H3C MSR NAM User Manual

H3C MSR 系列路由器 NAM 网络分析模块

杭州华三通信技术有限公司
http://www.h3c.com.cn

用户手册

资料版本：20070425-C-1.00
产品版本：NAM VER 1.00

声明

Copyright © 2007 杭州华三通信技术有限公司及其许可者 版权所有，保留一
切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或

全部，并不得以任何形式传播。

H3C、
NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、
Comware、Secware、Storware、NQA、VVG、V
N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公

司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称，由各

自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不
构成任何明示或暗示的担保。如需要获取最新手册，请登录

http://www.h3c.com.cn。

技术支持

用户支持邮箱：customer_service@h3c.com
技术支持热线电话：800-810-0504（固话拨打）

、Aolynk、 、H3Care、

、TOP G、 、IRF、

2

G、VnG、PSPT、XGbus、

400-810-0504（手机、固话均可拨打）

网址：http://www.h3c.com.cn

前 言

相关手册

本书简介

手册名称 用途

《H3C MSR 系列路由器 OAP 单
板手册》

《H3C MSR 系列路由器 NAM 网
络分析模块软件 安装手册》

对用户安装和配置 MSR 系列路由器 OAP 单板进行指导。

介绍 NAM 网络分析软件的安装操作指导。

本手册各章节内容如下：

z 第 1 章 产品概述。介绍 NAM 产品的软硬件基本情况以及 NAM 产品的功能特

点。

z 第 2 章 安装指导。介绍使用 NAM 产品所必需的硬件连接、软件配置。
z 第 3 章 配置指南。介绍 NAM 产品的界面概况，以及在实际环境中的典型应用。
z 第 4 章 常见问题解答。介绍在使用 NAM 产品过程中可能会遇到的特殊情况，

本书约定

以及对应的解决办法。

z 附录 A NAM 软件功能详解。介绍 NAM 产品每一个菜单的功能概况和功能细

节，便于用户查询。

1. 命令行格式约定

格 式 意 义

粗体

斜体

命令行参数（命令中必须由实际值进行替代的部分）采用
[ ]
{ x | y | ... }
[ x | y | ... ]

命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体
表示。

斜体

表示。

表示用“[ ]”括起来的部分在命令配置时是可选的。

表示从两个或多个选项中选取一个。

表示从两个或多个选项中选取一个或者不选。

格 式 意 义

{ x | y | ... } *

[ x | y | ... ] *
&<1-n>
#

2. 图形界面格式约定

格 式 意 义

< >

[ ]

/

3. 各类标志

表示从两个或多个选项中选取多个，最少选取一个，最多选取所有
选项。

表示从两个或多个选项中选取多个或者不选。
表示符号&前面的参数可以重复输入 1～n 次。
由“#”号开始的行表示为注释行。

带尖括号“< >”表示按钮名，如“单击<确定>按钮”。
带方括号“[ ]”表示窗口名、菜单名和数据表，如“弹出[新建用户]

窗口”。
多级菜单用“/”隔开。如[文件/新建/文件夹]多级菜单表示[文件]菜

单下的[新建]子菜单下的[文件夹]菜单项。

环境保护

本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意

义如下：

小心、注意：提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者

设备损坏。

警告：该标志后的注释需给予格外关注，不当的操作可能会对人身造成伤害。

 说明、提示、窍门、思考：对操作内容的描述进行必要的补充和说明。

本产品符合关于环境保护方面的设计要求，产品的存放、使用和弃置应遵照相关国

家法律、法规要求进行。

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 目 录

目 录

第 1 章 产品概述 .....................................................................................................................1-1

1.1 NAM介绍............................................................................................................................1-1

1.2 NAM应用介绍.....................................................................................................................1-2

1.2.1 路由器流量镜像 .......................................................................................................1-2

1.2.2 网络流量统计........................................................................................................... 1-2

1.2.3 网络流量监控........................................................................................................... 1-3

1.2.4 网络安全漏洞检测....................................................................................................1-4

1.2.5 网络的优化与规划....................................................................................................1-4

第 2 章 安装指导 .....................................................................................................................2-1

2.1 安装准备............................................................................................................................. 2-1

2.2 硬件的安装和连接 ..............................................................................................................2-1

2.2.1 安装NAM单板.......................................................................................................... 2-1

2.2.2 连接NAM单板和PC................................................................................................. 2-2

2.3 NAM的简单配置................................................................................................................. 2-2

2.3.1 登录NAM管理页面................................................................................................... 2-2

2.3.2 配置NAM的内部接口和管理接口IP地址 .................................................................. 2-3

2.3.3 设置登录密码........................................................................................................... 2-4

2.3.4 SNMP参数配置........................................................................................................2-5

2.3.5 路由器接口流量镜像配置.........................................................................................2-6

2.3.6 启动和关闭NAM软件 ............................................................................................... 2-6

2.3.7 打开NAM监控页面................................................................................................... 2-7

第 3 章 配置指南 .....................................................................................................................3-1

3.1 NAM主要界面简介 ............................................................................................................. 3-1

3.1.1 界面概述 .................................................................................................................. 3-1

3.1.2 流量信息概览[Summary]......................................................................................... 3-3

3.1.3 基础协议报表[All Protocols]...................................................................................3-12

3.1.4 IP协议报表.............................................................................................................3-14

3.2 典型应用........................................................................................................................... 3-21

3.2.1 网络流量统计（一）NetFlow流量分析 ..................................................................3-22

3.2.2 网络流量统计（二）利用RRD查看历史流量图 .....................................................3-26

3.2.3 网络流量统计（三）支持对用户的P2P流量进行分析............................................3-29

3.2.4 网络流量监控（一）网络错误配置 ........................................................................ 3-35

3.2.5 网络流量监控（二）网络服务器负载分析 ............................................................. 3-37

3.2.6 网络安全漏洞检测（一）DOS攻击检测 ................................................................ 3-42

3.2.7 网络安全漏洞检测（二）病毒探测 ........................................................................ 3-46

3.2.8 网络优化和规划（一）网络冗余协议探测 ............................................................. 3-49

i

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 目 录

第 4 章 常见问题解答 ..............................................................................................................4-1

ii

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 1 章 产品概述

第1章 产品概述

1.1 NAM

介绍

NAM（Network Analysis Module）是网络分析模块的简称，是 H3C 公司在 MSR 系
列路由器设备上开发的流量监控软硬件平台。使用 NAM 单板，用户可以把流经路
由器的所有流量进行统计和分析，为网络管理员提供网络安全服务。

NAM 单板有 MIM-NAM 和 FIC-NAM 两种类型，MIM-NAM 在 MSR 30 系列路由器
上使用，FIC-NAM 在 MSR 50 系列路由器上使用。

NAM 单板对外提供 1 个管理用的 GE 电口、2 个 USB 接口；同时提供 80G 硬盘存
储空间。

MIM-NAM 的面板如下图所示：

图1-1 MIM-NAM 面板

FIC-NAM 的面板如下图所示：

图1-2 FIC-NAM 面板

NAM 用于监控路由器的流量，由于路由器在网络中得天独厚的位置，使任何内
Internet 通讯的流量都会经过路由器设备，也就是使 NAM 能够获取最为全面的流量
数据，提供出更加准确和详细的网络流量分析结果。

NAM 产品提供了如下主要功能：

z 支持对路由器所有出入三层端口网络流量的分析，并且支持定制分析端口。
z 支持在线流量的网络流量分析。
z 支持对网络流量采样记录和对历史流量进行网络流量分析。
z 支队对多种网络协议分析，包括 IP/none-IP 的、2 至 7 层的协议，多达百余种。

1-1

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 1 章 产品概述

z 支持对网络协议的过滤分析。
z 方便友好的用户配置，支持图形化的分析结果查询。

同时，NAM采用基本功能＋插件的方式，为功能的可扩展提供了有力的保障，也为
进一步满足用户需求做好了准备。

1.2 NAM

应用介绍

NAM 通过对网络流量的分析和统计，真实的反映了网络的具体情况，有助于网络管
理员及时了解和定位各种网络异常。网络管理员可以使用 NAM 的以下四种应用来
提高网络的安全性和健壮性：

z 路由器流量镜像――获取路由器的网络流量信息
z 网络流量统计——分析各种网络事件
z 网络流量监控——及时发现网络事件
z 网络安全漏洞检测——消除隐患的有力武器
z 网络的优化与规划——带来一个更合理、更健壮、更安全的网络

1.2.1 路由器流量镜像

路由器物理接口类型丰富，链路层帧格式各不相同，只能通过软件将 IP 报文进行镜
像才能获得流量信息。NAM 软件可以配置路由器，将路由器接口上的进出流量镜像
到 NAM 单板，为进行路由器的网络流量分析提供数据源。

1.2.2 网络流量统计

NAM 支持对网络中的主机进行流量统计。只要能获取主机的名称、MAC 地址或 IP
地址，NAM 就能对该主机发送和接收的流量进行统计。

NAM 可以统计的网络流量包括：网络总流量、IP组播流量、TCP/UDP 流量。统计

的同时，NAM 实时对流量进行处理和分析，形成其他附加信息，包括：TCP/UDP
服务、主机操作系统信息、带宽使用情况和流量分布情况。

1. 对总流量的统计 基于各种协议发送和接收的数据的总流量，协议包括各层协议，如网络层协议 IP、

IPX、应用层协议 FTP、HTTP 等。

2. 对 IP 组播流量的统计 发送和接收的 IP 组播数据的总流量。

3. 对 TCP 会话及其流量、UDP 流量的统计 (1) 当前处于活跃状态 TCP 会话，以及与每个会话对应的流量。

1-2

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 1 章 产品概述

(2) 通过端口号识别各种 UDP 流量。

4. 对 TCP/UDP 服务的识别 通过主机正在监听或使用的端口号，识别主机使能的 TCP/UDP 服务。

5. 对操作系统信息的识别 识别主机的操作系统，包括 Microsoft Windows、Unix/Linux 等常用操作系统。

6. 对带宽使用情况的统计 主机的即时流量、流量平均值和峰值。

7. 对流量分布情况的统计

本地流量（主机与同一个子网内的其他主机的流量）和本地－远程流量（主机与其

他子网主机的流量）的流量分布。

8. 对 IP 流量分布情况的统计 TCP 和 UDP 的流量分布。

1.2.3 网络流量监控

网络流量数据包含了网络运行状况的信息，优秀的网络管理员通过这些数据，可以

了解网络的使用情况，找出不符合当前网络配置的主机或其他故障点。在 NAM 网
络流量统计功能的基础上，主要可以发现以下几类网络配置问题：

1. 主机掩码配置错误 NAM 可以监控网络中所有的子网信息，从而发现配置错误掩码的主机。

2. 服务的错误配置和使用

通过监控网络中各种服务的报文收发情况，特别是请求报文的频繁发送，可以分析

网络中的主机使用这些服务时配置是否正确。

3. 无效协议

通过查看报表中的协议，可以发现不能在网络中正常使用的协议，如网络中正在使

用 TCP/IP 协议，而某些主机安装了 IPX、AppleTalk 等协议，这些协议不但不能正
常使用，还会产生一些无效流量，浪费网络资源。

4. 网络资源的不合理分配

通过监控网络带宽使用情况，可以分析网络中占用大量带宽、消耗大量网络资源的

主机及其使用的服务。

1-3

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 1 章 产品概述

1.2.4 网络安全漏洞检测

网络安全已经成为网络管理员最关注的问题之一。通常情况下，网络的安全隐患源
于网络中存在的漏洞。而漏洞分为两个方面：第一，主机自我保护存在缺陷，容易

被攻击；第二，网络中有人利用便利的网络资源，对网络中的其他主机实施攻击。
NAM 通过对网络安全漏洞的检测，可以发现缺乏自我保护能力的主机和对外实施攻

击的主机，为网络管理员采取针对性措施提供依据。
NAM 能检测的安全漏洞包括：

z 端口扫描（Portscan）检测
z 欺骗攻击（Spoofing）检测
z 木马（Trojan horse）检测
z 拒绝服务（DoS）攻击检测

1.2.5 网络的优化与规划

网络的性能也是网络管理员关注的焦点。通常情况下，不是硬件导致网络性能不良，

而是对网络不合理的配置与使用导致了带宽浪费。NAM 通过对网络流量的分析，可
以协助管理员优化网络，或者在局部重新规划网络，从而使网络性能上一个台阶。

NAM 能探知的网络不合理使用包括：
(1) 识别无效的网络协议，减少网络流量

前面已经提到，通过查看报表，可以发现主机安装的无效网络层通信协议，如 IPX
等。

另外，OSPF、IGMP 等协议需要在一定范围内使用才能发挥作用。NAM 收集协议

的流量，并以此分析这些协议是否只是在网络中零星、孤立的主机上使用。网络管
理员根据分析的结果采取相应的措施（如关闭特定的协议）来减少网络中的无效流

量。
(2) 识别冗余的网络协议，减少网络流量

在网络中，为了实现同一种功能，有时会使用多种协议，浪费了网络带宽资源，如

全部服务器都使用 DNS 服务，而又有少量服务器同时使用 WINS 服务。NAM 可以
提供协议报表，为网络管理员去除冗余协议提供依据。

(3) 识别多余连接，节省网络资源

在网络中，适当的设置代理能减少主机之间的连接数，减少多余连接，节省网络资

源。NAM 可以提供网络连接的报表，为网络管理员合理设置代理提供参考。

(4) 优化路由
NAM 可以获取 ICMP 重定向消息来发现网络中的次优路由。网络管理员可以根据这

一信息来优化网络中的路由。

1-4

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 1 章 产品概述

(5) 优化网络结构
NAM 可以收集流量并把流量与协议、流向相关联。网络管理员根据这些数据可以分

析网络中的服务器（DNS、DHCP）位置是否合理，并作出适当调整。

1-5

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 2 章 安装指导

第2章 安装指导

2.1

安装准备

请参考表 2-1中所示的各个检测项目，确保安装NAM软件的条件均已具备。

只有上述三个检测项都通过，安装 NAM 软件的条件才具备。

路由器

NAM 单板

PC

表2-1 安装环境确认

检测项 检测标准

检查路由器是否提供 NAM 单板插槽。
若已提供，本安装条件已经具备。

检查 NAM 单板是否符合合同的规定（包括

NAM 单板型号及版本、NAM 主机软件版本、
NAM 软件版本）。

符合合同的规定表示检查合格，本安装条件已
经具备。

PC是否安装了网卡并根据实际组网配置 IP地
址；PC 是否安装了网页浏览器应用程序，如
IE 6.0。

若已安装，本安装条件已经具备。

 说明：
NAM 软件的使用依赖于路由器的基本功能。在使用 NAM 软件时，请确保路由器在

网络中处于正常运行状态。

2.2

硬件的安装和连接

 说明：

在安装 MIM-NAM 单板之前，请先切断路由器的电源。

2.2.1 安装 NAM 单板

将 NAM 单板完全插入路由器的 NAM 单板插槽，并固定。

2-1

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 2 章 安装指导

2.2.2 连接 NAM 单板和 PC

NAM 单板和 PC 可以通过交叉网线直连，也可以通过网络连接。为 NAM 单板的以
太网口和 PC 配置 IP 地址后，只要 PC 和 NAM 单板路由可达，即可在 PC 上通过
IE 访问 NAM 软件。

