网络流量监视器mrtg全攻略

简介

    mrtg(multi router traffic grapher,mrtg)是个监视网络链路流量负载的工具软件，他通过snmp协议从设备得到设备的流量信息，并将流量负载以包含png格式的图像的html文件方式显示给用户，以非常直观的形式显示流量负载(能在网站http://www.stat.ee./mrtg/得到mrtg的输出结果示例)。

 

    关于mrtg的最周详的信息能从http://people.ee./~oetiker/webtools/mrtg得到。

mrtg具有以下特色：

可移植性：目前能运行在大多数unix系统和windows nt之上。
源码开放：mrtg是用perl编写的，原始码完全开放。
高可移植性的snmp支持：mrtg采用了simon leinen编写的具有高可移植性的snmp实现模块，从而不依赖于操作系统的snmp模块支持。
支持snmpv2c：mrtg能读取snmpv2c的64位的记数器，从而大大减少了记数器回转次数。
可靠的接口标识：被监视的设备的接口能以ip地址、设备描述、snmp对接口的编号及mac地址来标识。
常量大小的日志文件：mrtg的日志不会变大，因为这里使用了独特的数据合并算法。
自动设置功能：mrtg自身有设置工具套件，使得设置过程非常简单。
性能：时间敏感的部分使用c代码编写，因此具有非常好的性能。
png格式图像：图像采用gd库直接产生png格式。
可制定性：mrtg产生的web页面是完万能制定的。
mrtg的主页是http://www.，能从这里下载软件。

mrtg兼容性

mrtg软件能运行在以下的操作系统上：

linux 1.2.x, 2.0.x, 2.2.x, 2.4.x (intel and alpha and sparc and powerpc)
linux mips, linux s/390
sunos 4.1.3
solaris 2.4, 2.5, 2.5.1, 2.6, 7, 8
aix 4.1.4, 4.2.0.0, 4.3.2
hpux 9,10,11
windowsnt 3.51, 4.0, 2k, xp
irix 5.3, 6.2
bsdi bsd/os 2.1, 4.x, 3.1
netbsd 1.5.x
freebsd 2.1.x, 2.2.x, 3.1, 3.4, 4.x
openbsd 2.x
digital unix 4.0
sco open server 5.0
reliant unix
nextstep 3.3
openstep 4.2
mac os x 10.1
and about and other sensible unix

