建议各位全部启用。接下来设置监控客户端IP地址,一般来说我们选择LAN内网一个主机即可,稍后要在该主机上安装监控程序。例如笔者的是192.168.1.120。同时我们要记录下rflow和macupd两者工作的端口,日后要填写正确,依次是2055和2056。接下来再选择监控接口和间歇时间后我们完成配置,保存设置即可。(如图6)
第四步:之后我们就要在客户端上安装rflow监听工具了,笔者使用的是rflowcollectorv3版本的程序,我们可以通过DD-WRT官方站点下载该组件,具体地址为http://www.dd-wrt.com/dd-wrtv3/dd-wrt/downloads.html。(如图7)
第五步:下载后解压缩直接运行主程序即可,rflowcollectorv3是一个绿色版软件。运行后我们可以看到该工具分四个区域显示。(如图8)
第六步:由于我们在DD-WRT路由器上设置了监控地址为192.168.1.120,所以我们在192.168.1.120这台主机上将直接看到通过路由器各个主机IP的流量和实时速率。例如笔者实际例子中显示有四台主机在通过DD-WRT路由器通讯。在下方则可以根据流量自动绘制出相应图表来。(如图9)
第七步:rflowcollectorv3提供了流量过滤功能,我们只需要点下方的network按钮就可以根据实际情况针对单独网段的数据和流量进行监控。(如图10)
第八步:双击左上角窗口中的主机地址后我们会打开一个新窗口,这里会罗列出与该主机IP有关的所有通讯信息,包括通讯双方IP地址,端口号以及数据包大小等,所有显示出来的信息都是自动实时刷新的。(如图11)
通过rflowcollectorv3和rflow服务我们就顺利的实现了在远程主机上针对路由器各个端口通讯信息的监控任务,同时掌握了各个主机的流量大小以及通讯目的地址,从而更好的优化企业内网并在第一时间发现流量异常。
三,SNMP帮你监控流量
当然除了rflow服务以外大部分路由器都提供了基于SNMP简单网络管理协议的支持,我们可以通过开启SNMP服务实现对流量的监控,笔者依然以DD-WRT路由设备为例进行介绍。
第一步:首先我们需要强大的SNMP信息收集和整理工具,网络中这类工具比较多,如果我们只是监控的话建议使用小巧的monomon即可,当然如果企业内部要自定义建立流量监控站点或服务中心的话可以使用其他支持SNMP的MRTG,PRTG等工具。我们可以到http://monomom.matf.de/download.php地址下载该程序,整个程序只有一个文件。(如图12)
第二步:下载完客户端SNMP监控程序外我们还需要在路由器上开启SNMP服务,同样是在services服务标签下找到SNMP,将其启用并设置“位置”为192.168.1.120这个地址。接下来设置“社区”名称,这里需要划分权限为只读社区RO以及读写社区RW,我们根据实际需要分配好权限即可,日后使用不同权限的“社区”名称连接将会获取不同的读写权限。笔者设置RO名为public,RW名为softer,保存设置即可。(如图13)
第三步:接下来在192.168.1.120那台机器上开启monomon,首先在connection标签下设置要连接的目的地址,这个填写路由器管理地址即可。接下来输入社区名称,为了安全起见可以直接填写只读社区RO,例如本例中的public,通过read interfaces按钮读取192.168.1.1路由器的各个接口信息,选择一个要监控的接口后点OK按钮即可。(如图14)
第四步:当然我们还可以针对实际在monitoring标签下进行进阶设置,主要是针对下载速度最大值,上传速度最大值等信息完成的。大家根据带宽实际情况选择即可,需要提醒一点的是在traffic display处可以选择显示单位是KB/S还是Kb/s。(如图15)
第五步:设置完毕后在实际使用过程中monomon会以浮动窗口的形式实时的显示出对应端口的下载速度和上传速度,同时还能够以图标曲线的形式记录下历史信息。(如图16)
通过SNMP我们可以了解各个接口的数据信息,当然本文介绍的小工具是monomon,他主要提供的是监控流量的功能,如果我们要实现更高级功能更强大的管理功能的话就需要结合其他软件了。由于篇幅有限各位读者参考以前的文章即可。
四,总结:
本文主要为各位读者介绍了三种在无法使用镜像端口情况下针对内网流量进行监控的方法,依次是自身功能监控法,Rflow法以及SNMP法。当然除了这些办法以外我们还可以通过SVG以及NTop更灵活的对网络流量甚至具体的通讯内容进行监控,笔者将在“告别镜像端口完成流量监控全功略(下)”一文中为各位详细讲解。