RMON远程网络监控.doc

盛锦 基于VHDL的异步串行通信电路设计 第 16页 共16页 1 引言 SNMP作为一个基于TCP/IP并在Internet互联网中应用最广泛的网管协议,网络管理员可以使用SNMP监视和分析网络运行情况，但是SNMP也有一些明显的不足之处：由于SNMP使用轮询采集数据，在大型网络中轮询会产生巨大的网络管理报文，从而导致网络拥塞; SNMP仅提供一般的验证，不能提供可靠的安全保证; 不支持分布式管理，而采用集中式管理。由于只由网管工作站负责采集数据和分析数据，所以网管工作站的处理能力可能成为瓶颈。 为了提高传送管理报文的有效性、减少网管工作站的负载、满足网络管理员监控网段性能的需求，IETF开发了RMON用以解决SNMP在日益扩大的分布式互联中所面临的局限性。远程网络监控（RMON）收集九种信息，包括发送的包、发送的字节、丢失的包、主机的数据、两个地址集合间的会话、以及发生的特定类型的事件等。网络管理员可以查出每个用户施加于网络多大的带宽或通信量，还有哪些网址被访问了。可以设置警钟来警惕迫近问题。 1.1 背景与目的 新的分布式结构、更高性能的应用和因用户增加而逐步发展的网络规模都对网络治理解决方案的有效性产生了巨大的影响，它还要求网络标准必须与联网技术的发展保持同步。目前有一种有效的低成本网络治理解决方案正在得到广泛的接受，那就是远程监控RMON标准。 Internet工程非凡小组(IETF)于1991年11月公布了RMON MIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。RMON MIB的目的在于使SNMP更为有效、更为积极主动地监控远程设备，提高传送治理信息的有效性、减少治理站的负担、满足网络治理员监控网段性能的需求。1.2 工作方式 RMON标准使SNMP更有效、更积极主动地监测远程设备，网络管理员可以更快地跟踪网络、网段或设备出现的故障。RMON MIB的实现可以记录某些网络事件，可以记录网络性能数据和故障历史，可以在任何时候访问故障历史数据以有利于进行有效地故障诊断。使用这种方法减少了管理工作站同代理（Agent）间的数据流量，使简单而有力地管理大型网络成为可能。 RMON监视器可用两种方法收集数据：一种是通过专用的RMON探测器（probe），网管工作站直接从探测器获取管理信息并控制网络资源，这种方式可以获取RMON MIB的全部信息；另一种方法是将RMON代理直接植入网络设备（路由器、交换机、HUB等）使它们成为带RMON probe功能的网络设施，网管工作站用SNMP的基本命令与其交换数据信息，收集网络管理信息，但这种方式受设备资源限制，一般不能获取RMON MIB的所有数据，大多数只收集四个组的信息。 1.3 RMON应用 RMON MIB的使用意味着首次把网络管理扩展到物理层，使独立地收集设备的数据成为可能，内置的监控工具提供了不占用宝贵网络资源（带宽）而对整个流量进行有限度的分析能力，RMON产品已经可以使用，而且其数量在今后会平稳增长。 目前大部分RMON Agent 只支持统计、历史、告警、事件四个组，如Cisco、3COM、华为的路由器或交换机都已实现这些功能，不但支持网管工作站为Agent记录的任何计数和整数类对象设置采样间隔和报警阈值，而且允许网管工作站根据需要以表达式形式对多个变量的组合进行设置。1.4 RMON的突破 RMON实现了对异构环境进行一致的远程治理，它为通过端口远程监视网段提供了合适的解决方案。作为IETF定义的治理信息库，RMON是对SNMP标准的扩展，它定义了标准功能以及在基于SNMP治理站和远程监控者之间的接口，主要实现对一个网段乃至整个网络的数据流量的监视功能，目前已成为成功的网络治理标准之一。 RMON标准可以对数据网进行防范治理，它使SNMP更有效、更积极主动地监测远程设备，网络治理员可以更快地跟踪网络、网段或设备出现的故障，然后采取防范措施，防止网络资源的失效。RMON MIB的实现可以记录某些网络事件，即使在网络治理站没有与监控设备主动进行联接（脱机）的情况下，也同样可以完成记录。 另外，RMON MIB也可以用于记录网络性能数据和故障历史，可以在任何时候访问故障历史数据以有利于进行有效的故障诊断。使用这种方法减少了治理者同代理间的通信流量，使简单而有力地治理大型互联网络成为可能。 2 MIB简介2.1 MIB基本概念 MIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。RMON MIB的目的在于使SNMP更为有效更为积极主动地监控远程设备。 MIB是一个被管理对象的集合，它将定义被管理对象的一系列的属性： 1.对象的名字（Object IDentifier） 2.对象的访问权限 3.