第4章遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視

第4章遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視4.1RMON的基本概念

為什么需要RMON1．RMON的概念

RMONRMON規(guī)范是由SNMPMIB擴(kuò)展而來。RMON中，網(wǎng)絡(luò)監(jiān)視數(shù)據(jù)包含了一組統(tǒng)計(jì)數(shù)據(jù)和性能指標(biāo)，它們在不同的監(jiān)視器（或稱探測器）和控制臺系統(tǒng)之間相互交換。結(jié)果數(shù)據(jù)可用來監(jiān)控網(wǎng)絡(luò)利用率，以用于網(wǎng)絡(luò)規(guī)劃，性能優(yōu)化和協(xié)助網(wǎng)絡(luò)錯誤診斷等。當(dāng)前RMON有兩種版本：RMONv1和RMONv2。RMONv1在目前使用較為廣泛的網(wǎng)絡(luò)硬件中都能發(fā)現(xiàn)，它定義了9個MIB組服務(wù)于基本網(wǎng)絡(luò)監(jiān)控；RMONv2是RMONv1的擴(kuò)展，專注于MAC層以上更高的流量層，它主要強(qiáng)調(diào)IP流量和應(yīng)用程序?qū)恿髁?。允許網(wǎng)絡(luò)管理應(yīng)用程序監(jiān)控所有網(wǎng)絡(luò)層的信息包，這與不同，后者只允許監(jiān)控MAC及其以下層的信息包。

RMON監(jiān)視系統(tǒng)有兩部分構(gòu)成：探測器（代理或監(jiān)視器）和管理站。RMON代理在RMONMIB中存儲網(wǎng)絡(luò)信息，它們被直接植入網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等），代理也可以是PC機(jī)上運(yùn)行的一個程序。代理只能看到流經(jīng)它們的流量，所以在每個被監(jiān)控的LANWAN鏈接點(diǎn)都要設(shè)置RMON代理，網(wǎng)管工作站用SNMP獲取RMON數(shù)據(jù)信息。

2．RMON的意義

SNMP使用嵌入到網(wǎng)絡(luò)設(shè)施中的代理軟件來收集網(wǎng)絡(luò)通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)。代理不斷地收集統(tǒng)計(jì)數(shù)據(jù)，并把這些數(shù)據(jù)記錄到一個MIB中。網(wǎng)絡(luò)管理員通過向代理的MIB發(fā)出查詢信號可以得到這些信息，這個過程叫輪詢（polling）。雖然MIB計(jì)數(shù)器將統(tǒng)計(jì)數(shù)據(jù)的總和記錄下來了，但它無法對日常通信量進(jìn)行歷史分析。為了能全面地查看通信流量和變化率，管理人員就必須不斷地輪詢SNMP代理。只有這樣，才能使用SNMP來評價網(wǎng)絡(luò)的運(yùn)行狀況、揭示出通信的趨勢等。但是輪詢機(jī)制有如下明顯的弱點(diǎn)：沒有伸縮性：在大型網(wǎng)絡(luò)中，輪詢會產(chǎn)生巨大的網(wǎng)絡(luò)管理通信量，導(dǎo)致網(wǎng)絡(luò)通信負(fù)荷加重甚至導(dǎo)致?lián)頂D情況發(fā)生。將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺上（管理進(jìn)程端）：管理站所在的計(jì)算機(jī)的處理能力總是有限的，也許能輕松地收集幾個網(wǎng)段的信息，當(dāng)它們監(jiān)控?cái)?shù)十個網(wǎng)段時，恐怕CPU就無法應(yīng)付。基于上述原因，人們就提出一種高效、低成本的網(wǎng)絡(luò)監(jiān)視方案，這就是RMON。的目標(biāo)