能通过mrtg监视的设备(目前市场上绝大多数产品都支持snmp协议，只要支持snmp协议的设备就都能使用mrtg来监视)：

3com netbuilders, lanplex 6012 and 2500
3com etherswitches and hubs
3com linkswitch 1000 1100 3300
3com superstack ii switch 3900, 3300 mx
3com 812 adsl router
alantec powerhub 7000
allied telesyn - 8224xl and 8324xl 24 port managed switches
annex terminal server
asante hub
ascend (lucent) max 600, [24]00x, pipeline 50, tnt, apx-8000, max-6000
alcatel (assured access) x1600, omnisr9, omnicore 5022
at&t wave point, lan
baynetworks (wellfleet) 7.80 and up, baystack 350t, instant internet, see nortel
breezecom ap,sa
cabletron esx-820 etherswitch, smartswitch 2000,6000 and router
centillion token ring speedswtich 100 (ibm 8251 token ring switch)
about every cisco kit there is ...
centrecom 8116
compatible systems
decbridge 620, dec 900ef, 900ee, gigaswitch
elsa lancom l 11 (wireless router)
enterasys matrix e5, vh-4802 and vh-2402s switche
ericsson tirgis series ras servers
extreme networks -- blackdiamond 6808 & alpine 3808 layer 3 switches
fore asx200 atm
flowpoint 2200 atm/dsl router
formula 8200 series
foundry bigiron 8000 gigabit, fastiron switch, serveriron switch
cable modems from lancity, terayon and docsis
hp - network interfaces, disks, database informix
hp advancestack/procurve switch 2000 and 2524, advancestack switch 200
hp procurve switches , model 4000m, 2424m and 2400m
ibm 8260 swtich (with 155mb atm blades installed), ibm 2210 isdn routers.
intel switches (details) -- 510t, intel gigabit server adapter
imv victron netpro 3000 ups
kentrox pacesetter pro
lantronix bridge
lucent/xedia access pointt 450, 1000
livingston (lucent) irx 3.2.1r, irx 114, pm2e(r) pm3-2e or-u
motorola 6560 regional node, sb3100 cablemodem, 320, 6430 and 6455 routers
morningstar terminal servers/routers
mge (merlin gerin) upses (details)
network appliance
netopia r7100c sdsl
netscreen 5 / 10 / 100
nortel networks, bay routers bcn, bln, asn, arn, an, passport 1k and passport 8k3 series l3 switches, baystack 450 l2 switches.
nortel networks, accelar l3 switches
nokia ip 330/440/650
nbase ethernet switch
novell 3.11, 4.11
rmon probes
sgi-server (irix 5.3)
any server server running hp-ux, ultrix, solaris, sunos, osf, netbsd, freebsd, bsdi, linux, aix, openbsd, irix or even windows operating systems (badly), when using net-snmp (former ucd-snmp).
apple mac (an snmp service is included on the os cd >= 8.5 )
shiva accesport
solaris server
squid web cache
us-robotics total control modemracks
wellfleet (later bay networks): see nortel routers
wavewireless speedlan 8x00 rf routers
winnt, ms proxy
xylan (today alcatel) 4024c 24port 10/100 omnistack switch, 9k devices, including atm links.
yamaha rt100i
zyxel prestige p310, 153x, 642.
不支持mrtg的设备：
d-link switches (details)

snmp简介

    一个网络管理系统一般要包含以下几个元素：①若干个(可能非常多个)需要被管理的网络设备节点，如路由器、服务器等设备，每个节点上都运行着一个称为设备代理(agent)的应用进程，其实现对被管理设备的各种被管理对象的信息如流量等的搜集和对这些被管对象的访问的支持；②至少一个管理工作站，该管理站运行着管理平台应用系统，实现为管理员提供对被管设备的可视化的图像界面，从而使管理员能方便的进行管理；③一个管理协议，用来定义设备代理和管理工作站之间管理信息传送的规程。其中管理协议的操作是在管理框架下进行的，管理框架定义了和安全相关的认证,授权,访问控制和加密策略等各种安全防护框架。

    在运行tcp/ip协议的互连网环境中，管理协议标准是简单网络管理协议(simple network management protocol,snmp)，其定义了传送管理信息的协议消息格式及管理站和设备代理相互之间进行消息传送的规程。

    出于业界对网络管理协议标准化的迫切需求的驱动，ietf于1990发布了snmpv1的正式rfc文件；其设计思想重点放在确保协议的简单性、灵活性和可扩展性上，并希望把snmp作为一个过渡性的网管协议来作为实现对互连的网络设备进行管理时遵循的标准，待osi的网络管理协议?cmip的研发、实现和标准化成熟和完善到能在业界推广之后，再用cmip来替换snmp。不过由于各种的原因，cmip并没有替代snmp，而snmp发展为业界的标准。

    snmp一共发展有3个主版本，分别为snmpv1 ，snmpv2和snmpv3。其中snmpv2又分为若干个子版本，其中snmpv2c应用最为广泛:

    snmpv1: 是第一个正式协议版本，在rfc1155-rfc1158中定义，该版本采用了基于一起体名的安全机制；
    snmpv2c: 这个版本被称为基于一起体名的snmpv2，使用基于一起体名的安全机制和snmpv2p做出的协议操作方面的扩充，由rfc1901-rfc1906定义；
    snmpv3: 该协议版本采用基于用户的安全机制，其安全机制是在snmpv2u和snmpv2*基础上进行大量的评议以后进行了更新，并且对协议机的逻辑功能模块的进行了划分而确保了良好的可扩充性，由rfc2271-rfc2275所定义。

