网络流量监控技术与方法.ppt
计算机网络管理技术,第1章 网络管理技术概述第2章 SNMP网络管理架构第3章 网络流量监控技术与方法第4章 磁盘管理第5章 用户管理第6章 组策略管理第7章 补丁管理第8章 IP地址管理第9章 VLAN管理第10章 网络存储管理,计算机网络管理技术,第3章 网络流量监控技术与方法 随着计算机网络应用领域的不断拓宽及网络连接范围的扩大,用户越来越关心网络的服务质量。对于网络管理人员来说,确保网络的稳定畅通是工作中的一项重要而繁杂的任务。最直接的管理方法是通过查看网络的实时流量,了解不同设备、不同网段在不同时间段内的流量大小,为相关的管理措施提供直观的决策依据。本章首先在第2章SNMP相关知识的基础上,介绍远程监视(RMON)、交换机的远程监视(SMON)等技术规范,然后再结合SNMP的网络管理特性,介绍目前在网络流量采集和分析中应用最为广泛的MRTG软件的安装、部署和使用方法。,计算机网络管理技术,第3章 网络流量监控技术与方法3.1 RMON规范3.2 面向交换的SMON标准3.3 实验操作1:利用MRTG进行网络流量监测,计算机网络管理技术,3.1 RMON规范在第2章SNMP技术的学习中,我们已经提到RMON(Remote Monitoring,远程监视)技术是对SNMPv1功能的一个扩展,主要是针对SNMP中管理进程(Manager)与管理代理(Agent)之间的通信缺少实时性以及轮询开销太大这一缺陷而提出来的一组MIB变量,这组MIB变量都是通过对网络的连续、实时监视而生成的。所以,RMON是SNMP的一种应用,遵循SNMP的结构,同时又解决了SNMP中存在的不足,扩展了SNMP的功能及应用。,计算机网络管理技术,3.1 RMON规范3.1.1 RMON产生的原因3.1.2 ROM应用的网络模型3.1.3 RMON的功能3.1.4 RMOM的工作机制3.1.5 RMON MIB3.1.6 RMON3.1.7 RMON在网络设备上的应用实例,计算机网络管理技术,3.1.1 RMON产生的原因SNMP是一种应用广泛的网络管理协议,它通过嵌入到网络设备中的代理程序来收集网络通信信息和有关设备的数据,并将结果记录到MIB中。管理站以轮询(polling)方式通过向代理的MIB发出查询信号可以收集到设备的状态数据。在这一过程中,虽然设备中的MIB可以将某一时间段的统计数据记录下来,但它无法对实时通信流量进行采集和分析。,计算机网络管理技术,为了能够全面地查看某一时间段(如一天、一周等)的实时通信流量和变化率,在SNMP中只有缩短轮询的时间间隔,如由原来的10s轮询一次改为现在的5s或1s轮询一次。这样,在一定程度上使收集设备信息的实效性增强,但却引出了另一个问题:频繁的轮询操作占用了大量的网络带宽,这与网络管理的初衷是相违背的。概括地讲,SNMP轮询存在以下两个明显的不足:一是没有伸缩性。在大型网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤情况的发生,严重时还可能会产生网络阻塞;二是收集数据的任务由管理进程来完成,但管理计算机(运行管理进程的计算机)的资源也是有限的。因此,缩短轮询时间间隔不是解决问题的首选方法。,计算机网络管理技术,3.1 RMON规范3.1.1 RMON产生的原因3.1.2 ROM应用的网络模型3.1.3 RMON的功能3.1.4 RMOM的工作机制3.1.5 RMON MIB3.1.6 RMON3.1.7 RMON在网络设备上的应用实例,计算机网络管理技术,3.1.2 ROM应用的网络模型RMON其实是SNMP应用的一个分支。RMON使用SNMP的操作,使用专用于子网监视的监视器收集子网的流量信息,并响应管理站的调用。如图3-1描述了RMON的一个应用实例。在这一网络中有3个不同的网络,一个管理站希望同时管理和监视这3个网络的流量,并能够按照管理需要配置管理内容,必要时位于各子网中的监视器还会主动发送报警(通过trap操作)。其中,每一个子网内都有一个RMON代理,负责在本子网内自动收集统计信息供管理站查询,并接受管理站的管理。管理站只要支持RMON功能就可以实现对所有子网中RMON代理的管理。,计算机网络管理技术,计算机网络管理技术,在网络管理中对网络流量进行监控是一项非常重要的工作。