2.3 NAM

的简单配置

按照上述步骤进行操作之后，要使 NAM 软件能够正确实现其监控功能，仍需要对
设备和 NAM 软件进行一些设置。

2.3.1 登录 NAM 管理页面

确认PC自动获取了IP地址之后，使用PC上的IE浏览器访问http://192.168.0.1。IE浏
览器弹出NAM登录窗口，如

 说明：
NAM单板网络管理接口的IP地址出厂设置为 192.168.0.1，掩码为 255.255.255.0。

此IP地址可通过NAM管理页面进行设置，请参见
接口IP地址

。

图 2-1所示。

2.3.2 配置NAM的内部接口和管理

图2-1 NAM 登录窗口

输入缺省的用户名 admin 和密码 admin，进入 NAM 管理页面，如图 2-2 所示。

2-2

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 2 章 安装指导

图2-2 NAM 配置页面

2.3.2 配置 NAM 的内部接口和管理接口 IP 地址

NAM 前面板的接口是管理接口。用来与网络设备进行数据交互的接口为内部接口。

 说明：

z 此步骤可省略。如果没有修改 NAM 内部口 IP 地址，则 IP 地址默认为

192.167.0.11；如果没有修改 NAM 的管理口 IP 地址，则此 IP 地址默认为

192.168.0.1

z NAM 上与路由器进行数据交互的接口的地址称为本地 IP 地址。路由器上与 NAM

进行数据交互的接口的 IP 地址称为关联 IP 地址。因此，我们需要事先在路由器
上配置好与 NAM 相连的接口的地址，再把这个地址填入到关联 IP 地址栏中。本
地 IP 地址必须与关联 IP 地址处于同一网段，而且它们两个不能和管理 IP 地址处
于同一网段。

单击导航树中的[Comfiguration/NICs IP Address]菜单项，即可进入配置NAM内部口
和管理口IP地址页面，如

图 2-3所示。

2-3

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 2 章 安装指导

图2-3 NAM 管理 IP 地址配置页面

在页面上方可以配置 NAM 的内部口和管理口 IP，配置的结果将在页面下方的提示
信息框中显示。

输入适当的 IP 地址，选择正确的掩码，单击<Apply>按钮即可完成配置。

 说明：

修改 NAM 的管理口 IP 后，必须使用 IE 浏览器访问新配置的 IP 地址才能再次登录
NAM。

2.3.3 设置登录密码

 说明：
缺省的用户名和密码均为 admin。建议首次登录后，立即更改登录密码。

单击导航树中的[Comfiguration/Web Admin Password]菜单项，即可进入登录密码

设置页面，如

图 2-4所示。

2-4

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 2 章 安装指导

图2-4 设置登录密码页面

输入两遍新的密码后，单击<Apply>按钮即可完成操作。

 说明：

设置新的登录密码后，再次进入其他管理页面时，会弹出登录窗口。只有输入新设
置的密码才能正常进入下一步。

2.3.4 SNMP 参数配置

NAM 软件需要通过 SNMP 协议来配置路由器接口的流量镜像，SNMP 相关参数必

须配置正确，才能配置路由器接口的流量镜像。
单击导航树中的[Configuration/Traffic Mirror/SNMP Preferences]菜单项，即可进入

NAM 软件 SNMP 参数配置页面，如下图所示。
“SNMP Protocol Version”为 SNMP 协议的版本号，目前只支持 v2c；“Remote

SNMP Agent”为 NAM 单板路由器侧 GE 口的 IP 地址；“Read Community”和“Write
Community”分别为路由器配置的 SNMP 读和写团体字。

图2-5 SNMP 参数配置页面

2-5

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 2 章 安装指导

2.3.5 路由器接口流量镜像配置

路由器接口的流量默认不进行镜像，NAM 软件通过 SNMP 协议配置路由器将接口
流量镜像到 NAM 软件，才能对路由器接口的流量进行分析。

单击导航树中的[Configuration/Traffic Mirror/Mirror Interface]菜单项，即可进入
NAM 软件路由器接口流量配置页面，如下图所示。

“Traffic Mirror”中的“Enable”和“Disable”分别表示使能或禁止流量镜像。当
选择使能流量镜像时，NAM 软件根据用户选择的流量镜像的源接口和 NAM 单板所
在的槽位号来配置路由器；当选择禁止流量镜像时，NAM软件配置路由器，删除所
有已配置流量镜像的源接口，不再对路由器的接口流量进行镜像。

“Mirror Source Interface”左边显示路由器所有可以进行流量镜像的接口；右边显

示已配置流量镜像的接口。用户可以根据需要将左边列表中的接口添加到右边；也

可以将右边列表中的接口添加到左边。
“Mirror Destination Subslot”为 NAM 单板所在的槽位号，只有正确的配置该槽位

号，NAM 软件才能正确的配置路由器接口流量。
上述信息配置正确后，点击“Apply”按钮，对路由器接口流量镜像的配置就可以生

效了。

图2-6 启动和关闭 NAM 软件页面

2.3.6 启动和关闭 NAM 软件

单击导航树中的[NAM/Administration]菜单项，即可进入NAM软件的启动和关闭界

面，如

图 2-7所示。

2-6

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 2 章 安装指导

图2-7 启动和关闭 NAM 软件页面

对 NAM 软件的操作有两种：Startup 和 Shutdown。执行这两种操作后，对应的 NAM
软件的运行状态分别为 Running 和 Stop。NAM 软件当前的运行状态将在下方实时
显示。

2.3.7 打开 NAM 监控页面

目前提供 HTTP 和 HTTPS 两种方式来访问 NAM 监控页面。
单击导航树中的[NAM/Monitor(HTTP)]或[NAM/Monitor(HTTPS)]菜单项，即可进入

NAM监控页面，如

图 2-8所示。

图2-8 NAM 软件监控页面

2-7

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 2 章 安装指导

NAM 监控页面中提供了丰富的菜单项，方便网络管理员进行各种网络流量和网络信

息的查看，帮助网络管理员实现网络流量统计、网络安全漏洞检测、网络优化和规

划等强大功能。NAM 监控页面的具体使用请参见本文第三章的相关内容。

2-8

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

第3章 配置指南

3.1 NAM

主要界面简介

在使用 NAM 的过程中，网络管理员可以查看各种数据统计界面来对流量进行分析。
下文将介绍 NAM 系统中常用的数据统计界面。

3.1.1 界面概述

NAM界面的布局都采用统一的风格，类似于图 3-1。

①：产品 Logo。
②：功能菜单：用于进入不同的NAM报表界面和NAM配置界面。详细说明请参见
③：当前界面的标题。
④：功能链接：用于切换当前界面显示的内容。
⑤：显示界面：NAM 窗口的主体，用于显示 NAM 报表或 NAM 配置项。
⑥： 排序功能：点击表单中的表头，表单将按照该表头的顺序或逆序进行排序。

图3-1 界面布局示例

表3-1 功能菜单说明

功能菜单项 子项 相关说明

What is NAM

Show Configuration

About

Risk Flags
About NAM

3-1

介绍 NAM 的基本功能
显示 NAM 当前配置以及进程

相关信息
说明风险标识的含义
NAM 版权说明

表 3-1

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

功能菜单项 子项 相关说明

Summary

All Protocols

Traffic

Hosts

Network Load

VLAN Info

Network Flows

Traffic

Throughput

此界面显示了网卡探测到的
所有流量的信息

此界面显示了主机信息，分别
以字节、报文为单位显示，同
时又可以基于 VLAN 来查看
不同的主机信息。更强大的功
能是，它每一列都支持排序，
方便用户很快的查询到所需
要的信息

本页面主要是显示的被监控
接口的网络负载情况

此界面主要是基于 VLAN 统
计了流量的大小

此界面主要显示了 Host Last
Seen 插件和用户自定义的流
规则的流量情况

此界面包含了所有协议的网
络流量情况，包括所有主机的
发送和接收报文情况

此界面下面包含了所有协议
的网络负载情况，包括所有主
机的发送和接收报文情况

IP

Utils

Plugins

Activity

Summary

Traffic Directions

Local

Data Dump
View Log

Host Last Seen

ICMP Watch
NetFlow
PDA
Round-Robin Databases
sFlow

此界面下面包含了所有协议
的网络活动情况

主要统计各种应用层协议信
息

记录内网和外网各个流向的
流量统计

记录本地的端口号，TCP 连接
以及主机操作系统信息

导出数据和日志
查看日志
记录 NAM 最后一次捕获到本

地主机报文的时间
统计 ICMP 报文信息
收集和分析 NetFlow 报文
网络的简单统计信息
保存和查看历史流量信息
收集和分析 NetFlow 报文

All

集中显示各个插件的状态

3-2

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

功能菜单项 子项 相关说明

Admin

后续进行界面介绍时，以上提到的部分不再赘述。

3.1.2 流量信息概览[Summary]

顾名思义，流量信息概览是以图形和表单形式，对 NAM 监控的所有信息进行汇总，
内容包括流量信息、主机信息、负载情况和流分布情况。

1. 流量汇总界面[Summary/Traffic]

流量汇总界面主要包括物理/逻辑接口的流量信息和各种协议的流量统计、报文统计
等信息。

(1) NAM 监控接口的信息
NAM监控的接口包括物理接口（eth0）和逻辑接口（如NetFlow-device.2），如

Switch NIC

Configure

Shutdown

切换网络接口
更改 NAM 系统级配置，包括

下次启动的配置参数，当前的
配置参数，以及安全策略

关闭 NAM

图

所示。下方的饼图显示了各个接口流量所占的比重。

3-2

 说明：
NAM 监控的物理接口的流量是 MSR 系列路由器 GE 接口的镜像流量。

图3-2 Global Traffic Statistics

3-3

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

(2) NAM 监控的具体接口的流量信息

对eth0 接口的报文统计方式包括报文的传输方式、报文的大小等如
击“switch”链接，可以查看其他接口的报文统计。

图 3-3所示。点

图3-3 eth0 接口的报文信息

对eth0 接口的流量统计包括是否分片、TTL的范围、最近一段时间的流量等，如图

所示。同时，点击 可以查看历史信息，包括最近一年到最近一小时的历史记

3-4
录。

3-4

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-4 eth0 接口的流量统计

(3) 协议的分布情况
NAM能对报文所使用的协议进行分类，如图 3-5所示。表格中具体的百分比和柱状

图可以清晰的显示各种协议在总流量中所占的比重。

3-5

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-5 协议分布图

(4) 各种 TCP/UDP 协议的分布情况
NAM能细致的区分各种不同的TCP/UDP协议，在按照时间段分别进行统计（图 3-6）

的同时，还使用了柱状图和表格进行汇总（

图 3-7）。

3-6

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-6 TCP/UDP 协议的分布情况（1）

图3-7 TCP/UDP 协议的分布情况（2）

(5) 基于端口的 TCP/UDP 协议的分布情况

3-7

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

由于很多TCP/UDP协议采用非标准的端口进行通信，针对这种情况，NAM还对各种
TCP/UDP协议的通信端口的分布情况进行了统计，如

图 3-8所示。

图3-8 基于端口的 TCP/UDP 协议的分布情况

2. 网络中主机的信息[Summary/Hosts]

主机信息界面主要包括主机所在的域、IP地址、MAC地址、占用网络的带宽等基本

信息，如

图 3-9所示。通过左上角的Bytes/Packets链接，可以切换带宽的统计方式

为按字节统计/按包数统计。显示带宽时，深绿色表示发送带宽，蓝色表示接收带宽。

3-8

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-9 主机信息

3. 网络负载情况[Summary/Network Load]

网络负载情况显示图分别显示了最近十分钟、最近一小时、当天、以及最近一个月
的网络负载，如

图 3-10所示。

3-9

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-10 网络负载情况

点击右下角的Change Throughput Granularity链接可以进入数据存储的参数设置界

面，如

图 3-11所示。具体可以设置数据存储间隔、数据更新间隔、数据导出地等参
数。该界面和[Plugins/Round-Robin Databases/Configure]菜单项对应的RRD配置
界面是同一个界面。

3-10

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-11 存储参数的设置

4. 流的分布情况[Summary/Network Flows]

此界面主要显示了Host Last Seen插件和用户自定义的流规则的流量情况，如

所示。

3-12

图3-12 流的分布情况

图

3-11

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

3.1.3 基础协议报表[All Protocols]

基础协议报表是以表单形式，给出基于主机和各种基础协议的流量报表，内容包括

各种基础协议的流量统计、主机的流量统计和主机活动情况。

 说明：

基础协议报表不对承载于TCP/UDP之上的各种协议进行细分。要了解这些协议的流
量情况，可以查看

1. 基于主机和协议类型的流量统计[All Protocols/Traffic]

此界面的流量是统计网络中具体主机的流量（包括总流量和各种协议的具体流量），

3.1.4 1. (1)基于主机和IP协议的流量统计[IP/Summary/Traffic]。

这是和[Summary/Traffic]（

图 3-13所示，每一台主机的总流量、所占的百分比、各种协议的流量都在表格中

如

3.1.2 1. 流量汇总界面[Summary/Traffic]）的主要区别。

有所体现。

由于某些广播报文不包含特定的发送或接收主机的相关信息，因此界面中显示的流

量可能并没有包含所有的广播报文，数据流量总和与[Summary/Traffic]中的 Global
Protocol Distribution 也不一定相等。

图3-13 全协议流量统计

2. 基于主机的流量的即时值和统计值[All Protocols/Throughput]

