第3章 網絡流量監(jiān)控技術與方法.ppt

1、第3章 網絡流量監(jiān)控技術與方法,概述,本章首先在第2章SNMP相關知識的基礎上，介紹遠程監(jiān)視（RMON）、交換機的遠程監(jiān)視（SMON）等技術規(guī)范，然后再結合SNMP的網絡管理特性，介紹目前在網絡流量采集和分析中應用最為廣泛的MRTG軟件的安裝、部署和使用方法。,3.1 RMON規(guī)范,3.1.1 RMON產生的原因 SNMP輪詢存在以下兩個明顯的不足：一是沒有伸縮性。在大型網絡中，輪詢會產生巨大的網絡管理通信量，因而導致通信擁擠情況的發(fā)生，嚴重時還可能會產生網絡阻塞；二是收集數據的任務由管理進程來完成，但管理計算機（運行管理進程的計算機）的資源也是有限的。因此，縮短輪詢時間間隔不是解決問題的首選

2、方法。RMON規(guī)范提出的目的是解決SNMP存在的這一問題。 遠程網絡監(jiān)視（Remote Network Monitoring RMON）是對SNMP標準的重要補充，是簡單網絡管理向互聯網管理過渡的重要步驟。RMON擴充了SNMP的管理信息庫MIB-2，可以提供有關互聯網管理的主要信息，在不改變SNMP的條件下增強了網絡管理的功能。,3.1.2 ROM應用的網絡模型 RMON使用SNMP的操作，使用專用于子網監(jiān)視的監(jiān)視器收集子網的流量信息，并響應管理站的調用。如圖3-1描述了RMON的一個應用實例。,圖3-1 RMON應用實例,RMON的基本概念,通常用于監(jiān)視整個網絡通信情況的設備叫做網絡監(jiān)視器

3、（Monitor）、網絡分析器（Analyzer）或探測器（Probe）等。 監(jiān)視器觀察LAN上出現的每個分組，并進行統(tǒng)計和總結，給管理人員提供重要的管理信息。 通常每個子網配置一個監(jiān)視器并與中央管理站通信，因此也稱其為遠程監(jiān)視器。,監(jiān)視器可以是一個獨立設備，也可以是運行監(jiān)視器軟件的工作站或服務器等。 中央管理站具有RMON管理能力，能夠與各個監(jiān)視器交換管理信息。,RMON監(jiān)視器或探測器（RMON Probe）實現RMON管理信息庫（RMON MIB）。這種系統(tǒng)與通常的SNMP代理一樣包含一般的MIB。 另外還有一個探測器進程，提供與RMON有關的功能。探測器進程能夠讀寫本地的RMON數據庫，

4、并響應管理站的查詢請求，也把RMON探測器稱為RMON代理。,遠程網絡監(jiān)視的功能,RMON定義了遠程網絡監(jiān)視的管理信息庫以及SNMP管理站與遠程監(jiān)視器之間的接口。一般來說，RMON的目標就是監(jiān)視子網范圍內的通信，從而減少管理站和被管理系統(tǒng)之間的通信負擔。更具體地說，RMON有下列功能：離線操作、主動監(jiān)視、問題檢測和報告、提供增值數據、多管理站操作。,1 離線操作 在大型網絡中，考慮到網絡帶寬的利用率，管理站不可能持續(xù)對監(jiān)視器進行輪詢操作，必要時管理站可以暫時停止對監(jiān)視器的輪詢。另一方面，當網絡發(fā)生故障時，也可能導致管理站與監(jiān)視器之間的通信中斷。 2 主動監(jiān)視 如果監(jiān)視器具有足夠的資源且通信帶寬

5、允許時，為了獲得準確的流量監(jiān)控制信息，監(jiān)視器要能夠持續(xù)地對網絡進行監(jiān)視和信息記錄。 3 問題檢測和報告 如果主動監(jiān)視會占用較多的網絡資源，監(jiān)視器也可以被動地進行監(jiān)視。,4 提供增值數據 在RMON系統(tǒng)中，由監(jiān)視器收集每一個子網中的數據，并上報給管理站，而管理站并不直接管理子網中的設備，這種方式既有利于實現監(jiān)視的實效性，也可以減輕管理站的負擔。 5 多管理站操作 在大型的網絡中可能同時存在多個管理站，一方面提高可靠性，另一方面可分散地實現各種不同的管理功能。,3.1.4 RMON的工作機制 RMON監(jiān)視器可以采用兩種方法收集數據： 1、通過專用的RMON探測器（probe），管理站直接從探測器獲

