簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視

1、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）是）是Internet中基于中基于TCP/IP的網(wǎng)絡(luò)管理協(xié)的網(wǎng)絡(luò)管理協(xié)議。議。SNMP的推出，由于其簡(jiǎn)單性、實(shí)施容易和應(yīng)用成本低廉等特點(diǎn)，的推出，由于其簡(jiǎn)單性、實(shí)施容易和應(yīng)用成本低廉等特點(diǎn)，而受到業(yè)界許多廠家的廣泛支持，現(xiàn)已成為事實(shí)上的標(biāo)準(zhǔn)。而受到業(yè)界許多廠家的廣泛支持，現(xiàn)已成為事實(shí)上的標(biāo)準(zhǔn)。 本章主要從本章主要從SNMP的體系結(jié)構(gòu)、管理模型、工作機(jī)制、協(xié)議操作等的體系結(jié)構(gòu)、管理模型、工作機(jī)制、協(xié)議操作等方面介紹方面介紹SNMP的有關(guān)理論知識(shí)，同時(shí)簡(jiǎn)單介紹遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的有關(guān)理論知識(shí)，同時(shí)

2、簡(jiǎn)單介紹遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視RNOM方方面基本概念。面基本概念。 SNMP概述概述 1 SNMP的發(fā)展歷史的發(fā)展歷史 2 基本體系結(jié)構(gòu)基本體系結(jié)構(gòu) 3 SNMP操作操作 4 SNMP的工作機(jī)制的工作機(jī)制SNMP的發(fā)展歷史的發(fā)展歷史 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP，Simple Network Management Protocol）誕生于）誕生于1988，那時(shí)由于，那時(shí)由于CMIP遲遲不能成熟并應(yīng)用于網(wǎng)絡(luò)管理，遲遲不能成熟并應(yīng)用于網(wǎng)絡(luò)管理，Internet體系結(jié)構(gòu)委員會(huì)（體系結(jié)構(gòu)委員會(huì)（IAB）在原有簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議（）在原有簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP）的）的基礎(chǔ)上進(jìn)一步修改后提出了基礎(chǔ)

3、上進(jìn)一步修改后提出了SNMP。 SNMP的最初版本是的最初版本是SNMPv1，SNMPv1存在兩方面的問(wèn)題：存在兩方面的問(wèn)題： 一是安全，一是安全，SNMP只定義了安全性極為有限的基于共同體名授權(quán)使用只定義了安全性極為有限的基于共同體名授權(quán)使用的安全模型；的安全模型； 二是管理信息的可靠傳輸問(wèn)題，由于二是管理信息的可靠傳輸問(wèn)題，由于SNMPvl是在是在UDP上實(shí)現(xiàn)的，上實(shí)現(xiàn)的，而而UDP并不保證所有報(bào)文都能夠正確傳送。并不保證所有報(bào)文都能夠正確傳送。 增強(qiáng)的增強(qiáng)的SNMPv2使該協(xié)議更加高效，同時(shí)還保持了它容易實(shí)現(xiàn)和成使該協(xié)議更加高效，同時(shí)還保持了它容易實(shí)現(xiàn)和成本低廉的特點(diǎn)，本低廉的特點(diǎn)，SN

4、MPv2可以與可以與SNMPv1透明地共存，它在性能、管理透明地共存，它在性能、管理進(jìn)程與管理進(jìn)程通信方面對(duì)進(jìn)程與管理進(jìn)程通信方面對(duì)SNMP進(jìn)行了改進(jìn)，如減少了進(jìn)行了改進(jìn)，如減少了SNMP業(yè)務(wù)流、業(yè)務(wù)流、允許大塊數(shù)據(jù)的傳送、添加了一個(gè)用于高速網(wǎng)絡(luò)環(huán)境下的允許大塊數(shù)據(jù)的傳送、添加了一個(gè)用于高速網(wǎng)絡(luò)環(huán)境下的64位計(jì)數(shù)器；位計(jì)數(shù)器；對(duì)基于對(duì)基于Novell IPX，Apple Talk DDP和和OSI的的SNMP作了映射；但在安作了映射；但在安全性方面仍未能達(dá)到令人滿意的結(jié)果。全性方面仍未能達(dá)到令人滿意的結(jié)果。 1998年年1月產(chǎn)生了月產(chǎn)生了SNMPv3管理控制框架，它由管理控制框架，它由RFC2