运行snmp管理系统的原理及snmp协议

     使用snmp协议的网络管理系统管理结构工作一般包括：管理进程通过定时向各个设备的设备代理进程发送查询请求消息(以轮询方式)，来跟踪各个设备的状态；而当设备出现异常事件如设备冷启动等时，设备代理进程主动向管理进程发送陷阱消息，汇报出现的异常事件。这些轮询消息和陷阱消息的发送和接受规程及其格式定义都是由snmp协议定义的；而被管理设备将其各种管理对象的信息都存放在一个称为管理信息库（management information base）库结构中。

    其中snmp协议是运行在udp协议之上，他利用的是udp协议的161/162端口。其中161端口被设备代理监听，等待接受管理者进程发送的管理信息查询请求消息；162端口由管理者进程监听等待设备代理进程发送的异常事件报告陷阱消息，如trap。

    设备的所有的需要被管理的信息被看作一个各种被管理对象的集合，这些被管理对象由osi定义在一个被称作管理信息库(management information base,mib)的虚拟的信息库中。

管理对象库mib

    mib是个按照层次结构组织的树状结构（定义方式类似于域名系统），管理对象为定义为树中的相应叶子节点。管理对象是按照模块的形式组织，每个对象的父节点表示该种对象属于上层的哪一个模块。而且osi为树中每一层的每个节点定义唯一的一个数字标识，每层中的该数字标识从1开始递增，这样树中的每个节点都能用从根开始到目的节点的相应的标识对应的一连串的数字来表示，如1.3.6.1.2.1.1表示了mibii中系统组子树,而1.3.6.1.2.1.1.1.0表示系统组中的系统描述(sytem descrption)对象。每个对象的一连串数字表示被称为对象标识符（object indentifier,oid）。

    相关的一组对象的集合被定义为一个mib模块。这些模块使用osi的抽象语法标记(abstract syntax notation one，asn.1)的一个子集写成。该子集被定义为管理信息结构(management information，smi)。

snmp的消息在发送和传输时消息是采用基本编码规则（ber）对消息进行编码。

snmp基本的标准mib库是mibii，具体请参考rfc 1213。

snmp协议操作

snmp提供有三类操作，分别为get，set和trap。

    get操作实现对被管理对象所表示的管理信息的读操作。在snmpv1中，get操作具体一共有两种形式

    get和getnext操作： get操作指示直接读取操作参数指定的oid所表示的被管理对象的管理信息值。getnext操作指示读取操作参数指定的oid所表示的被管理对象在mib树中按照字典顺序的下一个被管理对象的管理信息的值。在snmpv2中，增加了一种getbulk操作，其是get和getnext的综合，是为了提高对被管理信息的访问的效率而增加的。

    set操作实现对被管理对象的管理信息进行写操作，其实现直接对操作参数指定的oid所表示的被管理对象对应的管理信息的值的设置。

    前面几种消息是由管理工作站主动实现对被管理设备进行轮询访问时发出以得到被管理设备的各种信息；而在被管理设备出现异常事件需要及时向管理工作站报告时，就需要trap操作，该操作实现被管理设备向管理工作站报告设备上出现的异常事件，如网络接口出现故障或恢复工作，设备重新启动等信息。另外在snmpv2中新增加了一种inform操作来实现管理站和管理站之间的通信。