此界面主要显示主机流量和包数的即时值、平均值和最大值，如

3-12

图 3-14所示。

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-14 流量的即时值和统计值

3. 网络中主机的活动情况[All Protocols/Activity]

通过对主机在最近 24 小时中流量的统计和计算，可以确定主机最近 24 小时内流量

分布的百分比，以此体现主机最活跃的时间段，如

图 3-15所示。

在表格中用颜色表示特定时间段内主机的流量占最近 24 小时主机总流量的比重。不

同的颜色表示的百分比不同，具体的颜色和百分比的对应关系可查看页面下方的说

明。

3-13

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

3.1.4 IP 协议报表

IP 协议报表主要统计了承载于 TCP/UDP 之上的各种协议的流量、会话等相关信息。

1. IP 协议的信息汇总界面[IP/Summary] IP 协议信息汇总包括：流量信息、组播信息、网段的具体信息、集群信息和本地/

远程分布信息。
(1) 基于主机和 IP 协议的流量统计[IP/Summary/Traffic]

此界面主要是统计了网络中具体主机的流量（包括总流量和各种协议的具体流量）。

协议都承载于TCP/UDP之上，这是和[All Protocol/Traffic]的主要区别。其中包括
Internet上最常见的应用层协议HTTP和著名的P2P协议Bit Torrent，如

由于某些广播报文不包含特定的发送或接收主机的相关信息，因此界面中显示的流

量可能并没有包含所有的广播报文，数据流量总和与[Summary/Traffic]中的 Global
Protocol Distribution 也不一定相等。

图3-15 主机的活动情况

图 3-16所示。

3-14

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-16 基于 IP 的流量信息

(2) 组播流量统计[IP/Summary/Multicast]

此界面主要统计网络中组播的发送和接收情况，如图 3-17所示。同时把每个组播目
的地址显示为一台主机，这样就可以看到每种组播应用的具体流量。

图3-17 组播流量统计

(3) 域信息统计[IP/Summary/Internet Domain]

图3-18 域信息统计

(4) 网段的信息统计[IP/Summary/Host Clusters]

通过在NAM中的配置，可以把网段定义为Cluster。此界面显示了网段的流量信息，

图 3-19所示。

如

3-15

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-19 未知主机信息统计

点击网段的名称“Home”，即可查看该网段中每个主机具体的TCP/IP和ICMP流量

信息，如

图 3-20所示。

图3-20 网段内每台主机的流量信息

点击图 3-19或图 3-20说明文字中的preferences链接，进入Preference的配置界面，

图 3-21所示。

如

3-16

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-21 Preferences 配置界面

在其中可以找到网段的配置，如图 3-22所示。

图3-22 已经配置好的网段

在界面最后的编辑框中可以定义新的网段，如图 3-23所示。图中定义了新的网段
test。

图3-23 定义新的网段

 说明：
Preference 配置界面也可以通过[Admin/Configure/Preferences]进入。

(5) 本地/远程流量的全局分布[IP/Summary/Distribution]

此界面统计了本地、本地到远程、远程到本地、远程到远程的流量信息，如

所示。界面上方的饼图显示了比例，其他表单显示了具体数据。

3-17

图 3-24

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-24 本地/远程流量的全局分布图

 说明：

z 本地/远程流量全局分布界面并没有给出具体主机的流量信息，这部分信息请参见

2. 基于主机的本地/远程流量分布。

z 区分本地和远程的相关说明，请参见第 4 章 12. NAM中的local和remote是怎么

定义的？

2. 基于主机的本地/远程流量分布 NAM 把 IP 流量划分成四种：本地、本地到远程、远程到本地和远程到远程。四种

情况的统计界面类似，以下仅以本地流量为例进行说明。

图 3-25所示，界面显示了本地主机之间通信的IP流量统计信息。

如

图3-25 本地流量

3-18

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

3. 本地主机的具体情况 NAM 对本地主机进行统计和分析，以表单形式给出了本地主机的 TCP/UDP 端口使

用、TCP/UDP 会话、操作系统、提供的服务、本地子网的流量情况等信息。
(1) TCP/UDP 端口使用[IP/Local/Ports Used]

图3-26 TCP/UDP 端口使用情况

(2) 活动的 TCP/UDP 会话[IP/Local/Active TCP/UDP Sessions]
NAM对当前活动的TCP/UDP会话进行统计，主要包括会话双方的IP地址、端口号、

接收和发送的数据量、会话建立和活动的一些基本信息，如

图 3-27所示。

图3-27 活动的 TCP/UDP会话

(3) 本地主机操作系统使用情况[IP/Local/Host Fingerprints]

此界面中显示了NAM收集的主机的相关信息。本地主机可以显示操作系统，远程主

机不能显示操作系统；本地和远程主机的数量都将被统计，如

3-19

图 3-28所示。

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-28 本地主机操作系统信息

(4) 本地主机的角色[IP/Local/Hosts Characterization]
NAM可以识别本地主机在网络中提供的服务和其他一些特征，从而判断这些主机在

网络中担当的角色。如

图 3-29所示，角色还包括存在安全隐患的主机（包括MAC地
址冲突、使用了 0 端口、连接的主机连超过 1024 等情况），以此提醒网络管理员
需要重点注意。

图3-29 本地主机的角色

(5) 本地网络中主机间的连接图[IP/Local/Network Traffic Map]
NAM以示意图的方式显示了本地网络中的主机间的连接关系，如图 3-30所示。

3-20

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-30 本地网络中主机间的连接图

(6) IP 子网的流量信息[IP/Local/Ports Used]
NAM监控本地子网内主机之间的流量情况，以表单形式给出统计结果，如图 3-31所

示。网络管理员可以根据这一信息从整体上监控本地子网内主机之间的数据交互情

况。

3.2

图3-31 子网流量信息

典型应用

典型应用主要描述 NAM 及其插件在各个具体网络环境中的使用实例。主要包括三
种类型的应用：

z 网络流量统计
z 网络流量监控
z 网络安全漏洞检测
z 网络优化和规划

 说明：

本节旨在指导网络管理员使用 NAM，实例不覆盖所有 NAM 及其插件的功能。同时，
描述过程中涉及的参数将不作具体说明。参数的具体说明请参见附录。

3-21

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

3.2.1 网络流量统计（一）NetFlow 流量分析

1. 网络环境

企业网中的流量分为两类：Intranet 和 Internet 进行通信的流量、Intranet 主机之间

进行通信的流量。网络管理员对于这两类流量都很关心。路由器是企业网的出口，

集成于路由器上的 NAM 能很方便的监控 Intranet 和 Internet 通信的流量。那 NAM
是否能实现对内容流量的监控呢？答案是肯定的。只需使用 NAM 中的 NetFlow 插
件，即可实现上述功能。

首先，网络管理员需要在网络设备上启用 NetFlow 技术（一种流量采集技术）。
NetFlow 可以统计接口上报文的源/目的 IP 地址，源/目的端口号以及报文大小等信
息，并将这些信息组织成 Flow格式。网络设备把 NetFlow信息发送给启用了 NetFlow
插件的 NAM，NAM 就可以对这些信息进行存储和分析。

网络管理员只需在待监控的网络设备上启用 NetFlow，即可实现对流经该网络设备

的流量进行监控和分析。这一方式突破了物理地域的限制，也无需在网络中布置多

个流量监控软件，实现了一套 NAM 软件，监控整个网络的功能。
图 3-32为某企业的网络拓扑图，NAM集成于企业的出口路由器上。

RouterA

202.38.1.0/24

RouterB

202.38.2.0/24

RouterC

202.38.3.0/24

图3-32 NetFlow 流量分析组网图

DMZ z one

Internet

Router+NAM Card

2. 环境分析

图 3-32所示，企业使用集成了NAM的路由器作为网络出口。内部网络主要有三个

如

网段：202.38.1.0/24、202.38.2.0/24、202.38.3.0/24。
如果想监控这三个网段的流量，网络管理员只需进行如下两步操作：

(1) 在 MSR 系列路由器上启用 NAM，激活 NetFlow 插件。

3-22

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

(2) 在 RouterA、B、C 上分别启用 NetFlow 采集对应接口的流量。并设置发送

NetFlow 信息的目的 IP 为路由器的 Intranet 接口，即 202.38.4.2；目的端口为
65534。

这样 NAM 就能接收并存储这三个网络的流量信息，以便网络管理员直观的查看和
分析。

3. 结果查看及分析 (1) 相关配置

NAM 提供 NetFlow 插件作为 NetFlow 分析工具，必须按照以下三个步骤进行正确
的配置。

z 激活 NetFlow 插件

单击[Plugins/NetFlow/Active]菜单项，激活 NetFlow 插件。

 说明：
若此菜单项显示为 Deactive，说明插件已经激活。

z 添加并配置 NetFlow 虚拟接口

单击[Plugins/NetFlow/Configure]菜单项，进入如

图 3-33所示的界面。

图3-33 Plugins/NetFlow/Configure 界面

单击<Add NetFlow Device>按钮，即可创建NetFlow虚拟接口，并进入虚拟接口配

置界面，如

图 3-34所示。

3-23

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-34 NetFlow 接口配置界面

需要对参数进行如下配置：

NetFlow Device（interface name）：NetFlow
Local Collector UDP Port ：65534
Virtual NetFlow Interface Network Address ：202.38.0.0/16
其他参数均使用默认值。

z 切换网络接口

单击[Admin/Switch NIC]菜单项，进入如图 3-35所示的界面。把接口切换到NetFlow
接口。

图3-35 切换接口界面

(2) 查看结果

上述配置完成后，等待一段时间，NAM中即会形成最新的 NetFlow 流量信息。可以
查看具体 NetFlow 数据的菜单包括 Summary、All Protocol 和 IP。

单击[Summary/Traffic]菜单项，进入如

图 3-36所示的界面。可以查看NetFlow采集

点（即启用了NetFlow的网络设备）的总流量信息。

3-24

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-36 NetFlow 采集点总体流量信息（部分）

单击[Summary/Host]菜单项，进入如图 3-37所示的界面。可以查看NetFlow采集点
统计的主机信息。

3-25

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-37 主机统计信息

4. 注意事项 在配置 NetFlow 参数时，Local Collector UDP Port 一定要配置为正确的端口，否则

NetFlow 插件无法正常接收 NetFlow 数据。

3.2.2 网络流量统计（二）利用 RRD 查看历史流量图

1. 组网环境

在企业网中，各种网络异常情况发生在各个时间段中。网络管理员可以实时查看网
络流量来定位分析各种异常情况，也需要通过查看历史数据来定位分析问题。同时，
历史数据可以直观的反映网络使用情况的趋势和各种网络应用的分布，有助于网络

管理员对网络进行综合评价。
NAM 的 RRD 插件可以存储全局的历史流量，结合 NAM 本身直观的图表显示功能，

正好满足了网络管理员查看历史数据的需求。
图 3-38为某企业的网络拓扑图，安装了RRD插件的NAM集成于企业的出口MSR系

列路由器上。网络管理员需要了解Intranet访问Internet占用的带宽，以及最近一段
时间Intranet访问知名WEB站点 101.5.3.1 的流量。

DMZ zone

Intranet

Eth0/1

202.38.2.1/24
Router+NAM Card

图3-38 查看 Intranet 服务器历史流量的组网图

Internet

Web server

101.5.3.1/24

3-26

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

2. 环境分析

根据 RRD 插件的特点，网络管理员只需启用并简单配置 NAM 中的 RRD 插件，就

能对启用插件后的流量进行保存。网络管理员无需实时查看流量信息，只需每隔一

段时间查看历史数据，即能了解企业 Intranet 访问 Internet 的带宽和访问特定站点
的流量。

3. 结果查看及分析 (1) 相关配置

利用 RRD 查看流量图，需要进行一些必要的配置。

z 激活 RRD 插件

单击[Plugins/Round-Robin Database/Active]菜单项，激活 RRD 插件。

 说明：
若此菜单项显示为 Deactive，说明插件已经激活。

z 配置 RRD 参数

单击[Plugins/ Round-Robin Database/Configure]菜单项，进入 RRD 插件的配置界
面。RRD 插件的所有参数都有缺省值，本例中只需修改如下两个参数：

Dump Interval：向 RRD 增加一条记录的间隔，默认是 300 秒。间隔越小越能真实
反映网络活动情况，同时增加 CPU 资源的消耗。设置此参数的值为 10 秒。

Data to Dump：指定需要存储到 RRD 的数据类型。缺省只保存 interfaces 的历史记
录。为了查看访问 101.5.3.1 的流量，选中 Hosts。

z 重启 RRD 插件

重启 RRD 才能使新配置生效。单击[Plugins/Round-Robin Database/Deactive]菜单
项关闭 RRD，然后再次激活 RRD 即可完成重启操作。

(2) 查看结果
NAM 中很多流量图都是由 RRD 导出的，通过这些流量图，即可查看相关的历史记

录。同时，NAM 还提供专门的页面让用户根据自身的需要定制流量图。

z 查看 Intranet 访问 Internet 占用的带宽

一般情况下，Intranet的流量不会被镜像到路由器，所以流经路由器Eth0/1 接口的流
量绝大部分都是Intranet访问Internet的流量。因此，网络管理员只需查看Eth0/1 接
口上的吞吐量即可。单击[Summary/Network Load]菜单项，进入如

图 3-39所示的界

面，其中显示了过去十分钟和过去一小时。

3-27

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-39 网络负载流量图

 说明：

根据 NAM 监控网络的时间和 RRD 参数的配置，界面中可能会显示过去一个月或一
年的历史流量。

z 查看 Intranet 访问站点 101.5.3.1 的流量

单击[Plugins/Round-Robin Database/Arbitrary Graphs]菜单项，进入导出流量图界
面。修改以下参数的值：

File： HTTP Sent Bytes
Host IP Address： 101.5.3.1
Legend：bytes
Title to appear above the graph：http of 101.5.3.1
Start：now
End：now-12h