（1）離線操作：必要時管理站可以停止對監(jiān)視器的輪詢，從而提高帶寬利用率。即使不被管理站查詢，監(jiān)視器也能不斷收集子網(wǎng)故障、性能和配置方面信息，統(tǒng)計(jì)和積累數(shù)據(jù)，以便管理站查詢時及時提供管理信息。另外，在網(wǎng)絡(luò)出現(xiàn)異常時使其能及時向管理站報(bào)告。（2）主動監(jiān)視：如監(jiān)視器有足夠資源，通信負(fù)載允許，監(jiān)視器可以連續(xù)地或周期地運(yùn)行診斷程序，獲得并記錄網(wǎng)絡(luò)性能參數(shù)。（3）問題檢測和報(bào)告：如果主動監(jiān)視消耗網(wǎng)絡(luò)資源太多，監(jiān)視器也可以被動地獲得網(wǎng)絡(luò)數(shù)據(jù)?？梢耘渲帽O(jiān)視器，使其連續(xù)觀察網(wǎng)絡(luò)資源的消耗情況，記錄隨時出現(xiàn)的異常條件，并在出現(xiàn)異常時向管理站報(bào)告。（4）提供增值數(shù)據(jù)：監(jiān)視器可以分析收集到的子網(wǎng)數(shù)據(jù)，從而減輕管理站的計(jì)算任務(wù)。如，監(jiān)視器可以分析子網(wǎng)的通信情況，計(jì)算出哪些主機(jī)通信最多，哪些主機(jī)出錯最多等。這些數(shù)據(jù)的收集和計(jì)算由監(jiān)視器來做，比由遠(yuǎn)處的管理站來做更有效。（5）多管理站操作：一個網(wǎng)絡(luò)可以有多個管理站，這樣可以提高可靠性，或者分布地實(shí)現(xiàn)不同的網(wǎng)絡(luò)管理功能?？梢耘渲帽O(jiān)視器使其能夠并發(fā)地工作，為不同的管理提供不同的信息。表管理原理

1．RMON規(guī)范中的表結(jié)構(gòu)

RMON規(guī)范中的表結(jié)構(gòu)由控制表和數(shù)據(jù)表兩部分組成，控制表定義數(shù)據(jù)表的結(jié)構(gòu)，數(shù)據(jù)表用于存儲數(shù)據(jù)。

1）控制表控制表包含rmlControlIndex、rmlControlParameter、rmlControlOwner、rmlControlStatue對象。

2）數(shù)據(jù)表數(shù)據(jù)表由rmlDataControlIndex和rmlDataIndex共同索引。rmlDataControlIndex的值與控制行的索引值rmlControlIndex相同，而rmlDataIndex的值唯一地指定了數(shù)據(jù)行集合中的某一行。2．增加行管理站用Set命令在RMON表中增加行，并遵循下列規(guī)則：（1）管理站用SetRequest生成一個新行，如果新行的索引值與其它行的索引值不沖突，則代理產(chǎn)生一個新行，其狀態(tài)值為creatRequest(2)。（2）新行產(chǎn)生后，由代理把狀態(tài)對象的值置為underCreation(3)。對于管理站沒有設(shè)置新值的列對象，代理可以置為默認(rèn)值，或者讓新行維持這種不完整、不一致的狀態(tài)。（3）新行的狀態(tài)值保持為underCreation(3)，直到管理站產(chǎn)生了所要生成的新行。這時由管理站置每一新行狀態(tài)的對象的值為valid(1)。（4）如果管理站要生成的新行已經(jīng)存在，則返回一個錯誤值。3．刪除行只有行的所有者才能發(fā)出SetRequestPDU，把行狀態(tài)值置為invalid(4)，這樣就刪除了行。這是否是物理刪除，取決于具體的實(shí)現(xiàn)。4．修改行首先置行狀態(tài)對象的值為invalid(4)，然后用SetRequestPDU改變行中其它對象的值。多管理者訪問

RMON監(jiān)視器應(yīng)允許多個管理站并發(fā)地訪問，當(dāng)多個管理站訪問時可能出現(xiàn)以下問題：

（1）多個管理站對資源的并發(fā)訪問可能超過監(jiān)視器的能力。

（2）一個管理站可能長時間占用監(jiān)視器資源，使得其它站得不到訪問。

（3）占用監(jiān)視器資源的管理站可能出現(xiàn)崩潰，而沒有釋放資源。

RMON控制表中列對象Owner規(guī)定了表的所屬關(guān)系，所屬關(guān)系有以下用法，可以解決多個管理站并發(fā)地訪問的問題。

（1）管理站能認(rèn)得自己所屬的資源，也知道自己不再需要的資源。

（2）網(wǎng)絡(luò)管理員可以知道管理站占有的資源，并決定是否釋放這些資源。

（3）一個被授權(quán)的網(wǎng)絡(luò)管理員可以自主決定是否釋放其它網(wǎng)絡(luò)管理員的資源。

（4）如果管理站重新啟動，它應(yīng)該首先釋放不再使用的資源。

RMON規(guī)范建議，所屬標(biāo)志應(yīng)包括IP地址，管理站名，網(wǎng)絡(luò)管理員的名字、地點(diǎn)和號碼等，所屬標(biāo)志不能作為口令或訪問控制機(jī)制使用。在SNMP管理框架中唯一的訪問控制機(jī)制是SNMP視閾和團(tuán)體名。如果一個可讀/寫的RMON控制表出現(xiàn)在某些管理站的視閾中，則這些管理站都可以進(jìn)行讀/寫訪問，但是控制表行只能由其所有者改變或刪除，其他管理站只能進(jìn)行讀訪問。這些限制的實(shí)施已超出了SNMP和RMON的范圍。

為了提供共享的功能，監(jiān)視器通常配置一定的默認(rèn)功能。定義這些功能的控制行的所有者是監(jiān)視器，所屬標(biāo)志的字符串以監(jiān)視器名打頭，管理站只能以讀方式利用這些功能。4.2RMON的管理信息庫RMON規(guī)范定義了管理站信息庫RMONMIB，它是MIB-2下面的16個子樹。如表4-1所示，RMONMIB分為10組，存儲在每一組中的信息都是監(jiān)視器從一個或幾個子網(wǎng)中統(tǒng)計(jì)和收集的數(shù)據(jù)。這10個功能組都是任選的，但實(shí)現(xiàn)時有下列連帶關(guān)系：實(shí)現(xiàn)告警組時必須實(shí)現(xiàn)事件組。實(shí)現(xiàn)最高N臺主機(jī)組時必須實(shí)現(xiàn)主機(jī)組。實(shí)現(xiàn)捕獲組時必須實(shí)現(xiàn)過濾組。4.3RMONv2管理信息庫

4.3.1RMONv2MIB的組成

監(jiān)視OSI第1、2層的通信，而監(jiān)視OSI第3到第7層的通信。在MIB的基礎(chǔ)上MIB增加了9個新功能組，這些組的功能如表4-2所示。4.3.2RMONv2增加的功能1．外部對象索引在SNMPv1的SMI宏定義中，沒有說明索引對象是否必須是被索引表的列對象，在SNMPv2的SMI中已經(jīng)明確指出可以使用不是概念表成員的對象作為索引項(xiàng)。在這種情況下，必須在概念行的DESCRIPTION子句中給出文字解釋。采用了這種新的表結(jié)構(gòu)，經(jīng)常使用外部對象索引數(shù)據(jù)表，以便把數(shù)據(jù)表與對應(yīng)的控制表結(jié)合起來。在rm1表中，數(shù)據(jù)表有兩個索引對象，第一個索引對象rm1DataControlIndex只是重復(fù)了控制表的索引對象。在rm2的數(shù)據(jù)表中，這個索引對象沒有了，只剩下了唯一的索引對象rm2DataIndex。但是在數(shù)據(jù)表的概念行定義中說明了兩個索引rm2ControlIndex和rm2DataIndex，同時在rm2DataIndex的描述子句中說明了索引的結(jié)構(gòu)。