5、2712275等等幾個(gè)文檔共同說(shuō)明，形成了幾個(gè)文檔共同說(shuō)明，形成了SNMPv3的建議。的建議。 SNMPv3在保持在保持SNMPv2基本管理功能的基礎(chǔ)上，增加了安全性和基本管理功能的基礎(chǔ)上，增加了安全性和管理性描述。管理性描述。 另外，另外，SNMP最重要的進(jìn)展是遠(yuǎn)程監(jiān)控（最重要的進(jìn)展是遠(yuǎn)程監(jiān)控（RMON）能力的開(kāi)發(fā)。）能力的開(kāi)發(fā)。RMON為網(wǎng)絡(luò)管理者提供了監(jiān)控整個(gè)子網(wǎng)而不是各個(gè)單獨(dú)設(shè)備的能力。為網(wǎng)絡(luò)管理者提供了監(jiān)控整個(gè)子網(wǎng)而不是各個(gè)單獨(dú)設(shè)備的能力。RMON還對(duì)基本還對(duì)基本SNMP MIB進(jìn)行了擴(kuò)充。進(jìn)行了擴(kuò)充。 基本體系結(jié)構(gòu)基本體系結(jié)構(gòu) 1SNMP管理模型管理模型 2. SNMP中的元素中的

6、元素 SNMP體系結(jié)構(gòu)由管理站、代理、管理信息庫(kù)（體系結(jié)構(gòu)由管理站、代理、管理信息庫(kù)（MIB）和通信）和通信協(xié)議協(xié)議SNMP構(gòu)成。構(gòu)成。 3委托代理委托代理SNMP操作操作 管理信息的交換通過(guò)管理信息的交換通過(guò)GetRequest、GetNextRequest、SetRequest、GetResponse、Trap共共5個(gè)個(gè)SNMP協(xié)議操作進(jìn)行。協(xié)議操作進(jìn)行。 其中前三個(gè)消息由管理站發(fā)給代理用于請(qǐng)求讀取或修改管理信息，后其中前三個(gè)消息由管理站發(fā)給代理用于請(qǐng)求讀取或修改管理信息，后兩個(gè)消息由代理發(fā)給管理站。兩個(gè)消息由代理發(fā)給管理站。 GetResponse用于對(duì)各種讀取和修改管理信息的請(qǐng)求進(jìn)行應(yīng)

7、答；用于對(duì)各種讀取和修改管理信息的請(qǐng)求進(jìn)行應(yīng)答； Trap用來(lái)主動(dòng)向管理站報(bào)告代理系統(tǒng)中發(fā)生的事件，如節(jié)點(diǎn)機(jī)分組用來(lái)主動(dòng)向管理站報(bào)告代理系統(tǒng)中發(fā)生的事件，如節(jié)點(diǎn)機(jī)分組隊(duì)列長(zhǎng)度超過(guò)閾值，接口鏈路隊(duì)列長(zhǎng)度超過(guò)閾值，接口鏈路up或或down等。等。Get Next RequestTrape網(wǎng)絡(luò)訪問(wèn)協(xié)議IPUDPSNMP Manager管理應(yīng)用管理站Get RequestSet RequestTrapGet Response網(wǎng)絡(luò)訪問(wèn)協(xié)議IPUDPSNMP Manager管理對(duì)象代理站Get RequestSet RequestGet ResponseMIB庫(kù)Get Next RequestGet Ne

8、xt RequestSNMP消息管理應(yīng)用對(duì)象通信網(wǎng)絡(luò)TrapSNMP的工作機(jī)制的工作機(jī)制 在通信網(wǎng)管理過(guò)程中，用來(lái)使管理信息庫(kù)與實(shí)際設(shè)備或設(shè)施的在通信網(wǎng)管理過(guò)程中，用來(lái)使管理信息庫(kù)與實(shí)際設(shè)備或設(shè)施的狀態(tài)和參數(shù)保持一致的方法主要有兩個(gè)。一個(gè)是基于中斷的事件驅(qū)狀態(tài)和參數(shù)保持一致的方法主要有兩個(gè)。一個(gè)是基于中斷的事件驅(qū)動(dòng)方法，另一個(gè)是輪詢驅(qū)動(dòng)方法。動(dòng)方法，另一個(gè)是輪詢驅(qū)動(dòng)方法?；诨赟NMP的通信的通信 1 對(duì)象訪問(wèn)策略對(duì)象訪問(wèn)策略 2 實(shí)例標(biāo)識(shí)符實(shí)例標(biāo)識(shí)符 3 報(bào)文的發(fā)送與接收?qǐng)?bào)文的發(fā)送與接收 4 SNMP報(bào)文格式報(bào)文格式 5 SNMP MIB組組 6 SNMP的改進(jìn)的改進(jìn) 對(duì)象訪問(wèn)策略對(duì)象訪問(wèn)

