网络流量监控技术与方法.ppt

计算机网络管理技术 第1章网络管理技术概述第2章SNMP网络管理架构第3章网络流量监控技术与方法第4章磁盘管理第5章用户管理第6章组策略管理第7章补丁管理第8章IP地址管理第9章VLAN管理第10章网络存储管理 计算机网络管理技术 第3章网络流量监控技术与方法随着计算机网络应用领域的不断拓宽及网络连接范围的扩大 用户越来越关心网络的服务质量 对于网络管理人员来说 确保网络的稳定畅通是工作中的一项重要而繁杂的任务 最直接的管理方法是通过查看网络的实时流量 了解不同设备 不同网段在不同时间段内的流量大小 为相关的管理措施提供直观的决策依据 本章首先在第2章SNMP相关知识的基础上 介绍远程监视 RMON 交换机的远程监视 SMON 等技术规范 然后再结合SNMP的网络管理特性 介绍目前在网络流量采集和分析中应用最为广泛的MRTG软件的安装 部署和使用方法 计算机网络管理技术 第3章网络流量监控技术与方法3 1RMON规范3 2面向交换的SMON标准3 3实验操作1 利用MRTG进行网络流量监测 计算机网络管理技术 3 1RMON规范在第2章SNMP技术的学习中 我们已经提到RMON RemoteMonitoring 远程监视 技术是对SNMPv1功能的一个扩展 主要是针对SNMP中管理进程 Manager 与管理代理 Agent 之间的通信缺少实时性以及轮询开销太大这一缺陷而提出来的一组MIB变量 这组MIB变量都是通过对网络的连续 实时监视而生成的 所以 RMON是SNMP的一种应用 遵循SNMP的结构 同时又解决了SNMP中存在的不足 扩展了SNMP的功能及应用 计算机网络管理技术 3 1RMON规范3 1 1RMON产生的原因3 1 2ROM应用的网络模型3 1 3RMON的功能3 1 4RMOM的工作机制3 1 5RMONMIB3 1 6RMON 3 1 7RMON在网络设备上的应用实例 计算机网络管理技术 3 1 1RMON产生的原因SNMP是一种应用广泛的网络管理协议 它通过嵌入到网络设备中的代理程序来收集网络通信信息和有关设备的数据 并将结果记录到MIB中 管理站以轮询 polling 方式通过向代理的MIB发出查询信号可以收集到设备的状态数据 在这一过程中 虽然设备中的MIB可以将某一时间段的统计数据记录下来 但它无法对实时通信流量进行采集和分析 计算机网络管理技术 为了能够全面地查看某一时间段 如一天 一周等 的实时通信流量和变化率 在SNMP中只有缩短轮询的时间间隔 如由原来的10s轮询一次改为现在的5s或1s轮询一次 这样 在一定程度上使收集设备信息的实效性增强 但却引出了另一个问题 频繁的轮询操作占用了大量的网络带宽 这与网络管理的初衷是相违背的 概括地讲 SNMP轮询存在以下两个明显的不足 一是没有伸缩性 在大型网络中 轮询会产生巨大的网络管理通信量 因而导致通信拥挤情况的发生 严重时还可能会产生网络阻塞 二是收集数据的任务由管理进程来完成 但管理计算机 运行管理进程的计算机 的资源也是有限的 因此 缩短轮询时间间隔不是解决问题的首选方法 计算机网络管理技术 3 1RMON规范3 1 1RMON产生的原因3 1 2ROM应用的网络模型3 1 3RMON的功能3 1 4RMOM的工作机制3 1 5RMONMIB3 1 6RMON 3 1 7RMON在网络设备上的应用实例 计算机网络管理技术 3 1 2ROM应用的网络模型RMON其实是SNMP应用的一个分支 RMON使用SNMP的操作 使用专用于子网监视的监视器收集子网的流量信息 并响应管理站的调用 如图3 1描述了RMON的一个应用实例 在这一网络中有3个不同的网络 一个管理站希望同时管理和监视这3个网络的流量 并能够按照管理需要配置管理内容 必要时位于各子网中的监视器还会主动发送报警 通过trap操作 其中 每一个子网内都有一个RMON代理 负责在本子网内自动收集统计信息供管理站查询 并接受管理站的管理 管理站只要支持RMON功能就可以实现对所有子网中RMON代理的管理 计算机网络管理技术 计算机网络管理技术 在网络管理中对网络流量进行监控是一项非常重要的工作 对网络进行监控 一方面是了解全网的流量分布情况 从而及时掌握各子网的流量大小和变化 为进一步调整网络带宽分配提供依据 另一方面通过位于每一子网中的监视器 可以实现流量控制 并利用报警功能对可能发生的流量过载等现象进行预警提示 实现对子网的监控 需要在子网内设置一个探测系统 一般将探测系统称为监视器 监视器可以捕获和分析网络流量 还能够根据用户需要计算发送的报文总数 错误包的数量 输入 输出包的数量 每秒发送的数据量等数据 在实际应用中 监视器既可以是一台独立的设备 也可以是一台运行有RMON代理程序的计算机 服务器或交换机等设备 计算机网络管理技术 监视器的作用与SNMP中的管理代理 Agent 基本上是相同的 所以监视器和代理的角色是相同的 更确切地说 RMON是一个特殊的SNMP代理 实现RMON的MIB和一些特殊功能 支持RMON的管理站能够识别RMONMIB 使用SNMP基本操作与RMON代理通信 与SNMP中的管理站和代理一样 运行RMON的管理控制台和RMON代理属于一种典型的客户端 服务器 Client Server 结构 计算机网络管理技术 3 1RMON规范3 1 1RMON产生的原因3 1 2ROM应用的网络模型3 1 3RMON的功能3 1 4RMOM的工作机制3 1 5RMONMIB3 1 6RMON 3 1 7RMON在网络设备上的应用实例 计算机网络管理技术 3 1 3RMON的功能RMON的设计 主要为了实现以下功能 1 离线操作在大型网络中 考虑到网络带宽的利用率 管理站不可能持续对监视器进行轮询操作 必要时管理站可以暂时停止对监视器的轮询 另一方面 