    其中上述操作的消息都能在操作参数中一次指定一个或多个管理对象oid信息，也就是说一个消息一次能实现对多个被管理对象的操作。

    snmpv1和snmpv2c采用了一种简单的基于一起体名的安全机制：

    管理站和被管设备上都存储有该充当密码作用的一起体名；消息发送者(一般是管理者)在要发送的消息中的一起体名字段中填入对应于接收者的一起体名，然后以明文方式在网络上发送消息，接收方(被管理设备)接收到消息以后，如果消息格式是正确的，则读取该字段，和自身保存的一起体名相比较，来实现对发送消息者的认证。在一些实现中，对应于每个一起体名更有一个机器地址列表，来表示只有地址在这个列表中的机器使用该一起体名发送的消息才认为是可信的。这里的一起体名就担任密码的作用。同时对应于每个一起体名都有一个访问控制权限，可能值为读或读写。只有请求的操作和使用的一起体名的权限一致才允许进行。

周详情况请参考rfc 1157、rfc 1902、rfc 2273、rfc 2274。

mrtg的安装设置

安装支持软件

    我们这里以rehat7.2为例子讨论mrtg的设置和安装。要安装mrtg需要安装以下软件包：gcc、perl、gd、libpng和zlib。能使用下面的命令来判断系统是否安装有这些软件包：

[root@mail doc]# rpm -qa|grep gd
gd-1.8.4-4
gd-devel-1.8.4-4

[root@mail doc]# rpm -qa|grep perl
perl-5.6.0-17
mod_perl-1.24_01-3

[root@mail doc]# rpm -qa|grep libp
libpng-1.0.12-2
libpng-devel-1.0.12-2

[root@mail doc]# rpm -qa|grep zlib
zlib-1.1.3-24
zlib-devel-1.1.3-24
[root@mail doc]# rpm -qa|grep gcc
gcc-2.96-98
gcc-g77-2.96-98
gcc-c++-2.96-98

如果发现哪个软件包没有安装，只需直接从redhat安装盘安装对应的rpm包即可，例如：
root@mail doc]# rpm -ivh zlib-1.1.3-24 zlib-devel-1.1.3-24

mrtg的安装

目前mrtg的最新版本为2.9.17：

[root@mail src]# tar xvfz mrtg-2.9.17.tar.gz
[root@mail src]# cd mrtg-2.9.17
[root@mail mrtg-2.9.17]# ./configure --prefix=/usr/local/mrtg-2
[root@mail mrtg-2.9.17]# make
[root@mail mrtg-2.9.17]# make install

到目前我们就已正确地安装了mrtg系统。

设置snmp服务

对于不同的设备，设置snmp支持的方法是不一致的，具体请参考设备的随机文件，一般里面都有周详的介绍。这里我们讨论在linux环境下设置snmp服务器，以实现对本机流出流入数据的分析和报表(我的应用环境是使用linux带动一个小型局域网上网，监视本机进出流量)。

在linux环境下安装snmp软件包是非常容易的，只需要安装相应的软件包即可：

[root@mail doc]# rpm -qa|grep snmp
ucd-snmp-4.2.1-7
ucd-snmp-utils-4.2.1-7
ucd-snmp-devel-4.2.1-7

这时候运行下面的命令：

[root@mail doc]# /etc/rc.d/init.d/snmpd start
starting snmpd: [ ok ]

如果命令输出如上所示，就表示snmp服务器启动正常。

为了配合mrtg使用，还要修改snmpd的设置，以使其允许mrtg读取其interface(网络接口)流量数据。

vi /etc/snmp/snmpd.conf

将

#view systemview included mib2

的内容修改为：

view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc

然后将

access notconfiggroup "" any noauth exact systemview none none

修改为：

access notconfiggroup "" any noauth exact mib2 none none

然后再重新启动snmpd：

/etc/rc.d/init.d/snmpd restart

设置mrtg

下一步就是要设置mrtg，实现对网络设备的监视。mrtg的设置信息都是保存在mrtg.cfg文件中的，创建该文件并且在其中定义希望的监视特性。幸运的是一般不必直接手工编辑该设置文件，因为mrtg软件包提供有cfgmaker设置工具，这是个脚本文件，根据运行参数能自动生成mrtg.cfg设置文件。在mrtg源码目录的bin子目录下你能得到该工具。

