网络流量监控技术与方法PPT.ppt

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,计算机网络管理技术,第,1,章 网络管理技术概述,第,2,章,SNMP,网络管理架构,第,3,章 网络流量监控技术与方法,第,4,章 磁盘管理,第,5,章 用户管理,第,6,章 组策略管理,第,7,章 补丁管理,第,8,章,IP,地址管理,第,9,章,VLAN,管理,第,10,章 网络存储管理,1,计算机网络管理技术,第,3,章 网络流量监控技术与方法,随着计算机网络应用领域的不断拓宽及网络连接范围的扩大，用户越来越关心网络的服务质量。对于网络管理人员来说，确保网络的稳定畅通是工作中的一项重要而繁杂的任务。最直接的管理方法是通过查看网络的实时流量，了解不同设备、不同网段在不同时间段内的流量大小，为相关的管理措施提供直观的决策依据。本章首先在第,2,章,SNMP,相关知识的基础上，介绍远程监视（,RMON,）、交换机的远程监视（,SMON,）等技术规范，然后再结合,SNMP,的网络管理特性，介绍目前在网络流量采集和分析中应用最为广泛的,MRTG,软件的安装、部署和使用方法。,2,计算机网络管理技术,第,3,章 网络流量监控技术与方法,3.1 RMON,规范,3.2,面向交换的,SMON,标准,3.3,实验操作,1,：利用,MRTG,进行网络流量监测,3,计算机网络管理技术,3.1 RMON,规范,在第,2,章,SNMP,技术的学习中，我们已经提到,RMON,（,Remote Monitoring,，远程监视）技术是对,SNMPv1,功能的一个扩展，主要是针对,SNMP,中管理进程（,Manager,）与管理代理（,Agent,）之间的通信缺少实时性以及轮询开销太大这一缺陷而提出来的一组,MIB,变量，这组,MIB,变量都是通过对网络的连续、实时监视而生成的。所以，,RMON,是,SNMP,的一种应用，遵循,SNMP,的结构，同时又解决了,SNMP,中存在的不足，扩展了,SNMP,的功能及应用。,4,计算机网络管理技术,3.1 RMON,规范,3.1.1 RMON,产生的原因,3.1.2 ROM,应用的网络模型,3.1.3 RMON,的功能,3.1.4 RMOM,的工作机制,3.1.5 RMON MIB,3.1.6 RMON,3.1.7 RMON,在网络设备上的应用实例,5,计算机网络管理技术,3.1.1 RMON,产生的原因,SNMP,是一种应用广泛的网络管理协议，它通过嵌入到网络设备中的代理程序来收集网络通信信息和有关设备的数据，并将结果记录到,MIB,中。管理站以轮询（,polling,）方式通过向代理的,MIB,发出查询信号可以收集到设备的状态数据。在这一过程中，虽然设备中的,MIB,可以将某一时间段的统计数据记录下来，但它无法对实时通信流量进行采集和分析。,6,计算机网络管理技术,为了能够全面地查看某一时间段（如一天、一周等）的实时通信流量和变化率，在,SNMP,中只有缩短轮询的时间间隔，如由原来的,10s,轮询一次改为现在的,5s,或,1s,轮询一次。这样，在一定程度上使收集设备信息的实效性增强，但却引出了另一个问题：频繁的轮询操作占用了大量的网络带宽，这与网络管理的初衷是相违背的。概括地讲，,SNMP,轮询存在以下两个明显的不足：一是没有伸缩性。在大型网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤情况的发生，严重时还可能会产生网络阻塞；二是收集数据的任务由管理进程来完成，但管理计算机（运行管理进程的计算机）的资源也是有限的。因此，缩短轮询时间间隔不是解决问题的首选方法。,7,计算机网络管理技术,3.1 RMON,规范,3.1.1 RMON,产生的原因,3.1.2 ROM,应用的网络模型,3.1.3 RMON,的功能,3.1.4 RMOM,的工作机制,3.1.5 RMON MIB,3.1.6 RMON,3.1.7 RMON,在网络设备上的应用实例,8,计算机网络管理技术,3.1.2 ROM,应用的网络模型,RMON,其实是,SNMP,应用的一个分支。,RMON,使用,SNMP,的操作，使用专用于子网监视的监视器收集子网的流量信息，并响应管理站的调用。如图,3-1,描述了,RMON,的一个应用实例。在这一网络中有,3,个不同的网络，一个管理站希望同时管理和监视这,3,个网络的流量，并能够按照管理需要配置管理内容，必要时位于各子网中的监视器还会主动发送报警（通过,trap,操作）。