当网络发生故障时 也可能导致管理站与监视器之间的通信中断 在这些情况下 需要监视器具有离线操作功能 能够不间断地自动捕获网络流量 并进行记录 分析 保存 当管理站与监视器恢复通信 轮询 时 管理站再从监视器中读取保存的数据 但是 当网络出现异常或发生故障时 监视器要能够将这一事件通知给管理站 计算机网络管理技术 2 主动监视如果监视器具有足够的资源且通信带宽允许时 为了获得准确的流量监控制信息 监视器要能够持续地对网络进行监视和信息记录 这些历史信息可以被管理站收集和处理 另外 当监视器所在的网络出现故障或发生异常时 监视器可以记录这些信息 给管理站提供所需的诊断信息 3 问题检测和报告如果主动监视会占用较多的网络资源 监视器也可以被动地进行监视 根据管理需要 可以通过对监视器的配置 使其连续地监视网络的某一 些 性能 当其出现错误时把相应的信息记录下来 并通知给管理站 计算机网络管理技术 4 提供增值数据在RMON系统中 由监视器收集每一个子网中的数据 并上报给管理站 而管理站并不直接管理子网中的设备 这种方式既有利于实现监视的实效性 也可以减轻管理站的负担 因为监视器直接在子网中运行 它有利于收集本子网中的通信情况 例如判断出哪些主机通信量最大 哪些主机出错最多 等等 这些数据的收集和分析都由监视器完成 比管理站直接收集和分析更有效 便捷 5 多管理站操作在大型的网络中可能同时存在多个管理站 一方面提高可靠性 另一方面可分散地实现各种不同的管理功能 例如 可以在两个或多个管理站之间实现冗余 提供安全性 也可以通过对监视器的配置 使同一个监视器为多个管理站提供相同或不同的信息 提高可靠性 计算机网络管理技术 3 1RMON规范3 1 1RMON产生的原因3 1 2ROM应用的网络模型3 1 3RMON的功能3 1 4RMOM的工作机制3 1 5RMONMIB3 1 6RMON 3 1 7RMON在网络设备上的应用实例 计算机网络管理技术 3 1 4RMOM的工作机制RMON作为一个基于SNMP的监控规范 为通过端口远程监控网络提供了解决方案 RMON监视器可以采用两种方法收集数据 一种是通过专用的RMON探测器 probe 管理站直接从探测器获取管理信息并控制网络资源 这种方式可以获取RMONMIB的全部信息 另一种方法是将RMON代理直接植入到网络设备 路由器 交换机 防火墙 集线器等 之中 使它们成为带RMONprobe功能的网络设施 管理站用SNMP的基本命令与其交换数据信息 收集网络管理信息 通过运行在监视器上的支持RMON的代理 管理站可以获得与被管网络设备接口相连的子网上的整体流量 错误统计和性能统计等信息 从而实现对网络的管理 为此 在RMON中 监视器 代理 探测器 probe 的角色是相同的 计算机网络管理技术 RMON是SNMP的应用扩展 管理站和代理通过RMONMIB作为接口 具体来讲 RMON由以下3部分组成 以太网底层驱动 监视器的工作基本上是对子网上的数据包进行监视 网络底层的工作由端口控制芯片完成 通过底层驱动程序为上层软件提供两种接口 获取数据包和获取以太网统计数据 SNMP UDP IP RMON只是对SNMP的功能扩展 一个基本的SNMP代理及SNMP下的各层协议都是必不可少的 RMON与SNMP通过MIB进行交互 管理站对监视器的配置和对收集的数据的获取都是通过SNMP完成的 当某些异常情况发生时 代理需要主动向管理站报告 因此SNMP还要提供发送SNMP陷阱 Trap 消息的接口 管理信息库 为实现RMON功能 管理信息库应包含MIB所定义的各个对象 RMON所使用的MIB对象必须是SNMP能够识别的 MIB为SNMP和RMON提供读写的接口 计算机网络管理技术 3 1RMON规范3 1 1RMON产生的原因3 1 2ROM应用的网络模型3 1 3RMON的功能3 1 4RMOM的工作机制3 1 5RMONMIB3 1 6RMON 3 1 7RMON在网络设备上的应用实例 计算机网络管理技术 3 1 5RMONMIBRMON规范定义了管理信息库RMONMIB Internet工程任务小组 IETF 于1991年11月公布了专门为以太网 EthernetLAN 而开发的RMONMIB 来解决SNMP在日益扩大的分布式网络中所面临的局限性 具体见RFC1271文档 在1993年又发布了专门针对令牌环 Tokenring 的RMONMIB 具体见RFC1513文档 RMONMIB的目的在于使SNMP更为有效更为积极主动地监控远程设备 计算机网络管理技术 RMONMIB由一组统计数据 分析数据和诊断数据组成 不像标准MIB仅提供被管对象大量的关于端口的原始数据 RMONMIB提供的是一个子网的统计数据和计算结果 RMONMIB实际上就是在SNMPMIB中添加了10个对象组 其中9个是针对以太网的 1个是针对令牌环的 这10个对象组分别如下 以太网统计信息 ethernetstatistics 提供对每一个监视子网的基本统计信息 具体数据来自监视器上监视的每一个以太网接口 历史控制 historycontrol 存储的是以固定间隔取样所获得的子网数据 警报 alarm 警报组周期性地读取变量的统计样本数据 将其与预先配置的阈值比较 如果监视的变量超过了阈值 将产生一个警报信息 表中只包含变量的最新采样数据 即在当前采样间隔完成时 采样变量的新值保存进去 旧的值则被丢弃掉 计算机网络管理技术 主机 host 该组包含网络 子网 中发现的每一台主机的统计数据 通过对网络中每一个数据帧中源和目的MAC地址的保存 可以发现网络上所有的主机 主机排名 hostTopN 用于记录对子网上一组主机的统计 这些主机在用某种参数 如MAC地址 作比较时 其值为所使用参数的最大值 如MAC地址的最大值 矩阵 matrix 