6、取管理信息并控制網絡資源，這種方式可以獲取RMON MIB的全部信息； 2、將RMON代理直接植入到網絡設備（路由器、交換機、防火墻、集線器等）之中，使它們成為帶RMON probe功能的網絡設施，管理站用SNMP的基本命令與其交換數據信息，收集網絡管理信息。通過運行在監(jiān)視器上的支持RMON的代理，管理站可以獲得與被管網絡設備接口相連的子網上的整體流量、錯誤統(tǒng)計和性能統(tǒng)計等信息，從而實現對網絡的管理。為此，在RMON中，監(jiān)視器、代理、探測器（probe）的角色是相同的。,具體來講，RMON由以下3部分組成： 以太網底層驅動：監(jiān)視器的工作基本上是對子網上的數據包進行監(jiān)視。網絡底層的工作由端口控制

7、芯片完成，通過底層驅動程序為上層軟件提供兩種接口：獲取數據包和獲取以太網統(tǒng)計數據。 SNMP、UDP、IP：RMON只是對SNMP的功能擴展，一個基本的SNMP代理及SNMP下的各層協(xié)議都是必不可少的。RMON與SNMP通過MIB進行交互，管理站對監(jiān)視器的配置和對收集的數據的獲取都是通過SNMP完成的。當某些異常情況發(fā)生時，代理需要主動向管理站報告，因此SNMP還要提供發(fā)送SNMP陷阱（Trap）消息的接口。 管理信息庫：為實現RMON功能，管理信息庫應包含MIB所定義的各個對象。RMON所使用的MIB對象必須是SNMP能夠識別的，MIB為SNMP和RMON提供讀寫的接口。,3.1.5 RMO

8、N MIB RMON MIB由一組統(tǒng)計數據、分析數據和診斷數據組成，不像標準MIB僅提供被管對象大量的關于端口的原始數據，RMON MIB提供的是一個子網的統(tǒng)計數據和計算結果。RMON MIB實際上就是在SNMP MIB中添加了10個對象組，其中9個是針對以太網的，1個是針對令牌環(huán)的。 以太網統(tǒng)計信息（ethernet statistics）、 歷史控制（history control）、 警報（alarm）、 主機（host）、 主機排名（hostTopN）、 矩陣（matrix）、 過濾器（filter）、 包捕獲（packet capture）、 事件（event）和 令牌環(huán)（Token

9、 ring）。,3.1.6 RMON 與RMON相比，RMON的功能特點如下： （1） RMON提供對OSI數據鏈路層以上的監(jiān)控。如圖3-2所示，RMON對OSI的數據鏈路層（更確切地說是數據鏈路層的“MAC子層”）的通信進行監(jiān)控，而RMON可以對數據鏈路層以上的通信進行監(jiān)控。,圖3-2 RMON和RMON適用的OSI層次,（2）RMON僅可以分析和統(tǒng)計MAC層的通信，監(jiān)測的是從一個端口流向另一個端口的流量。而RMON可以分析MAC層以上各層的通信，如傳輸層的TCP或UDP，RMON的范圍比RMON增大了。 （3） RMON只能監(jiān)控網絡的通信流量和流量占用帶寬的情況，而RMON還可以提供不同層

10、的網絡應用所占用的帶寬情況。 （4） RMON可以監(jiān)控某一個節(jié)點使用何種通信協(xié)議將數據發(fā)送到另一個節(jié)點，這樣就能夠分別統(tǒng)計不同節(jié)點之間以及不同應用協(xié)議的數據流量分布情況。 RMON已深入到了通信過程的深層，可以觀察到是哪一個服務器發(fā)送數據包，哪一個用戶預定要接受這一數據包，這一數據包表示何種應用。 （5） RMONII沒有取代RMON，而是對RMON的補充。RMONII在RMON標準的基礎上提供一種新層次的診斷和監(jiān)控功能。事實上，RMONII能夠監(jiān)控執(zhí)行RMON標準的設備所發(fā)出的意外事件報警信號。,3.1.7 RMON在網絡設備上的應用實例 1 支持嵌入式RMON的SmartAgent軟件 當

11、RMON嵌入到網絡設施（如集線器）之中時，它的作用效率更高、經濟上更劃算。比如通過Smart-Agent軟件，3COM公司將RMON代理直接植入進集線器管理模塊來自動監(jiān)控流經集線器的網絡會話，而不用將單獨的設備（專門的監(jiān)視器）接入到連通的網段上。 2 3COM公司的RMON ASIC 3COM公司通過ASIC（專用集成電路）將RMON的監(jiān)控功能直接植入到網絡基礎設施之中。由于3COM公司專門設計的ASIC的主要功能是提高整個集線器的性能，使用ASIC技術的另一個好處是在不用增加額外成本的情況下，就能在硬件上集成其它的先進功能。,3.2 面向交換的SMON標準,3.2.1 RMON在交換式網絡中

