远程网络监视

1、第4章远程网络监视,4.1 RMON的基本概念 4.1.1为什么需要RMON,1RMON的概念 RMON最初的设计是用来解决从一个中心点管理各局域分网和远程站点的问。RMON 规范是由SNMP MIB扩展而来。RMON中，网络监视数据包含了一组统计数据和性能指标，它们在不同的监视器（或称探测器）和控制台系统之间相互交换。结果数据可用来监控网络利用率，以用于网络规划，性能优化和协助网络错误诊断等。 当前 RMON 有两种版本：RMON v1 和 RMONv2。RMON v1在目前使用较为广泛的网络硬件中都能发现，它定义了9个MIB 组服务于基本网络监控；RMON v2是RMON v1的扩展，专注

2、于MAC层以上更高的流量层，它主要强调IP流量和应用程序层流量。允许网络管理应用程序监控所有网络层的信息包，这与不同，后者只允许监控MAC及其以下层的信息包。 RMON监视系统有两部分构成：探测器（代理或监视器）和管理站。RMON代理在 RMON MIB中存储网络信息，它们被直接植入网络设备（如路由器、交换机等），代理也可以是PC机上运行的一个程序。代理只能看到流经它们的流量，所以在每个被监控的 LAN 段或 WAN 链接点都要设置RMON代理，网管工作站用SNMP获取RMON数据信息,2RMON的意义 SNMP使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网络设备的统计数据。代理不断

3、地收集统计数据，并把这些数据记录到一个MIB中。网络管理员通过向代理的MIB发出查询信号可以得到这些信息，这个过程叫轮询（polling）。 虽然MIB计数器将统计数据的总和记录下来了，但它无法对日常通信量进行历史分析。为了能全面地查看通信流量和变化率，管理人员就必须不断地轮询SNMP代理。只有这样，才能使用SNMP来评价网络的运行状况、揭示出通信的趋势等。但是轮询机制有如下明显的弱点： 没有伸缩性：在大型网络中，轮询会产生巨大的网络管理通信量，导致网络通信负荷加重甚至导致拥挤情况发生。 将收集数据的负担加在网络管理控制台上（管理进程端）：管理站所在的计算机的处理能力总是有限的，也许能轻松地收

4、集几个网段的信息，当它们监控数十个网段时，恐怕CPU就无法应付。 基于上述原因，人们就提出一种高效、低成本的网络监视方案，这就是RMON,4.1.2RMON的目标,1）离线操作：必要时管理站可以停止对监视器的轮询，从而提高带宽利用率。即使不被管理站查询，监视器也能不断收集子网故障、性能和配置方面信息，统计和积累数据，以便管理站查询时及时提供管理信息。另外，在网络出现异常时使其能及时向管理站报告。 （2）主动监视：如监视器有足够资源，通信负载允许，监视器可以连续地或周期地运行诊断程序，获得并记录网络性能参数。 （3）问题检测和报告：如果主动监视消耗网络资源太多，监视器也可以被动地获得网络数据。可

5、以配置监视器，使其连续观察网络资源的消耗情况，记录随时出现的异常条件，并在出现异常时向管理站报告。 （4）提供增值数据：监视器可以分析收集到的子网数据，从而减轻管理站的计算任务。如，监视器可以分析子网的通信情况，计算出哪些主机通信最多，哪些主机出错最多等。这些数据的收集和计算由监视器来做，比由远处的管理站来做更有效。 （5）多管理站操作：一个网络可以有多个管理站，这样可以提高可靠性，或者分布地实现不同的网络管理功能。可以配置监视器使其能够并发地工作，为不同的管理提供不同的信息,4.1.3表管理原理,1RMON规范中的表结构 RMON规范中的表结构由控制表和数据表两部分组成，控制表定义数据表的结

6、构，数据表用于存储数据。 1）控制表 控制表包含rmlControlIndex、rmlControlParameter、rmlControlOwner、rmlControlStatue对象。 2）数据表 数据表由rmlDataControlIndex和rmlDataIndex共同索引。rmlDataControlIndex的值与控制行的索引值rmlControlIndex相同，而rmlDataIndex的值唯一地指定了数据行集合中的某一行,2增加行,管理站用Set命令在RMON表中增加行，并遵循下列规则： （1）管理站用SetRequest生成一个新行，如果新行的索引值与其它行的索引值不冲突，

7、则代理产生一个新行，其状态值为creatRequest(2)。 （2）新行产生后，由代理把状态对象的值置为underCreation(3)。对于管理站没有设置新值的列对象，代理可以置为默认值，或者让新行维持这种不完整、不一致的状态。 （3）新行的状态值保持为underCreation(3)，直到管理站产生了所要生成的新行。这时由管理站置每一新行状态的对象的值为valid(1)。 （4）如果管理站要生成的新行已经存在，则返回一个错误值。 3删除行 只有行的所有者才能发出SetRequestPDU，把行状态值置为invalid(4)，这样就删除了行。这是否是物理删除，取决于具体的实现。 4修改行