矩阵用于记录子网中一系列任意两台主机间的会话并将其以矩阵的形式存储起来 这种组织方式对于检索特定主机之间的流量信息十分有用 如用于查找某一时间内哪些设备访问某一台服务器的流量最大等 过滤器 filter 过滤器允许数据包和一个过滤条件进行匹配 这些匹配的包可以被捕获或生成事件 过滤器提供一种手段 使得监视器可以监视某一个特定端口上的某一特定类型的分组 本组定义了两种过滤器 数据过滤器和状态过滤器 计算机网络管理技术 包捕获 packetcapture 包捕获需要与过滤器协同操作 其中包捕获组建立一组缓存区 用于存储从过滤器中的通道捕获的数据包 事件 event 事件组控制监视器事件的产生和通知 用于管理事件 但产生事件的条件则由RMONMIB中的其他组定义 例如警报组可以定义上升门限事件和下降门限事件 令牌环 Tokenring 令牌环组增加了针对令牌环的管理信息 它包含两个统计组 环统计组和环响应统计组 其中环统计组在MAC子层收集令牌环网络的数据 如token分组 错误分组和polling等 而响应统计组收集各种大小和类型的广播和组播的分组数 计算机网络管理技术 3 1RMON规范3 1 1RMON产生的原因3 1 2ROM应用的网络模型3 1 3RMON的功能3 1 4RMOM的工作机制3 1 5RMONMIB3 1 6RMON 3 1 7RMON在网络设备上的应用实例 计算机网络管理技术 3 1 6RMON 由于RMONMIB只能存储MAC层的信息 所以RMON只能用于局域网内部某一设备端口的通信流量 为了使RMON能够对MAC层以上的通信进行监控 在SNMPv2发布之后 推出了RMON 推出RMON 的目的并不是取代RMON 而是通过对RMONMIB进行扩充 扩展RMON的功能 与RMON相比 RMON 的功能特点如下 RMON 提供对OSI数据链路层以上的监控 如图3 2所示 RMON对OSI的数据链路层 更确切地说是数据链路层的 MAC子层 的通信进行监控 而RMON 可以对数据链路层以上的通信进行监控 计算机网络管理技术 RMON仅可以分析和统计MAC层的通信 监测的是从一个端口流向另一个端口的流量 而RMON 可以分析MAC层以上各层的通信 如传输层的TCP或UDP 或应用层的E mail FTP WWW等 很显然 RMON的范围比RMON增大了 RMON只能监控网络的通信流量和流量占用带宽的情况 而RMON 还可以提供不同层的网络应用所占用的带宽情况 例如 RMON 可以在传输层分别监控TCP和UDP的通信所占用网络带宽的情况 计算机网络管理技术 RMON 可以监控某一个节点使用何种通信协议将数据发送到另一个节台 这样就能够分别统计不同节点之间以及不同应用协议的数据流量分布情况 RNOMII已深入到了通信过程的深层 可以观察到是哪一个服务器发送数据包 哪一个用户预定要接受这一数据包 这一数据包表示何种应用 网络管员能够通过这种信息 按照应用带宽和响应时间要求来区分用户 计算机网络管理技术 RMONII没有取代RMON 而是对RMON的补充 RMONII在RMON标准的基础上提供一种新层次的诊断和监控功能 事实上 RMONII能够监控执行RMON标准的设备所发出的意外事件报警信号 从表3 1可以看出 RMONII如何能够对RMON进行补充 并从多个角度来解决一系列网络管理问题 计算机网络管理技术 3 1RMON规范3 1 1RMON产生的原因3 1 2ROM应用的网络模型3 1 3RMON的功能3 1 4RMOM的工作机制3 1 5RMONMIB3 1 6RMON 3 1 7RMON在网络设备上的应用实例 计算机网络管理技术 3 1 7RMON在网络设备上的应用实例1 支持嵌入式RMON的SmartAgent软件当RMON嵌入到网络设施 如集线器 之中时 它的作用效率更高 经济上更划算 在某个共享介质中 一个站点出现故障可以影响到在局域网中其他站点的运行 当某个阈值被超过时 RMON可以快速地确认出故障之所在 并向管理控制台报警 3COM公司的SmartAgent软件增强了RMON的功能 从而能自动和主动地对网络进行自我修复 使用Transcend网管应用程序 网管员可以设置针对SmartAgentMIB数据的报警阈值 以及制订出一旦出事后要采取的相应措施 从而自动解决了设备方面出现的局部问题 例如 关闭一个出故障的端口 通过SmartAgent自动校准功能 网管员可以根据最近使用情况自动重新设置所有集线器端口的信息 计算机网络管理技术 2 3COM公司的RMONASIC按照惯例 RMON探测器使用的是高性能处理器 它要占用相当大的内存来以线速收集统计数据 存储累积的数据和处理主机表和对话矩阵表 对网络通信进行监控以便捕获报警信号 以及在捕获和存储前对数据包进行过滤 这些操作都需要代理处理器具有更高的性能 3COM公司通过ASIC 专用集成电路 将RMON的监控功能直接植入到网络基础设施之中 由于3COM公司专门设计的ASIC的主要功能是提高整个集线器的性能 使用ASIC技术的另一个好处是在不用增加额外成本的情况下 就能在硬件上集成其它的先进功能 实际上 3COM公司的ASIC可以提供RMON功能 在不占用交换引擎中宝贵的处理器时间的情况下 对RMON进行全面支持 此外 基于ASIC的RMON方案可以通过FlashEPROM软件得到升级来支持更为先进的管理功能 例如3COM公司定期公布新版SmartAgent软件 计算机网络管理技术 第3章网络流量监控技术与方法3 1RMON规范3 2面向交换的SMON标准3 3实验操作1 利用MRTG进行网络流量监测 计算机网络管理技术 3 2面向交换的SMON标准3 2 1RMON在交换式网络中的限制3 2 2交换式网络中的新技术3 2 3面向交换的SMON3 2 4SMON的实现3 2 5SMON 计算机网络管理技术 3 2 