9、策略 在基于在基于SNMP的網(wǎng)絡(luò)管理中，的網(wǎng)絡(luò)管理中，SNMP通過(guò)共同體（通過(guò)共同體（Community，也有地方稱為團(tuán)體）的概念來(lái)解決訪問(wèn)策略問(wèn)題。也有地方稱為團(tuán)體）的概念來(lái)解決訪問(wèn)策略問(wèn)題。 共同體是共同體是SNMP體系中的一中安全機(jī)制，它是一個(gè)在代理中定義的體系中的一中安全機(jī)制，它是一個(gè)在代理中定義的本地的概念。通過(guò)定義共同體，代理系統(tǒng)就可以限制只有一些選定的本地的概念。通過(guò)定義共同體，代理系統(tǒng)就可以限制只有一些選定的管理站才能訪問(wèn)它的管理站才能訪問(wèn)它的MIB對(duì)象。同時(shí)，通過(guò)使用多個(gè)共同體，代理可以對(duì)象。同時(shí)，通過(guò)使用多個(gè)共同體，代理可以為不同的管理站提供不同的為不同的管理站提供不同的M

10、IB訪問(wèn)類別。訪問(wèn)類別。 每個(gè)共同體被賦予一個(gè)在代理內(nèi)部唯一的共同體名（也叫團(tuán)體每個(gè)共同體被賦予一個(gè)在代理內(nèi)部唯一的共同體名（也叫團(tuán)體名），該共同體名要提供給共同體內(nèi)的所有的管理站，以便它們?cè)诿?，該共同體名要提供給共同體內(nèi)的所有的管理站，以便它們?cè)趃et和和set操作中應(yīng)用。操作中應(yīng)用。 一個(gè)代理可以與多個(gè)管理站建立多個(gè)共同體，同一個(gè)管理站也可一個(gè)代理可以與多個(gè)管理站建立多個(gè)共同體，同一個(gè)管理站也可以出現(xiàn)在不同的共同體中。以出現(xiàn)在不同的共同體中。 在在SNMP中實(shí)行共同體機(jī)制可以達(dá)到一下目的：中實(shí)行共同體機(jī)制可以達(dá)到一下目的： 1認(rèn)證服務(wù)認(rèn)證服務(wù) 2委托代理服務(wù)委托代理服務(wù) 3訪問(wèn)策略訪問(wèn)策

11、略 （1）SNMP MIB視圖視圖 （2）SNMP訪問(wèn)模式（方式）訪問(wèn)模式（方式） MIB視圖和訪問(wèn)模式的結(jié)合被稱為視圖和訪問(wèn)模式的結(jié)合被稱為SNMP共同體輪廓（共同體輪廓（profile）。）。 事實(shí)上，在一個(gè)共同體輪廓之內(nèi)，存在兩個(gè)獨(dú)立的訪問(wèn)限制，其一事實(shí)上，在一個(gè)共同體輪廓之內(nèi)，存在兩個(gè)獨(dú)立的訪問(wèn)限制，其一是是MIB對(duì)象定義中的訪問(wèn)限制（參見(jiàn)第對(duì)象定義中的訪問(wèn)限制（參見(jiàn)第3章中有關(guān)章中有關(guān)MIB功能組及對(duì)象部分功能組及對(duì)象部分的內(nèi)容）和的內(nèi)容）和SNMP訪問(wèn)模式。這兩個(gè)訪問(wèn)限制在實(shí)際應(yīng)用中必須相互協(xié)訪問(wèn)模式。這兩個(gè)訪問(wèn)限制在實(shí)際應(yīng)用中必須相互協(xié)調(diào)。調(diào)。 MIB訪問(wèn)方式與訪問(wèn)方式與SNMP