其中，每一个子网内都有一个,RMON,代理，负责在本子网内自动收集统计信息供管理站查询，并接受管理站的管理。管理站只要支持,RMON,功能就可以实现对所有子网中,RMON,代理的管理。,9,计算机网络管理技术,10,计算机网络管理技术,在网络管理中对网络流量进行监控是一项非常重要的工作。对网络进行监控，一方面是了解全网的流量分布情况，从而及时掌握各子网的流量大小和变化，为进一步调整网络带宽分配提供依据；另一方面通过位于每一子网中的监视器，可以实现流量控制，并利用报警功能对可能发生的流量过载等现象进行预警提示。,实现对子网的监控，需要在子网内设置一个探测系统，一般将探测系统称为监视器。监视器可以捕获和分析网络流量，还能够根据用户需要计算发送的报文总数、错误包的数量、输入,/,输出包的数量、每秒发送的数据量等数据。在实际应用中，监视器既可以是一台独立的设备，也可以是一台运行有,RMON,代理程序的计算机、服务器或交换机等设备。,11,计算机网络管理技术,监视器的作用与,SNMP,中的管理代理（,Agent,）基本上是相同的，所以监视器和代理的角色是相同的。更确切地说，,RMON,是一个特殊的,SNMP,代理，实现,RMON,的,MIB,和一些特殊功能。支持,RMON,的管理站能够识别,RMON MIB,，使用,SNMP,基本操作与,RMON,代理通信。与,SNMP,中的管理站和代理一样，运行,RMON,的管理控制台和,RMON,代理属于一种典型的客户端,/,服务器（,Client/Server,）结构。,12,计算机网络管理技术,3.1 RMON,规范,3.1.1 RMON,产生的原因,3.1.2 ROM,应用的网络模型,3.1.3 RMON,的功能,3.1.4 RMOM,的工作机制,3.1.5 RMON MIB,3.1.6 RMON,3.1.7 RMON,在网络设备上的应用实例,13,计算机网络管理技术,3.1.3 RMON,的功能,RMON,的设计，主要为了实现以下功能。,1,离线操作,在大型网络中，考虑到网络带宽的利用率，管理站不可能持续对监视器进行轮询操作，必要时管理站可以暂时停止对监视器的轮询。另一方面，当网络发生故障时，也可能导致管理站与监视器之间的通信中断。在这些情况下，需要监视器具有离线操作功能，能够不间断地自动捕获网络流量，并进行记录、分析、保存。当管理站与监视器恢复通信（轮询）时，管理站再从监视器中读取保存的数据。但是，当网络出现异常或发生故障时，监视器要能够将这一事件通知给管理站。,14,计算机网络管理技术,2,主动监视,如果监视器具有足够的资源且通信带宽允许时，为了获得准确的流量监控制信息，监视器要能够持续地对网络进行监视和信息记录。这些历史信息可以被管理站收集和处理。另外，当监视器所在的网络出现故障或发生异常时，监视器可以记录这些信息，给管理站提供所需的诊断信息。,3,问题检测和报告,如果主动监视会占用较多的网络资源，监视器也可以被动地进行监视。根据管理需要，可以通过对监视器的配置，使其连续地监视网络的某一（些）性能，当其出现错误时把相应的信息记录下来，并通知给管理站。,15,计算机网络管理技术,4,提供增值数据,在,RMON,系统中，由监视器收集每一个子网中的数据，并上报给管理站，而管理站并不直接管理子网中的设备，这种方式既有利于实现监视的实效性，也可以减轻管理站的负担。因为监视器直接在子网中运行，它有利于收集本子网中的通信情况，例如判断出哪些主机通信量最大，哪些主机出错最多，等等。这些数据的收集和分析都由监视器完成，比管理站直接收集和分析更有效、便捷。,5,多管理站操作,在大型的网络中可能同时存在多个管理站，一方面提高可靠性，另一方面可分散地实现各种不同的管理功能。例如，可以在两个或多个管理站之间实现冗余，提供安全性；也可以通过对监视器的配置，使同一个监视器为多个管理站提供相同或不同的信息，提高可靠性。,16,计算机网络管理技术,3.1 RMON,规范,3.1.1 RMON,产生的原因,3.1.2 ROM,应用的网络模型,3.1.3 RMON,的功能,3.1.4 RMOM,的工作机制,3.1.5 RMON MIB,3.1.6 RMON,3.1.7 RMON,在网络设备上的应用实例,17,计算机网络管理技术,3.1.4 RMOM,的工作机制,RMON,作为一个基于,SNMP,的监控规范，为通过端口远程监控网络提供了解决方案。