網(wǎng)絡(luò)流量監(jiān)測與管理目次TOC\o"1-5"\h\z\o"CurrentDocument"一、 簡介 1\o"CurrentDocument"二、網(wǎng)絡(luò)基礎(chǔ) 1\o"CurrentDocument"（一） OSI參考模型 1\o"CurrentDocument"（二） SNMP介紹 2\o"CurrentDocument"SNMP概述 2\o"CurrentDocument"SNMP工作原理 3\o"CurrentDocument"MIB介紹 4\o"CurrentDocument"網(wǎng)管系統(tǒng)之簡介 4\o"CurrentDocument"MIB相關(guān)工具 5\o"CurrentDocument"三、 NetFlow 5\o"CurrentDocument"（一） NetFlow簡介 5NetFlowversionsSupported Platforms 5\o"CurrentDocument"（二） 執(zhí)行NetFlow 6\o"CurrentDocument"路由器的設(shè)定 6\o"CurrentDocument"統(tǒng)計(jì)分析流程 6\o"CurrentDocument"記錄及儲存flow信息 6\o"CurrentDocument"統(tǒng)計(jì)分析程序 8\o"CurrentDocument"四、 MRTG（MultiRouterTrafficGrapher） 9\o"CurrentDocument"（一） MRTG簡介 9\o"CurrentDocument"（二） MRTG使用方式 9\o"CurrentDocument"取得程序 9\o"CurrentDocument"編譯MRTG程序（以Unix版本為例） 9\o"CurrentDocument"產(chǎn)生MRTG設(shè)定檔 10\o"CurrentDocument"修改MRTG設(shè)定檔 11\o"CurrentDocument"測試MRTG輸出 13\o"CurrentDocument"自動執(zhí)行MRTG程序 13\o"CurrentDocument"（三） 利用MRTG監(jiān)看其它系統(tǒng)資源 13mrtg-ping-probe 14\o"CurrentDocument"系統(tǒng)CPULoad 14\o"CurrentDocument"DNSLoad 14\o"CurrentDocument"參考數(shù)據(jù) 15網(wǎng)絡(luò)流量監(jiān)測與管理邵喻美一、簡介過去幾年來，因特網(wǎng)已經(jīng)成為越來越重要的需求，在臺大校園網(wǎng)絡(luò)的環(huán)境里，已經(jīng)普及到所有系所及實(shí)驗(yàn)室都有接點(diǎn)可以連上因特網(wǎng)。不過面對日益復(fù)雜的網(wǎng)絡(luò)聯(lián)機(jī)及逐漸增加的網(wǎng)絡(luò)流量，系統(tǒng)管理者必須花費(fèi)更多時(shí)間精力來了解這些網(wǎng)絡(luò)設(shè)備的運(yùn)作狀況，以維持一個(gè)系統(tǒng)的正常運(yùn)作。一般來說，網(wǎng)絡(luò)管理者所需要了解的是各個(gè)網(wǎng)段的使用情形，頻寬的使用率，網(wǎng)絡(luò)問題的瓶頸發(fā)生于何處。當(dāng)網(wǎng)絡(luò)問題發(fā)生時(shí)，必須能夠很快地區(qū)隔出問題的發(fā)生原因，可能是線路問題、網(wǎng)絡(luò)設(shè)備問題、或者是路由器的設(shè)定問題。一個(gè)有經(jīng)驗(yàn)的管理者要回答這些問題并不難，但是如果所管理的網(wǎng)絡(luò)范圍過于龐大，那么就可能需要一個(gè)有效率的網(wǎng)管系統(tǒng)了。透過網(wǎng)管系統(tǒng)可以協(xié)助網(wǎng)絡(luò)架構(gòu)管理，并顯示網(wǎng)絡(luò)上目前發(fā)生的各種流量與運(yùn)作情形。若發(fā)生問題時(shí)，也能夠減少許多處理時(shí)間。以牽涉的節(jié)點(diǎn)數(shù)量以及能夠在節(jié)點(diǎn)上執(zhí)行的協(xié)議組合而言，網(wǎng)絡(luò)都是一個(gè)復(fù)雜的系統(tǒng)。即使將范圍局限在單一行政范圍內(nèi)，例如校園，還是可能包含數(shù)十個(gè)路由器及數(shù)百、甚至數(shù)千臺主機(jī)。如果考慮在任一節(jié)點(diǎn)上保存及處理的所有狀態(tài)，例如地址轉(zhuǎn)譯表、路由表、TCP連接狀態(tài)等，那么很容易就陷入充滿各種數(shù)據(jù)的茫茫大海中。