12、訪問(wèn)模式的關(guān)系訪問(wèn)模式的關(guān)系MIB對(duì)象中對(duì)象中定義的訪問(wèn)定義的訪問(wèn)方式（模式方式（模式）限制）限制SNMP訪問(wèn)模式訪問(wèn)模式Read-OnlyRead-WriteRead-Only可用于可用于get和和trap操作操作Read-Write可用于可用于get和和trap操作操作可用于可用于get，set和和trap操作操作Write-Only可用于可用于get和和trap操作，操作，但操作值與具體實(shí)現(xiàn)但操作值與具體實(shí)現(xiàn)有關(guān)有關(guān)可用于可用于get,set和和trap操作，但操作操作，但操作值與具體實(shí)現(xiàn)有值與具體實(shí)現(xiàn)有關(guān)關(guān)Not-Accessible不能使用不能使用實(shí)例標(biāo)識(shí)符實(shí)例標(biāo)識(shí)符 在在MIB中的

13、每個(gè)被管對(duì)象都有一個(gè)唯一的對(duì)象標(biāo)識(shí)符，以區(qū)分不同中的每個(gè)被管對(duì)象都有一個(gè)唯一的對(duì)象標(biāo)識(shí)符，以區(qū)分不同的被管對(duì)象，其命名規(guī)則都是按照其所在的被管對(duì)象，其命名規(guī)則都是按照其所在MIB樹(shù)上的層次和位置來(lái)決定。樹(shù)上的層次和位置來(lái)決定。 在對(duì)在對(duì)SNMP MIB的訪問(wèn)中，實(shí)際上是對(duì)被管對(duì)象（葉子節(jié)點(diǎn)對(duì)象）的訪問(wèn)中，實(shí)際上是對(duì)被管對(duì)象（葉子節(jié)點(diǎn)對(duì)象）實(shí)例的訪問(wèn)，而當(dāng)在一個(gè)對(duì)象有多個(gè)實(shí)例時(shí)，例如表格，對(duì)象的標(biāo)識(shí)符實(shí)例的訪問(wèn)，而當(dāng)在一個(gè)對(duì)象有多個(gè)實(shí)例時(shí)，例如表格，對(duì)象的標(biāo)識(shí)符就不能唯一地標(biāo)識(shí)被管對(duì)象的實(shí)例。因此必須確定被管對(duì)象實(shí)例的唯一就不能唯一地標(biāo)識(shí)被管對(duì)象的實(shí)例。因此必須確定被管對(duì)象實(shí)例的唯一標(biāo)識(shí)方法，也

14、就是實(shí)例標(biāo)識(shí)符的命名方法。標(biāo)識(shí)方法，也就是實(shí)例標(biāo)識(shí)符的命名方法。 實(shí)例標(biāo)識(shí)符就是把列對(duì)象的對(duì)象標(biāo)識(shí)符與索引對(duì)象的值組合起來(lái)而實(shí)例標(biāo)識(shí)符就是把列對(duì)象的對(duì)象標(biāo)識(shí)符與索引對(duì)象的值組合起來(lái)而構(gòu)成的。構(gòu)成的。報(bào)文的發(fā)送與接收?qǐng)?bào)文的發(fā)送與接收1SNMP報(bào)文的發(fā)送報(bào)文的發(fā)送（1）構(gòu)成）構(gòu)成PDU；（2）將構(gòu)成的）將構(gòu)成的PDU、源和目的傳送地址（、源和目的傳送地址（IP地址及端口號(hào)）以及共同地址及端口號(hào)）以及共同體名作為一個(gè)體名作為一個(gè)ASN.1的對(duì)象移交給認(rèn)證服務(wù)。認(rèn)證服務(wù)完成所要求的變換，的對(duì)象移交給認(rèn)證服務(wù)。認(rèn)證服務(wù)完成所要求的變換，例如進(jìn)行加密或加入認(rèn)證碼，然后返回一個(gè)經(jīng)過(guò)加密或認(rèn)證的例如進(jìn)行加密或