,RMON,监视器可以采用两种方法收集数据：一种是通过专用的,RMON,探测器（,probe,），管理站直接从探测器获取管理信息并控制网络资源，这种方式可以获取,RMON MIB,的全部信息；另一种方法是将,RMON,代理直接植入到网络设备（路由器、交换机、防火墙、集线器等）之中，使它们成为带,RMON probe,功能的网络设施，管理站用,SNMP,的基本命令与其交换数据信息，收集网络管理信息。通过运行在监视器上的支持,RMON,的代理，管理站可以获得与被管网络设备接口相连的子网上的整体流量、错误统计和性能统计等信息，从而实现对网络的管理。为此，在,RMON,中，监视器、代理、探测器（,probe,）的角色是相同的。,18,计算机网络管理技术,RMON,是,SNMP,的应用扩展，管理站和代理通过,RMON MIB,作为接口。具体来讲，,RMON,由以下,3,部分组成：,以太网底层驱动：监视器的工作基本上是对子网上的数据包进行监视。网络底层的工作由端口控制芯片完成，通过底层驱动程序为上层软件提供两种接口：获取数据包和获取以太网统计数据。,SNMP,、,UDP,、,IP,：,RMON,只是对,SNMP,的功能扩展，一个基本的,SNMP,代理及,SNMP,下的各层协议都是必不可少的。,RMON,与,SNMP,通过,MIB,进行交互，管理站对监视器的配置和对收集的数据的获取都是通过,SNMP,完成的。当某些异常情况发生时，代理需要主动向管理站报告，因此,SNMP,还要提供发送,SNMP,陷阱（,Trap,）消息的接口。,管理信息库：为实现,RMON,功能，管理信息库应包含,MIB,所定义的各个对象。,RMON,所使用的,MIB,对象必须是,SNMP,能够识别的，,MIB,为,SNMP,和,RMON,提供读写的接口。,19,计算机网络管理技术,3.1 RMON,规范,3.1.1 RMON,产生的原因,3.1.2 ROM,应用的网络模型,3.1.3 RMON,的功能,3.1.4 RMOM,的工作机制,3.1.5 RMON MIB,3.1.6 RMON,3.1.7 RMON,在网络设备上的应用实例,20,计算机网络管理技术,3.1.5 RMON MIB,RMON,规范定义了管理信息库,RMON MIB,。,Internet,工程任务小组（,IETF,）于,1991,年,11,月公布了专门为以太网（,Ethernet LAN,）而开发的,RMON MIB,，来解决,SNMP,在日益扩大的分布式网络中所面临的局限性（具体见,RFC 1271,文档）。在,1993,年又发布了专门针对令牌环（,Token ring,）的,RMON MIB,（具体见,RFC 1513,文档）。,RMON MIB,的目的在于使,SNMP,更为有效更为积极主动地监控远程设备。,21,计算机网络管理技术,RMON MIB,由一组统计数据、分析数据和诊断数据组成，不像标准,MIB,仅提供被管对象大量的关于端口的原始数据，,RMON MIB,提供的是一个子网的统计数据和计算结果。,RMON MIB,实际上就是在,SNMP MIB,中添加了,10,个对象组，其中,9,个是针对以太网的，,1,个是针对令牌环的。这,10,个对象组分别如下：,以太网统计信息（,ethernet statistics,）：提供对每一个监视子网的基本统计信息，具体数据来自监视器上监视的每一个以太网接口。,历史控制（,history control,）：存储的是以固定间隔取样所获得的子网数据。,警报（,alarm,）：警报组周期性地读取变量的统计样本数据，将其与预先配置的阈值比较。如果监视的变量超过了阈值，将产生一个警报信息。表中只包含变量的最新采样数据，即在当前采样间隔完成时，采样变量的新值保存进去，旧的值则被丢弃掉。,22,计算机网络管理技术,主机（,host,）：该组包含网络（子网）中发现的每一台主机的统计数据。通过对网络中每一个数据帧中源和目的,MAC,地址的保存，可以发现网络上所有的主机。,主机排名（,hostTopN,）：用于记录对子网上一组主机的统计，这些主机在用某种参数（如,MAC,地址）作比较时，其值为所使用参数的最大值（如,MAC,地址的最大值）。,矩阵（,matrix,）：矩阵用于记录子网中一系列任意两台主机间的会话并将其以矩阵的形式存储起来。这种组织方式对于检索特定主机之间的流量信息十分有用，如用于查找某一时间内哪些设备访问某一台服务器的流量最大等。,过滤器（,filter,）：过滤器允许数据包和一个过滤条件进行匹配，这些匹配的包可以被捕获或生成事件。过滤器提供一种手段，使得监视器可以监视某一个特定端口上的某一特定类型的分组。本组定义了两种过滤器：数据过滤器和状态过滤器。,23,计算机网络管理技术,包捕获（,packet capture,）：包捕获需要与过滤器协同操作，其中包捕获组建立一组缓存区，用于存储从过滤器中的通道捕获的数据包。,事件（,event,）：事件组控制监视器事件的产生和通知，用于管理事件。但产生事件的条件则由,RMON MIB,中的其他组定义，例如警报组可以定义上升门限事件和下降门限事件。,令牌环（,Token ring,）：令牌环组增加了针对令牌环的管理信息。它包含两个统计组：环统计组和环响应统计组，其中环统计组在,MAC,子层收集令牌环网络的数据，如,token,分组、错误分组和,polling,等；而响应统计组收集各种大小和类型的广播和组播的分组数。,24,计算机网络管理技术,3.1 RMON,规范,3.1.1 RMON,产生的原因,3.1.2 ROM,应用的网络模型,3.1.3 RMON,的功能,3.1.4 RMOM,的工作机制,3.1.5 RMON MIB,3.1.6 RMON,3.1.7 RMON,在网络设备上的应用实例,25,计算机网络管理技术,3.1.6 RMON,由于,RMON MIB,只能存储,MAC,层的信息，所以,RMON,只能用于局域网内部某一设备端口的通信流量。为了使,RMON,能够对,MAC,层以上的通信进行监控，在,SNMPv2,发布之后，推出了,RMON,。推出,RMON,的目的并不是取代,RMON,，而是通过对,RMON MIB,进行扩充，扩展,RMON,的功能。与,RMON,相比，,RMON,的功能特点如下：,RMON,提供对,OSI,数据链路层以上的监控。如图,3-2,所示，,RMON,对,OSI,的数据链路层（更确切地说是数据链路层的,“,MAC,子层,”,）的通信进行监控，而,RMON,可以对数据链路层以上的通信进行监控。,26,计算机网络管理技术,RMON,仅可以分析和统计,MAC,层的通信，监测的是从一个端口流向另一个端口的流量。而,RMON,可以分析,MAC,层以上各层的通信，如传输层的,TCP,或,UDP,，或应用层的,E-mail,、,FTP,、,WWW,等，很显然，,RMON,的范围比,RMON,增大了。,RMON,只能监控网络的通信流量和流量占用带宽的情况，而,RMON,还可以提供不同层的网络应用所占用的带宽情况。例如，,RMON,可以在传输层分别监控,TCP,和,UDP,的通信所占用网络带宽的情况。,27,计算机网络管理技术,RMON,可以监控某一个节点使用何种通信协议将数据发送到另一个节台，这样就能够分别统计不同节点之间以及不同应用协议的数据流量分布情况。,RNOMII,已深入到了通信过程的深层，可以观察到是哪一个服务器发送数据包，哪一个用户预定要接受这一数据包，这一数据包表示何种应用。网络管员能够通过这种信息，按照应用带宽和响应时间要求来区分用户。,28,计算机网络管理技术,RMONII,没有取代,RMON,，而是对,RMON,的补充。,RMONII,在,RMON,标准的基础上提供一种新层次的诊断和监控功能。事实上，,RMONII,能够监控执行,RMON,标准的设备所发出的意外事件报警信号。从表,3-1,可以看出，,RMONII,如何能够对,RMON,进行补充，并从多个角度来解决一系列网络管理问题。,29,计算机网络管理技术,3.1 RMON,规范,3.1.1 RMON,产生的原因,3.1.2 ROM,应用的网络模型,3.1.3 RMON,的功能,3.1.4 RMOM,的工作机制,3.1.5 RMON MIB,3.1.6 RMON,3.1.7 RMON,在网络设备上的应用实例,30,计算机网络管理技术,3.1.7 RMON,在网络设备上的应用实例,1,支持嵌入式,RMON,的,SmartAgent,软件,当,RMON,嵌入到网络设施（如集线器）之中时，它的作用效率更高、经济上更划算。,在某个共享介质中，一个站点出现故障可以影响到在局域网中其他站点的运行。当某个阈值被超过时，,RMON,可以快速地确认出故障之所在，并向管理控制台报警。,3COM,公司的,SmartAgent,软件增强了,RMON,的功能，从而能自动和主动地对网络进行自我修复。