3-28

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

配置完参数以后，单击<Make Request>按钮，生成流量图。该流量图体现过去十二
小时 Intranet 访问 101.5.3.1 的 HTTP 流量。

图3-40 HTTP 历史流量图

4. 注意事项

单击[Plugins/Round-Robin Database/Arbitrary Graphs]菜单项，进入导出流量图界
面后，如果设置的File参数没有对应的RRD文件，则单击<Make Request>按钮生成

流量图时，会报错，如

图 3-41所示。

图3-41 出错页面

3.2.3 网络流量统计（三）支持对用户的 P2P 流量进行分析

1. 网络环境

随着人们越来越热衷于使用互联网，各种网络技术和网络服务满足了不同人群的各

种需求。P2P 技术是近来比较流行的一种技术。这种技术提高了用户的下载速度，
但是也占用了大量的带宽。网络管理员希望发现和监控网络中的 P2P 流量，以便在
适当的时候采取必要的措施。

NAM 具备了在诸多网络流量中分辨各种应用层流量的能力，并通过人性化的图表显
示了网络流量的统计结果。因此网络管理员使用 NAM 即可发现和监控 P2P 流量。。

图 3-42为某企业的网络拓扑图，NAM集成于企业的出口路由器上。近来，企业内部

员工反映上网速度很慢，还经常掉线。网络管理员经过初步判断，认为企业内部有

人使用P2P软件下载，占用了大量带宽。网络管理员将使用NAM软件对这一情况进
行监控和分析。

3-29

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

RouterA

192.168.1.0/24

RouterB

192.168.2.0/24

Router+NAM Card

RouterC

192.168.3.0/24

Internet

图3-42 P2P 流量分析组网图

2. 环境分析

图 3-42所示，企业使用路由器连接Intranet和Internet。Intranet主要由三个网段组

如

成：192.168.1.0/24、192.168.2.0/24、192.168.3.0/24。为了同时监控Intranet内部
的P2P流量，分别在RouterA，RouterB，RouterC上使用NetFlow采集流量，NetFlow
目的端口为默认的 2055，目的IP为路由器的NAM的管理IP。

经过以上配置，网络管理员只需登录 NAM，即可查看 NAM 提供的流量统计图表，
实现对网络中 P2P 流量的监控。

 说明：

关于NAM中NetFlow插件的典型应用，请参见3.2.1 网络流量统计（一）NetFlow流
量分析

。

3. 结果查看及分析 (1) 相关配置

配置NetFlow插件。具体请参见

3.2.1 网络流量统计（一）NetFlow流量分析。

(2) 查看结果

z 查看各种 P2P 协议的流量信息。

单击[Summary/Traffic]菜单项，进入流量汇总界面。在页面中直接查看Global
TCP/UDP Protocol Distribution图表，如

图 3-43和图 3-44所示。把其中的几种P2P

协议所占的百分比相加，得出所有P2P协议所占流量的百分比为 24％。

 说明：
NAM 可以分析的 P2P 软件包括：BitTorrent、 Gnutella、 Kazaa、 WinMX、

DirectConnect（DC++）和 eDonkey。

3-30

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-43 各种 P2P 协议所占流量的百分比

3-31

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-44 各种 P2P 协议的比例图和历史信息

z 确定使用 P2P 软件的主机，并查看这些主机详细信息

单击[IP/Summary/traffic]菜单项，进入基于主机的IP流量统计界面。按照各种P2P
协议排序，可以找到P2P流量较大的主机，如

图3-45 按照 Gnutella 流量排序

图 3-45和图 3-46所示。

3-32

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-46 按照BitTorrent流量排序

 说明：
为了使图片更加清晰，图 3-45和图 3-46都做了一定裁减，让图片的信息更集中。

单击[All Protocols/Traffic]菜单项，进入如

图 3-47所示的界面，即可查看P2P流量较

大的主机占用带宽的情况。

图3-47 主机流量所占总流量的百分比

点击Host列的主机IP，即可进入该IP对应的主机的详细信息显示界面，如图 3-48所
示。

图3-48 主机详细信息显示界面

z 快速查看主机占用带宽的情况

如果网络管理员想快速查看哪些主机占用了大量带宽，可以使用NAM的PDA插件。
单击[Plugins/PDA/View]菜单项，进入如

图 3-49所示的界面。界面分别显示了接收

和发送的流量排名前几位的主机（以IP方式显示）。

3-33

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-49 PDA 插件显示的流量排序界面

(3) 分析结果
通过上面的图表，网络管理员可以很清晰的指导使用 P2P 协议的主机主要为

192.168.2.123 和 192.168.2.125，同时占用了 20％以上的总带宽。

4. 建议网络管理员采取的措施

通过上述分析，网络管理员已经知道了使用 P2P 软件的主机、P2P 软件的类型及其
使用的端口号。根据企业网具体情况，如果 P2P 软件的使用已经影响了正常的数据
交互，建议网络管理员对路由器进行设置，关闭 P2P 软件使用的端口或配置 P2P
协议使用的带宽上限。

3-34

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

3.2.4 网络流量监控（一）网络错误配置

1. 网络环境

在企业网中，虽然网络管理员可以对网络中的主机进行统一的配置和部署，但是主

机的使用者随时可以对主机进行相关修改，比如修改主机的 IP 地址，主机使用的
DNS 服务器地址等。一方面，使用者的随意修改可能使其无法正常使用网络；另一
方面，各种修改使得网络管理员很难定位问题。NAM可以帮助网络管理员解决以上
烦恼。NAM对网络进行实时监控，可以发现网络配置错误，使得网络管理员不用现
场定位即可发现问题。

图 3-50为某企业的网络拓扑图，NAM集成于企业的出口路由器上。Intranet的网络
设备把 192.168.0.0/24 网段的流量镜像到路由器上。Intranet的DNS服务器的地址为

192.168.0.21。NAM实时监控网络，探察网络中的配置错误。

User A

192.168.0.65

User B

Intranet

DMZ zone

Internet

Router+NAM Card

图3-50 网络配置错误组网图

2. 环境分析 NAM 实时监控 192.168.0.0/24 网段的流量，能发现 DNS 配置错误情况和重用 IP 地

址的情况。

3. 结果查看及分析 常见的网络异常有以下几种，下文将使用 NAM 来一一定位。

(1) 用户 A 造成访问 WEB 站点不成功

第一，使用 ping，查看用户 A 的网络连接是否存在问题。从用户 A ping DNS 服务
器的地址，能 ping 通说明网络连接没有问题。

第二，判断 DNS 是否出现异常。如果用户 A 配置的 DNS 服务器有误，DNS 服务器
就不会响应用户 A 的 DNS 报文。因此只需在 NAM 中是否有回应用户 A 的 DNS 报
文。

NAM 提供基于主机的应用层流量的统计。单击[IP/Summary/Traffic]菜单项，进入查
看具体协议报文的界面。

3-35

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

z 点击右上角的Sent Only链接，显示结果表明 192.168.0.65 发送了一定量的

DNS报文，如

图 3-51所示。

图3-51 查看发送的 DNS 字节数

z 点击右上角的Received Only链接，结果表明 192.168.0.65 没有接受到DNS报

文，如

图 3-52所示。

图3-52 查看接收的 DNS 字节数

192.168.0.65 的发送的 DNS 字节数为 590 字节，接收的 DNS 字节数为 0，说明用

户 A 无法正常使用 DNS 服务，排除 DNS 服务器本身的问题后，网络管理员即可确
定用户 A 的 DNS 服务器地址配置错误。

(2) 用户 B 将 IP 地址配置成了 192.168.0.65，与用户 A 的 IP 地址冲突。
NAM 可以记录 Intranet 主机的详细信息，包括 IP 地址，MAC 地址等。通过查看同

一个 IP 地址是否存在不同的 MAC 来判断是否有 IP 地址冲突。
单击[Summary/Host]菜单项，进入如

图 3-53所示的界面。其中显示了所有被NAM

监控到的主机信息。点击主机列表的IP Adress项，使主机信息按照IP地址排列。

3-36

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-53 查看主机信息

很明显，IP 地址 192.168.0.65 对应了两个不同的 MAC 地址。由此判断网络中有两
台主机的 IP 地址冲突。

4. 建议网络管理员采取的措施

通过上述分析，网络管理员已经知道了错误配置 DNS 和 IP 地址冲突的主机的 IP 地

址。如果网络管理员保存了一份企业网设备信息的文档，立即就能定位到这些主机
在企业网中的物理位置。之后，网络管理员即可采取相关的修复措施，如通知主机

所有者修改错误配置等。

3.2.5 网络流量监控（二）网络服务器负载分析

1. 网络环境 因业务需要，很多企业经常在企业网内部或者向 Internet 提供一些网络服务（如

HTTP 服务、FTP 服务等）。为了保证这些网络服务能够正常被用户使用，并具备

一定的稳定性和可靠性，这些服务器的管理员（往往也是企业的网络管理员）必须

实时关注服务器是否运行正常。NAM 提供了对网络服务的数据收集功能，让网络管
理员在 NAM 的界面中就能获悉各种网络服务的流量信息，以此来判断服务器的工
作状态。

图 3-54为某企业的网络拓扑图，NAM集成于企业的出口路由器上。企业网中配备了

HTTP服务器和FTP服务器，对企业网内部和Internet提供了HTTP服务和FTP服务。

3-37

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

DMZ zone

HTTP server

202.38.. 2.10

HTTP server

FTP server

Intranet

Router+NAM Car

Internet

d

图3-54 网络服务器负载分析组网图

2. 环境分析 HTTP 服务器的 IP 地址为 202.38.2.10，网络管理员只需查看 HTTP 服务器的负载

情况即可初步判断当前 HTTP 服务能否被正常使用。同时，查看 HTTP 服务器的历
史流量，通过分析 HTTP 服务的流量分布，可以了解 HTTP 服务器的历史运行情况，
有针对性的进行维护和管理。FTP 服务的判断方法类似。

3. 结果查看及分析 (1) 查看结果

z 查看 HTTP 服务器 202.38.2.10 每天的流量图，找出一天的流量规律。

单击[Plugins/ Round-Robin Database/Arbitrary Graphs]菜单项，进入 RRD 数据导
出配置界面。修改以下参数的值：

File： bytesSend (byesRcvd)
Host IP Address： 202.38.2.10
Legend：bytes。
Title to appear above the graph：bytesSend of 202.38.2.10
Start：now
End：now-1d
Start 和 End 参数表明，导出的流量图以天为单位。
配置完参数以后，单击<Make Request>按钮，生成流量图。

3-38

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-55 网络服务器最近一天的流量图

上面三张图，分别是今天、昨天和前天的流量图，从图中可以推断出每天下午 3 点
和上午 10 点左右 HTTP 服务器的流量比较大。

z 查看 HTTP 服务器 202.38.2.10 每周的流量图，找出一周的流量规律。

单击[Plugins/ Round-Robin Database/Arbitrary Graphs]菜单项，进入 RRD 数据导
出配置界面。修改以下参数的值：

File： bytesSend (byesRcvd)
Host IP Address： 202.38.2.10
Legend：bytes。
Title to appear above the graph：bytesSend of 202.38.2.10 this week
Start：now
End：now-1w
Start 和 End 参数表明，导出的流量图以周为单位。

3-39

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

配置完参数以后，单击<Make Request>按钮，生成流量图。

图3-56 网络服务器每周流量图

上面三张图，分别是本周、上周和上两周的流量图，从图中可以推断出周一到周五，

HTTP 服务器的流量比较大，周末几乎无人使用 HTTP 服务。

z 查看 HTTP 服务器的 TCP 会话

单击[Summary/Hosts]菜单项，进入主机信息界面。点击 Host 202.38.2.10，显示
HTTP 服务器的具体信息。

3-40

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-57 近期访问 HTTP 服务器的主机

通过上图可以查看近期有哪些主机访问了 HTTP 服务器。
(2) 分析结果

通过查看 HTTP 服务器每天、每周的具体流量（特别是流量较大的时间段），可以
分析 HTTP 服务器是否过载。上例的图中表明，HTTP 服务的流量较小，HTTP 服
务器完全能满足现在的流量需求。

通过查看和 HTTP 服务器交互信息的主机 IP，可以分析是否有大量的 Internet 用户
来访问 HTTP 服务器。上例的图中表明，并没有很多用户使用该企业网提供的 HTTP

服务，或者是因为宣传较少，或者是因为网站本身不吸引人。这些数据都可以作为

参考数据。

3-41

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

3.2.6 网络安全漏洞检测（一）DOS 攻击检测

1. 组网需求

网络安全成为网络管理员越来越关注的问题。当网络中出现恶意攻击时，正确使用

NAM，就能对几种常见的攻击行为进行检测和分析。
图 3-58为某企业的网络拓扑图，NAM集成于企业的出口路由器上。近来，企业内部

员工反映访问企业内部的WEB服务器很慢，有时甚至无法访问。网络管理员将对这
一情况进行排查和分析，其中使用了NAM来帮助定位问题。

RouterA

192.168.1.0/24

RouterB

192.168.2.0/24

Internet

RouterC

Router+NAM Car

192.168.3.0/24

d

图3-58 DOS 攻击检测组网图

2. 环境分析

因为员工只是反映无法访问特定的服务器，而不是无法使用网络。因此初步判断大

部分网络运行正常。在网络管理员的建议下，员工之间进行了主机互 ping 操作，发
现 ping 正常，而员工的主机 ping 服务器时却丢包严重。初步判断为服务器存在问
题。

为了进行细致而深入的分析，网络管理员使用NAM对服务器进行监控。在如

图 3-58
所示的组网环境中，网络管理员可以把服务器的流量镜像到NAM（集成于MSR系列
路由器上）。登录NAM之后，通过查看NAM提供的流量统计图表，即可对服务器的
流量进行监控，进而分析服务器的问题所在。

3. 结果查看及分析 (1) 查看结果

z 查看服务器的 TCP 连接情况来判断是否遭受 SYN Flood 攻击。

启用NAM的TCP Session信息监控。单击[Admin/Configure/Startup Options]菜单项，
进入NAM配置界面。把Enable Session Handling (-z)配置为Yes，如