8、首先置行状态对象的值为invalid(4)，然后用SetRequestPDU改变行中其它对象的值,4.1.4多管理者访问 RMON监视器应允许多个管理站并发地访问，当多个管理站访问时可能出现以下问题：（1）多个管理站对资源的并发访问可能超过监视器的能力。（2）一个管理站可能长时间占用监视器资源，使得其它站得不到访问。（3）占用监视器资源的管理站可能出现崩溃，而没有释放资源。RMON控制表中列对象Owner规定了表的所属关系，所属关系有以下用法，可以解决多个管理站并发地访问的问题。（1）管理站能认得自己所属的资源，也知道自己不再需要的资源。（2）网络管理员可以知道管理站占有的资源，并决定是否释放

9、这些资源。（3）一个被授权的网络管理员可以自主决定是否释放其它网络管理员的资源。（4）如果管理站重新启动，它应该首先释放不再使用的资源。 RMON规范建议，所属标志应包括IP地址，管理站名，网络管理员的名字、地点和电话号码等，所属标志不能作为口令或访问控制机制使用。在SNMP管理框架中唯一的访问控制机制是SNMP视阈和团体名。如果一个可读/写的RMON控制表出现在某些管理站的视阈中，则这些管理站都可以进行读/写访问，但是控制表行只能由其所有者改变或删除，其他管理站只能进行读访问。这些限制的实施已超出了SNMP和RMON的范围。 为了提供共享的功能，监视器通常配置一定的默认功能。定义这些功能的控

10、制行的所有者是监视器，所属标志的字符串以监视器名打头，管理站只能以读方式利用这些功能,4.2 RMON的管理信息库,RMON规范定义了管理站信息库RMON MIB，它是MIB-2下面的16个子树。如表4-1所示，RMON MIB分为10组，存储在每一组中的信息都是监视器从一个或几个子网中统计和收集的数据。这10个功能组都是任选的，但实现时有下列连带关系： 实现告警组时必须实现事件组。 实现最高N台主机组时必须实现主机组。 实现捕获组时必须实现过滤组,4.3 RMONv2管理信息库4.3.1 RMONv2 MIB的组成,监视OSI第1、2层的通信，而监视OSI第3到第7层的通信。在 MIB的基础

11、上 MIB增加了9个新功能组，这些组的功能如表4-2所示,4.3.2 RMON v2增加的功能,1外部对象索引 在SNMPv1的SMI宏定义中，没有说明索引对象是否必须是被索引表的列对象，在SNMPv2的SMI中已经明确指出可以使用不是概念表成员的对象作为索引项。在这种情况下，必须在概念行的DESCRIPTION子句中给出文字解释。 采用了这种新的表结构，经常使用外部对象索引数据表，以便把数据表与对应的控制表结合起来。在rm1表中，数据表有两个索引对象，第一个索引对象rm1DataControlIndex只是重复了控制表的索引对象。在rm2的数据表中，这个索引对象没有了，只剩下了唯一的索引对象

12、rm2DataIndex。但是在数据表的概念行定义中说明了两个索引rm2ControlIndex和rm2DataIndex，同时在rm2DataIndex的描述子句中说明了索引的结构。 2时间过滤器索引 网络管理应用需要周期地轮询监视器，以便得到被管理对象的最新状态信息。为了提高效率，使用时间过滤器索引，使监视器每次只返回那些自上次查询以来改变了的值。SNMPv1和SNMPv2中都没有直接解决这个问题的方法。然而RMONv2的设计者却给出了一种新颖的方法，在MIB的定义中实现了这个功能，这就是用时间过滤器进行索引,4.4 RMON v2的应用 4.4.1协议的标识,RMONv2用协议标识符和协

13、议参数共同表示一个协议以及该协议与其他协议之间的关系。协议标识符是由字节串组成的分层的树结构，类似于MIB对象组成的树。RMONv2赋予每一个协议层32bit的字节串，编码为4个十进制数，表示为a.b.c.e的形式，这是协议标识符树的节点。如，各种数据链路层协议被赋予下面的字节串。 ether2 = llc = snap = vsnap = wgAssigned = anylink = 1.0.a.b 最后的anylink是一个通配符，可指任何链路层协议。有时监视器可以监视所有的IP数据报，而不论它是包装在什么链路