1RMON在交换式网络中的限制SMON是美国Lucent 朗讯 科技公司 以色列LAN交换集团 LSG I 原Lannet公司 提出的 现在已作为交换式网络的标准远程监控管理信息库 MIB 被IETF所采纳 具体见RFC2613文档 在RMON标准提出的早期 用户使用的基本是共享式网络 如图3 3所示 在共享式网络中所有的端口都连接到同一网段上 网络中任何一台主机发送的数据 都会广播到其他的主机上 因而网络数据的获取比较容易 网络管理相当简单 只要将一个网络分析仪或RMON探测器 probe 像普通主机一样连接到网络上 就可以主动地监控到整个网络中的流量 其实 RMON最早就是为这类网络而专门设计的 计算机网络管理技术 后来 随着网络应用范围的逐渐增大 部分局域网开始包含多个共享式网段 这些网段通过网桥或路由器相互连接 为了监控整个网络 网络管理员只能在重要的网段上设置一些探测器 带有几个端口 通过这些端口可以同时监控几个网段 如图3 4所示 但是这些网段之间不存在内在的逻辑上的连接 所以RMON仅作为分离的数据源处理每一个探测器接口的信息 而不去考虑其它相关端口的统计情况 计算机网络管理技术 计算机网络管理技术 随着网段数量的增加 交换式网络开始出现 交换式网络与共享式网络的本质区别是用交换机来替代原来共享式网络中的集线器 或用交换机来替换原来使用同轴电缆连接的总线型网络 与集线器不同 交换机工作在OSI参考模型的数据链路层 它可以通过每一个端口对应的下连设备 如计算机 的MAC地址进行点对点的通信 计算机网络管理技术 3 2面向交换的SMON标准3 2 1RMON在交换式网络中的限制3 2 2交换式网络中的新技术3 2 3面向交换的SMON3 2 4SMON的实现3 2 5SMON 计算机网络管理技术 3 2 2交换式网络中的新技术1 VLANVLAN VirtualLocalAreaNetwork 虚拟局域网 是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术 它是交换式网络的最基本的安全管理技术 IEEE于1999年颁布了用以标准化VLAN实现方案的802 1q协议标准草案 VLAN技术允许网络管理员将一个物理的LAN逻辑地划分成不同的广播域 即VLAN 每一个VLAN都包含一组有着相同需求的计算机或其他网络设备 与物理上形成的LAN有着相同的属性 一个VLAN内部的广播和单播流量都不会转发到其他VLAN中 从而有助于控制流量 减少设备投资 简化网络管理 提高网络的安全性 计算机网络管理技术 2 QoS一般来说 基于存储转发机制的Internet只为用户提供了 尽力而为 best effort 的服务 不能保证数据包传输的实时性 完整性以及到达的顺序性 不能保证服务的质量 随着Internet和Intranet的飞速发展 人们对于在网络上传输分布式多媒体应用的需求越来越大 一般说来 用户对不同的分布式多媒体应用有着不同的服务质量要求 这就要求网络应能根据用户的要求分配和调度资源 QoS QualityofService 服务质量 是网络对用户之间以及网络上互相通信的用户之间关于信息传输与共享的一种策略约定 例如传输延迟允许时间 最大传输画面失真度以及声像同步等 对QoS进行分类和定义的目的是使网络可以根据不同类型的QoS进行管理和分配资源 例如 给实时服务分配较大的带宽和较多的CPU处理时间等 另一方面 对QoS进行分类定义也方便用户根据不同的应用提出QoS需求 为此 网络管理员必须了解不同的信息是如何按优先级分发的 进而对QoS进行评估和调整 计算机网络管理技术 3 链路聚合链路聚合 Trunk 是一种封装技术 是将交换机之间的多个端口捆绑成一条高带宽链路 以满足交换机之间的通信要求 链路聚合具有以下特点 一是提供负载平衡 避免链路出现阻塞现象 二是提高交换机之间的通信带宽 例如将4个100Mbit s的端口进行聚合后 就可以为这两台交换机提供400Mbit s的通信带宽 三是增加交换机之间连接的可靠性 被聚合的端口一旦其中一个出现故障时 其他端口会照常工作 四是所有VLAN数据都会通过交换机之间的聚合链路 对于聚合链路的通信情况 网络管理员也必须及时了解 很明显 共享式网络的监控技术对于交换式网络来说是不够用的 RMON无法对交换机的每一个点对点传输 VLAN QoS 链路聚合等通信情况进行监控 为此 既要对整个网络的活动进行描述 同时又能够对具体的实例做详细了解 就需要一种全部的网络监控方案 这就导致了SMON的产生 计算机网络管理技术 3 2面向交换的SMON标准3 2 1RMON在交换式网络中的限制3 2 2交换式网络中的新技术3 2 3面向交换的SMON3 2 4SMON的实现3 2 5SMON 计算机网络管理技术 3 2 3面向交换的SMON1 在交换模块中增加端口复制特性这种方式是通过在交换模块中增加一种端口复制 Port Copy 或端口镜像 Port Mirroring 的特性 将一个或多个端口 源端口 的流量镜像到另一个端口 目的端口 或镜像端口 在目的端口上连接一个标准的RMON探测器 如图3 6所示 将运行RMON的管理站直接连接在交换机的复制端口上 将交换机与Internet连接的端口设置为被复制端口 这样企业内部局域网中凡是访问Internet的流量都会被镜像到复制端口 并发送给管理站进行分析 计算机网络管理技术 对端口复制的操作控制一般由不同厂商定义 属于私有MIB 这样 可以充分利用现有RMON技术 对局域网网段的动态子网进行监控 目前 许多交换机都支持端口复制特性 但在有些交换机的设计中对流量中不同的数据类型是否可以进行端口复制作了相应的限制 这主要是考虑到交换机的使用性能 端口复制可以将交换机中所有的流量通过一个特定的端口复制到一个镜像端口 