对网络进行监控,一方面是了解全网的流量分布情况,从而及时掌握各子网的流量大小和变化,为进一步调整网络带宽分配提供依据;另一方面通过位于每一子网中的监视器,可以实现流量控制,并利用报警功能对可能发生的流量过载等现象进行预警提示。实现对子网的监控,需要在子网内设置一个探测系统,一般将探测系统称为监视器。监视器可以捕获和分析网络流量,还能够根据用户需要计算发送的报文总数、错误包的数量、输入/输出包的数量、每秒发送的数据量等数据。在实际应用中,监视器既可以是一台独立的设备,也可以是一台运行有RMON代理程序的计算机、服务器或交换机等设备。,计算机网络管理技术,监视器的作用与SNMP中的管理代理(Agent)基本上是相同的,所以监视器和代理的角色是相同的。更确切地说,RMON是一个特殊的SNMP代理,实现RMON的MIB和一些特殊功能。支持RMON的管理站能够识别RMON MIB,使用SNMP基本操作与RMON代理通信。与SNMP中的管理站和代理一样,运行RMON的管理控制台和RMON代理属于一种典型的客户端/服务器(Client/Server)结构。,计算机网络管理技术,3.1 RMON规范3.1.1 RMON产生的原因3.1.2 ROM应用的网络模型3.1.3 RMON的功能3.1.4 RMOM的工作机制3.1.5 RMON MIB3.1.6 RMON3.1.7 RMON在网络设备上的应用实例,计算机网络管理技术,3.1.3 RMON的功能RMON的设计,主要为了实现以下功能。1 离线操作在大型网络中,考虑到网络带宽的利用率,管理站不可能持续对监视器进行轮询操作,必要时管理站可以暂时停止对监视器的轮询。另一方面,当网络发生故障时,也可能导致管理站与监视器之间的通信中断。在这些情况下,需要监视器具有离线操作功能,能够不间断地自动捕获网络流量,并进行记录、分析、保存。当管理站与监视器恢复通信(轮询)时,管理站再从监视器中读取保存的数据。但是,当网络出现异常或发生故障时,监视器要能够将这一事件通知给管理站。,计算机网络管理技术,2 主动监视如果监视器具有足够的资源且通信带宽允许时,为了获得准确的流量监控制信息,监视器要能够持续地对网络进行监视和信息记录。这些历史信息可以被管理站收集和处理。另外,当监视器所在的网络出现故障或发生异常时,监视器可以记录这些信息,给管理站提供所需的诊断信息。3 问题检测和报告如果主动监视会占用较多的网络资源,监视器也可以被动地进行监视。根据管理需要,可以通过对监视器的配置,使其连续地监视网络的某一(些)性能,当其出现错误时把相应的信息记录下来,并通知给管理站。,计算机网络管理技术,4 提供增值数据在RMON系统中,由监视器收集每一个子网中的数据,并上报给管理站,而管理站并不直接管理子网中的设备,这种方式既有利于实现监视的实效性,也可以减轻管理站的负担。因为监视器直接在子网中运行,它有利于收集本子网中的通信情况,例如判断出哪些主机通信量最大,哪些主机出错最多,等等。这些数据的收集和分析都由监视器完成,比管理站直接收集和分析更有效、便捷。5 多管理站操作在大型的网络中可能同时存在多个管理站,一方面提高可靠性,另一方面可分散地实现各种不同的管理功能。例如,可以在两个或多个管理站之间实现冗余,提供安全性;也可以通过对监视器的配置,使同一个监视器为多个管理站提供相同或不同的信息,提高可靠性。,计算机网络管理技术,3.1 RMON规范3.1.1 RMON产生的原因3.1.2 ROM应用的网络模型3.1.3 RMON的功能3.1.4 RMOM的工作机制3.1.5 RMON MIB3.1.6 RMON3.1.7 RMON在网络设备上的应用实例,计算机网络管理技术,3.1.4 RMOM的工作机制RMON作为一个基于SNMP的监控规范,为通过端口远程监控网络提供了解决方案。RMON监视器可以采用两种方法收集数据:一种是通过专用的RMON探测器(probe),管理站直接从探测器获取管理信息并控制网络资源,这种方式可以获取RMON MIB的全部信息;另一种方法是将RMON代理直接植入到网络设备(路由器、交换机、防火墙、集线器等)之中,使它们成为带RMON probe功能的网络设施,管理站用SNMP的基本命令与其交换数据信息,收集网络管理信息。通过运行在监视器上的支持RMON的代理,管理站可以获得与被管网络设备接口相连的子网上的整体流量、错误统计和性能统计等信息,从而实现对网络的管理。为此,在RMON中,监视器、代理、探测器(probe)的角色是相同的。,计算机网络管理技术,RMON是SNMP的应用扩展,管理站和代理通过RMON MIB作为接口。