标签: 网络监控

一、为什么流量可见性如此重要？ 在网络管理中，及时掌握流量状况至关重要，这不仅有助于快速排查故障、优化性能，还能提升安全防护能力。为了实现这一目标，企业通常依赖 SPAN 端口 （交换机端口镜像）或 网络 TAP （测试接入点）来捕获和分析流量。然而，这两种方法在数据完整性、性能影响和监控能力上存在显著差异。如何选择合适的方案，以确保网络监控的精准性和高效性？本文将深入解析 SPAN 端口与网络 TAP 的核心区别，帮助你做出明智决策。 二、SPAN 端口：简单易用，但有局限 SPAN 端口也称为镜像端口，是网络交换机的一项功能，它允许将一个或多个交换机端口的流量复制并发送到监控端口。此功能可让网络管理员在不实际中断网络连接的情况下捕获和分析流量。 图1：SPAN端口 1.SPAN端口的使用流程 网络管理员配置交换机，将特定端口指定为 SPAN 端口。 然后，管理员选择将哪些端口或 VLAN 的流量镜像到 SPAN 端口。 当流量通过受监控的端口时，交换机会创建每个数据包的副本并将其发送到 SPAN 端口。 连接到 SPAN 端口的监控设备或分析工具会接收这些复制的数据包进行检查。 SPAN 端口为获取网络流量的可见性提供了一种方便、经济的方法，尤其适用于较小的网络或临时监控需求。不过，它们也有一些必须了解的局限性。 2.SPAN端口的主要问题 虽然 SPAN 端口提供了对网络流量的有用一瞥，但必须认识到，它们提供的是基于交换机看到和处理的网络 “解释视图”。这种解释可能会导致一些限制： 高流量期间的数据包丢失 交换机的主要功能是转发流量，而不是镜像。在网络利用率较高期间，交换机可能会丢弃镜像数据包，以维持其核心交换功能。这会导致对网络活动的了解不全面，在最需要可见性的繁忙时段可能会丢失关键信息。 有限的可见性 SPAN 端口可能无法捕获所有类型的流量。例如，某些交换机不会将交换机内部流量（同一交换机端口之间的流量）镜像到 SPAN 端口。这会造成网络监控盲点。 时间更改 向 SPAN 端口复制和发送数据包的过程可能会带来轻微的延迟或改变数据包之间的时序。对于 VoIP 或实时金融交易等对数据包定时敏感的应用，这会导致性能测量不准确。 单向监控限制 许多 SPAN 实施只支持单向流量监控，这意味着您可能只能看到给定端口上一个方向（如入口或出口）的流量。这样就很难全面了解双向对话的情况。 VLAN 标记问题 某些交换机在将流量镜像到 SPAN 端口时会剥离 VLAN 标记，因此很难识别数据包的原始 VLAN。 超量订阅 如果受监控端口的总带宽超过 SPAN 端口的容量，就会出现超量订阅，导致数据包丢失。 三、网络 TAP： 完整流量捕获，零丢失 与 SPAN 端口不同，网络 TAP 可以不受限制地全面查看网络流量。TAP 是一种硬件设备，可在流量在两个网络节点之间传输时被动捕获。 图2：铜TAP 1.网络 TAP 的优势 完整的流量捕获 TAP 可查看穿过网段的每个数据包，包括畸形数据包、VLAN 标记以及交换机可能会丢弃或不会映射到 SPAN 端口的第 1 层错误。 无数据包丢失 TAP 可通过所有流量而不丢弃数据包，即使在网络利用率较高期间也是如此。 对网络性能无影响 TAP 是无源设备，不会带来延迟或影响网络吞吐量。 双向监控 大多数 TAP 为每个流量方向提供单独的监控端口，确保您捕捉到每个对话的双方。 精确定时 TAP 不会改变数据包的时序，从而准确呈现对性能分析至关重要的网络行为。 故障安全运行 即使 TAP 断电，许多 TAP 仍能保持网络连接，确保关键网络链接不会中断。 2.