12、的限制 如圖3-3所示，在共享式網絡中所有的端口都連接到同一網段上，網絡中任何一臺主機發(fā)送的數據，都會廣播到其他的主機上，因而網絡數據的獲取比較容易，網絡管理相當簡單。只要將一個網絡分析儀或RMON探測器（probe）像普通主機一樣連接到網絡上，就可以主動地監(jiān)控到整個網絡中的流量。,圖3-3 共享網絡的管理特點,為了監(jiān)控整個網絡，網絡管理員只能在重要的網段上設置一些探測器（帶有幾個端口），通過這些端口可以同時監(jiān)控幾個網段，如圖3-4所示。,圖3-4 將RMON探測器放置在與多個共享網絡互連的網橋或交換機上,如圖3-5所示，RMON探測器只有“看到”自身網段的通信情況，而無法獲取交換機其他端口上

13、的網絡流量。,圖3-5 交換機上的RMON探測器只能“看到”本端口的流量,3.2.2交換式網絡中的新技術 在交換式網絡中，RMON探測器除了對連接端口的通信進行監(jiān)控外，在交換式網絡中還提供了VLAN、QoS、鏈路聚合等技術。 VLAN： VLAN（Virtual Local Area Network，虛擬局域網）是在一個物理網絡上劃分出來的邏輯網絡。這個網絡對應于OSI模型的第二層（數據鏈路層）。VLAN的劃分不受網絡端口的實際物理位置的限制。 QoS：QoS(Quality of Service)，中文名為服務質量。它是指網絡提供更高優(yōu)先服務的一種能力，包括專用帶寬、抖動控制和延遲（用于實時

14、和交互式流量情形）、丟包率的改進以及不同WAN、LAN 和 MAN 技術下的指定網絡流量等，同時確保為每種流量提供的優(yōu)先權不會阻礙其它流量的進程。 QoS是網絡的一種安全機制, 是用來解決網絡延遲和阻塞等問題的一種技術。在正常情況下，如果網絡只用于特定的無時間限制的應用系統(tǒng)，并不需要QoS，比如Web應用，或E-mail設置等。但是對關鍵應用和多媒體應用就十分必要。當網絡過載或擁塞時，QoS 能確保重要業(yè)務量不受延遲或丟棄，同時保證網絡的高效運行。,鏈路聚合（Trunk)：就是構建交換機的冗余鏈路,達到負載均衡和高帶寬的利用的目的.簡單的說就是把幾個以太網接口捆綁在一起,當作一格通道來利用,不

15、過鏈路聚合要損失掉物理接口作為代價的,一般不能構建太多. 特點：1、提供負載均衡，避免鏈路出現阻塞現象 2、高帶寬 3、增加交換機的可靠性 4、所有VLAN數據都會通過交換機之間的聚合鏈路。對于聚合鏈路的通信情況，網絡管理員都能了解到。,3.2.3 面向交換的SMON 針對上述交換式網絡中存在的問題，早期的解決方案主要有兩種： 1 在交換模塊中增加端口復制特性 這種方式是通過在交換模塊中增加一種端口復制（Port-Copy）或端口鏡像（Port-Mirroring）的特性，將一個或多個端口（源端口）的流量鏡像到另一個端口（目的端口，或鏡像端口）。在目的端口上連接一個標準的RMON探測器。如圖3

16、-6所示，將運行RMON的管理站直接連接在交換機的復制端口上，將交換機與Internet連接的端口設置為被復制端口，這樣企業(yè)內部局域網中凡是訪問Internet的流量都會被鏡像到復制端口，并發(fā)送給管理站進行分析。,圖3-6 端口復制應用實例,如圖3-6所示，將運行RMON的管理站直接連接在交換機的復制端口上，將交換機與Internet連接的端口設置為被復制端口，這樣企業(yè)內部局域網中凡是訪問Internet的流量都會被鏡像到復制端口，并發(fā)送給管理站進行分析。,2在交換機內部使用特殊的計數硬件和開發(fā)相應的收集流量信息的軟件 在交換機內部使用特殊的計數硬件和開發(fā)相應的收集流量信息的軟件是早期SMON