具体来讲,RMON由以下3部分组成:以太网底层驱动:监视器的工作基本上是对子网上的数据包进行监视。网络底层的工作由端口控制芯片完成,通过底层驱动程序为上层软件提供两种接口:获取数据包和获取以太网统计数据。SNMP、UDP、IP:RMON只是对SNMP的功能扩展,一个基本的SNMP代理及SNMP下的各层协议都是必不可少的。RMON与SNMP通过MIB进行交互,管理站对监视器的配置和对收集的数据的获取都是通过SNMP完成的。当某些异常情况发生时,代理需要主动向管理站报告,因此SNMP还要提供发送SNMP陷阱(Trap)消息的接口。管理信息库:为实现RMON功能,管理信息库应包含MIB所定义的各个对象。RMON所使用的MIB对象必须是SNMP能够识别的,MIB为SNMP和RMON提供读写的接口。,计算机网络管理技术,3.1 RMON规范3.1.1 RMON产生的原因3.1.2 ROM应用的网络模型3.1.3 RMON的功能3.1.4 RMOM的工作机制3.1.5 RMON MIB3.1.6 RMON3.1.7 RMON在网络设备上的应用实例,计算机网络管理技术,3.1.5 RMON MIBRMON规范定义了管理信息库RMON MIB。Internet工程任务小组(IETF)于1991年11月公布了专门为以太网(Ethernet LAN)而开发的RMON MIB,来解决SNMP在日益扩大的分布式网络中所面临的局限性(具体见RFC 1271文档)。在1993年又发布了专门针对令牌环(Token ring)的RMON MIB(具体见RFC 1513文档)。RMON MIB的目的在于使SNMP更为有效更为积极主动地监控远程设备。,计算机网络管理技术,RMON MIB由一组统计数据、分析数据和诊断数据组成,不像标准MIB仅提供被管对象大量的关于端口的原始数据,RMON MIB提供的是一个子网的统计数据和计算结果。RMON MIB实际上就是在SNMP MIB中添加了10个对象组,其中9个是针对以太网的,1个是针对令牌环的。这10个对象组分别如下:以太网统计信息(ethernet statistics):提供对每一个监视子网的基本统计信息,具体数据来自监视器上监视的每一个以太网接口。历史控制(history control):存储的是以固定间隔取样所获得的子网数据。警报(alarm):警报组周期性地读取变量的统计样本数据,将其与预先配置的阈值比较。如果监视的变量超过了阈值,将产生一个警报信息。表中只包含变量的最新采样数据,即在当前采样间隔完成时,采样变量的新值保存进去,旧的值则被丢弃掉。,计算机网络管理技术,主机(host):该组包含网络(子网)中发现的每一台主机的统计数据。通过对网络中每一个数据帧中源和目的MAC地址的保存,可以发现网络上所有的主机。主机排名(hostTopN):用于记录对子网上一组主机的统计,这些主机在用某种参数(如MAC地址)作比较时,其值为所使用参数的最大值(如MAC地址的最大值)。矩阵(matrix):矩阵用于记录子网中一系列任意两台主机间的会话并将其以矩阵的形式存储起来。这种组织方式对于检索特定主机之间的流量信息十分有用,如用于查找某一时间内哪些设备访问某一台服务器的流量最大等。过滤器(filter):过滤器允许数据包和一个过滤条件进行匹配,这些匹配的包可以被捕获或生成事件。过滤器提供一种手段,使得监视器可以监视某一个特定端口上的某一特定类型的分组。本组定义了两种过滤器:数据过滤器和状态过滤器。,计算机网络管理技术,包捕获(packet capture):包捕获需要与过滤器协同操作,其中包捕获组建立一组缓存区,用于存储从过滤器中的通道捕获的数据包。事件(event):事件组控制监视器事件的产生和通知,用于管理事件。但产生事件的条件则由RMON MIB中的其他组定义,例如警报组可以定义上升门限事件和下降门限事件。令牌环(Token ring):令牌环组增加了针对令牌环的管理信息。它包含两个统计组:环统计组和环响应统计组,其中环统计组在MAC子层收集令牌环网络的数据,如token分组、错误分组和polling等;而响应统计组收集各种大小和类型的广播和组播的分组数。,计算机网络管理技术,3.1 RMON规范3.1.1 RMON产生的原因3.1.2 ROM应用的网络模型3.1.3 RMON的功能3.1.4 RMOM的工作机制3.1.5 RMON MIB3.1.6 RMON3.1.7 RMON在网络设备上的应用实例,计算机网络管理技术,3.1.6 RMON由于RMON MIB只能存储MAC层的信息,所以RMON只能用于局域网内部某一设备端口的通信流量。