聚合和全双工捕获 使用 TAP（尤其是使用 ProfiShark 这样的高级捕获设备）的一个显著优势是能够同时捕获两个方向的全双工网速。这对于高速网络尤为重要，因为在高速网络中，入口和出口流量的总和可能会超过单个监控端口的容量。 图3：SPAN vs TAP 使用 SPAN 端口时，必须仔细考虑吞吐量限制。如果总流量超过 SPAN 端口的容量，就会不可避免地丢失数据包。与此相反，TAP 与功能强大的捕获设备相结合，可以汇聚来自两个方向的流量而不会丢失数据包，即使在饱和的链路上也能提供网络活动的全貌。 四、如何选择合适的方案？ 虽然 SPAN 端口为获得网络可见性提供了一种方便且经济高效的方法，但其对网络流量的 “解释视图 ”却有很大的局限性。在关键监控和故障排除场景中，完整、准确的流量捕获是必不可少的，而网络 TAP 则提供了更优越的解决方案。 网络 TAP 可提供不受限制的数据层视图，确保每个数据包都被计算在内，并提供最准确的网络流量表示。网络 TAP 与先进的捕获设备相结合，可实现线速全双工捕获，克服 SPAN 端口的聚合和吞吐量限制。 SPAN 端口和 TAP 之间的选择最终取决于您的特定监控需求、预算以及所监控网段的关键性。对于临时监控或无法安装 TAP 的情况，SPAN 端口仍能提供有价值的见解。但是，对于任务关键型应用、安全监控或性能分析（每个数据包都很重要）而言，网络 TAP 是确保完整网络可视性的不二之选。 图4：如何选择SPAN或者TAP

如何使用 Allegro Network 万用表的 TCP 分析确定握手时间 握手需要多少时间？ 在图 1 中，您可以在虹科Allegro 网络万用表的 TCP 统计数据中看到过去 10 分钟的客户端握手次数。在这里，您可以清楚地看到在指定时间段内有延长的响应时间。但为什么会延长呢？是不是互联网上的服务器太远？或者可能是无线局域网太弱？但是这些很快就不再是问题了，因为有了虹科Allegro网络万用表，您可以轻松快速地找出响应时间过长的位置以及原因。 图 1：TCP 统计信息一览 握手时间较长的原因 在图 2 的表中，所有数据都以表格形式显示。在这里，您可以根据各种参数选择是按升序还是降序排序，从而可以快速查看哪个服务器或客户端的平均握手时间最长。 虹科Allegro 网络万用表可以永久记录和分析握手时间。这样做的好处是什么呢？您可以一目了然地看到虚拟机是否存在延迟问题，甚至可能存在的质量问题。虚拟机通常会有这种情况，因为它们都是按照“Best Effort”来运行的。 Best Effort意味着它所分布的计算能力与当前可用的计算能力一样多。 对于一个服务和另一个服务（如备份），这种情况可能很好，因为这里的时间片大小并不重要。另一方面，对于ERP系统等服务，情况看起来却有所不同。因为ERP系统会发送许多小请求，它需要的是立即计算能力。 这个对于快速浏览握手时间也很好。我们曾经遇到过这样的情况，即握手时间在某些时候会经常上升，我们可以很快地判断出是虚拟机出了问题。我们意识到了这是由于主机没有为虚拟机分配足够的处理时间，因此出现重大停顿而造成的原因，其中，机器几乎静止不动，没有回答任何请求。 图 2：重要参数排序表 如果握手时间远远超过40毫秒怎么办？ 这是你应该注意的地方。在这种情况下，通常意味着数据包已到达服务器，但服务器要么负载非常高，要么连接速度太慢。在客户端方向也是如此。如果客户端确认其在接收的数据方面运行缓慢，则可能是客户端或链路过载造成的。 TCP 重新传输 虹科Allegro网络万用表使您能够随时查看 TCP 统计信息。这使您可以缩小问题所在。对于 TCP 重新传输，这同样是可能的。