如果交换机提供端口复制功能 则允许网络管理员自行设置一个监视管理端口 镜像端口 来监视被监视端口的数据流量 并将获取的监视数据发送给管理站 通过管理站上的网络分析软件来实时查看被监视端口的情况 目前 大部分交换机自带的管理软件以及一些入侵检测系统 IDS 都通过这种方式收集并分析交换机各端口的数据流量 不过 这种方式仍然不能达到同时监控所有网段的目的 也解决不了交换实体 如交换机 中VLAN划分和优先级问题 计算机网络管理技术 2 在交换机内部使用特殊的计数硬件和开发相应的收集流量信息的软件在交换机内部使用特殊的计数硬件和开发相应的收集流量信息的软件是早期SMON的另一种有效解决方法 如图3 7所示 其中SMON模块的一个特殊目的是监听交换机背板的数据流量 SMON模块包括一个用来计数和分析总线上流量的硬件和一个中央处理单元 CPU 系统 模块的软件通常实现一个SNMP代理 允许远端的管理站 网络管理系统 NMS 访问SMON模块中的数据统计信息 并对交换机进行相应的管理操作 计算机网络管理技术 如图3 7所示的交换监控实体 交换机 结构 具有以下的优点 SMON模块可以监控所有正在进行交换的流量信息 SMON模块与交换机的集成 可以使模块监控不同VLAN所产生的数据包 以及交换机内部设定的不同优先级的数据包 SMON模块减轻了交换机本身的监控任务 在进行流量监控的过程中不会对交换机的数据转发和过滤等功能造成影响 如图3 7所示 当统计流量结果传输到管理站时 可以使用私有的扩展MIB和标准的RMONMIB进行记录 与此同时 SMON对统计广播和组播包的流量进行了特别的关注 由于广播和组播在交换机总线上只传输一次 并只在一个特定VLAN中的所有端口进行复制 这正是VLAN可以阻止广播和组播无限制传输的一个功能 所以 为了正确地获取广播和组播 主要是广播 信息对交换机和VLAN的影响 广播和组播包仅在每个交换机和VLAN中捕获一次 而不管这些包在多少个端口中进行了复制 计算机网络管理技术 3 2面向交换的SMON标准3 2 1RMON在交换式网络中的限制3 2 2交换式网络中的新技术3 2 3面向交换的SMON3 2 4SMON的实现3 2 5SMON 计算机网络管理技术 3 2 4SMON的实现随着交换式网络的广泛应用 SMON被各个交换机制造商所关注 各制造商通过对RMOMMIB的扩展 分别提出了针对自己交换机的监控解决方案 由于各种针对交换监控问题方案的提出 就需要对RMON的扩展SMON进行标准化 于是IETF开始制定相应的标准 并形成标准RFC2613 SMON提供了对内部交换监控的能力和如何对端口复制机制进行控制的解决方案 SMONMIB的结构如图3 8所示 其中图中虚线箭头表示了控制表和结果表之间相互作用的过程 计算机网络管理技术 计算机网络管理技术 与RMON相比 SMON标准中通过增加了一个新概念来定义了可作为其它RMON组合数据源的物理实体 实体交换机或交换实体模块 和逻辑实体 VLAN SMONMIB提供了一个数据结构 列出了进行交换时的数据源和这些数据源的性能 在RMON中 数据源是iftableMIB表中的实体 为了使SMON能够与RMON解决方案进行有机结合 每个新的SMON数据源都映射到一个iftable实体上 并把这些实体的类型设置为虚拟的 virtual 同时 SMONMIB中增加了那些不适合于存放在已有的RMON表中的数据源的计数统计能力 增加的MIB组就是为了专门收集VLAN的流量统计和在不同优先级上的流量信息 计算机网络管理技术 另外 通过使用一个特殊的控制表 可以定义和激活端口复制操作 表中的每一行都定义了一个激活的端口复制操作 该控制表的每一行包括将要复制的源端口 目的端口和执行的操作类型 如带内流量复制 带外流量复制 或两者都有 管理站的管理进程可以通过轮询数据源性能表 发现数据源的端口复制能力 通过采用这种机制 出现了多端口复制技术 即将多个数据源端口的流量信息同时复制到一个目的端口上 或将一个或多个VLAN中的全部流量复制到一个指定的连接端口上 前面提到的带内流量和带外流量是管理站与SMON模块之间的两种工作模式 其中 带内流量方式是指将管理站直接连接到交换机的一个端口上 通过该端口实现与SMON模块之间的连接 而带外流量方式则是将管理站直接连接到SMON模块上 而达到直接监控SMON的目的 计算机网络管理技术 3 2面向交换的SMON标准3 2 1RMON在交换式网络中的限制3 2 2交换式网络中的新技术3 2 3面向交换的SMON3 2 4SMON的实现3 2 5SMON 计算机网络管理技术 3 2 5SMON 随着交换技术的不断成熟和完善 已经出现了三层交换技术 同时三层交换机已得到了大量应用 三层交换 也称多层交换技术 或IP交换技术 是相对于传统交换概念而提出的 简单地说 三层交换技术就是 二层交换技术 三层转发技术 传统的交换技术是在OSI参考模型的第二层 数据链路层 进行操作 而三层交换技术在OSI参考模型的第三层 网络层 实现了数据包 分组 的高速转发 三层交换技术解决了局域网中网段划分之后 不同网段之间的通信必须依赖路由器进行管理的局面 解决了传统路由器低速 复杂所造成的网络瓶颈问题 针对三层交换机的应用 IETF提出了SMON 标准 它可以实现第三层及更高层交换环境的监控 SMON 不仅能够对主机的IP分组流量独立进行统计 且能够统计位于其他子网中的IP主机的流量 另外SMON 还可以对每一种应用协议进行流量监控 计算机网络管理技术 第一个采用SMON 标准的多层交换机是朗讯 后来更名为AVAYA 公司的CajunM770M MLS 这个交换机包括特殊的硬件SMON模块 计数器 该SMON模块可以对网络层和应用层进行数据流量统计 如图3 9所示 在交换机转发表的每一个转发入口处都有一个SMON计数数据块的索引 