17、的另一種有效解決方法。如圖3-7所示，其中SMON模塊的一個特殊目的是監(jiān)聽交換機背板的數據流量。,圖3-7 交換監(jiān)控實體結構示意圖,3.2.4 SMON的實現 SMON MIB的結構如圖3-8所示，其中圖中虛線箭頭表示了控制表和結果表之間相互作用的過程。,圖3-8 SMON MIB結構示意圖,3.2.5 SMON 針對三層交換機的應用，IETF（互聯網工程任務組The Internet Engineering Task Force）提出了SMON標準。它可以實現第三層及更高層交換環(huán)境的監(jiān)控，SMON不僅能夠對主機的IP分組流量獨立進行統(tǒng)計，且能夠統(tǒng)計位于其他子網中的IP主機的流量，另外SMON

18、還可以對每一種應用協(xié)議進行流量監(jiān)控。,如圖3-9所示，在交換機轉發(fā)表的每一個轉發(fā)入口處都有一個SMON計數數據塊的索引，當使用轉發(fā)表轉發(fā)一個分組的時候，SMON計數器庫里的計數器就記錄這個分組的信息。 更具體來講，在SMON的網絡管理環(huán)境中，網絡管理員可以完成以下的幾項工作： 定義所要監(jiān)控的OSI模型層次和應用協(xié)議。 對整個交換機內不同協(xié)議的流量分布情況進行統(tǒng)計。 對與交換機相連的IP和IPX子網上的流量進行監(jiān)控。 對主機之間（同一網段或不同網段）的通信流量進行監(jiān)控。,圖3-9 計數器模塊工作示意圖,3.3 實驗操作1：利用MRTG進行網絡流量監(jiān)測,3.3.1 MRTG簡介 MRTG（Mult

19、i Router Traffic Grapher,多路由器流量圖顯示器）是一款免費軟件，目前最高版本為2.16.3，可以從MRTG的網站（）上下載。MRTG具有以下特點： 可移植性、源碼開放、高可移植性的SNMP支持、 支持SNMPv2c、可靠的接口標識、常量大小的日志文件、自動配置功能、性能、 PNG格式圖形、可定制性。,目前，MRTG廣泛應用于各高校、企業(yè)的網絡設備流量監(jiān)測中，如圖3-10所示。,圖3-10 某高校防火培流量監(jiān)控圖,3.3.2 方案設計 考慮到可操作性，在本例中我們將對運行Windows Server 2003的一臺主機的通信流量進行監(jiān)測，實驗拓撲如

20、圖3-11所示。若沒有兩天計算機進行本實驗，可使用虛擬機軟件VMware來搭建實驗平臺。,圖3-11 實驗環(huán)境搭建,3.3.3 被監(jiān)測設備的配置 Windows Server 2003的服務器上的具體操作如下： （1）選擇“開始設置控制面板添加/刪除程序添加/刪除Windows組件”，在打開的如圖3-12所示的對話框中選取“管理和監(jiān)視工具”。,圖3-12 選取“管理和監(jiān)視工具”組件,（2） 單擊“詳細信息”按鈕，在打開的如圖3-13所示的對話框中選取“簡單網絡管理協(xié)議（SNMP）”子組件。,圖3-13 選取“簡單網絡管理協(xié)議（SNMP）”子組件,（3）單擊“確定”按鈕，返回圖3-12所示的對話

21、框。單擊“下一步”按鈕，系統(tǒng)開始從Windows Server 2003安裝光盤復制所需要的文件，直到安裝結束。 （4）選擇“開始設置控制面板管理工具服務”，在打開的窗口中選擇“SNMP Service”，并確?！盃顟B(tài)”為“已啟動”，如圖3-14所示。同時，也使 “SNMP Trap Service”為“已啟動”狀態(tài)，以接收和發(fā)送Trap事件。,圖3-14 啟用SNMP Service,（5）打開“SNMP Service”的屬性對話框，選取“安全”標簽項，在打開的如圖3-15所示的對話框中配置SNMP。首先單擊“接受團體名稱”下的“添加”按鈕，設置SNMP的共同體（團體，community）

22、名稱，這里設置為通用的“public”（在真實的網絡環(huán)境中配置時，建議讀者不要這樣設置），權限為“只讀”；然后選取“接受來自這些主機的SNMP數據包”選項，單擊“添加”按鈕，在打開的對話框中添加網管工作站的IP地址（5，見圖3-11）。這樣設置的目的是增加服務器的安全性，SNMP僅接受來自網管工作站的SNMP查詢信息。,圖3-15 配置SNMP的安全屬性,（6） 單擊“確定”按鈕，Windows Server 2003上SNMP的安裝和配置操作全部結束。其他選項建議使用系統(tǒng)默認的設置。,3.3.4 MRTG網管工作站的安裝和配置 MRTG網管工作站的安裝需要三個步驟：安裝I

23、IS、安裝ActivePerl軟件、安裝和配置MRTG軟件。 1 安裝IIS 2 安裝ActivePerl軟件 3 安裝MRTG軟件 （1） 在IIS安裝目錄的c:inetpubwwwroot目錄下創(chuàng)建一個目錄mrtg，用于存放MRTG的監(jiān)測信息。 （2） 由于MRTG是一個采用Perl編寫的程序，所以不需要進行安裝，可以將下載的文件解壓到某個目錄下，本實驗為C:MRTG。 （3） 選擇“開始運行”，在打開的對話框中輸入“cmd”命令，進入“命令提示符”窗口。,（4） 由于MRTG軟件已釋放在c:mrtg目錄下。所以需要在C:提示符下輸入“cd mrtgbin”進入c:mrtgbin目錄。然后

24、，輸入“perl mrtg”命令，如果Perl和MRTG軟件運行正常，將出現如圖3-20所示的提示信息。,圖3-20 使用perl mrtg命令測試Perl和MRTG軟件,（5）執(zhí)行cfgmaker，生成cfg文件。這一步的操作非常重要，而且涉及到了許多配置信息，希望讀者在了解本實驗環(huán)境的基礎上，認真輸入。為此，對主要配置信息進行如下規(guī)劃和說明： 被監(jiān)測設備的IP地址為0，SNMP的共同體名（community）為public。 cfg輸出文件放置在c:mrtgbin目錄中（系統(tǒng)默認），名稱為win2003.cfg（用戶自定）。 MRTG的監(jiān)控頁面文件放置在c:inetpu

25、bwwwrootmrtg目錄中，主頁面文件名為index.htm。 為了便于查看，生成的MRTG頁面圖是以bit為單位進行顯示的，系統(tǒng)默認以Byte為單位顯示?？赏ㄟ^“options_: growright,bits”來實現。 MRTG的統(tǒng)計分析界面使用中文（language: chinese）。,在此基礎上，在c:mrtgbin目錄下進行如下的操作（注意斜體字部分）： C:mrtgbinperl cfgmaker -global “WorkDir: c:inetpubwwwrootmrtg” -global “l(fā)anguage: chinese” -global “options_: gro

26、wright,bits” -ifref=nr -ifdesc=nr -noreversends public0win2003.cfg Ifref：用來設置用什么選項來識別接口：nr,ip,eth,descr,name nr:用MIBII庫中的Interface接口的ifIndex來識別接口 ip：使用IP地址來識別接口 eth:使用MAC地址來識別接口 descr:使用接口的描述信息來識別接口 name:使用接口名來識別接口 Ifdesc：設置用什么選項來進行端口描述 ifdesc=nr 表示interface description uses Interface Numb

27、er ifdesc=alias 表示將端口描述description作為圖片提示語,圖3-21是以上操作的截圖。,圖3-21 perl cfgmaker操作的截圖,如果被監(jiān)測的設備有多臺時，可以同時將被監(jiān)測設備的SNMP共同體名及IP地址的對應關系以“共同體名IP地址”的形式加入到以上命令行中，如： C:mrtgbinperl cfgmaker -global “WorkDir: c:inetpubwwwrootmrtg” -global “l(fā)anguage: chinese” -global “options_: growright,bits” -ifref=nr -ifdesc=nr -n

28、oreversends public0 public11 public22 win2003.cfg,（6） 設置MRTG網管工作站對被監(jiān)測設備的SNMP輪詢時間。需要在c:mrtgbin目錄下進行： C:mrtgbinecho RunAsDaemon:yeswin2003.cfg C:mrtgbinecho Interval:5win2003cfg 在以上配置命令中，其中“RunAsDaemon:yes”是讓系統(tǒng)一天24小時不間斷監(jiān)測，并自動刷新，“Interval:5”是讓網管工作站每隔5分鐘對被監(jiān)測設備進行一次SNMP輪詢操作，即每隔5分鐘從被監(jiān)測設備讀取一次數據。,（7） 使用indexmaker生成報表的首頁文件，文件名為index.htm，存放在c:inetpubwwwrootmrtg目錄下。具體操作為： C:mrtgbinperl indexmaker win2003.cfgc:inetpubwwwrootmrtgindex.htm （8） 運行MRTG： C:mrtgbinperl MRTG logging=win2003.log win2003.cfg 其中，win2003.log為生成的日志文件。,（9） 進行測試。經過以上的操作后，MRTG網管工作站的