我們很容易了解為何需要知道哪些放置在不同節(jié)點(diǎn)上各協(xié)議的狀態(tài)。舉例來說，我們可能想要監(jiān)控被中斷的IP數(shù)據(jù)段重組數(shù)量，以便判斷資源回收部分重組數(shù)據(jù)段的逾時(shí)機(jī)制是否需要調(diào)整。再舉另一個(gè)例子，我們可能想要觀測各節(jié)點(diǎn)上的負(fù)載（亦即，傳送或接收的封包數(shù)），以便判斷是否需要為網(wǎng)絡(luò)增加新的路由器或連結(jié)。除此之外，我們也必須注意硬件發(fā)生故障及軟件失誤的征兆。二、網(wǎng)絡(luò)基礎(chǔ)（一） OSI參考模型實(shí)體層（PhysicalLayer）：實(shí)體層定義的是位傳輸接口所具備的電子特性、機(jī)械特性、功能、以及運(yùn)作程序。本層包括傳輸媒介（如同軸纜線、光纖、銅纜線、無線電波等等）、實(shí)體連接方式、模塊化與框架技術(shù)（IEEE802.3 、FDDI等）。所以只要提及串行埠、10BASET纜線、網(wǎng)絡(luò)適配卡等，指的就是實(shí)體層?？?數(shù)據(jù)鏈路層(DataLinkLayer)：確保底層的數(shù)據(jù)傳送。服務(wù)包含錯(cuò)誤偵測與更正、數(shù)據(jù)加框(如LLC、HDLC、SDLC、IEEE802.2)、MAC同步化?？诰W(wǎng)絡(luò)層(NetworkLayer)：網(wǎng)絡(luò)層提供尋址、選擇路徑、傳送封包至目的網(wǎng)絡(luò)，如IP、PPP、IPX等。口 傳輸層：提供錯(cuò)誤偵測與更正，也能以軟件進(jìn)行網(wǎng)絡(luò)流量控制。例如TCP/UDP。SNMP使用UDP協(xié)議?？跁剬?SessionLayer)：應(yīng)用程序與網(wǎng)絡(luò)之間會談的建立與管理?？诒磉_(dá)層(PresentationLayer)：表達(dá)層實(shí)作數(shù)據(jù)與通訊協(xié)議的轉(zhuǎn)換及協(xié)商，如ASN.1與BER數(shù)據(jù)編碼。口應(yīng)用層(ApplicationLayer)：由軟件應(yīng)用程序?qū)嵶?，?yīng)用程序與網(wǎng)絡(luò)本身的唯一接觸接口。如FTP、Telnet、SNMP等。應(yīng)用層Management.AgentAPIsSNMP表達(dá)層ASN.1,BER會談層RCP,NetBIOS傳輸層TCP,UDP網(wǎng)絡(luò)層IP,IPX數(shù)據(jù)鏈路層Ethernet,ARCNetTokenRing實(shí)體層SNMP介紹SNMP概述「簡單網(wǎng)絡(luò)管理協(xié)議」(SimpleNetworkManagementProtocol,SNMP)顧名思義就是專為網(wǎng)絡(luò)管理者所設(shè)計(jì)的網(wǎng)絡(luò)管理協(xié)議，主要目的是用來管理網(wǎng)絡(luò)上各式各樣的設(shè)備。由于SNMP是在TCP/IP網(wǎng)絡(luò)環(huán)境中發(fā)展出來的管理通訊協(xié)議，因此SNMP在應(yīng)用上必須使用TCP/IP，被管理的機(jī)器必須設(shè)定IP地址，同時(shí)必須確保線路的連接與正確的路由。網(wǎng)絡(luò)上的節(jié)點(diǎn)分散各地，因此比較實(shí)際的作法便是利用網(wǎng)絡(luò)來管理網(wǎng)絡(luò)。這表示我們需要一種能夠讓管理者對不同網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行讀取并可能寫入各種狀態(tài)信息的協(xié)議。SNMP實(shí)際上是一個(gè)特殊的「要求/響應(yīng)」協(xié)議，可支持兩種要求訊息：get及put。前者是用來從某些節(jié)點(diǎn)取出狀態(tài)信息，而后者則是用來在某些節(jié)點(diǎn)上儲存一份新的狀態(tài)信息。(SNMP也支持第三種動作，get-next,稍后再做解釋。)下列討論著重在get作業(yè)，因?yàn)檫@是最常