使用,Transcend,网管应用程序，网管员可以设置针对,SmartAgentMIB,数据的报警阈值，以及制订出一旦出事后要采取的相应措施，从而自动解决了设备方面出现的局部问题（例如，关闭一个出故障的端口）。通过,SmartAgent,自动校准功能，网管员可以根据最近使用情况自动重新设置所有集线器端口的信息。,31,计算机网络管理技术,2,3COM,公司的,RMON ASIC,按照惯例，,RMON,探测器使用的是高性能处理器，它要占用相当大的内存来以线速收集统计数据、存储累积的数据和处理主机表和对话矩阵表。对网络通信进行监控以便捕获报警信号，以及在捕获和存储前对数据包进行过滤，这些操作都需要代理处理器具有更高的性能。,3COM,公司通过,ASIC,（专用集成电路）将,RMON,的监控功能直接植入到网络基础设施之中。由于,3COM,公司专门设计的,ASIC,的主要功能是提高整个集线器的性能，使用,ASIC,技术的另一个好处是在不用增加额外成本的情况下，就能在硬件上集成其它的先进功能。实际上，,3COM,公司的,ASIC,可以提供,RMON,功能，在不占用交换引擎中宝贵的处理器时间的情况下，对,RMON,进行全面支持。此外，基于,ASIC,的,RMON,方案可以通过,FlashEPROM,软件得到升级来支持更为先进的管理功能，例如,3COM,公司定期公布新版,SmartAgent,软件。,32,计算机网络管理技术,第,3,章 网络流量监控技术与方法,3.1 RMON,规范,3.2,面向交换的,SMON,标准,3.3,实验操作,1,：利用,MRTG,进行网络流量监测,33,计算机网络管理技术,3.2,面向交换的,SMON,标准,3.2.1 RMON,在交换式网络中的限制,3.2.2,交换式网络中的新技术,3.2.3,面向交换的,SMON,3.2.4 SMON,的实现,3.2.5 SMON,34,计算机网络管理技术,3.2.1 RMON,在交换式网络中的限制,SMON,是美国,Lucent,（朗讯）科技公司、以色列,LAN,交换集团（,LSG-I,，原,Lannet,公司）提出的，现在已作为交换式网络的标准远程监控管理信息库（,MIB,）被,IETF,所采纳（具体见,RFC 2613,文档）。,在,RMON,标准提出的早期，用户使用的基本是共享式网络。如图,3-3,所示，在共享式网络中所有的端口都连接到同一网段上，网络中任何一台主机发送的数据，都会广播到其他的主机上，因而网络数据的获取比较容易，网络管理相当简单。只要将一个网络分析仪或,RMON,探测器（,probe,）像普通主机一样连接到网络上，就可以主动地监控到整个网络中的流量。其实，,RMON,最早就是为这类网络而专门设计的。,35,计算机网络管理技术,后来，随着网络应用范围的逐渐增大，部分局域网开始包含多个共享式网段，这些网段通过网桥或路由器相互连接，为了监控整个网络，网络管理员只能在重要的网段上设置一些探测器（带有几个端口），通过这些端口可以同时监控几个网段，如图,3-4,所示。但是这些网段之间不存在内在的逻辑上的连接，所以,RMON,仅作为分离的数据源处理每一个探测器接口的信息，而不去考虑其它相关端口的统计情况。,36,计算机网络管理技术,37,计算机网络管理技术,随着网段数量的增加，交换式网络开始出现。交换式网络与共享式网络的本质区别是用交换机来替代原来共享式网络中的集线器，或用交换机来替换原来使用同轴电缆连接的总线型网络。与集线器不同，交换机工作在,OSI,参考模型的数据链路层，它可以通过每一个端口对应的下连设备（如计算机）的,MAC,地址进行点对点的通信。,38,计算机网络管理技术,3.2,面向交换的,SMON,标准,3.2.1 RMON,在交换式网络中的限制,3.2.2,交换式网络中的新技术,3.2.3,面向交换的,SMON,3.2.4 SMON,的实现,3.2.5 SMON,39,计算机网络管理技术,3.2.2,交换式网络中的新技术,1,VLAN,VLAN,（,Virtual Local Area Network,，虚拟局域网）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术，它是交换式网络的最基本的安全管理技术。,IEEE,于,1999,年颁布了用以标准化,VLAN,实现方案的,802.1q,协议标准草案。