为了使RMON能够对MAC层以上的通信进行监控,在SNMPv2发布之后,推出了RMON。推出RMON的目的并不是取代RMON,而是通过对RMON MIB进行扩充,扩展RMON的功能。与RMON相比,RMON的功能特点如下:RMON提供对OSI数据链路层以上的监控。如图3-2所示,RMON对OSI的数据链路层(更确切地说是数据链路层的“MAC子层”)的通信进行监控,而RMON可以对数据链路层以上的通信进行监控。,计算机网络管理技术,RMON仅可以分析和统计MAC层的通信,监测的是从一个端口流向另一个端口的流量。而RMON可以分析MAC层以上各层的通信,如传输层的TCP或UDP,或应用层的E-mail、FTP、WWW等,很显然,RMON的范围比RMON增大了。RMON只能监控网络的通信流量和流量占用带宽的情况,而RMON还可以提供不同层的网络应用所占用的带宽情况。例如,RMON可以在传输层分别监控TCP和UDP的通信所占用网络带宽的情况。,计算机网络管理技术,RMON可以监控某一个节点使用何种通信协议将数据发送到另一个节台,这样就能够分别统计不同节点之间以及不同应用协议的数据流量分布情况。RNOMII已深入到了通信过程的深层,可以观察到是哪一个服务器发送数据包,哪一个用户预定要接受这一数据包,这一数据包表示何种应用。网络管员能够通过这种信息,按照应用带宽和响应时间要求来区分用户。,计算机网络管理技术,RMONII没有取代RMON,而是对RMON的补充。RMONII在RMON标准的基础上提供一种新层次的诊断和监控功能。事实上,RMONII能够监控执行RMON标准的设备所发出的意外事件报警信号。从表3-1可以看出,RMONII如何能够对RMON进行补充,并从多个角度来解决一系列网络管理问题。,计算机网络管理技术,3.1 RMON规范3.1.1 RMON产生的原因3.1.2 ROM应用的网络模型3.1.3 RMON的功能3.1.4 RMOM的工作机制3.1.5 RMON MIB3.1.6 RMON3.1.7 RMON在网络设备上的应用实例,计算机网络管理技术,3.1.7 RMON在网络设备上的应用实例1 支持嵌入式RMON的SmartAgent软件 当RMON嵌入到网络设施(如集线器)之中时,它的作用效率更高、经济上更划算。在某个共享介质中,一个站点出现故障可以影响到在局域网中其他站点的运行。当某个阈值被超过时,RMON可以快速地确认出故障之所在,并向管理控制台报警。3COM公司的SmartAgent软件增强了RMON的功能,从而能自动和主动地对网络进行自我修复。使用Transcend网管应用程序,网管员可以设置针对SmartAgentMIB数据的报警阈值,以及制订出一旦出事后要采取的相应措施,从而自动解决了设备方面出现的局部问题(例如,关闭一个出故障的端口)。通过SmartAgent自动校准功能,网管员可以根据最近使用情况自动重新设置所有集线器端口的信息。,计算机网络管理技术,2 3COM公司的RMON ASIC 按照惯例,RMON探测器使用的是高性能处理器,它要占用相当大的内存来以线速收集统计数据、存储累积的数据和处理主机表和对话矩阵表。对网络通信进行监控以便捕获报警信号,以及在捕获和存储前对数据包进行过滤,这些操作都需要代理处理器具有更高的性能。3COM公司通过ASIC(专用集成电路)将RMON的监控功能直接植入到网络基础设施之中。由于3COM公司专门设计的ASIC的主要功能是提高整个集线器的性能,使用ASIC技术的另一个好处是在不用增加额外成本的情况下,就能在硬件上集成其它的先进功能。实际上,3COM公司的ASIC可以提供RMON功能,在不占用交换引擎中宝贵的处理器时间的情况下,对RMON进行全面支持。此外,基于ASIC的RMON方案可以通过FlashEPROM软件得到升级来支持更为先进的管理功能,例如3COM公司定期公布新版SmartAgent软件。