当使用转发表转发一个分组的时候 SMON计数器库里的计数器就记录这个分组的信息 计算机网络管理技术 RMON与SMON的监控内容相似 主要对数据链路层的流量进行统计 而RMON 与SMON 的监控内容相似 支持网络层及以上各层 主要在应用层 的性能监控 例如 在企业网络的出口处 如图3 6所示 通过对与Internet连接的端口的网络层流量的监控 可以了解局域网出口的流量大小 同时 还可以针对应用层的WWW E Mail FTP等流量进行监控 了解每一种协议应用所使用的流量情况 一个标准的RMON 探测器对一个网段的全部流量进行监控而不加区分 而SMON 可以根据交换机的路由情况记录数据信息 这种信息可以被看作是一个单一的数据源 这样 SMON 就可以实现对具体协议 VLAN的分类统计 计算机网络管理技术 更具体来讲 在SMON 的网络管理环境中 网络管理员可以完成以下的几项工作 定义所要监控的OSI模型层次和应用协议 对整个交换机内不同协议的流量分布情况进行统计 对与交换机相连的IP和IPX子网上的流量进行监控 对主机之间 同一网段或不同网段 的通信流量进行监控 目前在计算机网络管理中使用的IDS IPS 企业上网行为管理系统等产品 在实现技术上一般直接使用或借鉴了SMON 计算机网络管理技术 第3章网络流量监控技术与方法3 1RMON规范3 2面向交换的SMON标准3 3实验操作1 利用MRTG进行网络流量监测 计算机网络管理技术 本书第2章我们专门介绍了简单网络管理协议 SNMP 的相关知识 本章前面分别介绍了基于SNMP的两个应用功能的扩展规范RMON和SMON 在此基础上我们将介绍SNMP的一个具体应用 即网络流量监测 目前 基于SNMP的网络管理系统很多 如HP的OpenView IBM的NetView Sun的SunNetManager等 虽然这些系统的功能强大 但使用费用较为最贵 本小节主要介绍一款免费的 应用非常广泛的软件MRTG MultiRouterTrafficGrapher 多路由器流量图显示器 的安装 配置和使用方法 MRTG能够对网络流量进行直观 有效的监测和管理 计算机网络管理技术 3 3实验操作1 利用MRTG进行网络流量监测3 3 1MRTG简介3 3 2方案设计3 3 3被监测设备的配置3 3 4MRTG网管工作站的安装和配置 计算机网络管理技术 3 3 1MRTG简介MRTG是一款免费软件 目前最高版本为2 15 1 可以从MRTG的网站 www mrtg org 上下载 MRTG具有以下特点 可移植性 目前可以运行在大多数UNIX Linux系统 WindowsNT和NetWare操作系统上 源码开放 MRTG是用perl编写的 源代码完全开放 高可移植性的SNMP支持 MRTG采用了SimonLeinen编写的具有高可移植性的SNMP实现模块 从而不依赖于操作系统的SNMP模块支持 支持SNMPv2c MRTG可以读取SNMPv2c的64位的记数器 从而大大减少了记数器回转次数 计算机网络管理技术 可靠的接口标识 被监控的设备的接口可以采用IP地址 设备描述 SNMP对接口的编号及MAC地址来标识 常量大小的日志文件 MRTG的日志不会变大 因为MRTG使用了独特的数据合并算法 自动配置功能 MRTG自身有配置工具套件 所以配置过程比较简单 性能 时间敏感的部分使用C代码编写 因此具有很好的性能 PNG格式图形 图形采用GD库直接产生PNG格式 所以PNG格式是指流式网络图形格式 PortableNetworkGraphicFormat PNG PNG是20世纪90年代中期开始开发的准备替代GIF和TIFF文件格式的图形文件格式 可定制性 MRTG产生的Web页面是完全可以定制的 计算机网络管理技术 MRTG是一个基于SNMP的典型的网络流量统计分析软件 它可以从所有运行SNMP协议的设备上 包括服务器 路由器 交换机等 捕获信息 每隔一段时间 具体的时间间隔由管理员确定 采样并统计其设备流量 并自动生成包含PNG格式的图形以HTML文档方式显示给用户 以非常直观的形式显示流量负载 目前 MRTG广泛应用于各高校 企业的网络设备流量监测中 如图3 10所示 计算机网络管理技术 计算机网络管理技术 3 3实验操作1 利用MRTG进行网络流量监测3 3 1MRTG简介3 3 2方案设计3 3 3被监测设备的配置3 3 4MRTG网管工作站的安装和配置 计算机网络管理技术 3 3 2方案设计在企业网络管理中 MRTG运行在一台网管主机 称为网管工作站 上 主要对企业网络出口连接外网 一般为Internet 的路由器或防火墙设备的运行情况进行监测 也常用于对提供WWW FTP E Mail等服务的主要应用服务器进行监测 例如 图3 10就是对防火墙的3个接口流量进行监测的结果显示 考虑到可操作性 在本例中我们将对运行WindowsServer2003的一台主机的通信流量进行监测 实验拓扑如图3 11所示 如果读者无法同时提供两台计算机进行本实验 也可以使用虚拟机软件VMware来搭建实验平台 计算机网络管理技术 另外 在实验之前还需要准备MRTG软件和Perl软件 MRTG软件可以到官方网站www mrtg org下载 由于网管工作站运行的是WindowsXPProfessional操作系统 所以在下载时一定要下载基于Windows系统的MRTG 本实验中使用的是mrtg 2 15 2 计算机网络管理技术 3 3实验操作1 利用MRTG进行网络流量监测3 3 1MRTG简介3 3 2方案设计3 3 3被监测设备的配置3 3 4MRTG网管工作站的安装和配置 计算机网络管理技术 3 3 3被监测设备的配置由于本实验中所监测的设备是一台运行WindowsServer2003的服务器 所以需要安装和配置SNMP组件 