3-42

图 3-59所示。

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-59 NAM 配置页面

保存配置并重启 NAM。重启完毕后，NAM 使能了监控 TCP Session 的功能。
单击[Summary/Hosts]菜单项，点击待查看的服务器的IP，进入服务器的详细信息界

面。直接查看Packet Statistics表，如

图 3-60所示，表中显示了服务器的TCP 连接
情况。如果发现收到了很多SYN报文，但没有收到对应的ACK报文，即可初步判断
服务器收到了SYN Flood 攻击。

3-43

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

3-44

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-60 Packet Statistics 表

从上图可以看出服务器收到了 4496 个 TCP 的 SYN 报文，而只有 2 个是有效的，
由此判定服务器正在受到 SYN Flood 攻击。

z 查看服务器的 ICMP 流量来判断是否遭受 ICMP Flood 攻击。

在同一个页面中，查看ICMP流量情况，如

图3-61 ICMP 流量情况

图 3-61所示。

发现 ICMP 流量很大，说明服务器收到非正常的 ICMP 流量。
单击[Plugins/ICMP Watch/View]菜单项，进入ICMP报文信息统计界面，如

示。

3-45

图 3-62所

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-62 ICMP 报文信息统计界面

在此界面中，可以定位到发送 ICMP 报文的主机。
(2) 分析结果

从 NAM 的各种报表中发现，服务器的大量 TCP 连接都是无效的。而且服务器还同
时收到了大量的 ICMP 报文。这些都消耗了服务器大量的资源，导致服务器无法提
供正常的网络服务。

4. 建议网络管理员采取的措施 配置相应的路由器设置，来减少 DOS 攻击，可以参考下面配置方法：

z 禁止对服务器的非开放服务的访问。
z 限制同时打开的 SYN 最大连接数。
z 限制特定 IP 地址的访问。
z 启用路由器的防 DDoS 的属性。
z 严格限制对外开放的服务器对外访问的权限。

3.2.7 网络安全漏洞检测（二）病毒探测

1. 组网需求

在企业网中，经常因为某台 PC 中毒而导致病毒在网络中泛滥。更令人头疼的是，

企业中的一些员工缺乏防病毒知识，而且防病毒意识淡薄。网络管理员如果能尽早
发现病毒，就能及时采取措施，防止病毒在网络中的蔓延。同时定位到问题主机，

及时进行杀毒和修复，消除安全隐患。
图 3-63为某企业的网络拓扑图，NAM集成于企业的出口路由器上。近来，企业内部

有不少员工抱怨网络速度缓慢，不能正常使用网络服务。网络管理员将对这一情况

进行排查和分析，其中使用了NAM来帮助定位问题。

3-46

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

RouterA

192.168.1.0/24

RouterB

192.168.2.0/24

Internet

RouterC

Router+NAM Car

192.168.3.0/24

d

图3-63 病毒探测组网图

2. 环境分析

因为有较多员工反映网络速度缓慢，不能正常使用网络服务。因此初步判断网络中
存在大量的无效报文，浪费了大量的带宽。在网络管理员的建议下，员工之间进行

了主机互 ping 操作，发现 ping 时严重丢包。而且在没有网络连接的情况下，一些
主机的网卡流量也比较大。根据这些信息，网络管理员判断网络中存在病毒。

图 3-63所示，企业使用路由器连接Intranet和Internet。Intranet主要由三个网段组

如

成：192.168.1.0/24、192.168.2.0/24、192.168.3.0/24。为了同时监控Intranet内部
的流量，分别在RouterA，RouterB，RouterC上使用NetFlow采集流量，NetFlow目
的端口为默认的 2055，目的IP为路由器的NAM的管理IP。

经过以上配置，网络管理员只需登录 NAM，即可查看 NAM 提供的流量统计图表，

对网络中感染病毒的主机进行定位。另外，有些异常流量发生时并不体现为大流量，
此时需要综合异常流量发生时的其它现象来判断，这些现象表现为：设备端口的包

转发速率异常、网络时延较大、丢包严重、网络设备的 CPU 利用率频繁变化等。

 说明：

关于NAM中NetFlow插件的典型应用，请参见3.2.1 网络流量统计（一）NetFlow流
量分析

。

3. 结果查看及分析 (1) 相关配置

配置NetFlow插件。具体请参见

3.2.1 网络流量统计（一）NetFlow流量分析。

(2) 查看结果

z 查看当前活动的 TCP/UDP 的端口

单击[Summary/Traffic]菜单项，直接找到TCP/UDP Traffic Port Distribution表，如图

所示。

3-64

3-47

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-64 TCP/UDP Traffic Port Distribution 表

在表中发现一个可疑端口 1434，而把 1434 作为目的端口正是 2003 蠕虫王的典型
特征。

z 查看使用特定目的端口的主机

为了进一步确定哪些主机在发送目的端口为 1434 的报文，点击相应的端口号链接，

进入如

图 3-65所示的界面。

图3-65 Active TCP/UDP Sessions 表

在表中可以看出是 192.168.1.19 和 192.168.1.29 在向 192.168.1.41 发送目的端口
为 1434 的 UDP 报文。以此判断 192.168.1.19 和 192.168.1.29 已感染了 2003 蠕虫
王病毒。

 说明：

上述检测方式是实时检测，是以最近 1 分钟流量中的端口信息作为判断的依据。若
要查看较长时间的监控结果，可以查看[IP/Local/Ports Used]界面下的端口信息（查
看这些信息时，需要在[Admin/Configure/Startup Options]界面下把 Local Subnet

Address (-m)参数设置为需要监控网段）。

3-48

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

(3) 分析结果

以上通过 NetFlow 插件，可以清晰的定位 Intranet 中感染病毒的机器以及感染的病
毒（需要网络管理员事先了解病毒的特征）。

如果需要发现来自Internet对Intranet的蠕虫传播，需要检查来自Internet的TCP flag
设置为RST/ACK的流记录。Intranet中的主机即使关闭了相应端口也会向来自

Internet的TCP请求回应RST/ACK，如

3.2.6 网络安全漏洞检测（一）DOS攻击检测

中的图 3-60所示。这些回应了RST/ACK的主机就有可能被蠕虫病毒感染，网络管理
员应该认真排查这些回应了RST/ACK的主机，及时发现病毒。

4. 建议网络管理员采取的措施 (1) 切断连接

在问题主机可控的情况下，切断问题主机的物理连接是最直接的办法，需要最先执

行。
(2) 配置ACL

过滤规则

在相关网络设备上配置 ACL（Access Control List）过滤规则，能够灵活实现针对
源/目的 IP 地址、协议类型、端口号等各种形式的过滤，有效防止病毒扩散。同时
也带来两个副作用：

z 消耗网络设备的系统资源

z 如果过滤条件设置不当，有可能过滤一些与病毒类似的正常报文，限制了一些

正常的网络访问。

网络管理员可以谨慎的采用这一方法。
(3) 配置静态空路由过滤

在可以确定异常流量目的地址的情况下，可以相关网络设备上用静态路由把异常流

量的目的地址指向空（Null）。这种过滤几乎不消耗网络设备的系统资源，但同时
也完全阻断了对目的地址的正常访问。

网络管理员可以根据实际情况（如病毒严重程度，目的地址的使用频度等）谨慎使

用这一方法。
通过以上方式可以防止病毒的扩散，之后需要网络管理员进行有效的杀毒。

3.2.8 网络优化和规划（一）网络冗余协议探测

1. 组网需求

在企业网中，IP 是最常用的网络通信协议。而企业员工经常会安装一些无用的网络
协议，如 IPX、NetBIOS 等。这些协议经常广播报文，浪费了网络带宽。网络管理

员可以定期普查网络协议的使用状况，发现并指导企业员工把这些无用的协议删除，

优化网络环境。

3-49

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图 3-66为某企业的网络拓扑图，NAM集成于企业的出口路由器上。网络管理员定期
使用NAM对网络协议进行查看，如果发现冗余协议，并定位到具体的主机，即可指
导企业员工进行删除。

RouterA

192.168.1.0/24

RouterB

192.168.2.0/24

Internet

RouterC

Router+NAM Car

192.168.3.0/24

d

图3-66 网络冗余协议探测组网图

2. 环境分析

图 3-63所示，企业使用路由器连接Intranet和Internet。Intranet主要由三个网段组

如

成：192.168.1.0/24、192.168.2.0/24、192.168.3.0/24。为了监控Intranet内部的网
络层协议，分别在RouterA，RouterB，RouterC上使用sFlow采集流量，sFlow目的
端口为 6343，目的IP为路由器的NAM的管理IP。

经过以上配置，网络管理员只需登录 NAM，即可查看 NAM 提供的流量统计图表，
对网络层协议进行查看。

 说明：
RouterA 等设备上 sFlow 的相关配置，请参见设备的配置手册。

3. 结果查看及分析 (1) 相关配置

NAM提供 sFlow插件作为 sFlow分析工具，必须按照以下三个步骤进行正确的配置。

z 激活 sFlow 插件

单击[Plugins/sFlow/Active]菜单项，激活 sFlow 插件。

 说明：
若此菜单项显示为 Deactive，说明插件已经激活。

z 添加并配置 sFlow 虚拟接口

3-50

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

单击[Plugins/sFlow/Configure]菜单项，进入如图 3-67所示的界面。

图3-67 Plugins/sFlow/Configure 界面

单击<Add sFlow Device>按钮，即可创建sFlow虚拟接口，并进入虚拟接口配置界

面，如

图 3-68所示。

图3-68 sFlow 接口配置界面

需要对参数进行如下配置：

sFlow Device（interface name）：sFlow
Local Collector UDP Port ：6343
Virtual sFlow Interface Network Address ：192.168.0.0/16
其他参数均使用默认值。

z 切换网络接口

单击[Admin/Switch NIC]菜单项，进入如图 3-69所示的界面。把接口切换到sFlow接
口。

3-51

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-69 切换接口界面

(2) 查看结果

z 查看全局流量，确定网络中包含协议的类型。

单击[Summary/Traffic]菜单项，直接找到Global Protocol Distribution表，如
所示。

图 3-70

图3-70 Global Protocol Distribution 表

在表中可以看出网络中存在 IPX、NetBIOS 流量。网络管理员需要定位到安装了这
些协议的主机。

z 定位运行了 IPX 和 NetBIOS 的主机。

单击[All Protocols/traffic]菜单项，直接找到 Network Traffic 表，按照 IPX、NetBIOS
协议的流量对主机排序，找出使用了 IPX 或 NetBIOS 的全部主机，如所示。

3-52

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 3 章 配置指南

图3-71 Network Traffic 表

根据主机的 IP 地址，即可定位到具体的主机。

4. 解决问题

网络管理员找到对应的主机，确认此主机不需要使用 IPX 或 NetBIOS，把相应的协
议删除即可。

5. 注意事项 Global Protocol Distribution表（

图 3-70）中统计的NetBIOS，包含了TCP/IP的

NetBIOS（NetBT）流量和NetBEUI流量。早期的Windows及其他操作系统需要使

用NetBEUI协议来进行通信，新版本的Windows都使用TCP/IP的NetBIOS（NetBT）
来进行通信。

使用 NetBEUI 协议的操作系统包括：Microsoft Windows NT Server 3.5 或者更新版
本、Microsoft Windows NT、Workstation 3.5或更新版本、Microsoft LAN Manager、

Microsoft Windows for Workgroups、Microsoft Windows 3.1、Microsoft Windows
95、Microsoft Windows 98、Microsoft WindowsNT3.1、LAN Manager for UNIX，

以及 IBM PCLAN 和 LAN Server。
在[All Protocols/Traffic]菜单项对应的界面中，查看 NetBIOS 列，此列显示了非

NetBT 类型的 NetBIOS 报文，即 NetBEUI 报文。
如果发现网络中有 NetBEUI 协议，请在删除时确认主机的操作系统，避免因为误删

出而导致主机无法通信。

3-53

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 4 章 常见问题解答

第4章 常见问题解答

1. 在局域网中配置了很多 VLAN，而 在 NAM 软件中只能监控到 1 个 VLAN 的流量。 这是为什么？

如果需要监控局域网中的所有 VLAN，被监控接口必须配置为 trunk 类型，同时把需
要监控的 VLAN 配置为允许通过。这样即可监控相应 VLAN 的流量。

2. 在[IP/Local]菜单下没有 Active TCP/UDP Sessions 菜单项，这是为什么？

这是因为[Admin/Configure/Startup Options]对应的页面中，Basic Preferences 下的
Enable Session Handling (-z)参数没有配置为 Yes。只需该参数配置为 Yes，即可
看到[IP/Local/Active TCP/UDP Sessions]菜单项。

3. 为什么广播报文总是被统计 2 次？

通常情况下，被监控端口都配置了镜像，镜像流量被统计 1 次。同时，广播报文会
在所在的 VLAN 中泛洪，监控端口也会接收到此泛洪，于是再被统计 1 次。因此一
共会被统计 2 次。

4. Host 列有时显示为节点的 FQDN（Fully Qualified Domain Name，正式域名）名 称，有时为节点的 IP 地址，有时为 MAC 地址。这是为什么？

若 NAM 启动时的配置参数 No DNS(-n)为 no（具体请参见附录 A.7.2.1），则 NAM
会把探测到的 IP 地址试图解析成相应的 FQDN 名称。如果解析成功，则在 Host 列
显示 FQDN 名称，否则显示 IP 地址。若 NAM 启动时的配置参数 No DNS(-n)为 yes，
则 NAM 不对探测到的 IP 地址进行解析，直接显示为 IP 地址。若 NAM 探测到的报
文不是基于 IP 的（如：STP、IPX 等），则显示为 MAC 地址。

5. 为什么 Domain 有时能取到值，有时取值错误？

只有 IP 地址解析成相应的 FQDN 名后，才能显示正确的 Domain。Domain 列通常
以图标的方式显示。如果 IP 地址不属于私有 IP 地址范围（10.0.0.0/8、176.16.0.0/12
或 192.168.0.0/16），则 NAM 会查找 p2c.opt.table.gz 文件，从中找出 IP 地址与国
家的对应关系，然后以相应的国旗表示。如果 p2c.opt.table.gz 文件中包含的不是最
新的对应关系，则 IP 地址与国家的对应关系可能出错。

