网络通信 频道

告别镜像端口:完成流量监控全功略(下)

  【IT168 专稿】上期我们为各位介绍了如何针对没有镜像端口的路由交换设备进行流量监控,分别介绍了三种方法。今天笔者将继续为各位IT168读者介绍如何告别镜像端口完成流量监控全功略。

  告别镜像端口:完成流量监控全功略(上)
  http://net.it168.com/a2009/0206/264/000000264650.shtml

  一,图表查询法:
  笔者依然以DD-WRT为例进行介绍,在DD-WRT中会有一个专门显示各个接口流量的界面,不过默认情况下我们是看不到他的显示信息的,下面我们就通过几步操作和设置将图标流量显示出来。

  第一步:首先进入DD-WRT的管理界面,然后找到“状态”标签下的“Bandwidth”。在这里默认情况下我们应该看不到任何流量参数图表,所有的界面都是空白的。(如图1)

  第二步:默认情况下我们的机器都没有安装SVG VIEWER,所以在查看DD-WRT的带宽标签时显示不出任何信息,我们需要重新下载并安装该组件,具体地址为http://www.onlinedown.net/soft/3815.htm。(如图2)

  小提示:
  SVG格式全称为scalable vector graphics,他是由adobe公司开发的图形查看格式,和传统的图象格式不同的是这种特殊格式可以让基于页面的图片“活”起来,正好适合在线实时流量监控图的绘制,不过要想让其正常使用就需要按照上文说的地址去下载安装。

  第三步:下载运行安装完毕后再次查看“状态”->“Bandwidth”就会出现自动安装svg viewer控件的提示,我们点“运行”按钮即可。(如图3)

  第四步:需要提醒一点的是默认每个图都需要容许控件安装一次,在DD-WRT中一共有三次。安装完毕后我们就能够看到WAN,LAN以及总带宽各个类别实时流量和速度的显示了,从这里更可以直观的了解当前路由交换设备的运行情况,相比上文介绍的MONOMO工具来说这种监控准确率更高不会产生任务偏差。(如图4)

  第五步:在图标中绿色显示IN流量,红色显示OUT流量,我们也可以利用旁边的switch to bytes/s切换单位为KB/s,也可以点autoscale设置为自动刷新流量显示。(如图5)

  第六步;笔者建议各位将单位切换到KB/S,这样查询起来更加方便,省得频繁换算。(如图6)

  通过SVG查询DD-WRT中的流量监控页面获得的信息是实时的,也是非常准确的,不过需要提醒一点的是这种信息只是流量带宽速度而已,如果想查询具体的数据包内容则是不可能的。这时我们就需要通过下面的方法来实现。
 

  二,用NTOP让设备享受“镜像端口”功能:

  镜像端口是监控网络数据通讯的终极功能,一旦拥有镜像端口我们就可以轻松且顺利的针对网络通讯流量等信息进行监控。但是对于本文主要讨论的没有镜像端口设备的监控难题来说,通过NTOP可以让设备最大限度的拥有“镜像端口”的功能,我们可以最大限度的获得数据包内容,了解他的目的地址以及访问的域名信息等,必要时还可以知道通讯数据包双方主机的通讯端口,从而更清楚的了解内网应用与通讯。

  (1)初始化NTOP:

  第一步:首先我们要下载NTOP流量管理工具,具体下载地址为http://freestuff.openxtra.co.uk/downloads/opensource/3_18_0/NTop_XTRA_3_18_0.exe。之后我们开始运行安装NTOP。(如图7)

  第二步:默认选择所有组件进行安装,点NEXT按钮继续。(如图8)

  第三步:安装过程很简单具体就不详细说明了,下面我们来说说在路由器上的设置,要想能够使用NTOP的监控功能,我们需要开启路由设备的RFLOW以及MACUPD。具体方法可以参考“告别镜像端口完成流量监控全功略(上)”,将服务器IP地址设置到安装了NTOP的那台计算机上即可,同时留意RFLOW服务使用的端口,例如本例中的2055。(如图9)