如果被监视的设备是路由器 交换机或防火墙 其方法也与下面的操作相同 也要启用和配置SNMP服务 WindowsServer2003的服务器上的具体操作如下 计算机网络管理技术 1 选择 开始 设置 控制面板 添加 删除程序 添加 删除Windows组件 在打开的如图3 12所示的对话框中选取 管理和监视工具 计算机网络管理技术 2 单击 详细信息 按钮 在打开的如图3 13所示的对话框中选取 简单网络管理协议 SNMP 子组件 计算机网络管理技术 3 单击 确定 按钮 返回图3 12所示的对话框 单击 下一步 按钮 系统开始从WindowsServer2003安装光盘复制所需要的文件 直到安装结束 计算机网络管理技术 4 选择 开始 设置 控制面板 管理工具 服务 在打开的窗口中选择 SNMPService 并确保 状态 为 已启动 如图3 14所示 同时 也使 SNMPTrapService 为 已启动 状态 以接收和发送Trap事件 计算机网络管理技术 图3 14启用SNMPService 5 打开 SNMPService 的属性对话框 选取 安全 标签项 在打开的如图3 15所示的对话框中配置SNMP 首先单击 接受团体名称 下的 添加 按钮 设置SNMP的共同体 团体 community 名称 这里设置为通用的 public 在真实的网络环境中配置时 建议读者不要这样设置 权限为 只读 然后选取 接受来自这些主机的SNMP数据包 选项 单击 添加 按钮 在打开的对话框中添加网管工作站的IP地址 172 16 2 15 见图3 11 这样设置的目的是增加服务器的安全性 SNMP仅接受来自网管工作站的SNMP查询信息 6 单击 确定 按钮 WindowsServer2003上SNMP的安装和配置操作全部结束 其他选项建议使用系统默认的设置 计算机网络管理技术 6 单击 确定 按钮 WindowsServer2003上SNMP的安装和配置操作全部结束 其他选项建议使用系统默认的设置 计算机网络管理技术 3 3实验操作1 利用MRTG进行网络流量监测3 3 1MRTG简介3 3 2方案设计3 3 3被监测设备的配置3 3 4MRTG网管工作站的安装和配置 计算机网络管理技术 3 3 4MRTG网管工作站的安装和配置MRTG网管工作站的安装需要三个步骤 安装IIS 安装ActivePerl软件 安装和配置MRTG软件 1 安装IIS对于运行Windows操作系统的网管工作站 需要安装IIS 本例网管工作站使用的是WindowsXPProfessional操作系统 可以通过以下方法安装 计算机网络管理技术 1 选择 开始 设置 控制面板 添加 删除程序 添加 删除Windows组件 在打开的如图3 16所示的对话框中选取 Internet信息服务 IIS 计算机网络管理技术 2 单击 下一步 按钮 系统开始从WindowsXPProfessional安装光盘复制所需要的文件 直至安装结束 之后 选择 开始 设置 控制面板 管理工具 在打开的窗口中就可以看到 Internet信息服务 图标 计算机网络管理技术 3 双击 Internet信息服务 图标 打开 Internet信息服务 窗口 选取 默认网站 单击鼠标右键 在出现的快捷菜单中选取 属性 在打开的对话框中选取 主目录 标签 如图3 17所示 其中 WindowsXPProfessional的IIS默认网站的安全目录为 c inetpub wwwroot 这一点请读者一定要注意 我们在后面的操作中要用到 计算机网络管理技术 2 安装ActivePerl软件MRTG是一个用Perl编译的C程序 读者还要安装ActivePerl来解决脚本支持的问题 本实验中安装的是ActivePerl5 8 8 ActivePerl的安装方法非常简单 在运行安装程序 按系统提示进行安装后 当出现如图3 18所示的对话框时 为了节约磁盘空间建议只安装 Perl 组件 计算机网络管理技术 当出现如图3 19所示的选择安装选项时 为了不影响MRTG的运行 建议使用系统默认的选项 全部 计算机网络管理技术 3 安装MRTG软件准备好MRTG安装软件后 在网管工作站上通过以下的方法进行安装 1 在IIS安装目录的c inetpub wwwroot目录下创建一个目录mrtg 用于存放MRTG的监测信息 2 由于MRTG是一个采用Perl编写的程序 所以不需要进行安装 可以将下载的文件解压到某个目录下 本实验为C MRTG 3 选择 开始 运行 在打开的对话框中输入 cmd 命令 进入 命令提示符 窗口 计算机网络管理技术 4 由于MRTG软件已释放在c mrtg目录下 所以需要在C 提示符下输入 cdmrtg bin 进入c mrtg bin目录 然后 输入 perlmrtg 命令 如果Perl和MRTG软件运行正常 将出现如图3 20所示的提示信息 计算机网络管理技术 5 执行cfgmaker 生成cfg文件 这一步的操作非常重要 而且涉及到了许多配置信息 希望读者在了解本实验环境的基础上 认真输入 为此 对主要配置信息进行如下规划和说明 被监测设备的IP地址为172 16 2 10 SNMP的共同体名 community 为public cfg输出文件放置在c mrtg bin目录中 系统默认 名称为win2003 cfg 用户自定 MRTG的监控页面文件放置在c inetpub wwwroot mrtg目录中 主页面文件名为index htm 为了便于查看 生成的MRTG页面图是以bit为单位进行显示的 系统默认以Byte为单位显示 可通过 options growright bits 来实现 MRTG的统计分析界面使用中文 language chinese 计算机网络管理技术 在此基础上 在c mrtg bin目录下进行如下的操作 