2．時間過濾器索引網(wǎng)絡(luò)管理應(yīng)用需要周期地輪詢監(jiān)視器，以便得到被管理對象的最新狀態(tài)信息。為了提高效率，使用時間過濾器索引，使監(jiān)視器每次只返回那些自上次查詢以來改變了的值。SNMPv1和SNMPv2中都沒有直接解決這個問題的方法。然而RMONv2的設(shè)計(jì)者卻給出了一種新穎的方法，在MIB的定義中實(shí)現(xiàn)了這個功能，這就是用時間過濾器進(jìn)行索引。

4.4RMONv2的應(yīng)用協(xié)議的標(biāo)識RMONv2用協(xié)議標(biāo)識符和協(xié)議參數(shù)共同表示一個協(xié)議以及該協(xié)議與其他協(xié)議之間的關(guān)系。協(xié)議標(biāo)識符是由字節(jié)串組成的分層的樹結(jié)構(gòu)，類似于MIB對象組成的樹。RMONv2賦予每一個協(xié)議層32bit的字節(jié)串，編碼為4個十進(jìn)制數(shù)，表示為[a.b.c.e]的形式，這是協(xié)議標(biāo)識符樹的節(jié)點(diǎn)。如，各種數(shù)據(jù)鏈路層協(xié)議被賦予下面的字節(jié)串。

ether2=1[]llc=2[]snap=3[]vsnap=4[]wgAssigned=5[]anylink=[1.0.a.b]

最后的anylink是一個通配符，可指任何鏈路層協(xié)議。有時監(jiān)視器可以監(jiān)視所有的IP數(shù)據(jù)報(bào)，而不論它是包裝在什么鏈路層協(xié)議中，這時可以用anylink說明IP下面的鏈路協(xié)議。鏈路層協(xié)議字節(jié)串是協(xié)議標(biāo)識符樹的根，下面每個直接相連的節(jié)點(diǎn)是鏈路層協(xié)議直接支持的上層協(xié)議，或者說是包裝在數(shù)據(jù)鏈路幀中的協(xié)議（通常情況下是網(wǎng)絡(luò)層協(xié)議）。整個協(xié)議標(biāo)識符樹就是這樣逐級構(gòu)造的，如圖4-2所示，這時表示的是以太網(wǎng)協(xié)議直接支持IP，UDP運(yùn)行于IP之上，最后，SNMP報(bào)文封裝在UDP數(shù)據(jù)報(bào)中傳送，用文字表示就是。RMONv2的協(xié)議標(biāo)識符的格式如圖4-3所示。開頭有一個字節(jié)的長度計(jì)數(shù)段cnt，后續(xù)為各層協(xié)議的子標(biāo)識符字段。每層協(xié)議的子標(biāo)識符都與上述鏈路層協(xié)議字節(jié)串相似，是32bit，編碼為4個十進(jìn)制數(shù)。從圖4-2可以看到賦予以太2（ether2）協(xié)議的字節(jié)串是[]，以太網(wǎng)之上的協(xié)議字節(jié)串形式為[0.0.a.b]，其中a和b是以太2協(xié)議MAC幀中的類型字段的16bit二進(jìn)制，這16位數(shù)用來表示2型以太網(wǎng)協(xié)議支持的上層（網(wǎng)絡(luò)層）協(xié)議，以太2規(guī)范為IP分配的字節(jié)串是[]。與此類似，在IP頭中的16位協(xié)議號表示IP支持上層協(xié)議，IP標(biāo)準(zhǔn)為UDP（傳輸層）分配的編號是17。UDP為SNMP（應(yīng)用層）分配的端口號為161。這樣4層協(xié)議的字節(jié)串級聯(lián)起來，前面加上16表示長度，就形成了完整的SNMP協(xié)議標(biāo)識符：