首先在www服务器的documentroot目录下创建一个子目录用来存放mrtg生成的统计文件，这里假设apache是默认安装，因此documentroot在/var/www/html目录下，我们在该目录下创建子目录mrtg：

mkdir /var/www/html/mrtg

这里的/var/www/html/mrtg就是mrtg的工作目录。下面就生成mrtg设置文件：

cfgmaker --global "workdir: /var/www/html/mrtg"
--global "options[_]: growright,bits"
--ifref=ip
--output /etc/mrtg.cfg
public@192.168.0.1

    这里的--global参数表示后面的选项是对后面指定的设备都是有效的(如果希望对多个设备进行监视时，该参数就会发生作用)。workdir用来指示mrtg的工作目录；options用来指定一些特定的选项，这里的growright,bits是用来指定默认options设置的，对于常见的应用来说默认options设置就能满足需求了。ifref用来指示用什么选项来标识设备接口，这里指定使用ip地址来标识网络设备接口。ifref能指定为nr、ip、eth、descr、name。nr表示用接口在mibii库中interface接口的ifindex来识别接口；ip表示使用ip地址识别接口；eth表示使用接口的物理地址标识接口；descr表示使用接口的描述信息来标识接口；name表示使用接口名来标识接口。一般来说ip地址是唯一的，不过有些情况下接口是没有ip地址的，例如交换机就会出现这种情况。对于接口来说nr(接口号)是唯一的，因此对于一般情况使用ip地址就能了，而对于其他一些情况则需要采用nr了。"--output /etc/mrtg.cfg"标识将生成的设置文件存放在/etc/目录下。"public@192.168.0.1"表示监视ip地址为192.168.0.1的设备，采用public作为一起体名通过snmp协议来监视设备192.168.0.1。

    对于希望使用mrtg来对多个设备进行监视的情况，举例如下：

cfgmaker --global "workdir: /var/www/html/mrtg"
--global "options[_]: growright,bits"
--ifref=descr
--ifdesc=alias
public@router1.place.xyz
public@router2.place.xyz
--global "options[_]: growright"
--ifref=name
--ifdesc=descr
public@switch1.place.xyz
--ifdesc=name
public@switch2.place.xyz > mrtg.cfg

    这里指示监视四个设备：router1.place.xyz、router2.place.xyz、switch1.place.xyz
和switch2.place.xyz，所有的设备都采用一起体名public来进行监视。并且两个路由器采用descr来作为设备的描述信息，而两个交换机则采用alias作为设备描述(这两者是不同的，例如对于cisco路由器来说，对于descr来说设备描述为"serial0"，而对于aliasl来说则为"link to hq")。

    对于我这里的应用环境来说，生成的mrtg.cfg内容如下：

# created by
# /usr/local/mrtg-2/bin/cfgmaker --global workdir: /var/www/html/mrtg --global options[_]: growright,bits
--output /etc/mrtg.cfg --ifref=ip public@192.168.0.1

### global config options

# for unix
# workdir: /home/http/mrtg

# or for nt
# workdir: c:mrtgdata

### global defaults

# to get bits instead of bytes and graphs growing to the right
# options[_]: growright, bits

workdir: /var/www/html/mrtg
options[_]: growright,bits

######################################################################
# system: 192.168.0.1
# description: linux 192.168.0.1 2.4.7-10smp #1 smp thu sep 6 17:09:31 edt 2001 i686
# contact: root (configure /etc/snmp/snmp.local.conf)
# location: unknown (edit /etc/snmp/snmpd.conf)
######################################################################

