摘要：Ntop是一款Linux下常見的開源監(jiān)控軟件，它可以監(jiān)測(cè)的數(shù)據(jù)包括：網(wǎng)絡(luò)流量、使用協(xié)議、系統(tǒng)負(fù)載、端口情況、數(shù)據(jù)包發(fā)送時(shí)間等。正常情況下它工作的時(shí)候就像一部被動(dòng)聲納，默默的接收看來(lái)自網(wǎng)絡(luò)的各種信息，通過(guò)對(duì)這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，不過(guò)一旦超過(guò)Ntop數(shù)據(jù)包的處理能力，Ntop隨即出現(xiàn)性能問(wèn)題，從而導(dǎo)致Ntop無(wú)法準(zhǔn)確分析網(wǎng)絡(luò)流量和各種數(shù)據(jù)，對(duì)網(wǎng)絡(luò)管理造成影響。下文介

Ntop是一款Linux下常見的開源監(jiān)控軟件，它可以監(jiān)測(cè)的數(shù)據(jù)包括：網(wǎng)絡(luò)流量、使用協(xié)議、系統(tǒng)負(fù)載、端口情況、數(shù)據(jù)包發(fā)送時(shí)間等。正常情況下它工作的時(shí)候就像一部被動(dòng)聲納，默默的接收看來(lái)自網(wǎng)絡(luò)的各種信息，通過(guò)對(duì)這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，不過(guò)一旦超過(guò)Ntop數(shù)據(jù)包的處理能力，Ntop隨即出現(xiàn)性能問(wèn)題，從而導(dǎo)致Ntop無(wú)法準(zhǔn)確分析網(wǎng)絡(luò)流量和各種數(shù)據(jù)，對(duì)網(wǎng)絡(luò)管理造成影響。下文介紹了一種提高Ntop性能的方法。

通常Ntop的抓包分析功能，是通過(guò)Ntop自己完成，但它們都是通過(guò)libpcap來(lái)實(shí)現(xiàn)抓包，且速度不能超過(guò)100M，分析一下libpcap的流程我們明白，首先數(shù)據(jù)包通過(guò)路徑為網(wǎng)卡硬中斷→軟中斷→內(nèi)核協(xié)議?！到y(tǒng)調(diào)用→socket→->libpcap接口→用戶應(yīng)用程序，在這個(gè)流程中，可以看出數(shù)據(jù)的copy比較多，所以在高速率下libpcap 抓包丟包嚴(yán)重也不用感到奇怪了。

對(duì)于千兆的網(wǎng)絡(luò)就需要采用PF_RING技術(shù)來(lái)接受數(shù)據(jù)包了，PF_Ring運(yùn)行于Linux的內(nèi)核層，體系結(jié)構(gòu)圖如下圖所示，它采用類類似零拷貝技術(shù)，而且PF_Ring從網(wǎng)卡獲取的數(shù)據(jù)的速度比libpcap有成倍的提高，而且在千兆環(huán)境下幾乎不丟包。

對(duì)于內(nèi)核必須熟悉的可以用下面的方法，首先給內(nèi)核源碼打補(bǔ)丁(以下內(nèi)容需要讀者具備Linux內(nèi)核編譯基礎(chǔ))。

1).zcat linux-2.6.25-1-686-smp-PF_RING.patch.gz | patch -p0

2).在/usr/src/目錄下的linux-2.6.25目錄中，編輯Makefile 在這個(gè)地方加上一個(gè)自定義的后綴(比如-PF_RING)：

EXTRAVERSION = -PF_RING

3).make menuconfig

這里按y選上PF_RING，然后保存修改到.config退出。然后就開始編譯內(nèi)核

#make  
#make modules 安裝編譯好的modules  
#make install

注意：將bzImage添加到grub中，以便用新內(nèi)核啟動(dòng)(注意，新添加的內(nèi)核不是默認(rèn)啟動(dòng)項(xiàng))

(用 make install 可以免去手動(dòng)復(fù)制bzImage并生成initrd的繁瑣過(guò)程)

進(jìn)入libpcap-1.1.1-ring目錄下，修改源碼，將pf_ring的內(nèi)核ring緩沖區(qū)設(shè)為2M，默認(rèn)0.5M，然后修改MakeFile，將安裝目錄指向usr/,默認(rèn)指向usr/local。接著編譯make,然后make install;這樣，就將libpfring.so ,pfring_e1000e_dna.h,pfring.h,libpfring.a拷貝到了usr/include或usr/lib下，同時(shí)用libpcap-1.1.1-ring的庫(kù)文件替換了原來(lái)的libpcap庫(kù)文件;

如果大家覺(jué)得這種修改內(nèi)核的方法比較復(fù)雜，下面給大家推薦一個(gè)簡(jiǎn)單的方法到www.ntop.org,下載PF_RING-5.1.0.tar.gz包，解開PF_RING 以獨(dú)立模塊運(yùn)行就成了，沒(méi)有必要打 patch 到內(nèi)核后直接make就可以。

#insmod ./pf_ring.ko 加載模塊  
# dmesg | grep RING  
[PF_RING] Welcome to PF_RING 3.9.3 # 這一部分是PF_RING初始化時(shí)輸出的  
[PF_RING] Ring slots 4096  
[PF_RING] Slot version 9  
[PF_RING] Capture TX Yes [RX+TX]  
[PF_RING] IP Defragment No  
[PF_RING] Initialized correctly  
[PF_RING] registered /proc/net/pf_ring/  
[PF_RING] successfully allocated 815104 bytes at 0xd0ad4000 # 以后每次運(yùn)行PF_RING程序，會(huì)輸出這樣的調(diào)試信息  
[PF_RING] allocated 4115 slots [slot_len=198][tot_mem=815104]  
[PF_RING] removed /proc/net/pf_ring/2849-eth0.0

注意，剛啟動(dòng)機(jī)器時(shí)，ls /proc/net/pf_ring/ 是看不到這個(gè)目錄的，只有當(dāng)需要PF_RING的程序第一次運(yùn)行時(shí)，才會(huì)生成這個(gè)目錄以及一個(gè)info文件

安裝完成后在shell下輸入:

#dmesg |grep PF_RING即可驗(yàn)證是否配置成功，參見圖4。

當(dāng)你看到如圖4所示的輸出后就預(yù)示著這次對(duì)Ntop的性能提上改造成功，這時(shí)你的Ntop系統(tǒng)在數(shù)據(jù)包捕獲性能上就比先前有所提高，能夠適應(yīng)更加大流量的網(wǎng)絡(luò)環(huán)境。