14、层协议中，这时可以用anylink说明IP下面的链路协议。 链路层协议字节串是协议标识符树的根，下面每个直接相连的节点是链路层协议直接支持的上层协议，或者说是包装在数据链路帧中的协议（通常情况下是网络层协议）。整个协议标识符树就是这样逐级构造的，如图4-2所示，这时表示的是以太网协议直接支持IP，UDP运行于IP之上，最后，SNMP报文封装在UDP数据报中传送，用文字表示就是ether2.ip.udp.snmp,RMONv2的协议标识符的格式如图4-3所示。开头有一个字节的长度计数段cnt，后续为各层协议的子标识符字段。每层协议的子标识符都与上述链路层协议字节串相似，是32bit，编码为4个十

15、进制数。从图4-2可以看到赋予以太2（ether2）协议的字节串是，以太网之上的协议字节串形式为0.0.a.b，其中a和b是以太2协议MAC帧中的类型字段的16bit二进制，这16位数用来表示2型以太网协议支持的上层（网络层）协议，以太2规范为IP分配的字节串是。与此类似，在IP头中的16位协议号表示IP支持上层协议，IP标准为UDP（传输层）分配的编号是17。UDP为SNMP（应用层）分配的端口号为161。这样4层协议的字节串级联起来，前面加上16表示长度，就形成了完整的SNMP协议标识符： ....16

16、1,应该强调的是对监视器能解释的每个协议都必须有一个协议标识符。假如有个监视器可以识别以太2帧，IP和UDP数据报，以及SNMP报文，则RMONv2 MIB中必须记录以下4个协议标识符： ether2（.1） ether2.ip（..0） ether2.ip.udp（...17） ether2.ip.udp.snmp（....161,4.4.2协议目录表,RMONv2的协议目录表的结构如图4-4所示，其中的协议标识符protoclDirID（1）和协

17、议参数protocolDirParameters（2）作为表项的索引，另外还为每个表项指定了一个唯一的索引protocolDirLocalIndex（3），可由RMONv2的其他组引用该表项,4.4.3用户定义的数据收集机制,关于历史数据收集在RMONv1中是预先定义的，在RMONv2中可以由用户自己定义。用户历史收集组规定了定义历史数据的方法。 历史收集组由3级表组成，第一级是控制表usrHistoryControlTable，这个表说明了一种采样功能的细节（采样的对象数、采样区间数和采样区间长度等），它的一行定义了下一级的一个表。第二级是用户历史对象表usrHistoryObjectTab

18、le，它也是一个控制表，说明采样的变量和采样类型，该表的行数等于上一级表定义的采样对象数。第三级表usrHistoryTable才是历史数据表，该表由第二级表的一行控制，记录着各个采样变量的值和状态，以及采样间隔的起止时间，用户历史收集组如图4-5所示,4.4.4监视器的标准配置法,为了增强管理站和监视器之间的互操作性，RMONv2在监视器配置组中定义了远程配置监视器的标准化方法。这个组由一些标量对象和4个表组成，这些标量对象如下： probeCapabilities：说明支持哪些RMON组。 probeSoftwareRev：设备的软件版本。 probeHardwareRev：设备的硬件版本

19、。 probeDataTime：监视器的日期和时间。 probeResetControl：可以取不同的值，表示运行、热启动或冷启动等。 probeDwonloadFile：自举配置文件。 probeDwonloadTFTPServer：自举配置文件所在的TFTP服务器地址。 probeDwonloadAction：若取值imageValid（1），则继续运行；若取值downloadToPROM（2）或downloadRAM（3），则重启动，装入另外一个应用程序。 probeDwonloadStatus：表示不同的运行状态。 监视器配置组中的4个表是串行配置表、网络配置表、陷入配置表和串行连接表

20、。串行配置表serialConfigTable用于定义监视器的串行接口，它包含下列变量： serialMode：连接模式可以是直接连接或通过调制解调器连接。 serialProtocol：数据链路协议可以是SLIP或其他协议。 serialTimeout：终止连接之前等待的秒数。 serialModemInitiString：用于初始化Modem的控制字符串。 serialModemHangUpString：断开Modem连接的控制字符串。 serialModemConnectResp：描述Modem响应代码和数据速率的ASCII串。 serialModemNoconnectResp：由Modem产生的报告连接失效的ASCII串。 serialDialoutTimeout：拨出等待时间。 serialStatus,网络配置表netConfigTable用于定义监视器的网络接口，它包含下列变量： netConfigIpAddress：接口的IP地址。 netConfigSubnetMask：子网掩码。 netDefaultGateway：默认网关的IP地址。 陷入定义表trapDestTable定义了陷入的目标地址等有关信息，它包含的变量如下： trapDestIndex：行的索引。 trapDestCommunity：接收陷入的团体名。 trapDestProtocol：传入