WispOSWispOS
Guida MikroTik
Diagnostica e monitoraggioIntermedio

Torch in profondità: chi satura il link adesso

Padroneggiare Torch per identificare in tempo reale quale IP, protocollo o porta sta saturando un'interfaccia, con filtri, raggruppamenti e i limiti da conoscere (hardware offload, NAT, firewall).

Torch (/tool/torch) è il primo strumento da aprire quando un link 'va piano' e devi capire chi lo sta saturando in questo momento. Diversamente dai grafici (che mostrano lo storico), Torch è una fotografia live del traffico che attraversa un'interfaccia, aggregato in tempo reale per gli assi che scegli: IP sorgente, IP destinazione, protocollo, porta, VLAN, DSCP, protocollo MAC.

Come ragionare con Torch: gli 'assi' di aggregazione

Il segreto è scegliere bene i parametri src-address, dst-address, port, ip-protocol: ognuno trasforma Torch in una vista diversa. Per trovare il 'top talker' (chi consuma di più) aggrega per IP sorgente; per capire verso dove va il traffico aggrega per IP destinazione; per distinguere streaming da web aggrega per porta/protocollo.

DomandaComando Torch
Chi consuma di più sull'uplink?/tool/torch interface=ether1-wan src-address=0.0.0.0/0
Verso quali server va il traffico?/tool/torch interface=ether1-wan dst-address=0.0.0.0/0
È streaming (UDP) o web (TCP)?/tool/torch interface=ether1-wan ip-protocol=any port=any
Un singolo cliente sta floodando?/tool/torch interface=pppoe-out1 src-address=10.50.7.33/32
Quanto traffico c'è per VLAN?/tool/torch interface=ether2-trunk vlan-id=any
Ricette Torch per domande WISP comuni

Caso WISP: il settore radio è saturo, ma da cosa?

Trovare il top talker su un settore radio
# 1) Quanto traffico totale c'è sul settore? (per dimensionare il problema)
/interface/monitor-traffic wlan-settore-1 once

# 2) Aggrega per IP sorgente: chi sta scaricando di più ADESSO
/tool/torch interface=wlan-settore-1 src-address=10.50.0.0/24

# 3) Quel cliente: cosa sta facendo? Spezza per protocollo e porta
/tool/torch interface=wlan-settore-1 src-address=10.50.7.33/32 \
  ip-protocol=any port=any

# 4) Se vedi tanta UDP su porte alte verso pochi IP → spesso P2P/streaming
#    Se vedi TCP/443 verso CDN → download/streaming HTTPS legittimo
LIMITI DA CONOSCERE. Torch vede il traffico che passa dalla CPU: con hardware offload attivo (switch-chip su CRS/CCR, fasttrack) parte del traffico NON appare. Inoltre Torch sull'interfaccia WAN mostra gli IP GIÀ dopo il NAT (vedi l'IP pubblico, non quello del cliente): per identificare il cliente esegui Torch sull'interfaccia interna (bridge/VLAN clienti o pppoe), prima del masquerade.

Torch in WinBox vs CLI

  • In WinBox Torch ha colonne ordinabili: clicca l'header (Tx/Rx) per portare in cima il top talker
  • Da CLI l'output scorre: restringi sempre con filtri per non annegare nei dati
  • port=any e ip-protocol=any aggiungono le colonne corrispondenti alla vista
  • Usa Torch sull'interfaccia GIUSTA: lato clienti per identificarli, lato WAN per vedere le destinazioni
  • Se il traffico è enorme, Torch stesso consuma CPU: filtra per ridurre il carico durante la diagnosi
  • Per analisi storica e top-talker nel tempo non usare Torch ma SNMP/NetFlow/grafici

Quando Torch non basta (es. serve l'analisi del singolo pacchetto, header, retransmit TCP) si passa al packet sniffer con streaming verso Wireshark — vedi l'articolo dedicato.

torchtraffico realtimechi consuma bandasaturazione linktop talkersrc-addressdst-addressip-protocoldscpvlan-idmonitor trafficocongestione

Continua con

Logging e syslog remotoSNMP sicuro con SNMPv3Netwatch: monitoraggio host e automazioneStrumenti diagnostici: ping, traceroute, torch e packet sniffer

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS