网络管理--RMON.ppt

第六章 远程网络监视 RMON6.1 RMON产生的背景6.2 RMON16.3 RMON2 SNMP的MIB-2能够提供单个主机的管理信息，为了提供整个网络的通信情况，需要加大轮询的工作量。SNMP作为一个基于UDP/IP并在Internet互联网中应用最广泛的网管协议，网络管理员可以使用SNMP监视和分析网络运行情况，但是SNMP也有一些明显的不足之处：在大型的网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤情况的发生。6.1 RMON产生的背景它将收集数据的负担加在网络管理控制台上。管理站也许能轻松地收集8个网段的信息，当它们监控几十个网段时，恐怕就应付不下来。所以网管工作站的处理能力可能成为瓶颈。6.1.1 RMON的定义和特点 RMON(Remote network MONitoring)是一个进程，RMON驻留的设备叫RMON Probe,可以是独立的主机，也可以是工作站、服务器、路由器兼任。它的功能就是统计和分析子网的通信性能指标。1）离线操作当Manager停止对Probe轮询时，RMON也能够不间断地采集子网的信息，备 Manager查用。2）主动监视RMON能够连续的进行故障诊断和记录网络性能。同时在发现网络故障时，可以主动向管理站报告。3）提供增值数据RMON分析它收集到的子网数据，可以计算出网络性能的多种数据，识别并记录故障的阈值，同时通知Manager分担了Manager的任务。6.1.2 RMON 的控制RMON可以由专用设备来实现，也可以由其他系统兼任。1）配置RMON为数据采集进行配置，配置数据类型和格式。RMON MIB 分为若干功能组，每个组都是由控制表和数据表组成。对于Manager,控制表是可以读写的，Manager可以设置控制表中的控制参数，如需要采集的数据源，数据类型，采集时间。数据表是只读的。2）调用操作SNMP Manager 使用SetRequest对RMON MIB进行赋值，完成对RMON的操作。RMON(mib-2 16)statistics(1)以态网的统计信息 history(2)子网周期性的统计信息matrix(6)对地址之间的通信统计数据filter(7)对分组进行过滤的信息alarm(3)取样间隔和报警门限host(4)一个主机的通信统计数据hostTopN(5)某种参数最大的N台主机统计数据capture(8)捕获特殊分组的信息event(9)定义网络事件的信息。tokenRing(10)关于令牌环网的配置统计信息。6.2 RMON信息库6.2.1 statistics(rmon 1)statistics(rmon 1)etherStatsTable(1)etherStatsDataSource(2)监视器接收数据的以态网接口。etherStatsEntry(1)etherStatsIndex(1)索引号，对应一个子网。etherStatsDropEvent(3)因资源不足而丢弃的分组数。etherStatsOctets(4)接收的字节总数。etherStatsBroadcastPkts(6)接收到的广播分组数。etherStatsPkts(5)接收的分组数。etherStatsMulticastPkts(7)接收到的组播分组数。etherStatsCRCAlignErrors(8)接收的CRC错误或有对准错误的分组数。etherStatsOverSizePkts(10)大于1518字节的分组数。etherStatsUndersizePkts(9)不足64字节的分组数。etherStatsCllision(13)子网发生冲突的次数。6.2.2 history(rmon 2)采样周期、样品数目和項目。提供有关网段流量、错误包、广播包、利 用率以及碰撞次数等其他统计信息的历史数据。history(rmon 2)etherHistoryTable(2)以态网历史组数据表。historyControlTable(1)历史组的控制表historyControlEntry(1)etherHistoryEntry(1)historyControlEntry(1)historyControlIndex(1)historyControlDataSource(2)被采样接口的编号。historyControlBucketsRequested(3)请求的存储样品数目(对应着相关的一行)默认值是50。historyControlBucketsGranted(4)实际得到的存储样品数目。historyControlInterval(5)采样间隔长度。默认值是1800s。etherHistoryEntry(1)etherHistoryIndex(1)etherHistorySampleIndex(2)被采集的样品标识。etherHistoryIntervalStart(3)采样开始时sysUptime的值。etherHistoryDrapEvents(4)因资源不足而丢失的分组数目。ehterHistoryUtilization(15)子网利用率。.6.2.3 主机组host组用于收集LAN上特定主机的统计信息。RMON通过观察正常分组中源和目的分组的MAC地址来发现LAN中的主机。host(rmon 4)hostTable(2)用MAC地址和网络接口索引hostControlTable(1)hostControlEntry(1)hostEntry(1)hostTimeTable(3)按照创建的顺序索引hostTimeEntry(1)hostControlEntry(1)hostControlIndex(1)hostControlDataSource(2)主机组的网络接口编号。hostControlTableSize(3)主机组数据表的行数，就是子网中的主机数。