如图 3 所示，您可以在菜单项 TCP 重传下看到连接的所有数据包和重新传输的数据。这使您可以立即查看重复的数据百分比以及总共传输的数据量。 图 3：TCP 重新传输 数据何时出现两次？ 如果数据在同一个位置出现两次，则表示远程站未收到数据。在这种情况下，是设备和接收系统之间存在过载导致的虹科Allegro网络万用表中数据丢失。 实践中的典型用例： 有人抱怨网络太慢。但是如果使用虹科Allegro 网络万用表，您可以直接在服务器上进行测量，以查看其当前响应时间。如果此处未显示任何重新传输，您还可以查看数据在什么时间发送出去。则可以知道是否有网络带宽问题。除此之外，您还可以查看响应时间。如果这些值较低，则可以完全排除网络是导致问题的原因。如果问题出在服务器中或直接在客户端中，这需要很长时间来处理数据。 如何找到无效连接？ 在图 4 中，您可以在”连接无效的 TCP 服务器”选项卡上的 TCP 统计信息下清楚地识别此类无效连接。通过这种方式，您始终可以立即知道哪个IP地址正在发送无效请求，并在必要时采取措施。 无效连接是指发送了 TCP 请求但不显示任何数据。其中一个原因可能是来自外部的攻击。但也可能是有人正在发送连接，但根本不想传输它们，并且还在客户端 – 服务器通信中受到干扰。 在表中，您可能还会看到某些连接包含状态”无效”。如果只传输了几个字节并且已经在那里握手，但连接已经打开了20个小时并且从未彻底地关闭，则可能会出现这种情况。请保持警惕，因为这可能是一次攻击。但请注意，这不是一个安全功能，而是一种早期预警系统。 图 4：查找无效连接 TCP 标志评估的功能 通过这种方式，您可以轻松快速地查看在什么时间使用了多少标志。 这可能表明网络中存在问题，例如，如果突然重置速率增加很多。在这种情况下，您可以按发送或接收最多重置的IP对表进行排序，以找到罪魁祸首。 何时出现零窗口？ 由于应用程序提取数据的速度不够快，所以当数据到达服务器时，始终会出现零窗口。这与操作系统核心中的缓冲区有关。每当数据到达操作系统的速度过快时，缓冲区就会变小。一旦缓冲区用完，TCP 就会发送消息”缓冲区为 0″，即零窗口。这样做的好处是，可以排除网络的问题。这是因为两个设备之间的网络足够快，服务器跟不上的原因。 但同时会有两个可能的原因： 窗口太小，可能会在其中发送数据。 或者应用程序速度太慢，无法接受数据 图 5：TCP 零窗口 在图 5 中所示的菜单项”TCP 零窗口”下，您可以随时查看存在哪些零窗口，还可以跟踪已发送和接收的窗口数。同时，您可以看到操作系统可以缓存的数据量有多大，即所谓的窗口大小。这是在 TCP 连接开始时通过 Windows 缩放因子协商的。Windows 比例因子确定最大大小，并且在连接运行时无法更改。 一般来说，出现这些标志，都是物理布线，交换机，路由器，防火墙没有问题的表现。在这里，问题显然出在终端设备及其性能上。因此，如您所见，TCP分析可帮助您快速排除可能的问题并更接近真正的问题。TCP的最大优点是它还可以与大量协议一起使用，特别是对于SSL等完全加密的流量，因为TCP在ssl中也有使用。 应用示例： 使用虹科Allegro网络万用表，您可以轻松地按发送最多 TCP 零窗口的应用程序进行排序。在我们的例子中，有很多来自备份系统。我们可以通过更仔细地观察看到每秒发送500个零窗口数据包的时间。同时，响应时间也非常慢。这是什么原因呢？ 在”对等”项目下，我们看到从我们的磁盘站传输了66 GB的大容量。在这种情况下，每晚我们都会把中央 NAS 备份到旧 NAS。现在新 NAS 比旧 NAS 更快，也可以更快地发送数据。 