,计算机网络管理技术,第3章 网络流量监控技术与方法3.1 RMON规范3.2 面向交换的SMON标准3.3 实验操作1:利用MRTG进行网络流量监测,计算机网络管理技术,3.2 面向交换的SMON标准3.2.1 RMON在交换式网络中的限制交换式网络中的新技术3.2.3 面向交换的SMON3.2.4 SMON的实现3.2.5 SMON,计算机网络管理技术,3.2.1 RMON在交换式网络中的限制SMON是美国Lucent(朗讯)科技公司、以色列LAN交换集团(LSG-I,原Lannet公司)提出的,现在已作为交换式网络的标准远程监控管理信息库(MIB)被IETF所采纳(具体见RFC 2613文档)。在RMON标准提出的早期,用户使用的基本是共享式网络。如图3-3所示,在共享式网络中所有的端口都连接到同一网段上,网络中任何一台主机发送的数据,都会广播到其他的主机上,因而网络数据的获取比较容易,网络管理相当简单。只要将一个网络分析仪或RMON探测器(probe)像普通主机一样连接到网络上,就可以主动地监控到整个网络中的流量。其实,RMON最早就是为这类网络而专门设计的。,计算机网络管理技术,后来,随着网络应用范围的逐渐增大,部分局域网开始包含多个共享式网段,这些网段通过网桥或路由器相互连接,为了监控整个网络,网络管理员只能在重要的网段上设置一些探测器(带有几个端口),通过这些端口可以同时监控几个网段,如图3-4所示。但是这些网段之间不存在内在的逻辑上的连接,所以RMON仅作为分离的数据源处理每一个探测器接口的信息,而不去考虑其它相关端口的统计情况。,计算机网络管理技术,计算机网络管理技术,随着网段数量的增加,交换式网络开始出现。交换式网络与共享式网络的本质区别是用交换机来替代原来共享式网络中的集线器,或用交换机来替换原来使用同轴电缆连接的总线型网络。与集线器不同,交换机工作在OSI参考模型的数据链路层,它可以通过每一个端口对应的下连设备(如计算机)的MAC地址进行点对点的通信。,计算机网络管理技术,3.2 面向交换的SMON标准3.2.1 RMON在交换式网络中的限制交换式网络中的新技术3.2.3 面向交换的SMON3.2.4 SMON的实现3.2.5 SMON,计算机网络管理技术,交换式网络中的新技术1VLANVLAN(Virtual Local Area Network,虚拟局域网)是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术,它是交换式网络的最基本的安全管理技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1q协议标准草案。VLAN技术允许网络管理员将一个物理的LAN逻辑地划分成不同的广播域(即VLAN),每一个VLAN都包含一组有着相同需求的计算机或其他网络设备,与物理上形成的LAN有着相同的属性。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。,计算机网络管理技术,2 QoS一般来说,基于存储转发机制的Internet只为用户提供了“尽力而为(best-effort)”的服务,不能保证数据包传输的实时性、完整性以及到达的顺序性,不能保证服务的质量。随着Internet和Intranet的飞速发展,人们对于在网络上传输分布式多媒体应用的需求越来越大。一般说来,用户对不同的分布式多媒体应用有着不同的服务质量要求,这就要求网络应能根据用户的要求分配和调度资源。QoS(Quality of Service,服务质量)是网络对用户之间以及网络上互相通信的用户之间关于信息传输与共享的一种策略约定,例如传输延迟允许时间、最大传输画面失真度以及声像同步等。对QoS进行分类和定义的目的是使网络可以根据不同类型的QoS进行管理和分配资源。例如,给实时服务分配较大的带宽和较多的CPU处理时间等,另一方面,对QoS进行分类定义也方便用户根据不同的应用提出QoS需求。为此,网络管理员必须了解不同的信息是如何按优先级分发的,进而对QoS进行评估和调整。,计算机网络管理技术,3 链路聚合链路聚合(Trunk)是一种封装技术,是将交换机之间的多个端口捆绑成一条高带宽链路,以满足交换机之间的通信要求。链路聚合具有以下特点:一是提供负载平衡,避免链路出现阻塞现象;二是提高交换机之间的通信带宽,例如将4个100Mbit/s的端口进行聚合后,就可以为这两台交换机提供400Mbit/s的通信带宽;三是增加交换机之间连接的可靠性,被聚合的端口一旦其中一个出现故障时,其他端口会照常工作;四是所有VLAN数据都会通过交换机之间的聚合链路。对于聚合链路的通信情况,网络管理员也必须及时了解。很明显,共享式网络的监控技术对于交换式网络来说是不够用的。RMON无法对交换机的每一个点对点传输、VLAN、QoS、链路聚合等通信情况进行监控。为此,既要对整个网络的活动进行描述,同时又能够对具体的实例做详细了解,就需要一种全部的网络监控方案,这就导致了SMON的产生。,计算机网络管理技术,3.2 面向交换的SMON标准3.2.1 RMON在交换式网络中的限制交换式网络中的新技术3.2.3 面向交换的SMON3.2.4 SMON的实现3.2.5 SMON,计算机网络管理技术,3.2.3 面向交换的SMON1 在交换模块中增加端口复制特性这种方式是通过在交换模块中增加一种端口复制(Port-Copy)或端口镜像(Port-Mirroring)的特性,将一个或多个端口(源端口)的流量镜像到另一个端口(目的端口,或镜像端口)。在目的端口上连接一个标准的RMON探测器。如图3-6所示,将运行RMON的管理站直接连接在交换机的复制端口上,将交换机与Internet连接的端口设置为被复制端口,这样企业内部局域网中凡是访问Internet的流量都会被镜像到复制端口,并发送给管理站进行分析。,计算机网络管理技术,对端口复制的操作控制一般由不同厂商定义,属于私有MIB。这样,可以充分利用现有RMON 技术,对局域网网段的动态子网进行监控。目前,许多交换机都支持端口复制特性,但在有些交换机的设计中对流量中不同的数据类型是否可以进行端口复制作了相应的限制(这主要是考虑到交换机的使用性能)。端口复制可以将交换机中所有的流量通过一个特定的端口复制到一个镜像端口。如果交换机提供端口复制功能,则允许网络管理员自行设置一个监视管理端口(镜像端口)来监视被监视端口的数据流量,并将获取的监视数据发送给管理站,通过管理站上的网络分析软件来实时查看被监视端口的情况。目前,大部分交换机自带的管理软件以及一些入侵检测系统(IDS)都通过这种方式收集并分析交换机各端口的数据流量。不过,这种方式仍然不能达到同时监控所有网段的目的,也解决不了交换实体(如交换机)中VLAN 划分和优先级问题。,计算机网络管理技术,2在交换机内部使用特殊的计数硬件和开发相应的收集流量信息的软件在交换机内部使用特殊的计数硬件和开发相应的收集流量信息的软件是早期SMON的另一种有效解决方法。如图3-7所示,其中SMON模块的一个特殊目的是监听交换机背板的数据流量。SMON模块包括一个用来计数和分析总线上流量的硬件和一个中央处理单元(CPU)系统,模块的软件通常实现一个SNMP代理,允许远端的管理站(网络管理系统,NMS)访问SMON模块中的数据统计信息,并对交换机进行相应的管理操作。,计算机网络管理技术,如图3-7所示的交换监控实体(交换机)结构,具有以下的优点:SMON模块可以监控所有正在进行交换的流量信息。SMON模块与交换机的集成,可以使模块监控不同VLAN所产生的数据包,以及交换机内部设定的不同优先级的数据包。SMON模块减轻了交换机本身的监控任务,在进行流量监控的过程中不会对交换机的数据转发和过滤等功能造成影响。如图3-7所示,当统计流量结果传输到管理站时,可以使用私有的扩展MIB和标准的RMON MIB进行记录。与此同时,SMON对统计广播和组播包的流量进行了特别的关注。由于广播和组播在交换机总线上只传输一次,并只在一个特定VLAN中的所有端口进行复制(这正是VLAN可以阻止广播和组播无限制传输的一个功能)。所以,为了正确地获取广播和组播(主要是广播)信息对交换机和VLAN的影响,广播和组播包仅在每个交换机和VLAN中捕获一次,而不管这些包在多少个端口中进行了复制。,计算机网络管理技术,3.2 面向交换的SMON标准3.2.1 RMON在交换式网络中的限制交换式网络中的新技术3.2.3 面向交换的SMON3.2.4 SMON的实现3.2.5 SMON,计算机网络管理技术,3.2.4 SMON的实现随着交换式网络的广泛应用,SMON被各个交换机制造商所关注,各制造商通过对RMOM MIB的扩展,分别提出了针对自己交换机的监控解决方案。由于各种针对交换监控问题方案的提出,就需要对RMON的扩展SMON进行标准化。于是IETF开始制定相应的标准,并形成标准RFC2613。SMON提供了对内部交换监控的能力和如何对端口复制机制进行控制的解决方案。SMON MIB的结构如图3-8所示,其中图中虚线箭头表示了控制表和结果表之间相互作用的过程。