hostControlDeletetime(4)hostTable删去一行的时间（sysUpTime)。1)hostControl 表对象2)host表对象用主机的MAC地址来索引的表hostEntry(1)hostAddress(1)主机MAC地址hostCreatonOder(2)主机被发现的顺序hostIndex(3)hostOutPkts(5)输出的分组数。hostInPkts(4)接收的分组数。hostInOctets(6)接收的字节数。hostOutOctets(7)输出的字节数。hostOutErrors(8)输出出错的分组数。hostOutBroadcastPkts(9)输出的广播分组数。hostOutMultiCastPkts(10)输出的多播分组数。3)hostTime表对象按照创建的时间来索引的表。内容和host 表一致。hostTimeEntry(1)hostTimeAddress(1)主机MAC地址hostTimeCreatonOder(2)主机被发现的顺序。hostTimeIndex(3)代理a代理b代理cRMON代理e代理f接口1接口2代理g代理d子网1子网2hostControlTable=2(子网数）对于子网1，hostControlTable中第1行hostControlTableSize=3(子网1中有3台主机）对于子网2，hostControlTable中第2行hostControlTableSize=4(子网2中有4台主机）6.2.4 hostTopN(最高N台主机组）hostTopN组用于记录LAN上某种参数最大的主机信息。如，可以记录某天传输数据量最大的十台主机信息。统计信息可以从host组取得。hostTopN(rmon 5)hostTopNTable(2)以态网历史组数据表。hostTopNControlTable(1)hostTopNControlEntry(1)hostTopNEntry(1)1)hostTopNControl 表对象hostTopNControlEntry(1)hostTopNControlIndex(1)hostTopNHostIndex(2)与hostControlIndex 和hostIndex 相匹配。hostTopNRateBase(3)要采样的变量。与hostTable表中的7个变量之一对应。hostTopNTimeRemaining(4)采样剩余时间(秒)hostTopNDuration(5)采样周期hostTopNRequestedSize(6)请求统计的最大主机数NhostTopNGrantedSize(7)实际的统计的最大主机数NhostTopNStartTime(8)采样时间（sysUpTime)。2)hostTopN表对象hostTopNEntry(1)hostTopN Report(1)与hostTopNControlIndex(1)一致hostTopNIndex(2)表示唯一的主机。hostTopNAddress(3)主机的MAC地址hostTopNRate(4)采样周期内采样变量的变化量。由hostTopNRateBase指定。6.2.5 matrix 矩阵组matrix组用于记录子网内各对主机的信息流量。便于检测特定主机对的信息流量，比如哪个主机和服务器的通信最多。matrix(rmon 6)matrixSDTable(2)源主机到多台目的主机matrixControlTable(1)matrixControlEntry(1)matrixSDEntry(1)matrixDSTable(3)目的主机到多台源主机matrixDSEntry(1)1)matrixTopNControl 表对象matrixControlEntry(1)matrixControlIndex(1)matrixControlDataSource(2)子网接口的标识matrixControlTableSize(3)数据表的行数matrixControlLastDeleteTime(4)在数据表删除一行的时间（sysUpTime)2)matrixSD 表对象matrixSDEntry(1)matrixSDSourceAdress(1)源MAC地址matrixSDDestAdress(2)目的MAC地址matrixSDIndex(3)与matrixControlIndex(1)相同matrixSDPkts(4)源到目标的分组数matrixSDOctets(5)源到目标的字节数matrixSDErrors(6)源到目标的错误分组数3)matrixDS 表对象matrixDSEntry(1)matrixDSSourceAdress(1)源MAC地址matrixDSDestAdress(2)目的MAC地址matrixDSIndex(3)与matrixControlIndex(1)相同matrixDSPkts(4)目标到源的分组数matrixDSOctets(5)目标到源的字节数matrixDSErrors(6)目标到源的错误分组数6.2.6 alarm 组alarm组用于定义一个网络告警类型、间隔、阈值上限、阈值下限。如果某个变量超过了设定的阈值，就会生成一个报警并发送到中央控制台。比如，在5分钟内发现超过100个CRC错误，就会生成一个报警。alarm(rmon 3)alarmTable(1)alarmEntry(1)alarmIndex(1)alarmInterval(2)对报警阈值采样的周期alarmVariable(3)采样的变量alarmSampleType(4)采样的方法。absoluteValue(1),采样值直接与阈值直接比较。deltaValue(2),本次采样值与前次采样值的差，与阈值比较。alarmStartupAlarm(6)是否报警。