使用过滤器排除流量 通常，在安装时，您要么获得大型镜像端口，要么从数据包代理处获得大量数据。为了分析这一点，我们内置了一个网络过滤器。这样，您可以轻松忽略某些不想记录或分析的流量。 此类连接还可以定义为黑名单或白名单。也许您有与您的测量相关的某些IP或MAC滤波器。或者，反之亦然，您希望排除在任何情况下都不应分析的某些计算机。请注意，即使单个数据包已被排除，仍然可以在接口统计信息中看到它们，但这不是Allegro网络万用表的问题，这是因为数据包存在并已注册。但在处理它们之前，它们被过滤掉并在内部丢弃。为了帮助您跟踪这一点，我们已将”过滤流量”部分安装到仪表板中。 如图 6 所示，您将在此处找到以下区域的筛选器函数：IP 地址、子网、IP 对、MAC 地址、VLAN、端口、网络接口筛选器。 筛选时的链接是基于 OR 的，这意味着每个筛选器都是单独应用的。例如，如果同时应用 MAC 筛选器和 IP 筛选器，那么一旦地址遇到该流量，就会将其过滤掉。在相反的情况下，如果您添加了许多IP地址，则它们将被Or链接，并且一旦命中IP地址，就会应用过滤器。 图 6：筛选特定流量 结论 虹科 Allegro网络万用表中的 TCP 分析和握手次数测量功能可以快速分析错误并检测可能的攻击。

技术设备和应用程序之间的通信基于 IP 地址。网络中的每个设备和每个应用程序都有自己的IP地址，该地址基于计算机网络中的互联网协议（IP）。可以说，这些是互联网上留下的痕迹，也被称为数字足迹。IP 地址使网络中的设备可访问，并使发送方能够将数据包发送给特定接收方。如果数据包未到达，则网络中存在故障。 确定 IP 地址对于检查数据包是到达收件人还是丢失位置很有用。有几个选项可用于检查 Allegro 网络万用表上的连接，这些选项将在以下文章中介绍。 Allegro 网络万用表连接在设备和服务器基础设施之间，以查找网络设备的 IP 地址。 使用 MAC、DHCP 和 HTTP 这三种协议 ，搜索非常简单： 第 2 层：MAC模块 所有网络设备都有一个独特的MAC地址。然而，这只在他们自己的网络中可见，最远只能到达下一个路由器（如Fritzbox）。因此，大多数设备使用IP地址进行通信 。设备的MAC地址可以在Allegro网络万用表的仪表板上找到。点击该设备的所有活动IP地址可以看到。 IP 地址仅在定义的时间段内分配给各个网络设备。如果 IP 地址未知，则该过程仍可通过第 2 层工作。为此，调用MAC统计信息并搜索特定设备，例如设备的品牌名称。然后再次将其导航到IP地址并检索设备的状态。 第 3 层：DHCP模块 DHCP 服务器将动态 IP 地址分配给设备。如果设备上未启用或不支持 DHCP，则必须手动分配静态 IP 地址。 Allegro网络万用表中的 DHCP 统计信息用于查找 DHCP 服务器分配的 IP 地址。 例如，在显示的通过DHCP分配的所有IP地址列表中，可以快速轻松地搜索主机名或设备制造商。地址分配的时间段也可以方便地受到限制。 第 7 层：HTTP模块 HTTP模块还提供对IP地址的访问。例如，如果要找出移动电话的IP地址，必须在移动电话上打开任何网站（例如allegro-packets.de），并将其导航到HTTP统计。在这里， 服务器（网站）被搜索到，网络服务器的IP地址出现。点击IP地址会显示细节。 通过这样，可以看到哪些IP地址在什么时间与该服务器进行了联系。也有一些网站直接显示所谓的IP。然而，那里只显示互联网连接的公共IP，而不是终端设备的IP。使用Allegro网络万用表就可以做到这一点。