  第四步:接下来返回监控计算机,启动NTOP,之后点主窗口中的NTOP SERVICE右边ACTION下的start将该服务启动,然后点NTOP右边ACTION下面的launch访问NTOP管理界面,NTOP管理界面直接访问地址为http://127.0.0.1:3000。(如图10)

  第五步:访问NTOP管理界面后我们首先会看到存在的虚拟接口,我们不需要管这个直接点“plugins”->“netflow”->“Activate”将netflow监控开启。当然我们也可以选择“plugins”->“all”然后选择开启netflow即可。(如图11)

  第六步:接下来进入netflow device configuration阶段,我们点add netflow device添加一个netflow设备。(如图12)

  第七步:然后是具体设置环节,这很重要各个参数不能设置错误,首先是netflow的设备名称,我们可以随便填写一个。接下来是使用的端口,这里一定要填写路由器上netflow的应用端口,例如笔者的是2055。同时还要针对netflow监控的地址网段做设置,例如笔者的是192.168.1.0/255.255.255.0。每项参数修改设置完毕后直接点右边的按钮生效。(如图13)

  第八步:完成后点右上角菜单中的admin->switch NIC。(如图14)

  第九步:找到我们添加的这个netflow设备点switch nic按钮让其生效。(如图15)
 

  (2)使用NTOP监控流量:

  通过NTOP我们可以了解到路由器各个端口下连设备每个IP地址对应的每个小时的流量,查看的网站和IP地址,MAC地址等网络信息,相比其他监控工具来说通过NTOP可以看到更详细的信息,包括目的地址和目的域名以及目的主机端口等内容。

  第一步:NTOP为我们提供了多个监控功能,我们可以基于IP或协议以及其他类别等信息进行流量查询,设置完毕后等待两分钟就可以开始查看结果了。利用IP->summary->traffic可以查看各个IP地址的流量。(如图16)

  第二步:NTOP会把监控到的每个IP地址都显示出来,包括内网和外网通讯地址,当然在图表中会通过不同的标志进行区分,同时还会将使用的协议,流量等内容显示出来。(如图17)

  第三步:NTOP监控内容非常准确,我们进入到DD-WRT管理界面中能够看到当前活动的主机与NTOP中显示的一模一样,没有任何延迟与偏差。(如图18)

  第四步:通过all protocols->traffic我们可以查看到各个IP地址端点的流量排名,这样我们就可以清楚的知道内网哪个主机或网络设备对网络带宽占用最大了。(如图19)

  第五步:点对应的IP地址或主机名后将进入单独IP流量查询页面,在这里我们可以看到每个IP地址的实际流量信息,包括地址信息,VLAN信息,总通讯流量,发送流量和接收流量等。同时还会显示出各个小时的实际流量。(如图20)

  第六步:在单IP监控页面还能够看到最近的连接情况,了解到该IP地址最近和哪个地址进行了通讯以及使用的端口,通过端口我们就可以辨别出应用的网络服务了。(如图21)

  第七步:最后还能够显示出当前活动的TCP/UDP会话,例如本例中就发现duyunpeng这台主机器和hn.kd.ny.adsl在进行HTTP通讯。(如图22)

  第八步:如果该主机在进行诸如FTP下载等网络应用的话,通过会话可以看到FTP通讯的存在以及与目的服务器通讯使用的接口信息和流量总和。(如图23)

  小提示:
  经过查询hn.kd.ny.adsl并不是病毒也不是网站,他不过是ADSL的路由优化服务器而已。

  三,总结:

  利用NTOP的监控我们可以最大限度的接近镜像端口的功效,从而在没有该端口和该功能的路由交换设备上完成监控数据包的目的。当然NTOP还具备很多高级监控功能,由于篇幅关系这里就不详细说明了,感兴趣的读者可以自行安装NTOP来尝试对内网路由器进行监控,从而更好的了解他的强大。
 

1
相关文章