使用的。SNMP的使用是很明確的：系統(tǒng)管理者與一個(gè)顯示網(wǎng)絡(luò)信息的客戶端程序進(jìn)行互動。該客戶端程序通常具有一個(gè)圖形接口。每當(dāng)管理者選擇某種想要取得的信息，客戶端程序便利用SNMP向負(fù)責(zé)的節(jié)點(diǎn)要求信息。(SNMP在UDP上執(zhí)行。)在接收到要求訊息之節(jié)點(diǎn)上執(zhí)行的SNMP服務(wù)器將找到適當(dāng)?shù)挠嵪?，并將其傳回給客戶端程序，然后顯示給使用者參考。SNMP工作原理SNMP定義了五種Manager與Agent之間的通訊形式?！酢酢酢酢酢酢鮏et-requestGet-responseTrap前三項(xiàng)都是屬于Manager向Agent發(fā)出的訊息，后兩項(xiàng)則屬于Agent向Manager發(fā)出的訊息。SNMPManagergetrequestSNMPAgent嗎 getresponsegetnextrequestgetresponsetrap每個(gè)Agent都是一個(gè)執(zhí)行程序，負(fù)責(zé)將該網(wǎng)絡(luò)節(jié)點(diǎn)的設(shè)定數(shù)據(jù)以及運(yùn)作現(xiàn)狀以數(shù)據(jù)結(jié)構(gòu)的方式儲存，客戶端程序如何表示需要擷取何種信息，以及服務(wù)器如何得知應(yīng)讀取內(nèi)存中的那個(gè)變量以符合要求？答案是SNMP根據(jù)一個(gè)稱為「管理信息基礎(chǔ)」(ManagementInformationBase,MIB)的伴隨規(guī)格(companionspecification)。當(dāng)Agent收到網(wǎng)管主機(jī)所發(fā)出的SNMPget-request、get-next-request、set-request時(shí)，便以相對應(yīng)的MIB數(shù)據(jù)透過SNMPget-response方式響應(yīng)。MIB定義了可以從網(wǎng)絡(luò)節(jié)點(diǎn)取得的特定信息，MIB變量。下一節(jié)將描述一部份MIB變數(shù)。此外，有一種特殊的SNMP命令，稱為trap，可允許Agent在特殊的情況下(如error,shutdown)主動發(fā)訊息給網(wǎng)管主機(jī)。MIB介紹SNMP定義一個(gè)可供管理數(shù)據(jù)的標(biāo)準(zhǔn)，它定義了網(wǎng)絡(luò)設(shè)備各種信息的儲存結(jié)構(gòu)，這種結(jié)構(gòu)是以樹狀結(jié)構(gòu)為基礎(chǔ)，每種變量分支都是唯一的，亦即MIB。目前所使用的版本是MIB-II，定義于RFC-1213。網(wǎng)絡(luò)設(shè)備的TCP/IP數(shù)據(jù)分為八份，分別為system，interface，addr-translation，ip，icmp，tcp，udp與egp。MIB定義了各分支下的數(shù)據(jù)項(xiàng)，所包含的數(shù)據(jù)包括整數(shù)，字符串，與窗體內(nèi)容。見下圖舉例說明：ccitt(O)iso(1)jointisoccitt(2)org(3)dod(6).erfaces.ifnumber...1.0網(wǎng)管系統(tǒng)之簡介網(wǎng)絡(luò)管理是一個(gè)相當(dāng)大規(guī)模且重要的領(lǐng)域，一般來說，網(wǎng)管系統(tǒng)的任務(wù)就是要能達(dá)成掌握網(wǎng)絡(luò)主機(jī)狀況，加速故障排除，同時(shí)減少網(wǎng)管人員的負(fù)擔(dān)。一些網(wǎng)絡(luò)或計(jì)算機(jī)相關(guān)廠商也都有網(wǎng)管軟件的產(chǎn)品，目前應(yīng)用最廣的就是HP的OpenView，IBM的NetView等，這類型的網(wǎng)管系統(tǒng)強(qiáng)調(diào)的是一個(gè)整合型的網(wǎng)絡(luò)管理解決方案，由一個(gè)網(wǎng)管的作業(yè)平臺與許多網(wǎng)管功能的模塊所組合而成。上述兩種作業(yè)平臺都有提供基本的網(wǎng)絡(luò)拓樸功能，MIBBrowser,SNMPtool.DataCollection,繪圖與網(wǎng)絡(luò)事件管理功能。從管理者的角度來看，這些功能十分好用，但是這些軟件都非常昂貴。除非網(wǎng)絡(luò)環(huán)境具有特殊性或者復(fù)雜度，否則便需要考慮一下軟件的價(jià)格與效能比值不值得。在一般學(xué)校最常用的網(wǎng)管工具就是MRTG,嚴(yán)格來說只具有網(wǎng)管軟件中的一小部分功能。MRTG把SNMP所request的數(shù)據(jù)經(jīng)過計(jì)算后繪成圖表，其中最常用的是網(wǎng)絡(luò)流量統(tǒng)計(jì)圖，其它如CPULoad，ErrorCount等亦可支持。由于屬于免費(fèi)軟件,因此使用群相當(dāng)廣泛。最后要提出來說明的是RMON這項(xiàng)產(chǎn)品，當(dāng)網(wǎng)段上有需要監(jiān)測的問題時(shí)，除了使用ProtocolAnalyzer到現(xiàn)場去量測之外，最常用的就是把RMON

