监控工具Ntop性能提升方案

Ntop是一款Linux下常见的开源监控软件，它可以监测的数据包括：网络流量、使用协议、系统负载、端口情况、数据包发送时间等。正常情况下它工作的时候就像一部被动声纳，默默的接收看来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，不过一旦超过Ntop数据包的处理能力，Ntop随即出现性能问题，从而导致Ntop无法准确分析网络流量和各种数据，对网络管理造成影响。下文介绍了一种提高Ntop性能的方法。
通常Ntop的抓包分析功能，是通过Ntop自己完成，但它们都是通过libpcap来实现抓包，且速度不能超过100M，分析一下libpcap的流程我们明白，首先数据包通过路径为网卡硬中断→软中断→内核协议栈→系统调用→socket→->libpcap接口→用户应用程序，在这个流程中，可以看出数据的copy比较多，所以在高速率下libpcap 抓包丢包严重也不用感到奇怪了。
对于千兆的网络就需要采用PF_RING技术来接受数据包了，PF_Ring运行于Linux的内核层，体系结构图如下图所示，它采用类类似零拷贝技术，而且PF_Ring从网卡获取的数据的速度比libpcap有成倍的提高，而且在千兆环境下几乎不丢包。