如何使用 Allegro Network 万用表的 TCP 分析确定握手时间 握手需要多少时间？ 在图 1 中，您可以在虹科Allegro 网络万用表的 TCP 统计数据中看到过去 10 分钟的客户端握手次数。在这里，您可以清楚地看到在指定时间段内有延长的响应时间。但为什么会延长呢？是不是互联网上的服务器太远？或者可能是无线局域网太弱？但是这些很快就不再是问题了，因为有了虹科Allegro网络万用表，您可以轻松快速地找出响应时间过长的位置以及原因。 图 1：TCP 统计信息一览 握手时间较长的原因 在图 2 的表中，所有数据都以表格形式显示。在这里，您可以根据各种参数选择是按升序还是降序排序，从而可以快速查看哪个服务器或客户端的平均握手时间最长。 虹科Allegro 网络万用表可以永久记录和分析握手时间。这样做的好处是什么呢？您可以一目了然地看到虚拟机是否存在延迟问题，甚至可能存在的质量问题。虚拟机通常会有这种情况，因为它们都是按照“Best Effort”来运行的。 Best Effort意味着它所分布的计算能力与当前可用的计算能力一样多。 对于一个服务和另一个服务（如备份），这种情况可能很好，因为这里的时间片大小并不重要。另一方面，对于ERP系统等服务，情况看起来却有所不同。因为ERP系统会发送许多小请求，它需要的是立即计算能力。 这个对于快速浏览握手时间也很好。我们曾经遇到过这样的情况，即握手时间在某些时候会经常上升，我们可以很快地判断出是虚拟机出了问题。我们意识到了这是由于主机没有为虚拟机分配足够的处理时间，因此出现重大停顿而造成的原因，其中，机器几乎静止不动，没有回答任何请求。 图 2：重要参数排序表 如果握手时间远远超过40毫秒怎么办？ 这是你应该注意的地方。在这种情况下，通常意味着数据包已到达服务器，但服务器要么负载非常高，要么连接速度太慢。在客户端方向也是如此。如果客户端确认其在接收的数据方面运行缓慢，则可能是客户端或链路过载造成的。 TCP 重新传输 虹科Allegro网络万用表使您能够随时查看 TCP 统计信息。这使您可以缩小问题所在。对于 TCP 重新传输，这同样是可能的。如图 3 所示，您可以在菜单项 TCP 重传下看到连接的所有数据包和重新传输的数据。这使您可以立即查看重复的数据百分比以及总共传输的数据量。 图 3：TCP 重新传输 数据何时出现两次？ 如果数据在同一个位置出现两次，则表示远程站未收到数据。在这种情况下，是设备和接收系统之间存在过载导致的虹科Allegro网络万用表中数据丢失。 实践中的典型用例： 有人抱怨网络太慢。但是如果使用虹科Allegro 网络万用表，您可以直接在服务器上进行测量，以查看其当前响应时间。如果此处未显示任何重新传输，您还可以查看数据在什么时间发送出去。则可以知道是否有网络带宽问题。除此之外，您还可以查看响应时间。如果这些值较低，则可以完全排除网络是导致问题的原因。如果问题出在服务器中或直接在客户端中，这需要很长时间来处理数据。 如何找到无效连接？ 在图 4 中，您可以在”连接无效的 TCP 服务器”选项卡上的 TCP 统计信息下清楚地识别此类无效连接。通过这种方式，您始终可以立即知道哪个IP地址正在发送无效请求，并在必要时采取措施。 无效连接是指发送了 TCP 请求但不显示任何数据。其中一个原因可能是来自外部的攻击。但也可能是有人正在发送连接，但根本不想传输它们，并且还在客户端 – 服务器通信中受到干扰。 在表中，您可能还会看到某些连接包含状态”无效”。如果只传输了几个字节并且已经在那里握手，但连接已经打开了20个小时并且从未彻底地关闭，则可能会出现这种情况。