对象的数据类2.2 MIB结构MIB是以树状结构进行存储的树的节点表示管理对象，它可以用从根开始的一条路径来无二义的识别：OID：2.3 OID 1.唯一的标识一个MIB库中的对象： OID分配机制、保证OID不会冲突； 2.OID是由一些系列的整数组成，标明节点在MIB树中的位置 3.MIB一旦发布，OID就要和被定义的对象进行绑定：MIB节点不能被删除，只能将它的状态置为“obsolete”、不赞成对MIB节点的反复变更。2.4 MIB举例Address:Object ID = 1.1Object Instance = 1.1.0Value of Instance = 130.89.16.2Name:Object ID = 1.2.1Object Instance = 1.2.1.0Value of Instance = printer-1 3 RMON设计方式RMON自主性操作和分布式管理体系提高了网络管理效率，因而节省了金钱和时间，事实，SNC预测RMON将一个网络管理小组的效率提高两倍以上，使小组在不增加人员的情况下所支持的用户和网络数量都翻一番。要是网络预算的效率也能象这些个人生产率翻一番的话，那么可以节省大量开支。SNC估算，管理一个桌面机的一年的费用平均为1500美元。RMOM和新兴RMON标准(本文以后将叙述到)将这一费用减少到每年600美元。 3.1 嵌入式和分布式RMON 1. RMON代理可以部署成独立的专用的探测器，各自监控一个单一LAN网段。专用的RMON探测器的售价为3000美元或更多。然而，一次一个网段地进行网络监控对网段是有些用处，然而它却多少削弱了RMON的作用。 2. 依靠RMON主动地管理一个网段要求所有的网段同时都得到监控。依据网络的大小，在所有局域网网段使用RMON探测器的成本可能十分巨大。一个替代使用专有探测器的方法是将探测器真正从一个网段移到另一个网段，从而更系统地查看网络通信模式。不过这个过程既困难又耗时。 3.2分布式RMON具有更多的附加价值 1. 机箱式集线器的扩展容量将嵌入式RMON的发展带入到一个新的层次-分布式RMON。分布式RMON监控数据包活动，将来自多个远程局域网段的状态和运行状况统计数据综合在一起，使网管员查看拓扑结构变化如何全面地影响网络。3Com公司LinkBuilder MSH集线器中的分布式RMON支持功能最多可以同时提供10个独立的局域网网段的精确的RMON统计数据。3Com公司的ONcore Intergrated System集线器一次可同时管理多达17个网段。 2. 跨越工作组的分布式RMON是利用RMON功能的最为经济划算的方法，原因是它吸取了嵌入式RMON的节约成本的特点。当机箱式集线器对多个局域网进行监控时，它向网络管理控制台提供单一的报告，从而简化了数据收集和监控过程 3.3交换式环境中的RMON 1. 工作组和主干网是网段中最有可能部署高性能交换机的场所。部署RMON的准则依据交换式环境的类型而定。 2. 在工作组这一层面，交换机的管理标准与那些外围集线器的管理标准类似。网管员需要能监控与专有交换机端口相连的终端站节点的故障率，从而达到最高的工作效率。对于这一领域，3Com公司提供一系列支持RMON交换集线器产品，比如，SuperStackSwitch1000可支持4个主要的RMON监控组-流量、历史、报警和事件，另外还有三个额外的组。 3. 物理层监控在主干网变得不太重要，原因是局部出现的故障被交换机端口隔离开来，无法扩散到主干网交换机。因此，RMON如何才能在交换式主干网环境中发挥功效？ 4. 一种方案是向主干网交换端口增加单独的RMON探测器来全面地了解网络运行状况。主干网交换机中的RMON探测器可以提供有关数据流、网络的总利用率和趋势分析等有用的信息。然而，这种解决方案成本很高。 3.4最新出现的RMON II标准 1. RMON II标准能将网管员对网络的监控层次提高到网络协议栈的应用层。因而，除了能监控网络通信与容量外，RMONII还提供有关各应用所使用的网络带宽量的信息，这是在客户机/服务器环境中进行故障排除的重要因素。 2. RMON在网络中查找物理故障，RMON II进行的则是更高层次的观察。它监控实际的网络使用模式。RMON探测器观察的是由一个路由器流向另一个路由器的数据包，而RNOM II则深入到内部，它观察的是哪一个服务器发送数据包，哪一个用户预定要接受这一数据包，这一数据包表示何种应用。网管员能够使用这种信息，按照应用带宽和响应时间要求来区分用户，就象过去他们使用网络地址生成工作组一样。 3. RMON II没有取代RMON，而是它的补充技术。RMON II在RMON标准基础上提供一种新层次的诊断和监控功能。事实上，RMON II能够监控执行RMON标准的设备所发出的意外事件报警信号。 4. 