....161應(yīng)該強(qiáng)調(diào)的是對監(jiān)視器能解釋的每個協(xié)議都必須有一個協(xié)議標(biāo)識符。假如有個監(jiān)視器可以識別以太2幀，IP和UDP數(shù)據(jù)報(bào)，以及SNMP報(bào)文，則RMONv2MIB中必須記錄以下4個協(xié)議標(biāo)識符：ether2（）（）（）（）協(xié)議目錄表RMONv2的協(xié)議目錄表的結(jié)構(gòu)如圖4-4所示，其中的協(xié)議標(biāo)識符protoclDirID（1）和協(xié)議參數(shù)protocolDirParameters（2）作為表項(xiàng)的索引，另外還為每個表項(xiàng)指定了一個唯一的索引protocolDirLocalIndex（3），可由RMONv2的其他組引用該表項(xiàng)，用戶定義的數(shù)據(jù)收集機(jī)制關(guān)于歷史數(shù)據(jù)收集在RMONv1中是預(yù)先定義的，在RMONv2中可以由用戶自己定義。用戶歷史收集組規(guī)定了定義歷史數(shù)據(jù)的方法。歷史收集組由3級表組成，第一級是控制表usrHistoryControlTable，這個表說明了一種采樣功能的細(xì)節(jié)（采樣的對象數(shù)、采樣區(qū)間數(shù)和采樣區(qū)間長度等），它的一行定義了下一級的一個表。第二級是用戶歷史對象表usrHistoryObjectTable，它也是一個控制表，說明采樣的變量和采樣類型，該表的行數(shù)等于上一級表定義的采樣對象數(shù)。第三級表usrHistoryTable才是歷史數(shù)據(jù)表，該表由第二級表的一行控制，記錄著各個采樣變量的值和狀態(tài)，以及采樣間隔的起止時間，用戶歷史收集組如圖4-5所示。監(jiān)視器的標(biāo)準(zhǔn)配置法為了增強(qiáng)管理站和監(jiān)視器之間的互操作性，RMONv2在監(jiān)視器配置組中定義了遠(yuǎn)程配置監(jiān)視器的標(biāo)準(zhǔn)化方法。這個組由一些標(biāo)量對象和4個表組成，這些標(biāo)量對象如下：probeCapabilities：說明支持哪些RMON組。probeSoftwareRev：設(shè)備的軟件版本。probeHardwareRev：設(shè)備的硬件版本。probeDataTime：監(jiān)視器的日期和時間。probeResetControl：可以取不同的值，表示運(yùn)行、熱啟動或冷啟動等。probeDwonloadFile：自舉配置文件。probeDwonloadTFTPServer：自舉配置文件所在的TFTP服務(wù)器地址。probeDwonloadAction：若取值imageValid（1），則繼續(xù)運(yùn)行；若取值downloadToPROM（2）或downloadRAM（3），則重啟動，裝入另外一個應(yīng)用程序。probeDwonloadStatus：表示不同的運(yùn)行狀態(tài)。監(jiān)視器配置組中的4個表是串行配置表、網(wǎng)絡(luò)配置表、陷入配置表和串行連接表。串行配置表serialConfigTable用于定義監(jiān)視器的串行接口，它包含下列變量：serialMode：連接模式可以是直接連接或通過調(diào)制解調(diào)器連接。serialProtocol：數(shù)據(jù)鏈路協(xié)議可以是SLIP或其他協(xié)議。serialTimeout：終止連接之前等待的秒數(shù)。serialModemInitiString：用于初始化Modem的控制字符串。serialModemHangUpString：斷開Modem連接的控制字符串。serialModemConnectResp：描述Modem響應(yīng)代碼和數(shù)據(jù)速率的ASCII串。serialModemNoconnectResp：由Modem產(chǎn)生的報(bào)告連接失效的ASCII串。serialDialoutTimeout：撥出等待時間。serialStatus

網(wǎng)絡(luò)配置表netConfigTable用于定義監(jiān)視器的網(wǎng)絡(luò)接口，它包含下列變量：netConfigIpAddress：接口的IP地址。netConfigSubnetMask：子網(wǎng)掩碼。netDefaultGateway：默認(rèn)網(wǎng)關(guān)的IP地址。陷入定義表trapDestTable定義了陷入的目標(biāo)地址等有關(guān)信息，它包含的變量如下：trapDestIndex：行的索引。trapDestCommunity：接收陷入的團(tuán)體名。trapDestProtocol：傳