请保持警惕，因为这可能是一次攻击。但请注意，这不是一个安全功能，而是一种早期预警系统。 图 4：查找无效连接 TCP 标志评估的功能 通过这种方式，您可以轻松快速地查看在什么时间使用了多少标志。 这可能表明网络中存在问题，例如，如果突然重置速率增加很多。在这种情况下，您可以按发送或接收最多重置的IP对表进行排序，以找到罪魁祸首。 何时出现零窗口？ 由于应用程序提取数据的速度不够快，所以当数据到达服务器时，始终会出现零窗口。这与操作系统核心中的缓冲区有关。每当数据到达操作系统的速度过快时，缓冲区就会变小。一旦缓冲区用完，TCP 就会发送消息”缓冲区为 0″，即零窗口。这样做的好处是，可以排除网络的问题。这是因为两个设备之间的网络足够快，服务器跟不上的原因。 但同时会有两个可能的原因： 窗口太小，可能会在其中发送数据。 或者应用程序速度太慢，无法接受数据 图 5：TCP 零窗口 在图 5 中所示的菜单项”TCP 零窗口”下，您可以随时查看存在哪些零窗口，还可以跟踪已发送和接收的窗口数。同时，您可以看到操作系统可以缓存的数据量有多大，即所谓的窗口大小。这是在 TCP 连接开始时通过 Windows 缩放因子协商的。Windows 比例因子确定最大大小，并且在连接运行时无法更改。 一般来说，出现这些标志，都是物理布线，交换机，路由器，防火墙没有问题的表现。在这里，问题显然出在终端设备及其性能上。因此，如您所见，TCP分析可帮助您快速排除可能的问题并更接近真正的问题。TCP的最大优点是它还可以与大量协议一起使用，特别是对于SSL等完全加密的流量，因为TCP在ssl中也有使用。 应用示例： 使用虹科Allegro网络万用表，您可以轻松地按发送最多 TCP 零窗口的应用程序进行排序。在我们的例子中，有很多来自备份系统。我们可以通过更仔细地观察看到每秒发送500个零窗口数据包的时间。同时，响应时间也非常慢。这是什么原因呢？ 在”对等”项目下，我们看到从我们的磁盘站传输了66 GB的大容量。在这种情况下，每晚我们都会把中央 NAS 备份到旧 NAS。现在新 NAS 比旧 NAS 更快，也可以更快地发送数据。 使用过滤器排除流量 通常，在安装时，您要么获得大型镜像端口，要么从数据包代理处获得大量数据。为了分析这一点，我们内置了一个网络过滤器。这样，您可以轻松忽略某些不想记录或分析的流量。 此类连接还可以定义为黑名单或白名单。也许您有与您的测量相关的某些IP或MAC滤波器。或者，反之亦然，您希望排除在任何情况下都不应分析的某些计算机。请注意，即使单个数据包已被排除，仍然可以在接口统计信息中看到它们，但这不是Allegro网络万用表的问题，这是因为数据包存在并已注册。但在处理它们之前，它们被过滤掉并在内部丢弃。为了帮助您跟踪这一点，我们已将”过滤流量”部分安装到仪表板中。 如图 6 所示，您将在此处找到以下区域的筛选器函数：IP 地址、子网、IP 对、MAC 地址、VLAN、端口、网络接口筛选器。 筛选时的链接是基于 OR 的，这意味着每个筛选器都是单独应用的。例如，如果同时应用 MAC 筛选器和 IP 筛选器，那么一旦地址遇到该流量，就会将其过滤掉。在相反的情况下，如果您添加了许多IP地址，则它们将被Or链接，并且一旦命中IP地址，就会应用过滤器。 图 6：筛选特定流量 结论 虹科 Allegro网络万用表中的 TCP 分析和握手次数测量功能可以快速分析错误并检测可能的攻击。