掛到網(wǎng)段上當(dāng)Agent,然后在Manager端（如HP的OpenViewNNM使用netmertix）來接收RMON所收集到的封包，藉由RMON可以使得管理者在遠(yuǎn)程進(jìn)行現(xiàn)場的量測動作,對于需要長時(shí)間量測以及不規(guī)則發(fā)生之網(wǎng)絡(luò)問題狀況特別有此必要。MIB相關(guān)工具□□□□□□□□Snmpwalk：fetchalltheSNMPobjectsfromanagentSnmpwalkoid：queryforatreeofinformationaboutanetworkentitySnmp_get_quick_print：fetchthecurrentvalueoftheUCDlibrary'squick_printsettingSnmp_set_quick_print：setthevalueofquick_printwithintheUCDSNMPlibraryGetif：window-basedMIBbrowser三、NetFlow（一）NetFlow簡介NetFlow為Cisco之專屬協(xié)議，提供路由器中第三層之信息，可用來了解該路由器所傳輸之封包表頭內(nèi)容，依據(jù)此內(nèi)容，我們可以撰寫程序?qū)⑺@得之資料加以統(tǒng)計(jì)。一旦收集到路由器上的詳細(xì)流量數(shù)據(jù)后，便可為網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)使用量計(jì)價(jià)、網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)監(jiān)測等應(yīng)用提供計(jì)數(shù)根據(jù)。同時(shí)，NetFlow也提供針對QoS（QualityofService）的測量基準(zhǔn),能夠捕捉到每筆數(shù)據(jù)流的流量分類或優(yōu)先性特性，而能夠進(jìn)一步根據(jù)QoS進(jìn)行分級收費(fèi)。目前Cisco網(wǎng)站上所提供可執(zhí)行netflow之硬件數(shù)據(jù)：NetFlowversionsSupportedPlatformsCiscoIOSSoftwareReleaseVersionSupportedNetFlowExportVersion(s)SupportedCiscoHardwarePlatforms11.1CA,11.1CCv1,v5Cisco7200,7500,RSP700011.2,11.2Pv1Cisco7200,7500,RSP700011.2Pv1RouteSwitchModule(RSM),11.2(10)Pandlater11.3,11.3Tv1Cisco7200,7500,RSP700012.0v1,v5Cisco2600,3600,4500,4700,AS5800,7200,uBR7200,7500,RSP7000,RSM12.0TV1,v5Cisco1000*,1600*,1720**,2500*,2600,3600,4500,4700,AS5800,7200,uBR7200,7500,RSP7000,RSM,MGX8800RPM12.0(3)Tandlaterv8Cisco1000*,1600*,1720**,2500*,2600,3600,4500,4700,AS5800,7200,uBR7200,7500,RSP7000,RSM,MGX8800RPMN/Av7Catalyst5000NetFlowFeatureCard(NFFC)(參考/warp/public/cc/pd/iosw/ioft/neflct/tech/nappswp.htm二）執(zhí)行NetFlow路由器的設(shè)定在收集netflow數(shù)據(jù)之前，必須先在路由器上設(shè)定flow數(shù)據(jù)的傳送方式。首先，login到router并在global執(zhí)行以下指令：ipflow-exportdestination<IP><port>例如：ipflow-exportdestination9991。除此之外，還要在欲捕捉數(shù)據(jù)的接口上設(shè)定：iproute-cacheflow。如此一來，router便會開始將flow信息向IP端口號為9991送出圭寸包（協(xié)議為UDP），而即開始接收netflow的數(shù)據(jù)，此時(shí)只需要在該臺機(jī)器上執(zhí)行程序即可進(jìn)行統(tǒng)計(jì)。統(tǒng)計(jì)分析流程進(jìn)行統(tǒng)計(jì)分析的流程可分為兩個(gè)階段：（1） 在機(jī)器上固定執(zhí)行一個(gè)常駐程序（daemon），負(fù)責(zé)收集路由器送出的UDP封包，并且寫入硬盤。（2） 分析logfile，并且產(chǎn)生所需之報(bào)表。記錄及儲存flow信息首先，從網(wǎng)絡(luò)下載flow-tool程序包（/pub/flow-tools-0.58.tar.gz），其中包含數(shù)種用來收集及統(tǒng)計(jì)數(shù)據(jù)的程序，分列如下：flow-capture-collectflowsfromanexporterandstorethemtodisk.Diskspaceismanagedbyexpiring（removing）

