如果說讓網絡管理員最頭疼的問題，恐怕大家都會回答是網絡帶寬匱乏了，實際情況確實如此，隨著網絡應用與網絡軟件的越來越多，占用帶寬資源的服務也越來越多。我們究竟應該怎么管理網絡成為一個非常嚴肅的問題。BT，P2P等軟件吞噬著網絡帶寬，蠕蟲等網絡病毒也使網絡應用變得枯竭。從某種意義上講帶寬就是錢，那么我們這些網絡管理員如何有效的從監(jiān)視到控制公司的網絡流量呢？筆者為各位讀者介紹一個不可多得的監(jiān)控網絡流量的工具:NTOP。

      一 .為什么需要對流量監(jiān)控？

      如果作為一名普通網絡用戶，在浩瀚的互聯(lián)網暢游之時，沒有人會注意到平靜的海面下其實暗流洶涌。一般來說，網絡管理者所需要了解的是各個網段的使用情形，頻寬的使用率，網絡問題的瓶頸發(fā)生于何處。當網絡問題發(fā)生時，必須能夠很快地區(qū)隔出問題的發(fā)生原因，迅速定位到線路問題、網絡設備問題、或者是路由和放火墻的設定問題。在一個稍微較小的網絡中，一個有經驗的管理者要回答這些問題并不難，但是如果其所管理的網絡范圍過于龐大，那么就可能需要一個有效率的網管系統(tǒng)了。在業(yè)務繁忙的工作網絡中，網絡突然緩慢，在重要數(shù)據(jù)往來的工作時間段，留給系統(tǒng)管理員的響應時間只有寶貴的十幾分鐘、甚至幾分鐘。如果你不能回答網絡為什么緩慢？必須在經過科學合理的計算和統(tǒng)計，并且在預先建立的流量分析系統(tǒng)中才能找到答案。

      P2P（Peer-to-Peer）是一種用于文件交換的新技術，通過Internet允許建立分散的、動態(tài)的、匿名的邏輯網絡。P2P為對等連接或對等網絡，點對點網絡技術，可應用于文件共享交換，深度搜索、分布計算等領域。它允許個體的PC通過Internet共享文件。隨著P2P文件交換應用的普及，ISP在維持和增加寬帶網的收益上也面臨著新的挑戰(zhàn)和機遇。據(jù)有關資料統(tǒng)計，現(xiàn)有的網絡中有超過70%的帶寬被P2P通信占據(jù)著。P2P通信會導致異常的流量峰值，對網絡資源造成意外的變形；所帶來的網絡擁塞、性能下降等問題，已影響到正常的網絡應用，如WWW、Email等，緩慢的網頁瀏覽和收發(fā)郵件速度更引起普通用戶的不滿。

      若想控制P2P通信，就必須對P2P通信進行有效地識別，然而，許多P2P通信使用了不同的通信技術和協(xié)議，使用傳統(tǒng)的技術來識別它們非常困難。 比如，許多P2P協(xié)議不使用固定的端口，而是動態(tài)地使用端口，包括使用一些知名服務的端口。KaZaA就是可以使用端口80（通常是http/web來使用）來通信的，從而穿透傳統(tǒng)的基于IP和端口的防火墻和包過濾器。所以，通過簡單的基于IP和端口的分類技術（分析IP包頭、IP地址、端口號等）很難識別、跟蹤或控制這類通信。

      過去有一段時間，有人使用監(jiān)測6881~6889端口來識別BT（BitTorrent），但這種做法現(xiàn)在早已失效——BT已不再使用固定的6881~6889端口來通信，而是動態(tài)地使用端口。隨著P2P應用的不斷增長，更多的通信協(xié)議被使用；識別和分類P2P的技術必須快速、簡單，以適應這種技術的變化。現(xiàn)在，識別P2P通信的方法是在應用層分析數(shù)據(jù)包，看是否有某個應用協(xié)議的特征碼，然后確定通信的種類。應用層分析數(shù)據(jù)包的基本方法是，如果應用層數(shù)據(jù)包的頭部有“220 ftp server ready”的特征串，可以確定是在使用ftp程序；如果有“HTTP/1.1 200 ok”的特征串，可以確定是在使用http傳送數(shù)據(jù)。
    談到網絡流量監(jiān)控，相信大家都熟悉MRTG這個工具。但是MRTG存在許多缺點：

      1.    使用文本式的數(shù)據(jù)庫，數(shù)據(jù)不能重復使用；
      2.    只能按日、周、月、年來查看數(shù)據(jù)；
      3.    只能畫兩個DS（一條線、一個塊）；
      4.    無管理功能；
      5.    沒有詳細日志系統(tǒng)；
      6.    無法詳細了解一一流量具體構成；
      7.    只能用于TCP/IP網絡對于 SAN 和iSCSI網絡流量無能為力;
      8.    不能在命令行下工作；
      9.    過于依賴SNMP協(xié)議。

      MRTG基于SNMP協(xié)議獲取信息，對于端口的流量，MRTG能提供精確統(tǒng)計，但對于3層以上的信息則無從得知了。而這正是NTOP的強項。NTOP能夠更加直觀的將網絡使用量的情況和每個節(jié)點計算機的網絡帶寬使用詳細情況顯示出來。ntop是一種網絡嗅探器，嗅探器在協(xié)助監(jiān)測網絡數(shù)據(jù)傳輸、排除網絡故障等方面有著不可替代的作用�？梢酝ㄟ^分析網絡流量來確定網絡上存在<

【 頂部 】 【 關閉 】