总结 SNMP 广泛用于网络监控。 能够远程监控网络设备是清晰了解当前和过去网络运行状况的基础。 ntopng系统地与SNMP设备进行交互，以提供网络上的历史和实时见解。 使用ntopng探索物理网络拓扑 ntop 工具已知用于监视网络流量。但是，此流量必须在物理网络上流动，因此了解物理网络布局非常重要。LLDP（链路层发现协议）是一种网络协议，用于动态构建网络拓扑和识别网络设备邻居。在最新的 ntopng dev 构建（将在下一个 v4 稳定版中合并）中，我们通过 LLDP 支持增强了 SNMP 监视功能。 如果您的 SNMP 设备启用了 LLDP，ntopng 现在轮询此信息并构建类似于下面的邻接图。 您可以单击节点（它们表示 SNMP 设备）以在特定设备上进行缩放，或者像使用力定向图一样使用鼠标拖动和缩放。可以单击”拓扑”菜单项以查看详细的邻接视图并标识设备邻居和连接端口。 为了查看完整的网格化拓扑，您需要在 ntopng 中配置所有 SNMP 设备，以便可以定期轮询它们并创建邻接图。 由于这一新开发，您可以将受监视的主机映射到物理端口，现在您可以描述此端口如何连接到网络的其余部分（例如，在第2层，traceroute等工具不可见）。 ntopng SNMP 支持 简单网络管理协议（SNMP）是用于远程监控路由器，交换机和服务器等网络设备的事实标准之一，仅举几例。使用ntopng Enterprise，可以一致地以编程方式与这些设备进行交互，以实时查看其状态，并为未来的调查和故障排除建立历史记录。 已配置的 SNMP 设备概述 ntopng 代表了一种有效的方式，可以清晰、集中地查看多个设备。实际上，专用的 SNMP 菜单提供对所有已配置设备的即时访问，并允许管理员在池中添加/删除设备。 将列出已配置的设备及其地址、描述、位置和其他信息。最右边的列提供对特定于设备的操作的访问权限。 添加新的 SNMP 设备 “添加新设备”链接位于”SNMP 设备”页面的底部。添加新的 SNMP 非常简单，因为它只需要指定设备 IP 地址和 SNMP 社区。成功添加后，该设备将显示在设备列表中。 实时检测 SNMP 设备 只需单击”设备 IP”超链接即可为每个 SNMP 设备配置一个详细信息页面。对详细信息页面的访问会触发一系列 SNMP 查询，旨在检索相关设备的运行状况和状态。检索到的信息包括但不限于设备描述、联系人和正常运行时间，以及其接口、连接的 MAC 地址和传输的字节。当非中继端口看到多个 mac 地址时，或者当慢速设备连接到高速端口时，会显示一个便捷的警告。 SNMP 设备的历史检测 历史 SNMP 数据可通过单击”图表”图标进行访问，该图标可用于任何 SNMP 设备及其每个接口。图表图标可能不可见。在这种情况下，必须从 ntopng 首选项启用历史 SNMP 时间序列。 上图显示了所有设备接口的堆叠视图。也可以选择单个设备接口。在本例中，入口和出口流量之间的故障是可视化的。 将主机映射到 SNMP 设备 ntopng提供的另一个有用功能是能够探测SNMP设备，目的是检测在哪些设备和接口上看到了特定的主机。访问每个主机详细信息页面时，如果至少配置了一个 SNMP 设备，则会自动执行此查找。 在上图中，已发现主机 192.168.2.222 连接到 SNMP 设备 192.168.2.169 的接口 3。 结论 这篇文章演示了如何使用ntopng与SNMP设备系统地交互，以监控它们的健康和状态。数据是实时可视化的，但也记录下来进行历史分析。目前，SNMP v1 和 v2c 均受支持。在不久的将来，我们将添加基于 SNMP 触发警报的功能（例如，当端口更改状态时），并且我们将添加对专有 MIB 的开箱即用支持，以便您在纸张用完或路由器 CPU 负载过重时可以使用 ntopng 警报收到通知。