Cisco CCIE R-S V5.0 课程：第四学期-连接网络-第8章 监控网络

第八章：监控网络

MonitoringtheNetwork第四学期：连接网络ConnectingNetworks学习目标阐释syslog在中小型企业网络中的运行。配置syslog来汇总中小型网络中的管理设备信息。配置SNMP来获取中小型网络中的信息。描述NetFlow在中小型企业网络中的运行。配置NetFlow导出路由器的数据。检验采样的NetFlow数据来判断流量模式。第八章：监控网络8.1Syslog（系统日志）8.2SNMP（简单网络管理协议）8.3NetFlow8.4总结——网络管理员有很多选择来存储、解读和显示各种网络行为。8.1Syslog

系统日志Syslog运行

介绍SyslogSyslog日志（logging）服务提供了三个主要功能：能够获取日志信息来监控和排错能够根据类型来捕捉不同的日志信息。能够指定捕获系统日志信息的目的地。Syslog运行

Syslog运行Syslog运行

Syslog消息格式系统日志安全级别（Sysloglevels）Syslog运行

Syslog消息格式Syslog消息格式000015:Dec2400:46:05.199:%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR1(config)#servicetimestampslogdatetimeSyslog运行

时间服务网络设备上的时间必须要设置：可以手工设置,使用

clockset命令建议自动设置,使用网络时间协议—

NetworkTimeProtocol(NTP)配置Syslog

Syslog服务器配置Syslog

默认日志设置默认情况下，思科路由器和交换机把所有安全等级的日志信息都发送到控制台（console）。loggingconsole

（命令）loggingbuffered（命令）配置Syslog

路由器和交换机作为syslog客户端配置命令配置Syslog

检验Syslog8.2SNMP

简单网络管协议

(SimpleNetworkManagementProtocol)

SNMP运行

介绍SNMPSNMP系统包含三个部分：SNMPmanager（管理者）SNMPagents（代理）—被管理节点MIB

（管理信息库）—ManagementInformationBaseSNMP运行

SNMP运行SNMP运行

SNMPAgentTraps（代理告警）SNMP运行

SNMP版本SNMPv1

SNMPv2c

SNMPv3SNMP运行

CommunityStrings（通信字符串）SNMPv1和SNMPv2c使用communitystrings来控制对MIB的访问。通信字符串有两种类型:只读

(ro)–提供对MIB变量的访问，但是不允许修改，只能读取。因为版本2c安全性比较弱，所以很多组织配置SNMPv2c在只读模式下。读写

(rw)–提供对MIB内所有目标的读和写的访问。SNMP运行

ManagementInformationBaseObjectID（管理信息库目标ID）/Support/SNMP/do/BrowseMIB.do?local=en&step=2配置SNMP

SNMP的配置步骤(需要)配置通信字符串和访问级别(只读或读写)。snmp-servercommunitystringro|rw

(可选)记录设备位置。snmp-serverlocationtext(可选)记录系统联系方式。snmp-servercontacttext(可选)通过ACL设置哪些NMS节点（SNMP管理者）可以对设备进行SNMP的访问。snmp-servercommunitystringaccess-list-number-or-name

(可选)指定SNMP告警的接收方。默认情况下，没有定义告警管理者。snmp-serverhosthost-id[version{1|2c|3[auth|noauth|priv]}]community-string(可选)在SNMP代理上启用告警。snmp-serverenabletrapsnotification-types配置SNMP

SNMP的配置步骤（继续）配置SNMP

检验SNMP配置配置SNMP

检验SNMP配置配置SNMP

安全最佳实践SNMPv1

和

SNMPv2c通信字符串（communitystrings）,像所有密码一样，必须严格设置，防止被黑客轻易破解。

此外，通信字符串应按照网络安全策略进行定期更改。

ACL也是限制管理系统对监控设备访问的必须手段。SNMPv3强烈建议使用，因为它提供了安全的验证和加密功能。

8.3NetFlowNetFlow运行

介绍NetFlowNetFlow是从IP网络搜集IP运行数据的标准。流量分析包括识别网络瓶颈，以及用于计费的IP记账统计。NetFlow可以监控应用连接，跟踪一个应用流的字节和数据包的数量。然后把这些统计信息推送到外部的服务器，即NetFlowcollector（收集器）。Flexible（灵活）

NetFlow是最新的NetFlow技术(版本

9)。NetFlow运行

理解NetFlow很多企业使用NetFlow的目的是为了收集部分或全部的重要网络数据：监督谁在使用网络资源，使用这些资源的目的何在。根据资源使用程度进行记账和收费。利用收集到的信息做更有效的网络规划，使资源配置和部署更符合客户的要求。使用这些信息更好地构架和定制化可用的应用和服务，以满足用户的需求和客户服务的要求。NetFlow运行

理解NetFlow和SNMP相比，NetFlow

使用“push-based”（推送）

模式。NetFlow只收集流量统计信息，而SNMP还可以收集很多其他的性能指标，如接口的错误，CPU使用率和内存使用情况。另一方面，通过NetFlow收集到流量统计信息比通过SNMP收集到的颗粒度更细（信息量更大更详细）。NetFlow运行

网络流量NetFlow历经数代，提供更复杂的数据流的定义，但是“original（原始）

NetFlow”

使用组合的七个关键字段来分辨数据流。源IP地址目的IP地址源端口号目的端口号第3层协议类型服务类型(ToS)标记进入的逻辑接口配置NetFlow

NetFlow配置任务要在路由器上部署NetFlow：步骤1.配置NetFlow数据捕捉Ingress(入方向)和

egress(出方向)步骤2.配置NetFlow数据输出

必须指定NetFlowcollector（收集器）配置NetFlow收集器所侦听的UDP

端口号步骤3.检验NetFlow的运行和统计信息

检查流量样式

检查NetFlow检查流量样式

NetFlowCollector（收集器）

功能检查流量样式

使用NetFlow收集器的分析检查流量样式

使用NetFlow收集器的分析总结Syslog、SNMP和NetFlow是当代网络中网络管理员使用的工具，用来收集、显示和分析与网络设备相关的事件。Syslog提供了一个基本的收集和显示信息的工具，就像在思科设备的控制端口显示的一样。

SNMP具有非常丰富的数据记录和