在客户机/服务器网络中，安放妥当的RMON II探测器能够观察整个网络中的应用层对话。最好将RMON II探测器放在数据中心或工作组交换机或服务器集群中的高性能服务器之中。原因很简单，因为大部分应用层通信都经过这些地方。物理故障最有可能出现在工作组层，实际上用户是从这里接入网络的。因而目前布置在工作组位置的RMON最为有用，且使用起来最为经济有效。 4 RMON的配置4.1 概述 RMON的发展经历了三个阶段，第一阶段是以太网远程监视；第二阶段增加了令牌环的功能，称为令牌环远程监视模块；第三阶段被称为RMON2，从而使RMON功能发展到协议监视的更高层次。第一阶段的RMON（下称RMON1）包含九个组，所有的组都是可选择性（而非强制性）的，但有些组的使用必须有其他组的支持。设备实现其中的第1，2，3，9组的内容：统计组、历史组、警告组、事件组。4.1.1 统计组统计组是RMON中的第1组，统计组统计被监控的每个子网的基本统计信息。目前只能对网络设备的以太网接口进行监控、统计。该组包含一个以太网统计表，统计的内容包括丢弃的数据包、广播数据包、CRC错误、大小块、冲突等。4.1.2 历史组历史组(History)是RMON中的第2组，历史组定期地收集网络统计信息，并记录下来以便日后处理。它包含两个小组：1.HistoryControl组用来设置采样间隔时间、采样数据源等控制信息。2.EthernetHistory组为管理员提供有关网段流量、错误包、广播包、利用率以及碰撞次数等其他统计信息的历史数据。4.1.3 警告组警报组(Alarm)是RMON中的第3组，以指定的时间间隔监控一个特定的MIB(Management Information Base，管理信息库)对象，当这个MIB对象的值超过一个设定的上限值或低于一个设定的下限值时，会触发警报。警报被当作事件来处理，处理事件的方式可以是记录日志或发送SNMP Trap的方式。4.1.4 事件组事件组(Event)是RMON中的第9组，决定由于警报而产生事件时，处理行为是产生一个日志记录表项还是一个SNMP Trap。4.2 RMON配置任务表 4.2.1 配置统计组 您可以使用如下命令添加一个统计表项。命令作用Ruijie(config-if)# rmon collection stats indexowner ownername添加一个统计项Ruijie(config-if)# no rmon collection statsindex删除一个统计项 4.2.2 配置历史控制组 您可以使用如下命令添加一条历史控制表项：命令作用Ruijie(config-if)# rmon collection history indexowner ownername buckets bucket-numberintervalseconds添加一个历史控制表项Ruijie(config-if)# no rmon collection historyindex删除一个历史控制表项 Bucket-number：控制项指定了采用的数据源、时间间隔。每个采样区间， 都进行一次采样。采样的结果保存下来，Bucket-number指定了保存采样的 最大数目，当采样纪录达到最大值时，则新纪录覆盖最早的纪录。 Bucket-number取值范围是1-65535，默认值是10。 4.2.3 配置警告组和事件组 您可以使用如下命令配置警告表：命令作用Ruijie(config)# rmon alarmnumber variableintervalabsolute | delta rising-threshold valueevent-number falling-thresholdvalueevent-number owner ownername添加一个历史控制表项Ruijie(config)# rmon event numberlog trapcommunity descriptiondescription-string添加一个事件组表项 Ruijie(config)# no rmon alarm number删除一个警告组Ruijie(config)# no rmon event number删除一个事件组 number：警告表(事件表)的索引，范围1-65535。 variable：警告表监控的变量。变量必须是整数类型。 interval：采样的时间间隔。范围 关键字Absolute表示拿每次采样得到的值和上限、下限比较，关键字Delta表示利用 和上次采样的差值和上限、下限比较。 value定义了上限、下限的值。 event-number：当超过了上限或者下限的时候，触发事件组索引为Event-number的事件。 关键字Log表示事件触发的动作是：纪录事件 关键字Trap表示事件触发后的动作是：发送Trap消息到管理站。 community：发送Trap时的认证名。 