s02-流量分析技术-snmp.ppt

2 1 IP网络流量分析 SNMP技术原理 第二章 2 2 IP网络流量分析 目录 SNMP技术原理及设置方法实验使用SNMP对网络流量进行分析 2 3 IP网络流量分析 什么是SNMP 由IETF的研究小组提出的为了解决Internet上的路由器管理问题被设计成与协议无关可以使用在IP IPX AppleTalk OSI以及其他用到的传输协议上提供了一种从网络上的设备中收集网络管理信息的方法为设备向网络管理工作站报告问题和错误提供了一种方法 2 4 IP网络流量分析 SNMP收集数据的方法 从被管理设备中收集数据有两种方法polling only只轮询方法interrupt based基于中断方法trap directedpolling面向自陷的轮询方法以上两种方法的结合 2 5 IP网络流量分析 SNMP的管理架构 SNMP代理是一种管理协议用于在SNMP实体间传输管理信息的是被管理设备中的一个软件模块用来维护被管理设备的管理信息数据并可在需要时把管理数据汇报给一个SNMP管理系统SNMP代理和相关的MIB库存在于网络设备中如Cisco路由器 交换机 接入服务器等等 2 6 IP网络流量分析 MIB库 管理信息库 MIB库ManagementInformationBase是一个保存网络管理信息的虚拟数据存储空间由多组被管理对象组成在设备MIB库中有由多个MIB模块定义的多组各自相关联的对象每个MIB模块都是利用标准的SNMPMIB模块语言撰写的具体遵循的标准定义在IETFSTD58 RFC2579和RFC2580文档中每一个单独的MIB模块有时也会被称为一个MIB如设备接口组MIB IF MIB 就是设备MIB库中的一个MIB模块 2 7 IP网络流量分析 SNMP的管理者 SNMP管理者是一个利用SNMP协议对网络节点进行控制和监视的系统其中网络环境中最常见的SNMP管理者被称为网络管理系统NMS NetworkManagementSystem网络管理系统既可以指一台专门用来进行网络管理的服务器 也可以指某个网络设备中执行管理功能的一个应用程序现在市场上有众多软硬件厂商提供有支持SNMP协议的网络管理系统 如Cisco公司的CiscoWorks系列网络管理软件产品SNMP代理中保存有MIB对象变量变量的数值可以被SNMP管理者通过Get或Set操作进行读取和修改一个SNMP管理者可以从SNMP代理中读取一个变量的数值或把一个数值存储到SNMP代理的一个变量中SNMP代理从代表设备参数和网络运行数据的MIB库中采集数据 且可以对SNMP管理者的Get和Set操作进行应答 2 8 IP网络流量分析 SNMP通知 是SNMP协议的一个重要特性SNMP代理具有产生通知的能力通知不需要SNMP管理者请求就会主动发送发送采用异步方式形式可分为两种 TrapInformRequest 简称Inform用于指示网络中出现的不正确用户授权 重启 连接关闭 设备通信中断或其它异常事件 2 9 IP网络流量分析 Trap传送方式 是发送给SNMP管理者的通知网络状况的警告消息Trap通知方式为不可靠传输一条Trap通知只会被发送一次接收者在收到一条Trap通知后无需回复任何确认信息发送者无法知道Trap通知是否已经被正确接收 2 10 IP网络流量分析 Inform传送方式 是需要SNMP管理者确认接收的TrapInform通知可能会被重复发送多次SNMP管理者收到一条Inform通知后它需要向发送者回复一条确认信息 使用的是SNMP应答数据包 PDU 如果SNMP管理者没有接收到Inform通知 它将不会发送任何应答 所以当发送者无法接受到期望的应答时 它将再次发送一条Inform通知给SNMP管理者管理设备不能在发送后立即把一条Inform通知丢弃 它需要把通知信息保存在系统内存中直到收到相应的确认应答或设备规定的计时器超时Inform方式将会耗用更多的网络和设备资源 2 11 IP网络流量分析 通知形式的选择 在多数情况下 Trap通知方式被较多采用 因为Inform方式将会耗用更多的网络和设备资源与Trap通知方式不同的是 被管理员在选择Trap或Inform通知形式时需要根据可靠性要求和系统资源状况统筹考虑如果SNMP管理者需要确保收到每条通知 应该采用Inform通知方式如果更关心减少网络流量和网络设备的资源消耗且并不需要每条通知都需要接收 则应该采用Trap通知方式 2 12 IP网络流量分析 MIB和RFC MIB模块通常在提交给IETF的RFC文档中定义由RFC文档推荐为互联网标准 InternetStandard 在确定每个RFC文档地位前 文档会以互联网草案 InternetDraft I D 形式先行发表如果RFC文档最终被批准为推荐标准 