网络管理是基础运维中一个很重要的工作,在看似平静的网络运行中,其实暗流汹涌,要保证业务系统稳定运行,网络运维者必须要了解网络的流量状态、各个网段的使用情形,带宽的利用率、网络是否存在瓶颈等,同时,当网络发生故障时,必须能够及时发现问题,迅速定位问题,进而解决问题,这就需要一些网络监测工具的辅助,本节将介绍一款小巧但功能很强大的网络实时流量监测工具iftop。
一、iftop能做什么
iftop是一款免费的网卡实时流量监控工具,类似于Linux下面top命令。iftop可以监控指定网卡的实时流量、端口连接信息、反向解析IP等,还可以精确显示本机网络流量情况及网络内各主机与本机相互通信的流量集合,非常适合于监控代理服务器或路由器的网络流量。同时,iftop对检测流量异常的主机非常有效,通过iftop的输出可以迅速定位主机流量异常的根源,这对于网络故障排查、网络安全检测是十分有用的。
二、iftop的安装
iftop的官方网站为:http://www.ex-parrot.com/pdw/iftop/, 目前的最新稳定版本为iftop-0.17。安装iftop非常简单,有源码编译安装和yum方式安装两种方式,这里以Centos6.4版本为例,简单介绍如下。
(1)源码编译安装iftop
安装iftop必需的软件库:
[root@localhost ~]#yum install libpcap libpcap-devel ncurses ncurses-devel
[root@localhost ~]#yum install flex byacc
下载iftop,编译安装:
[root@localhost ~]#wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
[root@localhost ~]#tar zxvf iftop-0.17.tar.gz
[root@localhost ~]#cd iftop-0.17
[root@localhost ~]#./configure
[root@localhost ~]#make
[root@localhost ~]#make install
(2)yum方式安装
安装iftop必需的软件库:
[root@localhost ~]#yum install libpcap libpcap-devel ncurses ncurses-devel
[root@localhost ~]#yum install flex byacc
[root@localhost ~]#wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
[root@localhost ~]#rpm -ivh epel-release-6-8.noarch.rpm
[root@localhost ~]#yum install iftop
这样,iftop就安装完成了。
三、使用iftop监控网卡实时流量
安装完iftop工具后,直接输入iftop命令即可显示网卡实时流量信息。在默认情况下,iftop显示系统第一块网卡的流量信息,如果要显示指定网卡信息,可通过“-i”参数实现。
(1)iftop输出界面说明
执行“iftop -P -i em1”命令,得到如下图所示的iftop的一个典型输出界面。
iftop的输出从整体上可以分为三大部分:
第一部分。是iftop输出中最上面的一行,此行信息是流量刻度,用于显示网卡带宽流量。
第二部分。是iftop输出中最大的一个部分,此部分又分为左、中、右三列,左列和中列记录了哪些IP或主机正在和本机的网络进行连接。其中,中列的“=>”代表发送数据,“<=”代表接收数据,通过这个指示箭头可以很清晰地知道两个IP之间的通信情况。最右列又分为三小列,这些实时参数分别表示外部IP连接到本机2秒内、10秒内和40秒内的平均流量值。另外,这个部分还有一个流量图形条,流量图形条是对流量大小的动态展示,以第一部分中的流量刻度为基准。通过这个流量图形条可以很方便地看出哪个IP的流量最大,进而迅速定位网络中可能出现的流量问题。
第三部分位于iftop输出的最下面,可以分为三行,其中,“TX”表示发送数据,“RX”表示接收数据,“TOTAL”表示发送和接收全部流量。与这三行对应的有三列,其中“cum”列表示从运行iftop到目前的发送、接收和总数据流量。“peak”列表示发送、接收以及总的流量峰值。“rates”列表示过去2s、10s、40s的平均流量值。
(2) iftop使用参数说明
iftop还有很多附加参数和功能。执行“iftop -h”即可显示iftop可使用的所有参数信息。iftop常用的参数以及含义如下表所示。
参数含义 示例
-i指定需要监测的网卡iftop –i em1
-n将输出的主机信息都通过IP显示,不进行DNS反向解析iftop -n
-B将输出以bytes为单位显示网卡流量,默认是bitsiftop –B
-p以混杂模式运行iftop,此时iftop可以作为网络嗅探器使用iftop –p
-N只显示连接端口号,不显示端口对应的服务名称iftop –N
-P显示主机以及端口信息,这个参数非常有用iftop –P
-F显示特定网段的网卡进出流量iftop –F 192.168.12.0/24
-m设置iftop输出界面中最上面的流量刻度最大值,流量刻度分五个大段显示iftop –m
(3)iftop的交互操作
在iftop的实时监控界面中,还可以对输出结果进行交互式操作,用于对输出信息进行整理和过滤,在上图所示界面中,按键“h”即可进入交互选项界面,如下图所示。
iftop的交互功能和Linux下的top命令非常类似,交互参数主要分为4个部分,分别是一般参数、主机显示参数、端口显示参数和输出排序参数。相关参数的含义如下表所示。
参数 含义
P通过此键可切换暂停/继续显示
h通过此键可在交互参数界面/状态输出界面之间来回切换
b通过此键可切换是否显示平均流量图形条
B通过此键可切换显示2秒、10秒、40秒内的平均流量
T通过此键可切换是否显示每个连接的总流量
j/k按j键或k键可以向上或向下滚动屏幕显示当前的连接信息
l通过此键可打开iftop输出过滤功能,比如输入要显示的IP,按回车后,屏幕就只显示与这个IP相关的流量信息
L通过此键可切换显示流量刻度范围,刻度不同,流量图形条会跟着变化
q通过此键可退出iftop流量监控界面
n通过此键可使iftop输出结果以IP或主机名的方式显示
s通过此键可切换是否显示源主机信息
d通过此键可切换是否显示远端目标主机信息
t通过此键可切换iftop显示格式,连续按此键可依次显示:以两行方式显示发送接收流量、以一行方式显示发送接收流量、只显示发送流量/只显示接收流量
N通过此键可切换显示端口号/端口号对应服务名称
S通过此键可切换是否显示本地源主机的端口信息
D通过此键可切换是否显示远端目标主机的端口信息
p通过此键可切换是否显示端口信息
<通过此键可根据左边的本地主机名或IP地址进行排序
>通过此键可根据远端目标主机的主机名或IP地址进行排序
o通过此键可切换是否固定显示当前的连接
iftop的强大之处在于它能够实时显示网络的流量状态,监控网卡流量的来源IP和目标地址,这对于检测服务器网络故障、流量异常是非常有用的,只需通过一个命令就能把流量异常或网络故障的原因迅速定位,因此对于运维人员来说,iftop命令是必不可少的一个网络故障排查工具。