□□□□□□□□□□□□□□flow-cat-concatenateflowfiles.flow-dscan-detectnetworkscanningandothersuspiciousactivityflow-expire-expire(remove)oldflowfiles.flow-fanout-fanoutflowsfromaexportertomultiplecollectors.Alsosupportsmulticast.flow-gen-Generateflowsfortesting.flow-header-Displayflowfilemetainformation.flow-merge-Mergeflowsfilessothatrecordsarepreservedinrelativechronologicalorder.flow-print-FormattedASCIIoutput.flow-receive-ReceiveflowsinNetFlowformatfromanetwork.flow-send-SendflowsoveranetworkinNetFlowformat.flow-split-Splitflowfilesintosmallerfiles.flow-stat-GenerateusagereportsbasedonIPaddress,IPaddresspairs,ports,packets,bytes,interfaces,nexthops,autonomoussystems,ToSbits,exporters,andtags.flow-xlate-Translatevariousfieldsofflowrecrods.1)先確定機(jī)器上已安裝下列程序：zlib：/pub/infozlib/zlib/gnumake：/pub/gnu/make/make-3.79.1.tar.gz21)先確定機(jī)器上已安裝下列程序：zlib：/pub/infozlib/zlib/gnumake：/pub/gnu/make/make-3.79.1.tar.gz2)將檔案解壓縮到一個(gè)目錄下，例如zcatflow-tools-0.58.tar.gz|tarxvf-解開后執(zhí)行下列指令：./configuregmakegmakeinstall若已將路由器設(shè)定為打開netflow，可利用flow-receive確認(rèn)主機(jī)是否已開始接收flow數(shù)據(jù)，例如：flow-receive0/0/9991|flow-print4)執(zhí)行flow-capture將flow數(shù)據(jù)儲存下來，其指令格式為flow-capture-zZ-nN-eE-pP-wW,其中參數(shù)意義如下：Z-壓縮比例N-每日留存份數(shù)E-共留存幾份在硬盤中P-埠號W-存放路徑例如：flow-capture-z6-n143-e1500-p9991-w/netflow,其中，壓縮率約6就差不多了，設(shè)定更高的參數(shù)不見得可以多壓多少，一天留144份，也就是10分鐘rotate一次logfile,方便我們做細(xì)部統(tǒng)計(jì)，一共留存1500份，也就是10天左右，最后一項(xiàng)參數(shù)表示把所有l(wèi)ogfile都放在/netflow目錄下。之后，便可將此指令加入/usr/local/etc/rc.d目錄下，讓機(jī)器一開機(jī)便執(zhí)行此常駐程序。(5)收集一段時(shí)間的數(shù)據(jù)之后，可透過flow-print指令列出logfile的內(nèi)容，例如：flow-print-f0<logfile，所顯示字段由左至右分別為：SourceSourceDestinationDestinationProtocolSourceDestinationPacketsOctectsInterfaceIPInterfaceIPPortPort統(tǒng)計(jì)分析程序在netflow流量數(shù)據(jù)捕捉并儲存下來之后，便可根據(jù)其格式及所欲統(tǒng)計(jì)的項(xiàng)目撰寫程序進(jìn)行統(tǒng)計(jì)分析。