,计算机网络管理技术,计算机网络管理技术,与RMON相比,SMON标准中通过增加了一个新概念来定义了可作为其它RMON组合数据源的物理实体(实体交换机或交换实体模块)和逻辑实体(VLAN)。SMON MIB提供了一个数据结构,列出了进行交换时的数据源和这些数据源的性能。在RMON中,数据源是iftable MIB表中的实体。为了使SMON能够与RMON解决方案进行有机结合,每个新的SMON数据源都映射到一个iftable实体上,并把这些实体的类型设置为虚拟的(virtual)。同时,SMON MIB中增加了那些不适合于存放在已有的RMON表中的数据源的计数统计能力。增加的MIB组就是为了专门收集VLAN的流量统计和在不同优先级上的流量信息。,计算机网络管理技术,另外,通过使用一个特殊的控制表,可以定义和激活端口复制操作。表中的每一行都定义了一个激活的端口复制操作。该控制表的每一行包括将要复制的源端口、目的端口和执行的操作类型(如带内流量复制、带外流量复制,或两者都有)。管理站的管理进程可以通过轮询数据源性能表,发现数据源的端口复制能力。通过采用这种机制,出现了多端口复制技术,即将多个数据源端口的流量信息同时复制到一个目的端口上,或将一个或多个VLAN中的全部流量复制到一个指定的连接端口上。前面提到的带内流量和带外流量是管理站与SMON模块之间的两种工作模式。其中,带内流量方式是指将管理站直接连接到交换机的一个端口上,通过该端口实现与SMON模块之间的连接;而带外流量方式则是将管理站直接连接到SMON模块上,而达到直接监控SMON的目的。,计算机网络管理技术,3.2 面向交换的SMON标准3.2.1 RMON在交换式网络中的限制交换式网络中的新技术3.2.3 面向交换的SMON3.2.4 SMON的实现3.2.5 SMON,计算机网络管理技术,3.2.5 SMON随着交换技术的不断成熟和完善,已经出现了三层交换技术,同时三层交换机已得到了大量应用。三层交换(也称多层交换技术,或IP交换技术)是相对于传统交换概念而提出的。简单地说,三层交换技术就是:二层交换技术+三层转发技术。传统的交换技术是在OSI参考模型的第二层(数据链路层)进行操作,而三层交换技术在OSI参考模型的第三层(网络层)实现了数据包(分组)的高速转发。三层交换技术解决了局域网中网段划分之后,不同网段之间的通信必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。针对三层交换机的应用,IETF提出了SMON标准。它可以实现第三层及更高层交换环境的监控,SMON不仅能够对主机的IP分组流量独立进行统计,且能够统计位于其他子网中的IP主机的流量,另外SMON还可以对每一种应用协议进行流量监控。,计算机网络管理技术,第一个采用SMON标准的多层交换机是朗讯(后来更名为AVAYA)公司的Cajun M770 M-MLS。这个交换机包括特殊的硬件SMON模块(计数器),该SMON模块可以对网络层和应用层进行数据流量统计。如图3-9所示,在交换机转发表的每一个转发入口处都有一个SMON计数数据块的索引,当使用转发表转发一个分组的时候,SMON计数器库里的计数器就记录这个分组的信息。,计算机网络管理技术,RMON与SMON的监控内容相似,主要对数据链路层的流量进行统计;而RMON与SMON的监控内容相似,支持网络层及以上各层(主要在应用层)的性能监控。例如,在企业网络的出口处(如图3-6所示)通过对与Internet连接的端口的网络层流量的监控,可以了解局域网出口的流量大小。同时,还可以针对应用层的WWW、E-Mail、FTP等流量进行监控,了解每一种协议应用所使用的流量情况。一个标准的RMON探测器对一个网段的全部流量进行监控而不加区分,而SMON可以根据交换机的路由情况记录数据信息,这种信息可以被看作是一个单一的数据源。这样,SMON就可以实现对具体协议、VLAN的分类统计。,计算机网络管理技术,更具体来讲,在SMON的网络管理环境中,网络管理员可以完成以下的几项工作:定义所要监控的OSI模型层次和应用协议。对整个交换机内不同协议的流量分布情况进行统计。对与交换机相连的IP和IPX子网上的流量进行监控。对主机之间(同一网段或不同网段)的通信流量进行监控。目前在计算机网络管理中使用的IDS、IPS、企业上网行为管理系统等产品,在实现技术上一般直接使用或借鉴了SMON。