PRTG手册:通过分组嗅探监测带宽
如果您的网络设备不支持简单网络管理协议(SNMP)或xFlow(NetFlow、jFlow、sFlow、IPFIX)来测量带宽使用情况,并且需要根据网络协议和/或IP地址区分带宽使用情况,则需要考虑包嗅探。
包嗅探器传感器支持TopList(例如,Top Talkers或Top Connections)。
包嗅探的工作原理
如果您需要知道是什么应用程序或IP地址导致了网络中的流量,您可以使用数据包嗅探器。包嗅探器会检查通过网络传输的每一个数据包,以进行记帐。
PRTG可以分析通过PC网卡的数据包,也可以将其连接到交换机的监控端口。为了计算带宽使用率,PRTG检查所有网络数据包,要么通过PC的网卡,要么检查交换机的监控端口通过其内置的包嗅探器发送的数据包。使用远程探测,您可以在网络中的任何位置设置包嗅探器。
包嗅探器传感器使用npcap库来监视流量。
比较PRTG提供的四种带宽监控技术(SNMP、Windows Management Instrumentation(WMI)、xFlow和数据包嗅探),数据包嗅探创建的CPU和网络负载最多,因此您应该只在中小型网络、大型网络专用计算机或单个计算机上使用它。
选择包嗅探的原因
重要的是要理解包嗅探器只能访问和检查实际流经探测系统网络接口的数据包。如果您只想监视这台机器(例如,您的web服务器)的流量,这是可以的。在交换网络中,只有特定机器的流量被发送到每台机器的网卡上,因此PRTG通常无法识别网络中其他机器的流量。
如果您还想监视网络中其他设备的流量,则必须使用提供监视端口或端口镜像配置的交换机(Cisco称其为交换端口分析器(SPAN))。在这种情况下,交换机向通过交换机的所有数据包的监视端口发送一个副本。一旦您将探测系统的网卡之一连接到交换机的监控端口,PRTG就可以分析通过交换机的整个流量。
另一种方法是将PRTG核心服务器系统设置为网络中所有其他计算机的网关。
设置包嗅探器传感器
有关如何设置不同xFlow传感器的详细信息,请参见以下部分:
包嗅探传感器
包嗅探器(定制)传感器
基于报头的包嗅探
对于包嗅探,PRTG查看源和目的地的IP地址和端口来评估协议。这是一种非常快速的方法,可以节省系统资源。
有时,这种方法并不完全准确。例如,不可能将80、8080和443以外的端口上的HTTP流量标识为HTTP。非标准端口上的HTTP流量不会被这样计算。