description-string：事件的描述 4.2.4 显示RMON状态命令作用Ruijie(config)# show rmon alarm显示警告组Ruijie(config)# show rmon event显示事件组Ruijie(config)# show rmon history显示历史组Ruijie(config)# show rmon statistics显示统计组4.3 RMON配置实例4.3.1 配置统计组实例如果您希望统计以太端口3，使用如下命令：Ruijie(config)# interface gigabitEthernet 0/3Ruijie(config-if)# rmon collection stats 1 ownerzhangsan4.3.2 配置历史组实例如果您希望每隔10分钟统计以太网端口3的历史信息，使用如下命令：Ruijie(config)# interface gigabitEthernet0/3Ruijie(config-if)# rmon collection history 1 ownerzhangsaninterval6004.3.3 配置警告组和事件组实例 如果您希望配置对一个可统计的MIB变量的报警功能。下面的例子说明了对MIB-II中IfEntry表中实例ifInNUcastPkts.6(端口6上收到的非单播帧的个数，实例的标识符为1.3.6.1.2.1.2.2.1.12.6)设置报警功能。具体功能为：设备每隔30秒检查端口6上收到的非单播帧的个数的变化，如果收到的非单播帧的个数比上次检查时(30秒前)增加了20个或20个以上，或者比上次只增加10个或10以下，则警报被触发，同时警报将触发事件1进行相应的操作(记录到日志中，并发送认证名为”rmon”的Trap，事件的描述为“ifInNUcastPkts is too much”)。警报和事件表项的拥有者均为zhangsan。Ruijie(config)# rmon alarm 10 1.3.6.1.2.1.2.2.1.12.6 30 delta rising-threshold 20 1 falling-threshold10 1 ownerzhangsanRuijie(config)# rmon event 1 log trap rmon description ifInNUcastPkts is too much ownerzhangsan4.3.4 显示rmon状态实例 4.3.4.1show rmon alarmRuijie# show rmon alarmAlarm : 1Interval : 1Variable : 1.3.6.1.2.1.4.2.0Sample type : absoluteLast value : 64Startup alarm : 3Rising threshold : 10Falling threshold : 22Rising event : 0Falling event : 0Owner : zhangsan 4.3.4.2show rmon eventRuijie# show rmon eventEvent : 1Description : firsteventEvent type : log-and-trapCommunity : publicLast time sent : 0d:0h:0m:0sOwner : zhangsanLog : 1Log time : 0d:0h:37m:47sLog description : ipttlLog : 2Log time : 0d:0h:38m:56sLog description : ipttl 4.3.4.3show rmon historyRuijie# show rmon historyEntry : 1Data source : Gi1/1Buckets requested : 65535Buckets granted : 10Interval : 1Owner : zhangsanSample : 198Interval start : 0d:0h:15m:0sDropEvents : 0Octets : 67988Pkts : 726BroadcastPkts : 502MulticastPkts : 189CRCAlignErrors : 0UndersizePkts : 0OversizePkts : 0Fragments : 0Jabbers : 0Collisions : 0Utilization : 0 4.3.4.4show rmon statisticsRuijie# show rmon statisticsStatistics : 1Data source : Gi1/1Dro