目前從網(wǎng)絡(luò)上可下載國立交通大學(xué)發(fā)展的netflow統(tǒng)計(jì)程序(http://netf.tw/netflow.html)，該程序以perl撰寫，通常必須根據(jù)各自的架構(gòu)及需求予以修改后方能適用。以交大發(fā)展的netflow.pl程序?yàn)槔砸蝗諡閱挝唤y(tǒng)計(jì)當(dāng)天的流量，可針對網(wǎng)段、協(xié)議、流入/流出之IP網(wǎng)段進(jìn)行合計(jì)或Top統(tǒng)計(jì)。臺大為了取得更實(shí)時(shí)的數(shù)據(jù)，將該程序修改為每10分鐘統(tǒng)計(jì)一次，便能夠了解過去十分鐘的流量。四、MRTG（MuitiRouterTrafficGrapher）（一）MRTG簡介MRTG（MuitiRouterTrafficGrapher）是一種用來監(jiān)測網(wǎng)絡(luò)連結(jié)上之流量的工具。MRTG會產(chǎn)生包含PNG圖形的HTML網(wǎng)頁，可為網(wǎng)絡(luò)流量提供生動的視覺呈現(xiàn)效果。MRTG軟件中包含一個(gè)perl程序，利用SNMP讀取路由器等網(wǎng)絡(luò)設(shè)備的流量計(jì)數(shù)，以及一個(gè)C程序可將流量數(shù)據(jù)記錄下來，并為所監(jiān)控之網(wǎng)絡(luò)連結(jié)上的流量產(chǎn)生圖形式表現(xiàn)。這些圖形會被包含在網(wǎng)頁中，并可從任何網(wǎng)頁瀏覽器讀取。MRTG除了能夠提供詳細(xì)的每日流量記錄，同時(shí)也能夠以相同的視覺呈現(xiàn)方式產(chǎn)生過去七天，過去四周，以及過去12個(gè)月的流量記錄。能夠做到這點(diǎn)是因?yàn)镸RTG把從路由器取得的所有數(shù)據(jù)都記錄下來。這些記錄會自動合計(jì)，所以不至于隨著時(shí)間成長地太大，不過仍保留足夠提供過去兩年來流量趨勢的信息。這些程序以很有效率的方式進(jìn)行，因此我們能夠從任何UNIX系統(tǒng)監(jiān)測200段或更多網(wǎng)絡(luò)連結(jié)。MRTG并不僅限于監(jiān)測流量，我們也可以利用MRTG來監(jiān)測任何SNMP參數(shù)。我們甚至可以運(yùn)用外部程序來收集想要用MRTG進(jìn)行監(jiān)控的數(shù)據(jù)，例如系統(tǒng)負(fù)載、登入數(shù)量等，或者將二或多項(xiàng)數(shù)據(jù)來源結(jié)合在單一圖形內(nèi)以利觀察。（二）MRTG使用方式取得程序最新版本的MRTG程序可從http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/處下載，其中包含Unix原始程序代碼、編譯好的Win32程序、以及MRTGLinuxRPM，目前最新版本是mrtg-2.9.18。編譯MRTG程序（以Unix版本為例）在編譯Unix版MRTG原始程序代碼之前，必須先確定機(jī)器上已安裝GCC編譯程序及perl程序。除此之外，由于MRTG會產(chǎn)生PNG格式的圖形文件，因此必須先安裝幾種鏈接庫：口gd：這是一套繪圖鏈接庫，用來處理PNG格式的圖形文件，可從/gd/處下載。口libpng：這是gd在產(chǎn)生PNG圖形文件時(shí)需要的鏈接庫，可從/pub/png/src/處取得。nzlib：這是libpng壓縮圖形文件時(shí)需要的鏈接庫，可從/zlib處下載。當(dāng)上述鏈接庫都安裝好了之后，便可開始編譯MRTG程序。首先解開原始碼壓縮檔，并切換至該目錄下：gunzip-cmrtg-2.9.18.tar.gz|tarxvf-cdmrtg-2.9.18接下來便可編譯程序代碼：./configure-prefix二/usr/local/mrtg-2或者也可以指定各必要程序的路徑：./configure--prefix=/usr/local/mrtg-2\-with-gd=/usr/local/src/gd\-with-z=/usr/local/src/zlib\-with-png=/usr/local/src/libpngconfigure程序可確認(rèn)系統(tǒng)環(huán)境已適合安裝MRTG程序，如果都沒有問題，目錄下便會增加一個(gè)專為該系統(tǒng)產(chǎn)生的Makefile。接下來便可執(zhí)行：make此動作會建立rateup程序，并修改scripts中的所有路徑名稱?，F(xiàn)在便可安裝mrtg程序：makeinstall到此為止，mrtg需要的所有軟件都已經(jīng)安裝在/usr/local/mrtg-2目錄下了。