,VLAN,技术允许网络管理员将一个物理的,LAN,逻辑地划分成不同的广播域（即,VLAN,），每一个,VLAN,都包含一组有着相同需求的计算机或其他网络设备，与物理上形成的,LAN,有着相同的属性。一个,VLAN,内部的广播和单播流量都不会转发到其他,VLAN,中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。,40,计算机网络管理技术,2,QoS,一般来说，基于存储转发机制的,Internet,只为用户提供了,“,尽力而为（,best-effort,）,”,的服务，不能保证数据包传输的实时性、完整性以及到达的顺序性，不能保证服务的质量。随着,Internet,和,Intranet,的飞速发展，人们对于在网络上传输分布式多媒体应用的需求越来越大。一般说来，用户对不同的分布式多媒体应用有着不同的服务质量要求，这就要求网络应能根据用户的要求分配和调度资源。,QoS,（,Quality of Service,，服务质量）是网络对用户之间以及网络上互相通信的用户之间关于信息传输与共享的一种策略约定，例如传输延迟允许时间、最大传输画面失真度以及声像同步等。,对,QoS,进行分类和定义的目的是使网络可以根据不同类型的,QoS,进行管理和分配资源。例如，给实时服务分配较大的带宽和较多的,CPU,处理时间等，另一方面，对,QoS,进行分类定义也方便用户根据不同的应用提出,QoS,需求。为此，网络管理员必须了解不同的信息是如何按优先级分发的，进而对,QoS,进行评估和调整。,41,计算机网络管理技术,3,链路聚合,链路聚合（,Trunk,）是一种封装技术，是将交换机之间的多个端口捆绑成一条高带宽链路，以满足交换机之间的通信要求。链路聚合具有以下特点：一是提供负载平衡，避免链路出现阻塞现象；二是提高交换机之间的通信带宽，例如将,4,个,100Mbit/s,的端口进行聚合后，就可以为这两台交换机提供,400Mbit/s,的通信带宽；三是增加交换机之间连接的可靠性，被聚合的端口一旦其中一个出现故障时，其他端口会照常工作；四是所有,VLAN,数据都会通过交换机之间的聚合链路。对于聚合链路的通信情况，网络管理员也必须及时了解。,很明显，共享式网络的监控技术对于交换式网络来说是不够用的。,RMON,无法对交换机的每一个点对点传输、,VLAN,、,QoS,、链路聚合等通信情况进行监控。为此，既要对整个网络的活动进行描述，同时又能够对具体的实例做详细了解，就需要一种全部的网络监控方案，这就导致了,SMON,的产生。,42,计算机网络管理技术,3.2,面向交换的,SMON,标准,3.2.1 RMON,在交换式网络中的限制,3.2.2,交换式网络中的新技术,3.2.3,面向交换的,SMON,3.2.4 SMON,的实现,3.2.5 SMON,43,计算机网络管理技术,3.2.3,面向交换的,SMON,1,在交换模块中增加端口复制特性,这种方式是通过在交换模块中增加一种端口复制（,Port-Copy,）或端口镜像（,Port-Mirroring,）的特性，将一个或多个端口（源端口）的流量镜像到另一个端口（目的端口，或镜像端口）。在目的端口上连接一个标准的,RMON,探测器。如图,3-6,所示，将运行,RMON,的管理站直接连接在交换机的复制端口上，将交换机与,Internet,连接的端口设置为被复制端口，这样企业内部局域网中凡是访问,Internet,的流量都会被镜像到复制端口，并发送给管理站进行分析。,44,计算机网络管理技术,对端口复制的操作控制一般由不同厂商定义，属于私有,MIB,。这样，可以充分利用现有,RMON,技术，对局域网网段的动态子网进行监控。目前，许多交换机都支持端口复制特性，但在有些交换机的设计中对流量中不同的数据类型是否可以进行端口复制作了相应的限制（这主要是考虑到交换机的使用性能）。,端口复制可以将交换机中所有的流量通过一个特定的端口复制到一个镜像端口。如果交换机提供端口复制功能，则允许网络管理员自行设置一个监视管理端口（镜像端口）来监视被监视端口的数据流量，并将获取的监视数据发送给管理站，通过管理站上的网络分析软件来实时查看被监视端口的情况。目前，大部分交换机自带的管理软件以及一些入侵检测系统（,IDS,）都通过这种方式收集并分析交换机各端口的数据流量。,不过，这种方式仍然不能达到同时监控所有网段的目的，也解决不了交换实体（如交换机）中,VLAN,划分和优先级问题。