### interface 1 >> descr: lo | name: | ip: 127.0.0.1 | eth: ###
### the following interface is commented out because:
### * it is a software loopback interface
#
# target[192.168.0.1_127.0.0.1]: /127.0.0.1:public@192.168.0.1:
# setenv[192.168.0.1_127.0.0.1]: mrtg_int_ip="127.0.0.1" mrtg_int_descr="lo"
# maxbytes[192.168.0.1_127.0.0.1]: 1250000
# title[192.168.0.1_127.0.0.1]: traffic analysis for 127.0.0.1 -- 192.168.0.1
# pagetop[192.168.0.1_127.0.0.1]:
traffic analysis for 127.0.0.1 -- 192.168.0.1

#
# system: 192.168.0.1 in unknown (edit /etc/snmp/snmpd.conf)

# maintainer: root (configure /etc/snmp/snmp.local.conf)

# description: lo

# iftype: softwareloopback (24)

# ifname:

# max speed: 10.0 mbits/s

# ip: 127.0.0.1 (localhost)

#

### interface 2 >> descr: eth0 | name: | ip: 211.99.43.111 | eth: 0-d0-b7-b7-bb-30 ###

target[192.168.0.1_211.99.43.158]: /211.99.43.158:public@192.168.0.1:
setenv[192.168.0.1_211.99.43.158]: mrtg_int_ip="211.99.43.158" mrtg_int_descr="eth0"
maxbytes[192.168.0.1_211.99.43.158]: 1250000
title[192.168.0.1_211.99.43.158]: traffic analysis for 211.99.43.158 -- 192.168.0.1
pagetop[192.168.0.1_211.99.43.158]:
traffic analysis for 211.99.43.158 -- 192.168.0.1

 

system: 192.168.0.1 in unknown (edit /etc/snmp/snmpd.conf)

maintainer: root (configure /etc/snmp/snmp.local.conf)

description: eth0

iftype: ethernetcsmacd (6)

ifname:

max speed: 10.0 mbits/s

ip: 211.99.43.158 (192.168.0.1)

### interface 3 >> descr: eth1 | name: | ip: 192.168.0.1 | eth: 0-10-4b-0c-b4-23 ###

target[192.168.0.1_192.168.0.1]: /192.168.0.1:public@192.168.0.1:
setenv[192.168.0.1_192.168.0.1]: mrtg_int_ip="192.168.0.1" mrtg_int_descr="eth1"
maxbytes[192.168.0.1_192.168.0.1]: 1250000
title[192.168.0.1_192.168.0.1]: traffic analysis for 192.168.0.1 -- 192.168.0.1
pagetop[192.168.0.1_192.168.0.1]:
traffic analysis for 192.168.0.1 -- 192.168.0.1
>

system: 192.168.0.1 in unknown (edit /etc/snmp/snmpd.conf)

maintainer: root (configure /etc/snmp/snmp.local.conf)

description: eth1

iftype: ethernetcsmacd (6)

ifname:

max speed: 10.0 mbits/s

ip: 192.168.0.1 (192.168.0.1)

 

运行mrtg

    一旦生成正确的设置文件，就运行下面的命令：

/usr/local/mrtg-2/bin/mrtg /etc/mrtg.cfg

    这将查询被监视的设备并在工作目录下创建初始的流量图和web页面，在前三次运行时可能会报告遗失日志文件的告警信息，不要理睬这些信息，只需要连续运行三次以后再运行就不会产生告警信息了。如果仍然出现告警那么就需要察看问题出在哪里了。

    使用手工运行mrtg并不能定时产生适当的统计信息，因此最佳还是定时自动运行mrtg来生成统计信息，默认为五分钟运行一次。作为root身份crontab -e进入编辑状态，添加内容如下：

*/5 * * * * /usr/local/mrtg-2/bin/mrtg /etc/mrtg.cfg

    然后就能通过浏览器访问地址http://192.168.0.1/mrtg/选择适当的接口地址察看流量信息了。如果希望生成类似于http://www.stat.ee./mrtg/的信息，就需要自己手工编辑一个index.html文件存放在/var/www/html/mrtg目录下，内容为接口说明及该接口的日统计信息的图即可。