產(chǎn)生MRTG設(shè)定檔當(dāng)mrtg程序安裝完成后還無法立刻開始監(jiān)測網(wǎng)絡(luò)設(shè)備，因?yàn)槲覀儽仨毥o予mrtg程序適當(dāng)?shù)慕M態(tài)設(shè)定，方能讓mrtg程序執(zhí)行針對特定網(wǎng)絡(luò)設(shè)備收集特定數(shù)據(jù)、將數(shù)據(jù)存放于特定路徑、以所指定的格式輸出圖形文件及網(wǎng)頁等動作，而這些特殊設(shè)定都定義在mrtg.cfg檔案中。MRTG軟件中提供一個(gè)cfgmaker程序，可針對所欲監(jiān)測的路由器產(chǎn)生必要的設(shè)定檔：cfgmaker--global'WorkDir:/home/httpd/mrtg'\--global'Options[_]:bits,growright'\--output/home/mrtg/cfg/mrtg.cfg\

community@router.abc.xyz上述范例會對router.abc.xyz這臺網(wǎng)絡(luò)設(shè)備收集流量數(shù)據(jù)，并對輸出圖形設(shè)定bits及growright選項(xiàng)，同時(shí)在/home/mrtg/cfg目錄下產(chǎn)生mrtg.cfg設(shè)定文件，而所有產(chǎn)生的圖形及網(wǎng)頁都會放置在/home/httpd/mrtg目錄下。MRTG軟件包中還有一個(gè)程序indexmaker，可將mrtg.cfg組態(tài)檔中

每個(gè)Target的website做個(gè)簡單的indexfile,例如：indexmaker-enumerate-columns=2-section=title-outputindex.htmlmrtg.cfg修改MRTG設(shè)定檔利用cfgmaker產(chǎn)生的mrtg.cfg便能夠產(chǎn)生基本的mrtg流量圖數(shù)據(jù)，但是如果想要得到較特別的輸出數(shù)據(jù)，便必須修改mrtg設(shè)定檔。在mrtg設(shè)定檔中可分為Global及個(gè)別Target的定義部分，以Global而言，可定義多種選項(xiàng)，例如下列：WorkDir：指定所產(chǎn)生之logfile及網(wǎng)頁之存放路徑（此設(shè)定優(yōu)先于□□□□HtmlDir:□□□□ImageDir:指定所產(chǎn)生之Image檔案存放路徑LogDir:指定logfile存放路徑Refresh:設(shè)定瀏覽器重新加載網(wǎng)頁的時(shí)間間隔（以秒計(jì)），默認(rèn)值為300秒。Interval:執(zhí)行mrtg程序的時(shí)間間隔，默認(rèn)值為5分鐘若針對各Target可設(shè)定下列選項(xiàng):□ Target：此設(shè)定告訴mrtg應(yīng)該監(jiān)測哪一臺機(jī)器。此參數(shù)的格式相當(dāng)多樣，例如:最常見的基本格式為”port:community@router”，此設(shè)定會讓mrtg程序針對”router”這臺主機(jī)（dns名稱或IP）的”port”接口產(chǎn)生流量圖，并且以"community”作為community（snmppassword）進(jìn)行snmpqueryoExample:Target[test]:2:public@.tw在Target敘述之前加一個(gè)負(fù)號（”-“）可將incoming及outgoing的流量反過來Example:Target[test]:-2:public@.tw可在敘述中明確指定所欲取得信息的OID，語法為”0ID_1&0ID_2:community@router..tw”。由于mrtg必須為兩項(xiàng)變量繪圖，所以指定兩個(gè)OID，如下例所示:Target[test]:..1.14.1&..1.20.1:public@myrouterMRTG能夠辨認(rèn)數(shù)種SNMP變量名稱，所以可能在敘述中直接指定名稱（全部名稱可參閱http://people.ee.ethz.ch/~oetiker/webtools/mrtg/mibhelp.html),例如：Target[ezwf]:ifInErrors.1&ifOutErrors.1:public@myrouter有時(shí)為了確定mrtg抓到正確接口的數(shù)據(jù)，我們可在Target中指定IP地址：Target[ezwf]:/:public@myrouterTarget[ezci]:-/:public@myrouterTarget[ezwf]:...14/&..1.14/:public@myrouterTarget[ezwf]:ifInErrors/&ifOutErrors/:public@myrouter如果不能使用IP地址，也可指定接口名稱：Target[ezwf]:\My-Interface2:public@myrouterTarget[ezci]:-\My-Interface2:public@myrouterTarget[ezwf]:..1.14\My-Interface2&..1.14\My-Interface3:public@myrouterTarget[ezwf]:ifInErrors\My-Interface2&ifOutErrors\My-Interface3:public@myrouter如果為了避免因接口index變動造成mrtg圖數(shù)據(jù)錯(cuò)誤，可在Target中指定接口的硬件地址。