原创： NTOP与RouterOS结合实现网络流量监控

zhjchina

Ntop  http://www.ntop.org/ 是一个网络使用状况监测软件，在互动式模式下，ntop 会将网络的使用状况显示在使用者的终端机画面上。它是基于sniffer的一种网络监控工具。把它安装在网关上面监控一段网络。可以显示总的流量，还可以显示网段内机器的流量，包含每种服务的流量等。
NTOP一般安装在网关上，但是我们所使用的routeros系统上并不能单独安装Linux下的软件。幸好RouterOS支持NetFlow协议，NetFlow数据包一般由Cisco或Juniper路由器，交换机输出。而NTOP可以充当NetFlow数据包的接收者，管理员就可以通过浏览器监控Routeros系统上的总流量，每个IP的流量，各个协议数据包的流量以及当前各客户端的下行与上行速度。

1.        NTOP的安装
NTOP有基于Unix/Linux的免费开源版本，好像也有基于Windows的版本，不过只能下载到演示版，功能限制很多。所以我们就安装Linux下的版本吧

我的系统是Centos 5.1,安装时没有选择任何可选包。所以要把常用的库先装上

1. # yum install gcc gcc-c++ gcc-g77 flex bison autoconf automake bzip2-devel zlib-devel ncurses-devel libjpeg-devel libpng-devel libtiff-devel freetype-devel pam-devel openssl-devel libxml2-devel gettext-devel pcre-devel

复制代码

然后安装libpcap

1. # yum -y install libpcap*

复制代码

安装rrdtool

1. # Yum –y install rrdtool*

复制代码

下一步安装apache 2.28,详细过程就不写。因为NTOP要用apache来显示网页，所以是必须要装的。

安装NTOP 3.3

1. # cd  /usr/local/src/
   
2. # wget  [url=http://downloads.sourceforge.net/ntop/ntop-3.3.tar.gz]http://downloads.sourceforge.net/ntop/ntop-3.3.tar.gz[/url]
   
3. # ./autogen.sh  --prefix=/usr/local/ntop
   
4. # make
   
5. # make install

复制代码

拷贝配置文件

1. # cp packages/RedHat/ntop.conf.sample /etc/ntop.conf
   
2. # cp packages/RedHat/ntop.init /etc/init.d/ntop
   
3. # chkconfig --add ntop

复制代码

因为系统自带的自启动文件的路径和我们选择的路径不一致，所以要修改
编辑自启动文件，更改如下几行

1. # vi /etc/init.d/ntop
   
2. prog="/usr/local/ntop/bin/ntop"
   
3. pids=`ps axf | grep '\/usr\/local\/ntop\/bin\/ntop' | awk '{ printf(" %s", $1) }; END { print "" }'`

复制代码

编辑配置文件

1. # chmod 644 /etc/ntop.conf
   
2. # vi /etc/ntop.conf
   
3. --db-file-path /var/log/ntop
   
4. --interface none
   
5. -m 192.168.0.0/24
   
6. --trace-level 3
   
7. --http-server 3000

复制代码

如果要监控本机的流量，也可以选择--interface eth0
因为我们这里要监控RouteROS上的流量，所以选择为none，在安装完成后，可以登录到NTOP,打开netflow插件即可

参数说明：
-P db文件的路径
-u ntop的运行用户（run user）
-A 设定admin密码
创建ntop的运行用户ntop
这条命令同时还在/var/log/ntop目录下创建了ntop_pw.db  prefsCache.db文件

1. # service httpd start
   
2. # service ntop start

复制代码

将 防火墙关闭或将3000及2055端口打开

以上部分内容参考了 http://linux.chinaunix.net/techdoc/net/2008/01/07/976099.shtml

NTOP安装完成

2、 在RouterOS中做相关设置
这部分参考Mikrotik RouterOS 3.0 官方文档

打开RouterOS流量信息

1. 1.        [admin@MikroTik] ip traffic-flow> set enabled=yes
   
2. 2.        [admin@MikroTik] ip traffic-flow> print
   
3. 3.                        enabled: yes
   
4. 4.                     interfaces: all
   
5. 5.                  cache-entries: 1k
   
6. 6.            active-flow-timeout: 30m
   
7. 7.          inactive-flow-timeout: 15s

复制代码

设置接收Netflow信息主机的IP及NetFlow版本号

1. 1.        [admin@MikroTik] ip traffic-flow target> add address=192.168.0.230:2055 \... version=9
   
2. 2.        [admin@MikroTik] ip traffic-flow target> print
   
3. 3.        Flags: X - disabled
   
4. 4.         #   ADDRESS               VERSION
   
5. 5.         0   192.168.0.2:2055      9

复制代码

另外还有一些参数可以设置，如刷新时间，超时时间等等，请大家参考官方文档吧

3 打开NTOP netflow插件
打开 http://192.168.0.230:3000

选择 plugins---netflow—view/configure
再选择  add netflow device
如图： 添加一个设备，例如 RouterOS，再将UDP监听端口设置为2055

     
       重新打开http://192.168.0.230:3000 在页面上选择 admin- SwitchNic 选择RouterOS为监听网卡。
       现在就可以用NTOP来监控网络流量了。如图







----------------------------------------------------------------------------------------
RouterOS专业讨论QQ群：5278776

[ 本帖最后由 zhjchina 于 2008-4-25 19:14 编辑 ]

qinlulu3

不错 顶下

huaqiangwangba

如题

lizhigang

不错好东西

17941487

没看懂...

jeautionses

第一步写的有点模糊`能不能明确点！

蔡都小周

学习下！

cyb1982

好东西，分享 。 谢谢啊。 开辟了另一个DIY ROS 的 思路

seignior

不需要这么麻烦，ros自己有graphing

zhjchina

Graphing的功能和NTOP差远了，所谓术业有专攻，自己一用便知。。


-----------------------------------------------------------
RouterOS专业讨论QQ群： 5278776

suchengyu

westwoodkid

关键是好像没有控制，只有监视啊，那样的话不如直接用集线器接上ros用科来这类的分析呢……

chenluocai

顶一个！有空再看

zone99

不太明白,兄弟.

zzlyy258

不错 知道了~