则此文档将被标注为标准 STD 文档IETF组织的官方网站http www ietf org了解其标准制定流程和当前的工作进度查寻所有RFC文档 I D文档和STD文档的全文 2 13 IP网络流量分析 思科是最早定义SNMP的 支持标准MIB模块在路由器中提供了私有MIB扩展私有MIB模块符合相关RFC文档定义的规范在思科网站上 可查找所有Cisco设备支持的私有MIB模块的定义每种Cisco设备平台支持的MIB清单 2 14 IP网络流量分析 SNMP协议的版本 CiscoIOS支持SNMP协议的下列版本SNMPv1简单网络管理协议SNMPv2c基于团体字符串认证管理框架的简单网络管理协议版本2SNMPv3简单网络管理协议版本3提供了设备安全访问机制 2 15 IP网络流量分析 SNMPv3 提供的安全特性包括报文完整性确保数据包在传输过程中没有被篡改认证 确定报文是由正确信息源发送来的加密 对报文内容进行加密重点强调增强协议的安全认证 加密 授权 访问控制以及远程配置管理等功能提供了一个安全模型 为用户 用户组定义不同的安全认证策略 2 16 IP网络流量分析 SNMP的安全模型和级别 2 17 IP网络流量分析 如何管理网络 网络管理的两种方法积极主动 pro active 被动反应 re active 2 18 IP网络流量分析 如何管理网络 当管理网络时 你需要明确的第一件事情就是要知道什么时候网络出问题请你使用网络管理工作站来跟踪这些统计数据一段时间这将成为你的基准线 baseline 一个基准线就是一系列数字这些数字反映出了一个 健康 的网络你需要一个基准线来决定你的网络是否出了问题通过监视被管理设备中的网络阈值设置 并且寻找故障的征兆 你就可以拥有一个提前报警的系统了 2 19 IP网络流量分析 Cisco的SNMP配置 configterminal进入全局配置状态Cdprun启用CDPsnmp servercommunityciscoro配置本路由器的只读字串为ciscosnmp servercommunityciscociscorw配置本路由器的读写字串为ciscociscosnmp serverenabletraps允许路由器将所有类型SNMPTrap发送出去snmp serverhostIP address servertrapstrapcomm指定路由器SNMPTrap的接收者为10 238 18 17 发送Trap时采用trapcomm作为字串snmp servertrap sourceloopback0将loopback接口的IP地址作为SNMPTrap的发送源地址showrunningcopyrunningstart或writeterminal显示并检查配置保存配置 2 20 IP网络流量分析 Cisco的SNMP配置 配置Cisco设备的SNMP代理配置Cisco设备上的SNMP代理的步骤如下 启用SNMP configureterminalsnmp servercommunityrw ro example snmp servercommunitypublicro endcopyrunning configstartup config启用trap configureterminalsnmp serverenabletrapssnmpauthenticationendcopyrunning configstartup config配置snmp conft snmp servercommunityciscoro 只读 配置只读通信字符串 snmp servercommunitysecretrw 读写 配置读写通信字符串 snmp serverenabletraps 配置网关SNMPTRAP snmp serverhost10 254 190 1rw 配置网关工作站地址 2 21 IP网络流量分析 snmp servercommunityciscoRO99snmp servercommunityciscociscoRW99snmp servertrap sourceVlan131snmp serverenabletrapssnmpauthenticationwarmstartlinkdownlinkupcoldstartsnmp serverenabletrapshsrpsnmp serverenabletrapsconfigsnmp serverhost10 1 3 3ciscocisco monitorsession1sourceinterfaceGi3 2rxmonitorsession1sourceinterfaceGi3 1monitorsession1destinationinterfaceFa6 42 Snmpconfig Spanconfig rmo