,45,计算机网络管理技术,2,在交换机内部使用特殊的计数硬件和开发相应的收集流量信息的软件,在交换机内部使用特殊的计数硬件和开发相应的收集流量信息的软件是早期,SMON,的另一种有效解决方法。如图,3-7,所示，其中,SMON,模块的一个特殊目的是监听交换机背板的数据流量。,SMON,模块包括一个用来计数和分析总线上流量的硬件和一个中央处理单元（,CPU,）系统，模块的软件通常实现一个,SNMP,代理，允许远端的管理站（网络管理系统，,NMS,）访问,SMON,模块中的数据统计信息，并对交换机进行相应的管理操作。,46,计算机网络管理技术,如图,3-7,所示的交换监控实体（交换机）结构，具有以下的优点：,SMON,模块可以监控所有正在进行交换的流量信息。,SMON,模块与交换机的集成，可以使模块监控不同,VLAN,所产生的数据包，以及交换机内部设定的不同优先级的数据包。,SMON,模块减轻了交换机本身的监控任务，在进行流量监控的过程中不会对交换机的数据转发和过滤等功能造成影响。,如图,3-7,所示，当统计流量结果传输到管理站时，可以使用私有的扩展,MIB,和标准的,RMON MIB,进行记录。与此同时，,SMON,对统计广播和组播包的流量进行了特别的关注。由于广播和组播在交换机总线上只传输一次，并只在一个特定,VLAN,中的所有端口进行复制（这正是,VLAN,可以阻止广播和组播无限制传输的一个功能）。所以，为了正确地获取广播和组播（主要是广播）信息对交换机和,VLAN,的影响，广播和组播包仅在每个交换机和,VLAN,中捕获一次，而不管这些包在多少个端口中进行了复制。,47,计算机网络管理技术,3.2,面向交换的,SMON,标准,3.2.1 RMON,在交换式网络中的限制,3.2.2,交换式网络中的新技术,3.2.3,面向交换的,SMON,3.2.4 SMON,的实现,3.2.5 SMON,48,计算机网络管理技术,3.2.4 SMON,的实现,随着交换式网络的广泛应用，,SMON,被各个交换机制造商所关注，各制造商通过对,RMOM MIB,的扩展，分别提出了针对自己交换机的监控解决方案。由于各种针对交换监控问题方案的提出，就需要对,RMON,的扩展,SMON,进行标准化。于是,IETF,开始制定相应的标准，并形成标准,RFC2613,。,SMON,提供了对内部交换监控的能力和如何对端口复制机制进行控制的解决方案。,SMON MIB,的结构如图,3-8,所示，其中图中虚线箭头表示了控制表和结果表之间相互作用的过程。,49,计算机网络管理技术,50,计算机网络管理技术,与,RMON,相比，,SMON,标准中通过增加了一个新概念来定义了可作为其它,RMON,组合数据源的物理实体（实体交换机或交换实体模块）和逻辑实体（,VLAN,）。,SMON MIB,提供了一个数据结构，列出了进行交换时的数据源和这些数据源的性能。在,RMON,中，数据源是,iftable MIB,表中的实体。为了使,SMON,能够与,RMON,解决方案进行有机结合，每个新的,SMON,数据源都映射到一个,iftable,实体上，并把这些实体的类型设置为虚拟的（,virtual,）。,同时，,SMON MIB,中增加了那些不适合于存放在已有的,RMON,表中的数据源的计数统计能力。增加的,MIB,组就是为了专门收集,VLAN,的流量统计和在不同优先级上的流量信息。,51,计算机网络管理技术,另外，通过使用一个特殊的控制表，可以定义和激活端口复制操作。表中的每一行都定义了一个激活的端口复制操作。该控制表的每一行包括将要复制的源端口、目的端口和执行的操作类型（如带内流量复制、带外流量复制，或两者都有）。管理站的管理进程可以通过轮询数据源性能表，发现数据源的端口复制能力。通过采用这种机制，出现了多端口复制技术，即将多个数据源端口的流量信息同时复制到一个目的端口上，或将一个或多个,VLAN,中的全部流量复制到一个指定的连接端口上。,前面提到的带内流量和带外流量是管理站与,SMON,模块之间的两种工作模式。其中，带内流量方式是指将管理站直接连接到交换机的一个端口上，通过该端口实现与,SMON,模块之间的连接；而带外流量方式则是将管理站直接连接到,SMON,模块上，而达到直接监控,SMON,的目的。,52,计算机网络管理技术,3.2,面向交换的,SMON,标准,3.2.1 RMON,在交换式网络中的限制,3.2.2,交换式网络中的新技术,3.2.3,面向交换的,SMON,3.2.4 SMON,的实现,3.2.5 SMON,53,计算机网络管理技术,3.2.5 SMON,随着交换技术的不断成熟和完善，已经出现了三层交换技术，同时三层交换机已得到了大量应用。