risingAlarm(1),fallingAlarm(2),risingOrFallingAlarm(3).alarmValue(5)最近一次采样得到的统计值。alarmRisingTreshold(7)阈值上限alarmfallingTreshold(8)阈值下限alarmfallingEventIndex(10)采样值超过阈值下限时，事件组的索引。alarmRisingEventIndex(9)采样值超过阈值上限时，事件组的索引。6.2.7 filter 组提供了字节过滤器类型、两种过滤器，使probe能够观测到指定子网上选定的分组。数据过滤器：以位方式来匹配分组状态过滤器：以分组的状态来匹配分组filter(rmon 7)channelTable(2)filterlTable(1)filterEntry(1)channelEntry(1)1)过滤逻辑定义：input:被过滤的输入分组。fiterPktData:测试的位模式。filterPktDataMast:测试的相应位。实际就是过滤所要满足条件的具体数值。filterPktDataNotMask:进行匹配或不匹配的测试。匹配测试 (input xor filterPktData)=0,匹配。不匹配测试 (input xor filterPktData)!=0,不匹配。2)通道（信道）通道由一组过滤器组成，分组经过该通道的每个过滤器。ChannelAcceptType=acceptMatched(1),acceptFailed(2)当取acceptMatched(1),分组数据和状态至少与一个过滤器匹配，分组就被接收。当取acceptFailed(2)，分组不能够通过任何过滤器，才能够被接收。分组数据分组状态数据过滤器1状态过滤器1AND数据过滤器2状态过滤器2数据过滤器n状态过滤器nANDANDOR6.2.8 Capture 组包捕获组建立一组缓冲区，用于存储从通道中捕获的分组。捕获所有通过过滤器的数据包,简单地记下基于这些数据包的统计。capture(rmon 8)capturebufferTable(2)bufferControlTable(1)bufferControlEntry(1)capturebufferEntry(1)bufferControlEntry(1)bufferControlIndex(1)bufferControlChannelIndex(2)指向一个通道bufferControlFullStatus(3)缓冲区是否用完bufferControlFullAction(4)缓冲区是否循环使用bufferControlCaptureSliceSize(5)被捕获的分组可以存入缓冲区的最大字节。bufferControlDownloadSliceSize(6)单个SNMP 报文可以从缓冲区取得的最大字节数bufferControlDownloadOffset(7)从缓冲区取得的第一个字节距分组头部的偏移量bufferControlTurnTime(11)打开缓冲区的时间bufferControlMaxOctetsRequested(8)请求的缓冲区大小。bufferControlMaxOctetsGranted(9)得到的缓冲区大小bufferControlCapturePkts(10)当前在缓冲区的分组数。captureBufferEntry(1)captureBufferControlIndex(1)与控制表索引一致captureBufferIndex(2)缓冲区中分组的索引captureBufferPacketID(3)分组被捕获的顺序captureBufferPacketData(4)存储的分组captureBufferPacketLength(5)接收的分组长度captureBufferPacketTime(6)打开缓冲区的时间captureBufferPacketStatus(7)分组的错误状态6.2.9 event 组 事件组的作用是管理事件，事件由MIB中其它组触发的，事件也可以触发其它组的动作。比如报警，过滤，还可以发起Trap.envet(rmon 9)logTable(2)evntTable(1)eventEntry(1)logEntry(1)evnetEntry(1)evnetIndex(1)eventDescription(2)事件的文本描述evntType(3)事件类型non(1),log(2),trap(3),log&trap(4)eventCommunity(4)接受（事件报告）的团体名eventLatSent(5)最近的事件产生时间logEntry(1)logEvnetIndex(1)logIndex(2)事件记录索引logTime(3)事件记录时间logDescrition(4)与记录事件有关的文本描述6.3 RMON2RMON1 能够监视子网内的所有流量，能够捕获所有MAC层的帧，并且从这些帧中读取MAC层的源和目标地址，以及每台主机在MAC层的进出流量的详细信息。RMON2可以读取封装在网络层以上协议的报头，能够判分析流经不同子网的信息流量的最终源地址和目的地址。RMON2对于网络层，传输层和应用层是可见的。RMON(mib-2 16)protocolDir(11)协议目录组。probe能够解释的协议目录。protocolDist(12)协议分布组。每个子网中每个协议产生的流量统计信息。addressMap(13)地址映射组。建立网络层地址，MAC地址的映射关系。nlHost(14)网络层主机组。基于网络层发现主机。alMatrix(17)应用层对地址之间的通信统计数据userHistory(18)用户历史组。按照用户的要求，周期性地收集统计信息。alHost(16)应用层主机组probeConfigue(19)probe配置组。为probe配置参数。nlMatrix(15)网络层矩阵组。网络层主机对（源和目标地址）之间的通信情况。