17.3.4 NTOP使用技巧和总结

17.3.4  NTOP使用技巧和总结
1．打开交换机SPAN端口
NTOP若是架设在集线器环境下时，便能监视到网络上所有的封包。但若是架设在交换机环境下时，除非是开放SPAN的功能，否则只能监测给自己的封包。
所谓SPAN，是The Switched Port Analyzer的缩写，通常被称为端口镜像或端口监听。SPAN功能是基于交换机的，而交换机的原理不同于集线器：交换机在获得了源端口的MAC地址后，会将流经该MAC地址的所有数据直接发往目标端口。下文主要说明如何在Catalyst 2950和Catalyst 3550上配置SPAN功能。
Catalyst 2950交换机可以在某一时间仅激活一个SPAN会话并只监听源口，Catalyst 2950交换机不能监听VLAN。Catalyst 3550交换机可以在同一时间内建立两个SPAN会话，它既能监听源口又可以监听VLAN。SPAN功能配置命令在Catalyst 2950和Catalyst 3550交换机上的使用形式是类似的，只是Catalyst 2950交换机不能用来监听VLAN。以下是SPAN实现的范例：

C2950#conf t
C2950(config)#
C2950(config)#monitor session 1 source interface fastEthernet 0/2
!-- Interface fa 0/2 is configured as source port
C2950(config)#monitor session 1 destination interface fastEthernet 0/3
!-- Interface fa0/3 is configured as destination port
C2950(config)#
C2950#show monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa0/2
Destination Ports: Fa0/3
C2950#

注意  （1）与Catalyst 2900XL/3500XL系列交换机不同的是，Catalyst 2950/3550系列交换机可以对不同方向的数据流做区别处理，既支持单向又支持双向。
（2）使用Cisco IOS 12.0(5.2)WC(1)操作系统的Catalyst 2950交换机不支持以上命令，任何使用版本早于Cisco IOS 12.1(6)EA2的操作系统的Catalyst 2950交换机都不支持以上命令。
2．NTOP功能总结
NTOP能够显示基于IP地址的带宽占用情况，帮助网络管理员迅速定位恶意抢占网络带宽的用户和应用，还能基于协议的类型进行统计并生成直观的图表，帮助网络管理员了解业务流量的组成和比例，进而以此为依据来优化网络。
网络服务器的资料总流量（网卡的资料传送总数），以及CPU使用率和特殊服务等的封包传送率（或者说是流量），都是网络管理人员所必须要注意的事项，当流量发生异常变化的时候，就需要注意可能有黑客在尝试窃取我们的信息。另外，在网络管理方面，有必要了解我们Linux服务器的网络流量状态，并视流量来加以限制或者是加大带宽。本文介绍的NTOP是开源软件，但它比起其他的商业管理软件来说毫不逊色。