注意斜体字部分 C mrtg bin perlcfgmaker global WorkDir c inetpub wwwroot mrtg global language chinese global options growright bits ifref nr ifdesc nr noreversendspublic 172 16 2 10 win2003 cfg另外 ifref用来设置用什么选项来标识设备接口 可以指定为nr ip eth descr和name 其中 nr表示用MIBII库中Interface接口的ifIndex来识别接口 ip表示使用IP地址识别接口 eth表示使用接口的物理地址 MAC 标识接口 descr表示使用接口的描述信息来标识接口 name表示使用接口名来标识接口 读者可根据具体配置来选择使用 但要注意被监测设备的具体情况 例如 当对二层交换机进行的监测时 就不能使用IP地址的来标识 因为二层交换机的端口不支持IP地址设置 计算机网络管理技术 图3 21是以上操作的截图 如果被监测的设备有多台时 可以同时将被监测设备的SNMP共同体名及IP地址的对应关系以 共同体名 IP地址 的形式加入到以上命令行中 如 C mrtg bin perlcfgmaker global WorkDir c inetpub wwwroot mrtg global language chinese global options growright bits ifref nr ifdesc nr noreversendspublic 172 16 2 10public1 172 16 2 11public2 172 16 2 12 win2003 cfg 计算机网络管理技术 6 设置MRTG网管工作站对被监测设备的SNMP轮询时间 需要在c mrtg bin目录下进行 C mrtg bin echoRunAsDaemon yes win2003 cfgC mrtg bin echoInterval 5 win2003cfg在以上配置命令中 其中 RunAsDaemon yes 是让系统一天24小时不间断监测 并自动刷新 Interval 5 是让网管工作站每隔5分钟对被监测设备进行一次SNMP轮询操作 即每隔5分钟从被监测设备读取一次数据 计算机网络管理技术 7 使用indexmaker生成报表的首页文件 文件名为index htm 存放在c inetpub wwwroot mrtg目录下 具体操作为 C mrtg bin perlindexmakerwin2003 cfg c inetpub wwwroot mrtg index htm 8 运行MRTG C mrtg bin perlMRTG logging win2003 logwin2003 cfg其中 win2003 log为生成的日志文件 计算机网络管理技术 9 进行测试 经过以上的操作后 MRTG网管工作站的主要功能已经配置完成了 这时 在任何一台与网管工作站相连的计算机的IE的地址栏中输入http 172 16 2 15 mrtg 就可以打开如图3 22所示的报表页面 计算机网络管理技术 MRTG开始对被监测设备进行了流量管理 单击该页面 就可以打开详细的统计报表页面 其中 如图3 23显示了每天的流量分布情况 图3 24显示了每周的流量分布情况 计算机网络管理技术 计算机网络管理技术 图3 25显示了每月的流量分布统计情况 图3 26显示了每年的流量分布统计情况 计算机网络管理技术 需要说明的是 由于MRTG网管系统刚刚完成配置 所以许多统计报表还看不到流量信息 另外 MRTG除对被监测设备的每一个物理端口进行监测外 还能够对VLAN的通信进行监测 计算机网络管理技术 10 将MRTG配置为系统服务 由于MRTG需要由Perl编译执行 不能直接添加成为Windows的系统服务 所以要用到Windows的两个附加程序Srvany exe和Instsrv exe 其中Srvany exe用于将一个程序注册为一个服务 而Instsrv exe用于创建系统服务 这两个文件可在WindowsXPProfessionalResourceKit中找到 具体操作如下 首先将Srvany exe和Instsrv exe两个文件复制到c mrtg bin目录下 接着执行以下的操作将MRTG添加为系统服务 C mrtg bin instsrvMRTG C MRTG bin srvany exe 计算机网络管理技术 然后运行regedit命令 打开注册表编辑器 在HKEY LOCAL MACHINE SYSYTEM CurrentControlSet Services MRTG中添加一个parameters子健 在该子健中添加以下的内容 具体配置情况如图3 27所示 Application字符串值 内容为c perl bin perl exe 目的为运行perl程序 AppDirectory字符串值 内容为C MRTG bin 目的为设置MRTG程序目录 AppParameters字符串值 内容为MRTG logging win2003 logwin2003 cfg 计算机网络管理技术 另外 还可以编辑c inetpub wwwroot mrtg目录下的index htm文件 对统计报表的页面显示信息进行修改 如将 MRTGIndexPage 一行中的 MRTGIndexPage 替换为单位或设备名称以方便查看 还有 考虑到SNMP中信息传输的不安全性 可以通过WindowsServer2003中的IPSec IP安全协议 和策略来保护通信信息和端口 UDP161 162 等 这些内容读者可以根据个人兴趣和需要参阅相关资料进行设置 在此不再赘述 计算机网络管理技术 TransitionalPage