,计算机网络管理技术,第3章 网络流量监控技术与方法3.1 RMON规范3.2 面向交换的SMON标准3.3 实验操作1:利用MRTG进行网络流量监测,计算机网络管理技术,本书第2章我们专门介绍了简单网络管理协议(SNMP)的相关知识,本章前面分别介绍了基于SNMP的两个应用功能的扩展规范RMON和SMON。在此基础上我们将介绍SNMP的一个具体应用,即网络流量监测。目前,基于SNMP的网络管理系统很多,如HP的OpenView、IBM的NetView、Sun的SunNet Manager等,虽然这些系统的功能强大,但使用费用较为最贵。本小节主要介绍一款免费的、应用非常广泛的软件MRTG(Multi Router Traffic Grapher,多路由器流量图显示器)的安装、配置和使用方法,MRTG能够对网络流量进行直观、有效的监测和管理。,计算机网络管理技术,3.3 实验操作1:利用MRTG进行网络流量监测3.3.1 MRTG简介3.3.2 方案设计3.3.3 被监测设备的配置3.3.4 MRTG网管工作站的安装和配置,计算机网络管理技术,3.3.1 MRTG简介MRTG是一款免费软件,目前最高版本为,可以从MRTG的网站(www.mrtg.org)上下载。MRTG具有以下特点:可移植性:目前可以运行在大多数UNIX/Linux系统、Windows NT和NetWare操作系统上。源码开放:MRTG是用perl编写的,源代码完全开放。高可移植性的SNMP支持:MRTG采用了Simon Leinen编写的具有高可移植性的SNMP实现模块,从而不依赖于操作系统的SNMP模块支持。支持SNMPv2c:MRTG可以读取SNMPv2c的64位的记数器,从而大大减少了记数器回转次数。,计算机网络管理技术,可靠的接口标识:被监控的设备的接口可以采用IP地址、设备描述、SNMP对接口的编号及MAC地址来标识。常量大小的日志文件:MRTG的日志不会变大,因为MRTG使用了独特的数据合并算法。自动配置功能:MRTG自身有配置工具套件,所以配置过程比较简单。性能:时间敏感的部分使用C代码编写,因此具有很好的性能。PNG格式图形:图形采用GD库直接产生PNG格式。所以PNG格式是指流式网络图形格式(Portable Network Graphic Format,PNG),PNG是20世纪90年代中期开始开发的准备替代GIF和TIFF文件格式的图形文件格式。可定制性:MRTG产生的Web页面是完全可以定制的。,计算机网络管理技术,MRTG是一个基于SNMP的典型的网络流量统计分析软件,它可以从所有运行SNMP协议的设备上(包括服务器、路由器、交换机等)捕获信息,每隔一段时间(具体的时间间隔由管理员确定)采样并统计其设备流量,并自动生成包含PNG格式的图形以HTML文档方式显示给用户,以非常直观的形式显示流量负载。目前,MRTG广泛应用于各高校、企业的网络设备流量监测中,如图3-10所示。,计算机网络管理技术,计算机网络管理技术,3.3 实验操作1:利用MRTG进行网络流量监测3.3.1 MRTG简介3.3.2 方案设计3.3.3 被监测设备的配置3.3.4 MRTG网管工作站的安装和配置,计算机网络管理技术,3.3.2 方案设计在企业网络管理中,MRTG运行在一台网管主机(称为网管工作站)上,主要对企业网络出口连接外网(一般为Internet)的路由器或防火墙设备的运行情况进行监测,也常用于对提供WWW、FTP、E-Mail等服务的主要应用服务器进行监测。例如,图3-10就是对防火墙的3个接口流量进行监测的结果显示。考虑到可操作性,在本例中我们将对运行Windows Server 2003的一台主机的通信流量进行监测,实验拓扑如图3-11所示。如果读者无法同时提供两台计算机进行本实验,也可以使用虚拟机软件VMware来搭建实验平台。,计算机网络管理技术,另外,在实验之前还需要准备MRTG软件和Perl软件。MRTG软件可以到官方网站www.mrtg.org下载,由于网管工作站运行的是Windows XP Professional操作系统,所以在下载时一定要下载基于Windows系统的MRTG,本实验中使用的是mrtg。,计算机网络管理技术,3.3 实验操作1:利用MRTG进行网络流量监测3.3.1 MRTG简介3.3.2 方案设计3.3.3 被监测设备的配置3.3.4 MRTG网管工作站的安装和配置,计算机网络管理技术,3.3.3 被监测设备的配置由于本实验中所监测的设备是一台运行Windows Server 2003的服务器,