可以到相应网站下载最新的信息，也可以手工编辑配置文件（甚至添加新的国家图

标）来更新 IP 与国家的对应关系。点击 NAM 对应页面中的 NOTE 下面的 here 链
接，可查看详细步骤。

4-1

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 4 章 常见问题解答

6. 为什么重启 NAM 软件后所有的数据都丢失了？

NAM 把正在使用的数据都保存在内存中，所以重启 NAM 软件后这些数据会丢失。
历史数据保存在 RRD 数据库中，激活 RRD 插件后，即可查看历史数据。

7. NAM 正在运行，为什么看不到任何流量？

在[Admin/Switch NIC]中查看监控端口是否正确。如果端口配置正确却没有流量，请
查看路由器上端口 GigabitEthernet 1/0 流量情况，只有 GigabitEthernet 1/0 的流量
会被统计。

8. 在[Admin/Configure/Startup Options]的 Advanced Preferences 中配置了 Don't Merge Interfaces (-M)参数（主要用于合并端口），为什么这一配置不生效。？

在 NAM 软件中，如果启用了 NetFlow 或 sFlow 插件，则 Don't Merge Interfaces (-M)
不生效。

9. 为什么设定 Capture File Path 参数以后，NetFlow 和 sFlow 虚拟接口还有效？

因为两者并不冲突。
Capture File Path 参数的含义是从文件中读取报文数据，NetFlow、sFlow 虚拟接口

则打开了相应的 UDP 端口监听数据。两者的数据来源不同，不会冲突。NAM 都会
进行统计。

10. Preferences 的配置和 Startup Options 配置有什么不同？

Preference 和 Startup Options 中的参数表现形式不同，而且 Preferences 中的参数
更加齐全。Preferences 和 Startup Options 中的参数配置的效果相同。

11. 使用[Admin/Configure/Reset Stats]清空数据，再查看页面时还存在数据，这是 为什么？

[Admin/Configure/Reset Stats]清空了内存中的数据。进行了清空操作之后，页面还
会有显示两种数据：

z 清空操作之后，NAM 实时监控的流量。
z 某些存放在磁盘中的数据，如[Summary/Network Load]中显示的数据。

12. NAM 中的 local 和 remote 是怎么定义的？

[Admin/Configure/Startup Options]中的 Local Subnet Address 参数用于配置 local

的范围。
举例说明如下：
配置了 Local 的范围为 1.2.3.0/24
源为 1.2.3.0/24、目的为 1.2.3.0/24 的数据属于 local->local。
原为 1.2.3.0/24、目的为 131.114.21.9 的数据属于 local->remote。

4-2

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 4 章 常见问题解答

remote->local 和 remote->remote 类似。

13. 为什么在 NAM 中不能得到 RRD 的输出？

(1) 确认 RRD 插件是否使能
(2) 缺省情况下，没有为每个主机保存一个 RRD 文件。如果需要输出某个主机的

流量，需要在[Admin/Configure/Startup Options]中通过 Local Subnet Address
参数配置该主机所在的子网和掩码。

14. 日志 What do these log messages mean 是什么意思？

出现这个日志的原因是 NAM 发现同一个主机的报文（同一个 IP 和 MAC）属于不通
的 VLAN。NAM 软件发现一个报文就统计一个报文，有可能出现重复统计。因此这
不是问题。

15. 什么是 What are High/Medium/Low risk flags？

NAM 软件具有一定的告警功能。当主机的某些配置或者网络行为符合 NAM 中的某

些设定时，就会显示 risk flag。不同颜色的 risk flag 用于提示主机不同的配置或网络
行为。具体情况可以参见 NAM 软件页面中对 risk flag 的说明。

16. 为什么有的主机名以不同的颜色显示？

这是为了表达主机的一些特殊信息。例如：ACTIVE TCP SESSIONS 中用五种不同
的颜色表示主机距第一次被 NAM 捕获到报文的时间。

17. 为什么不能通过 WEB 界面访问 NAM？

(1) 请确认NAM是否已经启动，具体操作请参见

2.3.6 启动和关闭NAM软件。

(2) 请确认使用的访问方式是否正确，即需要正确使用 http 或 https 来访问 NAM。

18. 如何查看[IP/Summary/Host Clusters]中 Cluster 流量？

Cluster 是管理员根据自身需要配置的网段，在[Admin/Configure/Preferences]中设

置。格式为：cluster.myCluster = 网段范围，其中 myCluster 为管理员自定义的网
段名称，网段范围格式如下所示：169.254.0.0/16，192.168.0.0/16，可以设置一个
或者多个网段。

19. 网络管理员发现，有时候网络中没有 eDonkey 等流量，在 NAM 的统计图表中 却显示这些流量非 0。这是为什么？

因为 NAM 对于这些协议的统计是基于端口号的，如果网络中的某些报文使用的端
口号恰好与这些协议的相同，那么就会出现上述情况。

4-3

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 4 章 常见问题解答

20. 什么是 BPF 表达式？

BPF 是一种过滤机制，用于筛选需要关注的报文。BPF 表达式是一种基本的格式，
表示了筛选报文的条件。

BPF 表达式一般由三种类型的原语组成：
Type：host、net、port
Dir：src、dst、src or dst、src and dst
Proto：ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp

各原语用 and、or、not 连接。
如：src host 192.168.1.1 and dst host 192.168.1.2 就表示筛选源为 192.168.1.1，

目的为 192.168.1.2 的报文。

表4-1 常见原语表

常见的基本原语 常见的基本原语 常见的基本原语

dst host host src net net greater length
src host host net net ip proto protocol
host host net net mask mask ether broadcast
ether dst ehost net net/len ip broadcast
ether src ehost dst port port ether multicast
ether host ehost src port port ip multicast
gateway host port port ether proto protocol
dst net net less length

 说明：

上表中正体字表示原语中的关键字；斜体字表示原语中的参数，需要原语使用者自
定义。

21. 在历史数据（Historical Data）统计图中，报文的各种统计值后面的字母分别表 示什么含义?

在报文的分类统计图中，统计值均省略了计数单位 Bytes，如 1.3k 表示 1.3k Bytes，

1.3M 表示 1.3M Bytes。

统计值后面的字母（区分大小写）表示该统计值的数量级。每个字母的具体含义请

表 4-2。

参见

4-4

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 第 4 章 常见问题解答

表4-2 字母含义表

字符 含义

a 10e-18(Ato) Bytes
f 10e-15(Femto) Bytes
p 10e-12(Pico) Bytes
n 10e-9(Nano) Bytes
u 10e-6(Micro) Bytes
m 10e-3(Milli) Bytes
无
k 10e3(Kilo) Bytes
M 10e6(Mega) Bytes
G 10e9(Giga) Bytes
T 10e12(Terra) Bytes
P 10e15(Peta) Bytes
E 10e18(Exa) Bytes

Bytes

22. 在历史数据（Historical Data）统计图中，为什么存在以下两种情况？

z 小流量报文统计值对应的纵坐标比大流量报文统计值对应纵坐标值还大。
z 某些类型报文的统计值和其在图中对应的纵坐标不相符。

为了清晰显示代表各种类型报文的颜色，第二种报文的图形会以第一种报文的数值

对应的纵坐标作为 y 坐标轴的原点进行绘制，以此类推。因此，当查看图中纵坐标
不是从 0 开始的色块所代表的报文数值时，正确值为该色块对应的纵坐标最大值和
最小值之差。

23. 在历史数据（Historical Data）统计图中，为什么有时图形会显示在坐标轴下方？

这是因为此时图中的 x 坐标轴对应的纵坐标数值不为 0。

24. 修改了 Linux 的系统时间后，NAM 中的许多统计值都出现了错误，如平均报文 速率出现了负数值。这是为什么？

NAM 收集的流量信息都是时间敏感数据，在计算各种统计值时会使用当前系统时

间。如果修改了 Linux 的系统时间，就会导致各种统计值计算错误，甚至出现负数
值的情况。因此请不要轻易修改 Linux 的系统时间。如果确实需要修改，请在修改
后重新启动 NAM 软件。

4-5

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 目 录

目 录

附录 A NAM软件功能详解...................................................................................................... A-1

A.1 Summary...........................................................................................................................A-1

A.1.1 Traffic......................................................................................................................A-1

A.1.2 Hosts.......................................................................................................................A-4

A.1.3 Network Load..........................................................................................................A-5

A.1.4 VLAN Info................................................................................................................A-6

A.1.5 Network Flows........................................................................................................A-6

A.2 All Protocols.......................................................................................................................A-7

A.2.1 Traffic......................................................................................................................A-7

A.2.2 Throughput..............................................................................................................A-8

A.2.3 Activity.....................................................................................................................A-8

A.3 IP .......................................................................................................................................A-9

A.3.1 Summary.................................................................................................................A-9

A.3.2 Traffic Directions...................................................................................................A-14

A.3.3 Local .....................................................................................................................A-17

A.4 主机信息 ..........................................................................................................................A-20

A.4.1 Host基本信息 ........................................................................................................A-21

A.4.2 Host流量统计 ........................................................................................................A-22

A.4.3 TCP/UDP相关统计信息 ........................................................................................A-22

A.4.4 ARP相关信息 ........................................................................................................A-23

A.4.5 协议分布情况 ........................................................................................................A-23

A.4.6 ICMP信息..............................................................................................................A-24

A.4.7 TCP连接信息 ........................................................................................................A-24

A.4.8 TCP/UDP端口应用信息 ........................................................................................A-24

A.5 Utils..................................................................................................................................A-25

A.5.1 Data Dump............................................................................................................A-25

A.5.2 View Log...............................................................................................................A-26

A.6 Plugins.............................................................................................................................A-26

A.6.1 Host Last Seen .....................................................................................................A-26

A.6.2 ICMP Watch..........................................................................................................A-27

A.6.3 NetFlow.................................................................................................................A-28

A.6.4 PDA.......................................................................................................................A-32

A.6.5 Round-Robin DataBase........................................................................................A-32

A.6.6 sFlow.....................................................................................................................A-38

A.6.7 All..........................................................................................................................A-40

A.7 Admin ..............................................................................................................................A-40

A.7.1 Switch NIC............................................................................................................A-40

A.7.2 Configure ..............................................................................................................A-40

i

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 目 录

A.7.3 Shutdown..............................................................................................................A-49

ii

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

附录 A NAM 软件功能详解

A.1 Summary

A.1.1 Traffic

此界面显示了网卡探测到的所有流量的信息，如被监控端口上的报文大小、流量的

TTL 值分布、各种协议的分布情况等。还能以日、月、年的方式显示历史流量的分
布，方便网络管理员判断网络拥塞发生的时间和起因（何种协议造成了拥塞）。

1. Global Traffic Statistics

显示了本地配置的一些基本信息。

表A-1 Global Traffic Statistics

表项 含义

包含了所有监控接口及其属性，包括：名称、

Network Interface

Local Domain Name

Sampling Since
Active End Nodes

设备、类型、接口速率、采样速率、MTU、头
部长度、IPv4 地址、IPv6 地址

通常为国家名称，可以通过
[Admin/Configure/Startup Options]菜单项对
应页面中的 IP Preferences 下的 Local

Domain Name 参数进行配置
NAM 启动的时间
当前网络中探测到的主机节点的数量

 说明：

若需要统计 IPv6 流量，需要在 NAM 服务器上安装 IPv6 协议并配置相应的 IPv6 地
址。

2. Traffic Report

详细分析了被监控端口，包括对报文的分析、对流的分析以及流量负载情况。

A-1

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表A-2 Traffic Report for 'eth0'

表项 含义

Packets

Dropped (libpcap)
Dropped (NAM)
Total Received (NAM)
Total Packets Processed
Unicast
Broadcast
Multicast
Shortest
Average Size
Longest
各种长度范围 各种长度报文数量的统计
Packets too long [> 1518]
Bad Packets (Checksum)
Total
IP Traffic

因网络太忙导致被 libpcap 丢弃的报文数量
因服务器太忙导致被 NAM 丢弃的报文数量

NAM 接收的报文数量
NAM 已经处理的报文数量

接收的单播报文数量
接收的广播报文数量
接收的多播报文数量
收到报文的最小长度值
收到报文的平均长度值
收到报文的最大长度值

超长报文的数量
校验和错误的报文数量
收到的流量总和
收到的 IP 流量的总和

Traffic

Network
Load

Historical Data

Fragmented IP Traffic
Non IP Traffic
Average TTL
各种 TTL 大小 各种 TTL 大小的统计
Actual
Last Minute
Last 5 Minutes
Peak
Average

收到的 IP 分片流量的总和
收到的非 IP 流量的总和
收到的数据流的 TTL 平均值

当前的网络负载情况
最近 1 分钟的网络负载情况
最近 5 分钟的网络负载情况
网络负载峰值情况
网络负载平均值

此链接可以以图形的方式查看历史数据的分布
情况。分别查看最近 1 小时、6 小时、12 小时、

1 天、1 星期、1 个月、1 年的流量

A-2

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

 说明：

z 所有历史数据都存储在 RRD 数据库中，所以执行 NAM 中的 Reset Stats 命令并

不清空历史数据。要想调整历史数据的显示，需要配置 RRD 插件。

z 如果达到了最大的 TCP 连接数，则 libpcap 将丢弃之后收到的报文。最大的 TCP

连接数可以通过[Admin/configure/Startup Options]菜单项所对应的页面中的
advanced preferences 参数查看。

3. Global Protocol Distribution

显示了被监控端口上的协议情况，给出了各种协议类型及对应的大小、百分比，并

以柱状图的方式显示了各种协议的分布情况。

表A-3 Global Protocol Distribution

表项 含义

Protocol
Data
Percentage

探测到的协议类型
对应协议的数据大小
各个协议占总流量的百分比

4. Global TCP/UDP Protocol Distribution

显示了所有探测到的 TCP/UDP 协议类型，以图表的形式分别按照协议流量大小、
流数量、累积的百分比和历史百分比进行显示，其中历史百分比用柱状图显示。

表A-4 Global TCP/UDP Protocol Distribution

表项 含义

TCP/UDP Protocol
Data

Flows

协议类型
对应协议的流量大小
对应协议的流数量。若协议类型为 TCP，则 1

个 TCP 连接对应 1 条流。若协议类型为 UDP，
则 1 个 UDP 报文对应 1 条流

 说明：

若 TCP 的客户端与服务器端的连接类型为双向的，TCP 类型的流数量统计算作 1。

5. TCP/UDP Traffic Port Distribution Last Minute View

显示了最近 1 分钟内探测到的 TCP/UDP 端口的数据流的统计情况，包括端口号、
总的报文数、发送报文数、接收报文数。

A-3

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表A-5 TCP/UDP Traffic Port Distribution Last Minute View