,三层交换（也称多层交换技术，或,IP,交换技术）是相对于传统交换概念而提出的。简单地说，三层交换技术就是：二层交换技术,+,三层转发技术。传统的交换技术是在,OSI,参考模型的第二层（数据链路层）进行操作，而三层交换技术在,OSI,参考模型的第三层（网络层）实现了数据包（分组）的高速转发。三层交换技术解决了局域网中网段划分之后，不同网段之间的通信必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。,针对三层交换机的应用，,IETF,提出了,SMON,标准。它可以实现第三层及更高层交换环境的监控，,SMON,不仅能够对主机的,IP,分组流量独立进行统计，且能够统计位于其他子网中的,IP,主机的流量，另外,SMON,还可以对每一种应用协议进行流量监控。,54,计算机网络管理技术,第一个采用,SMON,标准的多层交换机是朗讯（后来更名为,AVAYA,）公司的,Cajun M770 M-MLS,。这个交换机包括特殊的硬件,SMON,模块（计数器），该,SMON,模块可以对网络层和应用层进行数据流量统计。如图,3-9,所示，在交换机转发表的每一个转发入口处都有一个,SMON,计数数据块的索引，当使用转发表转发一个分组的时候，,SMON,计数器库里的计数器就记录这个分组的信息。,55,计算机网络管理技术,RMON,与,SMON,的监控内容相似，主要对数据链路层的流量进行统计；而,RMON,与,SMON,的监控内容相似，支持网络层及以上各层（主要在应用层）的性能监控。例如，在企业网络的出口处（如图,3-6,所示）通过对与,Internet,连接的端口的网络层流量的监控，可以了解局域网出口的流量大小。同时，还可以针对应用层的,WWW,、,E-Mail,、,FTP,等流量进行监控，了解每一种协议应用所使用的流量情况。,一个标准的,RMON,探测器对一个网段的全部流量进行监控而不加区分，而,SMON,可以根据交换机的路由情况记录数据信息，这种信息可以被看作是一个单一的数据源。这样，,SMON,就可以实现对具体协议、,VLAN,的分类统计。,56,计算机网络管理技术,更具体来讲，在,SMON,的网络管理环境中，网络管理员可以完成以下的几项工作：,定义所要监控的,OSI,模型层次和应用协议。,对整个交换机内不同协议的流量分布情况进行统计。,对与交换机相连的,IP,和,IPX,子网上的流量进行监控。,对主机之间（同一网段或不同网段）的通信流量进行监控。,目前在计算机网络管理中使用的,IDS,、,IPS,、企业上网行为管理系统等产品，在实现技术上一般直接使用或借鉴了,SMON,。,57,计算机网络管理技术,第,3,章 网络流量监控技术与方法,3.1 RMON,规范,3.2,面向交换的,SMON,标准,3.3,实验操作,1,：利用,MRTG,进行网络流量监测,58,计算机网络管理技术,本书第,2,章我们专门介绍了简单网络管理协议（,SNMP,）的相关知识，本章前面分别介绍了基于,SNMP,的两个应用功能的扩展规范,RMON,和,SMON,。在此基础上我们将介绍,SNMP,的一个具体应用，即网络流量监测。目前，基于,SNMP,的网络管理系统很多，如,HP,的,OpenView,、,IBM,的,NetView,、,Sun,的,SunNet Manager,等，虽然这些系统的功能强大，但使用费用较为最贵。本小节主要介绍一款免费的、应用非常广泛的软件,MRTG,（,Multi Router Traffic Grapher,，多路由器流量图显示器）的安装、配置和使用方法，,MRTG,能够对网络流量进行直观、有效的监测和管理。,59,计算机网络管理技术,3.3,实验操作,1,：利用,MRTG,进行网络流量监测,3.3.1 MRTG,简介,3.3.2,方案设计,3.3.3,被监测设备的配置,3.3.4 MRTG,网管工作站的安装和配置,60,计算机网络管理技术,3.3.1 MRTG,简介,MRTG,是一款免费软件，目前最高版本为,2.15.1,，可以从,MRTG,的网站（,www.mrtg.org,）上下载。,MRTG,具有以下特点：,可移植性：目前可以运行在大多数,UNIX/Linux,系统、,Windows NT,和,NetWare,操作系统上。,源码开放：,MRTG,是用