Mrtg軟件包中提供一個(gè)指定”cfgmaker_phys"，可將接口index或IP地址轉(zhuǎn)換成硬件地址：cfgmaker_physold.cfg>new.cfgcfgmakerpublic@router|cfgmaker_phys>new.cfg在Target設(shè)定中的格式如下：Target[ezwf]:!0a-0b-0c-0d:public@wellfleet-fddi.ethz.chTarget[ezci]:-!0-f-bb-05-71-22:public@ezci-ether.ethz.chTarget[ezwf]:..1.14!0a-00-10-23-44-51&!0a-00-10-23-44-51:public@myrouterTarget[ezwf]:ifInErrors!0a-00-10-23-44-51&ifOutErrors!0a-00-10-23-44-51:public@myrouter在community@router后面，可以加上其它SNMP溝通用的參數(shù)，其語法如下：community@router[:[port][:[timeout][:[retries][:[backoff][:version]]]]]如果要監(jiān)測非透過SNMP提供的數(shù)值，可利用外部程序收集數(shù)據(jù)。外部程序必須傳回四行輸出數(shù)據(jù)。第一行：第一個(gè)參數(shù)值，例如"incomingbytescount”第二行：第二個(gè)參數(shù)值，例如"outgoingbytescount”第三行：表示系統(tǒng)uptime的字符串第四行：表示Target名稱的字符串例如：Target[ezwf]:/usr/local/bin/df2mrtg/dev/dsk/cOt2d0s0、我們也可以將多個(gè)敘述式組合成一個(gè)數(shù)學(xué)式，表示將多筆資料加總起來，如下所示：Target[ezwf]:2:public@wellfleetA+1:public@wellfleetA*4:public@ciscoFMRTG組態(tài)文件中的設(shè)定選項(xiàng)相當(dāng)多，可參考MRTG設(shè)定說明(http://people.ee.ethz.ch/~oetiker/webtools/mrtg/config.html),其中提供各選項(xiàng)的說明及范例。測試MRTG輸出當(dāng)mrtg組態(tài)檔修改完成后，可執(zhí)行mrtgmrtg.cfg，如果一切正確的話，應(yīng)該會在WorkDir目錄下產(chǎn)生HTML文件及一些png圖檔，便可開啟這些HTML檔檢查產(chǎn)生的輸出是否如預(yù)期結(jié)果。自動執(zhí)行MRTG程序一般透過MRTG要觀察的是長期趨勢，因此必須將MRTG設(shè)定為連續(xù)定期執(zhí)行，方能將收集到網(wǎng)絡(luò)信息描繪成連續(xù)圖形。以Unix系統(tǒng)為例，通常以編寫crontab達(dá)到此效果，例如執(zhí)行：crontab-e并在crontab中加入類似下面這行設(shè)定：O,5,1O,15,2O,25,3O,35,4O,45,5O,55****/mrtg/bin/mrtg/mrtg/conf/mrtg.cfg如此便會每5分鐘執(zhí)行一次mrtg程序而得到網(wǎng)絡(luò)流量圖。利用MRTG監(jiān)看其它系統(tǒng)資源其實(shí)MRTG的原理就是將收集到的數(shù)據(jù)繪成圖形以便于觀察實(shí)時(shí)狀況及長期趨勢，因此不論是讓MRTG透過SNMP向遠(yuǎn)程網(wǎng)絡(luò)設(shè)備取得接口數(shù)據(jù)，或者透過外部程序產(chǎn)生數(shù)據(jù)，都可以達(dá)到相同的效果。接下來要介紹幾種從網(wǎng)絡(luò)上取得可以與MRTG結(jié)合的外部程序，系統(tǒng)管理者也可以自行撰寫程序，只要程序輸出結(jié)果符合MRTG程序讀取數(shù)據(jù)的格式即可。mrtg-ping-probe可利用此程序測量與其它網(wǎng)絡(luò)設(shè)備之間的來回時(shí)間及封包遺失率。mrtg