表项 含义

 说明：

该页面的统计信息包含广播报文数量。

A.1.2 Hosts

显示了主机信息，分别以字节、报文为单位显示，同时又可以基于 VLAN 来查看不

同的主机信息。更强大的功能是，它每一列都支持排序，方便用户很快的查询到所

需要的信息。

TCP/UDP Port
Total
Sent
Rcvd

探测到的报文的 TCP/UDP 端口号
对应端口的所有报文数量
对应端口的发送报文数量
对应端口的接收报文数量

表A-6 Hosts

表项 含义

Host

Domain
IP Address
MAC Address
Other Name

BandWidth

Nw Board Vendor
Hops Distance
Host Contacts
Age/Inactivity
AS

列出了探测到的主机，会以 IP、MAC 、主机
名方式显示，同时又会链接到相应的主机信息

主机对应的域名
主机的 IP 地址
主机的 MAC 地址
主机的别名

主机的发送和接收带宽，分别以绿色和蓝色表
示，绿色代表发送，蓝色代表接收。

主机的网卡对应的厂商名称
主机与 NAM 之间的跳计数
主机与 NAM 的联系次数
主机与 NAM 的联系时间和非活动时间
主机所属的 AS 号

A-4

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

 说明：

当将鼠标停留在Bandwidth列下面的图形时，会显示此主机占用的实际带宽值。因为
本地流量可能会被统计 2 次（发送和接收），所以所有流量百分比的和有可能不是

100％。

A.1.3 Network Load

1. Network Load Statistics

显示了被监控接口的网络负载情况。所有的数据是从 RRD 数据库中获取的，分别以
4 个时段来显示。

表A-7 Network Load Statistics

表项 含义

近 10 分钟的网络负载情况，分别显示最小值、

Last 10 Minutes Throughput

最大值、平均值、当前值。点击视图会查看最
近 10 分钟网络负载的具体信息，具体描述请
参见

A.1.3 2. Network Load Statistics Matrix

Last Hour Throughput

Current Day Throughput

Last Month Throughput

最近 1小时的网络负载情况，分别显示最小值、
最大值、平均值、当前值

最近 1 天的网络负载情况，分别显示最小值、
最大值、平均值、当前值

最近 1 月的网络负载情况，分别显示最小值、
最大值、平均值、当前值

 说明：

若向修改监控的频率，点击本页的右下方链接会进入RRD配置界面，进行相应的修
改，详细配置信息请参见

A.6.5 Round-Robin DataBase。

2. Network Load Statistics Matrix

显示了采样间隔为 1 分钟的流量情况，以矩阵的方式显示了平均网络流量，以及发
送和接收流量排名前 3 位的主机的名称。

表A-8 Network Load Statistics Matrix

表项 含义

Sampling Period
Average Thpt

Top Hosts Sent Thpt

采样时间，以 1 分钟为单位
平均流量值
流量发送排名前 3位的主机的名称及对应的流

量值

A-5

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表项 含义

Top Hosts Rcvd Thpt

A.1.4 VLAN Info

显示了基于 VLAN 方式统计的流量值。

VLAN
Hosts
Data Sent
Data Rcvd

 说明：
只有配置了相应的 VLAN 后此菜单才可见。

流量接收排名前 3位的主机的名称及对应的流
量值

表A-9 VLAN Info

表项 含义

列出了探测到的 VLAN
列出了 VLAN 中的主机列表
对应 VLAN 发送的报文量
对应 VLAN 接收的报文量

A.1.5 Network Flows

主要显示了 Host Last Seen 插件和用户自定义的流规则的流量情况。

Flow Name

Packets
Traffic

 说明：

z 只有插件 Host Last Seen 启用后，此界面才有该插件的统计信息。
z 如果是用户自定义的流规则，例如 ICMP=’icmp’，其中 ICMP 是流规则的名称，

单引号内的 icmp 为流规则，流规则必须是一个合法的 BPF 表达式。

表A-10 Network Flows 功能简介

表项 含义

列出了插件 Host Last Seen 或者用户自定义
流规则的名称

报文数量
流量大小

A-6

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

A.2 All Protocols

A.2.1 Traffic

显示了包含了所有协议的网络流量情况，包括所有主机的发送和接收报文情况。可

以分别以本地和远程、发送和接收的方式显示。还可以以不同的 VLAN 划分来显示

网络主机信息。且可以对列排序，快速找到流量分布情况。下面介绍界面的详细内

容。

表A-11 Traffic

表项 含义

Host

Domain
Data
TCP
UDP
ICMP
ICMPv6
DLC
IPX
Decnet
(R)ARP
AppleTalk
NetBIOS
OSI

此列显示了侦听到的主机的名称，以 IP、MAC、
或主机名的方式显示

域名，一般为以国旗方式显示的国家
数据值，分别以流量和百分比的方式显示

TCP类型的报文的流量
UDP 类型的报文的流量
ICMP 类型的报文的流量
ICMPv6 类型的报文的流量
DLC 类型的报文的流量
IPX 类型的报文的流量
Decnet 类型的报文的流量
(R)ARP 类型的报文的流量
AppleTalk 类型的报文的流量
NetBIOS 类型的报文的流量

OSI 类型的报文的流量
IPv6
STP
IPSEC
OSPF
IGMP
Other

IPv6 类型的报文的流量

STP 类型的报文的流量

IPSEC 类型的报文的流量

OSPF 类型的报文的流量

IGMP 类型的报文的流量

Other 类型的报文的流量

A-7

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

 说明：
这里的统计不包含广播报文，所以与 Global Protocol Distribution 的显示略有不同。

A.2.2 Throughput

显示了所有协议的网络负载情况，包括所有主机的发送和接收报文情况。可以以本
地和远程的方式显示，也可以以发送和接收的方式显示。且可以对列排序。下面以

列表的方式介绍界面的详细内容。

表A-12 Throughput

表项 含义

Host

Domain

Data

Packets

 说明：

其中 Peak 显示的值为任何 60 秒间隔中的最大值。Avg 为 60 秒计算 1 次。所有这
些值是 NAM 启动以来开始计算的。且每次 NAM 服务重启，这些值会重新计算。

A.2.3 Activity

显示了所有协议的网络活动情况，以 4 种颜色方式显示，包括所有主机的发送和接

收报文情况。可以以本地和远程的方式显示，也可以以发送和接收的方式显示。且

可以对列排序。下面以列表的方式介绍界面的详细内容。

此列显示了侦听到的主机的名称，以 IP、MAC、

或主机名的方式显示

域名，一般为以国旗方式显示的国家

此列分别以 Current、Avg、Peak 方式显示了

每个主机网络负载情况。单位是 bps

此列分别以 Current、Avg、Peak 方式显示了

每个主机网络负载情况。单位是 Pkts/sec

Host

Domain

Time

表A-13 Activity

表项 含义

此列显示了侦听到的主机的名称，以 IP、MAC、

或主机名的方式显示

域名，一般为国家的名称。以国旗方式显示

分为 24 列，每列对应 1 小时，显示了这 1 小

时中的流量占最近 24 小时流量总和的百分

比。以相应的颜色显示

A-8

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

A.3 IP

显示了 NAM 探测到的所有 IP 协议的流量信息，进一步细分为各种应用层协议，例
如 FTP，HTTP 等等。可以按照主机信息为索引来显示各个主机使用的各个应用层

协议的情况，用户也可以根据自己的需要配置子网来查看某个网段的主机的流量信

息。Traffic Directions可以查询所有主机之间的数据流向情况，Local功能提供本地
主机的端口使用情况、主机详细信息、TCP/UDP 会话信息、各个主机之间的详细数
据流向、本地网络拓扑图等。

A.3.1 Summary

1. Traffic

显示了网络中所有主机使用的应用层协议流量信息。所有协议按照如下方式分类显

示。

表A-14 所有主机流量显示方式分类图

表项 含义

按照 Hosts 区
分

按照 VLAN 区
分

按照 Data 区分

All
Local Only
Remote Only
ALL
VLAN 号 按照 VLAN 号区分
All
Sent Only
Received Only

显示所有主机的信息
只显示本地主机的信息
只显示远程主机的信息
显示所有 VLAN 的信息

显示所有有发送数据的或者接收数据的主机
只显示有发送数据的主机
只显示有接收数据的主机

 说明：

只有报文中携带了 VLAN 信息，才会有按照 VLAN 区分的显示

以主机为单位显示主机接收到和发送各种协议情况。

Host

表A-15 Local Hosts - Data Sent+Received

表项 含义

主机信息，一般为主机的 IP 地址（也可以是

DNS 名称或者 NetBios 等），以蓝色超链接形

式，可以通过[summary/host]菜单项对应页面

查看该主机信息，点击弹出新的页面显示此主

机的具体流量等信息

A-9

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表项 含义
Domain
Data

FTP

HTTP
DNS
Telnet

NBios-IP

Mail

DHCP-BOOTP
SNMP
NNTP
NFS/AFS
VoIP

域名，一般为国家的名称。以国旗方式显示
对应主机流量的值
对应主机 FTP 类型的报文流量的值，包括 ftp

与 ftp-data
对应主机 HTTP 流量的值
对应主机 DNS 流量的值
对应主机 Telnet流量的值
对应主机 NBios-IP 流量的值，包括

netbios-ns、netbios-dgm、netbios-ssn
对应主机 Mail 流量的值，包括 pop-2 pop-3

pop3 kpop smtp imap imap2

对应主机 DHCP-BOOTP 流量的值。
对应主机 SNMP 流量的值
对应主机 NNTP 流量的值
对应主机 NFS/AFS 流量的值
对应主机 VoIP 流量的值

X11
SSH
Gnutella
Kazaa
WinMX
DC++
eDonkey
BitTorrent
Messenger
Other IP

对应主机 X11 流量的值
对应主机 SSH 流量的值
对应主机 Gnutella 流量的值
对应主机 Kazaa 流量的值
对应主机 WinMX 流量的值
对应主机 DC++流量的值
对应主机 eDonkey 流量的值
对应主机 BitTorrent 流量的值
对应主机 Messenger 流量的值
对应主机非以上各类协议流量的值

 说明：

z 这里的统计不包含广播报文，所以与“Global Protocol Distribution”的显示不同。
z 所有的流量大小单位规则如下，如果不带单位，则表示是字节数；果流量较大，

会按照流量大小以 KB、 MB 或者 GB 为单位显示。

A-10

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

2. Multicast 显示了网络的多播流量情况，包括所有主机的发送和接收报文情况。

表A-16 Multicast Statistics

表项 含义

主机信息，一般为主机的 IP 地址（也可以是
DNS 名称或者 NetBios 等），以蓝色超链接形

Host

式，可以通过[summary/host]菜单项对应的页
面查看该主机信息，点击弹出新的页面显示此
主机的具体流量统计等信息

Domain
Pkts Sent
Data Sent
Pkts Rcvd
Data Rcvd

域名，一般为国家的名称。以国旗方式显示
发送的多播报文的数量，单位为个
发送的多播流量的值
接收的多播报文数量，单位为个
接收的多播流量的值

 说明：

所有的流量大小单位规则如下，如果不带单位，则表示是字节数，如果流量较大，
会按照流量大小以 KB、MB 或者 GB 为单位显示。如果没有多播报文，则显示

No Data To Display (yet)。

3. Internet Domain

本界面以 Domain 为单位显示了在该 Domain 中所有主机的一些统计信息，各参数
含义如下所示。

表A-17 Statistics for all Domains

Name
Domain

TCP/IP

表项 含义

Domain 的名称
主机所在域域名，一般为国家的名称。以国旗方式显示

Total

Sent
Rcvd
Sent

TCP

Rcvd
Sent

UDP

Rcvd

该 Domain 内所有主机发送的 TCP/IP 流量的值
该 Domain 内所有主机接收的 TCP/IP 流量的值
该 Domain 所有主机发送的 TCP 流量的值
该 Domain 所有主机接收的 TCP 流量的值
该 Domain 所有主机发送的 UDP 流量的值
该 Domain 所有主机接收的 UDP 流量的值

A-11

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表项 含义

IPv4

Sent
Rcvd

ICMP

Sent

IPv6

Rcvd

该 Domain 所有主机发送的 ICMP 报文中 IPv4 流量的值
该 Domain 所有主机接收的 ICMP 报文中 IPv4 流量的值
该 Domain 所有主机发送的 ICMP 报文中 IPv6 流量的值
该 Domain 所有主机接收的 ICMP 报文中 IPv6 流量的值

 说明：

z 所有的流量大单位规则如下，如果不带单位，则表示是字节数，如果流量较大，

会按照流量大小以 KB、 MB 或者 GB 为单位显示。

z 如果所有主机都没有 Domain 信息，那么此菜单将显示 No Data To Display (yet)。

4. Host Cluster 按照用户配置的网段及掩码显示该网段主机的流量信息。

表A-18 Statistics for all clusters

表项 含义

Name

Domain

TCP/IP

ICMP

Total

TCP

UDP

IPv4

IPv6

Sent
Rcvd
Sent
Rcvd
Sent
Rcvd
Sent
Rcvd
Sent
Rcvd

该网段的名称，单击此网段名称可列出此网段所有主机发送和
接收报文的情况

网段所在域域名，一般为国家的名称。以国旗方式显示
该网段内所有主机发送的 TCP/IP 流量的值
该网段内所有主机接收的 TCP/IP 流量的值
该网段所有主机发送的 TCP流量的值
该网段所有主机接收的 TCP流量的值
该网段所有主机发送的 UDP 流量的值
该网段所有主机接收的 UDP 流量的值
该网段所有主机发送的 ICMP 报文中 IPv4 流量的值
该网段所有主机接收的 ICMP 报文中 IPv4 流量的值
该网段所有主机发送的 ICMP 报文中 IPv6 流量的值
该网段所有主机接收的 ICMP 报文中 IPv6 流量的值

A-12

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

 说明：

z 所有的流量大小单位规则如下，如果不带单位，则表示是字节数，如果流量较大，

会按照流量大小以 KB、MB 或者 GB 为单位显示。

z 关于 Cluster 的设置，请参见正文 第四章 常见问题解答 的问题 18。

5. Distribution

显示了本地和远程流量的分布情况，首先是一个饼状图显示本地、远程->本地、本
地->远程、远程 4 种流量的所占百分比情况，接下来以表格的方式分别显示了这四
种流量的详细信息。

Local Traffic：本地到本地的所有主机流量情况。
Remote to Local Traffic：远程到本地的所有主机流量情况。
Remote Traffic：远程到远程的所有主机流量情况。
Local to Remote Traffic：本地到远程的所有主机流量情况。
四种流量表中的参数一致，请参见表A-19和表A-20。

表A-19 Traffic参数（1）

表项 含义

IP Protocol
Data

TCP

Percentage

UDP

协议类型，即 TCP和 UDP
TCP和 UDP 协议的流量总和
TCP协议流量所占百分比
UDP 协议流量所占百分比

表A-20 Traffic参数（2）

表项 含义

列出了哪种协议类型，例如 FTP 等，协议类
型域[IP/Summary/Traffic]中 Network Traffic

TCP/UDP Protocol

Data

[TCP/IP]: All Hosts - Data Sent+Received 图

所示协议的类型对应，有流量则显示，没有则
不显示

对应 TCP/UDP Protocol 下具体协议的流量总
和

Percentage

对应 TCP/UDP Protocol 下具体协议占的百分
比

A-13

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

A.3.2 Traffic Directions

1. Local To Local 显示了本网段主机的流量情况，参数意义如下。

表A-21 Local IP Traffic

表项 含义

本地主机信息，如果与本地主机没有通信，则
不显示。一般为主机的 IP 地址（也可以是 DNS

Host

名称或者 NetBios 等），以蓝色超链接形式，
可以通过[summary/host]菜单项对应页面中查
看该主机记录，点击弹出新的页面显示此主机
的具体流量等信息

IP Address

Data Sent

Data Rcvd

所有本地流量的汇总统计，参数意义如下。

表A-22 所有本地流量

表项 含义

Total Traffic

Data Sent
Data Rcvd
Used Bandwidth

对应主机的 IP 地址

本地各个主机之间的发送流量情况。分别以各
个对应主机发送到本地主机的流量大小和占
总流量的百分比 2 种方式显示

本地各个主机之间的接收流量情况。 分别以各
个对应主机接收的来自本地主机的流量大小
和占总流量的百分比 2 种方式显示

本地所有主机发送和接收的流量总和的一半
（对本地流量而言，发送和接收的流量是相等
的）

本地所有主机之间发送的流量总和
本地所有主机之间接收的流量总和
本地主机之间通信使用的带宽

2. Local to Remote

显示了本地主机与远程主机的通信流量情况，Local to Remote IP Traffic表显示各
个本地主机的流量情况，参数意义如下。

A-14

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表A-23 Local IP Traffic

表项 含义

本地主机信息，如果与远程主机没有通信，则
不显示。 一般为主机的 IP 地址（也可以是 DNS

Host

名称或者 NetBios 等），以蓝色超链接形式，
可以通过[summary/host]菜单项对应页面中查
看该主机记录，点击弹出新的页面显示此主机
的具体流量等信息

IP Address

Data Sent

Data Rcvd

对应主机的 IP 地址

本地各个主机发送到远程的流量。分别以各个
主机发送到远程主机的流量大小和流量所占
所有流量的百分比 2 种方式显示

本地各个主机接收到远程主机的流量情况。分
别以各个对应主机接收来自远程主机的流量
大小和流量所占所有流量的百分比 2种方式显
示

所有本地主机流量的汇总统计，参数意义如下。

表A-24 所有本地远程流量

表项 含义

Total Traffic
Data Sent
Data Rcvd
Used Bandwidth

所有本地主机与远程之间的流量总和
所有本地主机发送到远程的流量总和
所有本地主机从远程接收的流量总和
所有本地主机与远程通信使用的带宽

3. Remote to Local

显示了远程与本网段的主机的流量情况，Remote to Local IP Traffic表显示各远程
主机的流量情况，参数意义如下。

表A-25 Remote to Local IP Traffic

表项 含义

远程主机信息，如果与本地主机没有通信，则
不显示。一般为主机的 IP 地址（也可以是 DNS

Host

IP Address

A-15

名称或者 NetBios 等），以蓝色超链接形式，
表明 summary/host 页面中存在该主机记录，
点击弹出新的页面显示此主机的具体流量统
计等信息

对应主机的 IP 地址

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表项 含义

各个远程主机发送到本地主机之间的流量情

Data Sent

Data Rcvd

况，分别以各个对应主机接收到本地主机的流
量大小和流量所占所有流量的百分比 2种方式
显示

各个远程主机接收到的来自本地的流量。分别
以各个对应主机接收来自本地主机流量的大
小和流量所占所有流量的百分比 2种方式显示

所有远程到本地的流量总和的汇总统计，参数意义如下。

表A-26 所有本地远程流量

表项 含义

Total Traffic
Data Sent
Data Rcvd
Used Bandwidth

远程所有主机与本地主机的流量总和
远程所有主机发送到本地主机的流量总和
远程所有主机接收到本地主机的流量总和
远程所有主机与本地主机通信所占带宽

4. Remote to Remote

此界面显示了远程与远程的主机的流量情况，Remote to Remote IP Traffic 表 显示
各个远程主机的流量情况，参数意义如下。

表A-27 Remote to Remote IP Traffic

表项 含义

远程主机信息，如果与远程主机没有通信，则
不显示。一般为主机的 IP 地址（也可以是 DNS

Host

IP Address

名称或者 NetBios 等），以蓝色超链接形式，
表明 summary/host 页面中存在该主机记录，
点击弹出新的页面显示此主机的具体流量统
计等信息

对应主机的 IP 地址

各个远程主机发送到远程主机的流量情况，分

Data Sent

Data Rcvd

别以各个对应主机接收到远程主机的流量大
小和流量所占所有流量的百分比 2种方式显示

各个远程主机接收到远程主机的流量。分别以
各个对应主机接收的来自远程主机的流量大
小和占总流量的百分比 2 种方式显示

所有远程到远程的流量汇总和统计，参数意义如下。

A-16

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表A-28 所有本地远程流量

表项 含义

 说明：

z 所有的流量大小单位规则如下，如果不带单位，则表示是字节数，如果流量较大，

z 如果没有相应菜单没有信息，将显示 No Data To Display (yet)。

A.3.3 Local

1. Ports Used

此界面显示本地主机之间的客户端和服务器的服务类型和流量情况，分别显示主机

数量和服务端口数量，以及服务所涉及到主机。

Total Traffic
Data Sent
Data Rcvd
Used Bandwidth

远程所有主机与远程主机的流量总和
远程所有主机发送到远程主机的流量总和
远程所有主机接收到远程主机的流量总和
远程所有主机与远程主机通信所占带宽

会按照流量大小以 KB、MB、或者 GB 为单位显示。

表A-29 TCP/UDP: Local Protocol Usage

表项 含义

Service

Clients

Servers

显示了服务类型和端口号

显示客户端的主机，并且用颜色标明了这个客
户端第一次与服务器的连接到目前时间，可以
通过单击主机查看客户端主机的详细信息

显示服务器端的主机，并且用颜色标明了这个
服务器端第一次与客户端通信到目前的时间。
可以通过单击主机查看服务器端的详细信息

 说明：

z 如果本地主机中没有端口被使用，将显示 No Data To Display (yet)。
z 表中 client 和 server的主机信息的颜色代表该主机第一次被捕获到报文距离到现

在的时间，具体颜色参考 web 页面下的详细显示。

z 标题下方列出的 Reporting on actual traffic for xx host(s) on xx service port(s)中

host(s)表示所有本地主机的数量。

A-17

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

2. Active TCP Sessions 此界面显示了本地活动的 TCP 会话信息。

表A-30 Active TCP Sessions

表项 含义

Client

Server

Data Sent
Data Rcvd
Active Since
Last Seen
Duration
Inactive
Latency
Note

客户端的主机名称或 IP 地址 ， 端口号或者服
务类型

服务器端的主机名称或 IP 地址 ， 端口号或者
服务类型

客户端发送到服务器端流量的值
客户端从服务器端接收流量的值
活动开始时间
最后一次发现报文的时间
连接持续时间
非活动时间
延迟时间
注意信息

 说明：

z 如果没有 TCP 会话，将显示 No Data To Display (yet)。
z 表中会话信息的颜色代表会话所在主机第一次被捕获到报文距离到现在的时间，

具体颜色参考 web 页面下的详细显示。

3. Host Fingerprint 此界面显示了本地主机的操作系统，OS Summary 显示主机的操作系统。

OS Summary 表的含义。

表A-31 OS Summary

表项 含义

主机信息。一般为主机的 IP 地址（也可以是
DNS 名称或者 NetBios 等），以蓝色超链接形

Host

A-18

式，表明 summary/host 页面中存在该主机记
录，点击弹出新的页面显示此主机的具体流量
统计等信息

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表项 含义

分别显示不同操作系统名称，如：Windows

其他列

2000、Linux 2.4.xx 等等。
如果 Host 属于某个操作系统，则在相应的操

作系统名称对应位置标记

操作系统数量统计表参数意义如下。

表A-32 操作系统数量

表项 含义

OS
Total

操作系统的名称
操作系统的数量

操作系统按照是否能够解析等具体信息细分为如下表所示各项，各参数意义如下。

表A-33 Statistics

表项 含义

Scanned Host

No fingerprint
Broadcast

Less

Gives

Multicast
Remote
Non IP host
Possible to report
Less: Can not resolve
Less: Unknown

Fingerprint

所有主机数量
没有系统标识的主机的数量
广播主机的数量
多播主机的数量
远程主机的数量
IP 地址为 0 的主机的数量
可以显示系统标识的主机数量
因标识不完整而不能解析的主机数量

不能解析标识即本地数据库没有对应的标识名称的主机
数量

4. Hosts Characterization 此界面描述了本地主机提供了哪些服务。

表A-34 Local Hosts Characterization

表项 含义

Host

A-19

主机信息。一般为主机的 IP 地址（也可以是
DNS 名称或者 NetBios 等），以蓝色超链接形

式，可以通过[summary/host]菜单项对应页面
查看该主机记录，点击此主机弹出新的页面显
示具体流量统计等信息

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

表项 含义
Unhealthy Host

L2 Switch Bridge

Gateway

VoIP Host

Printer

NTP/DNS Server

SMTP/POP/IMAP Server

Directory/FTP/HTTP Server

DHCP/WINS Server

DHCP Client

服务器端的主机名称或 IP 地址
对应主机是否为 2 层设备。如果是，则在相应

位置下标记

对应主机是否为网关。如果是，则在相应位置
下标记

是否为 voip 主机。如果是，则在相应位置下标
记

对应主机是否为打印机。如果是，则在相应位
置下标记

对应主机是否为 NTP/DNS Server。如果是，
则在相应位置标记

对应主机是否为邮件服务器。如果是，则在相
应位置标记

对应主机是否为 Directory/FTP/HTTP Server。
如果是，则在相应位置标记

对应主机是否为 DHCP/WINS Server。如果
是，则在相应位置标记

对应主机是否为 DHCP Client。如果是，则在
相应位置标记

A.4

P2P

Total

是否为 P2P 服务器，如果是，则在相应位置
标记

以上每种服务器的个数

5. Network Traffic Map 按照本地网络的组网图画出各个主机之间的连接关系。

6. Local Matrix 显示了本网段之间各个主机的流量情况，以矩阵的方式显示。

IP Subnet Traffic Matrix表的每行和每列分别表示 1 个主机，以主机信息表示。
网格内容则是两台主机之间交互数据的总流量大小。

主机信息

此界面以主机为单位显示该主机的详细信息。包括主机的基本信息，如 IP、MAC、
OS、数据接收和发送、最近 24 详细流量信息、发送和接收的特定协议报文的统计
信息、协议分布情况、异常报文信息、端口使用情况等等。

A-20

H3C MSR 系列路由器 NAM 网络分析模块 用户手册 附录 A NAM软件功能详解

A.4.1 Host 基本信息

表A-35 Info about Host

表项 含义

IP Address

First/Last Seen

MAC Address
Nw Board Vendor
OS Name
Host Location
IP TTL (Time to Live)
Total Data Sent
Broadcast Pkts Sent
Multicast Traffic

Data Sent
Stats

IP vs. Non-IP Sent
Total Data Rcvd

Local
Rem

分别显示此主机的 IP 地址、报文类型(单播、多播或广播)，同时提供
锁定此主机不显示的功能

分别显示第一次捕获到报文的时间点、最后一次捕获到报文的时间点、
距离现在没有捕获到报文任何报文的时间

该主机的 MAC 地址
生产厂商
操作系统名称
主机位置，即是 local 或者 remote
TTL 值
发送的数据总和，分别以字节数、报文个数、重传报文数显示
发送的广播数据总和，以包的个数来显示
发送的多播数据总和，分别以字节数量、报文个数显示
发送数据本地流量所占比例
发送数据远程流量所占比例
发送的流量中 IP 与非 IP 分别所占比例
接收的数据总和，分别以字节数量、报文数量、重传报文数量显示

Data Rcvd Stats
IP vs. Non-IP Rcvd
Sent vs. Rcvd Pkts
Sent vs. Rcvd Data
Used Subnet

Routers
Host Healthness

(Risk Flags)
Historical Data

接收数据的统计，以本地流量和远程流量所占比例方式显示
接收数据中 IP 与非 IP 所占比例
发送和接收流量报文个数分别所占的比例
发送和接收流量字节数所占的比例

使用的路由器

主机的风险级别

历史数据，点击表格右方链接可显示此主机的历史信息

 说明：

z 所有流量的单位规则如下，如果不带单位，则表示是字节数；如果流量较大，会

按照流量大小以 KB、MB 或者 GB 为单位显示。

z Multicast Traffic、 Used Subnet Routers、Host Healthness、Historical Data等

如果不显示，则说明主机没有这些信息。

A-21