15、加入認(rèn)證碼，然后返回一個(gè)經(jīng)過(guò)加密或認(rèn)證的ASN.1對(duì)象；對(duì)象；（3）將版本字段、共同體名以及上一步的結(jié)果組合成為一個(gè)報(bào)文；）將版本字段、共同體名以及上一步的結(jié)果組合成為一個(gè)報(bào)文；（4）用基本編碼規(guī)則（）用基本編碼規(guī)則（BER）對(duì)這個(gè)新的）對(duì)這個(gè)新的ASN.1的對(duì)象編碼，然后傳的對(duì)象編碼，然后傳給傳輸服務(wù)。給傳輸服務(wù)。2SNMP報(bào)文的接收?qǐng)?bào)文的接收（1）進(jìn)行消息的基本句法檢查，丟棄非法消息。）進(jìn)行消息的基本句法檢查，丟棄非法消息。（2）檢查版本號(hào)，丟棄版本號(hào)不匹配的消息。）檢查版本號(hào)，丟棄版本號(hào)不匹配的消息。（3）認(rèn)證檢查。如果認(rèn)證失敗，認(rèn)證服務(wù)通知）認(rèn)證檢查。如果認(rèn)證失敗，認(rèn)證服務(wù)通知SNMP

16、實(shí)體，由它產(chǎn)實(shí)體，由它產(chǎn)生一個(gè)生一個(gè)trap并丟棄這個(gè)報(bào)文；如果認(rèn)證成功，認(rèn)證服務(wù)返回并丟棄這個(gè)報(bào)文；如果認(rèn)證成功，認(rèn)證服務(wù)返回SNMP格式格式的的PDU。（4）進(jìn)行）進(jìn)行PDU的基本句法檢查，如果非法，丟棄該的基本句法檢查，如果非法，丟棄該P(yáng)DU，否則根據(jù)，否則根據(jù)共同體名選擇共同體名選擇SNMP訪問(wèn)策咯，對(duì)訪問(wèn)策咯，對(duì)PDU進(jìn)行相應(yīng)處理。進(jìn)行相應(yīng)處理。3變量綁定變量綁定 在在SNMP中，可以將多個(gè)同類操作（中，可以將多個(gè)同類操作（get、set、trap）放在一個(gè)）放在一個(gè)報(bào)文中。如果管理站希望得到一個(gè)代理的一組簡(jiǎn)單對(duì)象的值，它可以報(bào)文中。如果管理站希望得到一個(gè)代理的一組簡(jiǎn)單對(duì)象的值，它可

17、以發(fā)送一個(gè)報(bào)文請(qǐng)求所有的值，并通過(guò)獲取一個(gè)應(yīng)答得到所有的值。這發(fā)送一個(gè)報(bào)文請(qǐng)求所有的值，并通過(guò)獲取一個(gè)應(yīng)答得到所有的值。這樣可以大大減少網(wǎng)絡(luò)管理的通信負(fù)擔(dān)。樣可以大大減少網(wǎng)絡(luò)管理的通信負(fù)擔(dān)。SNMP報(bào)文格式報(bào)文格式 在在SNMP管理中，管理站和代理之間交換的管理信息構(gòu)成了報(bào)文。管理中，管理站和代理之間交換的管理信息構(gòu)成了報(bào)文。 報(bào)文由報(bào)文由3部分組成，即版本號(hào)、團(tuán)體名和協(xié)議數(shù)據(jù)單元（部分組成，即版本號(hào)、團(tuán)體名和協(xié)議數(shù)據(jù)單元（PDU）。）。 SNMP共有共有5種管理操作，但只有種管理操作，但只有3種種PDU格式。格式。SNMP報(bào)文格式報(bào)文格式VersionCommunitySNMP PDUGet

18、Request PDU、GetNextRequest PDU、SetRequest PDUPDU類型類型請(qǐng)求標(biāo)識(shí)請(qǐng)求標(biāo)識(shí)00變量綁定表變量綁定表GetResponse PDUPDU類型類型請(qǐng)求標(biāo)識(shí)請(qǐng)求標(biāo)識(shí)錯(cuò)誤狀態(tài)錯(cuò)誤狀態(tài)錯(cuò)誤索引錯(cuò)誤索引變量綁定表變量綁定表Trap PDUPDU類型類型制造商制造商ID代理地址代理地址一般自陷一般自陷特殊自陷特殊自陷時(shí)間戳?xí)r間戳變量綁定表變量綁定表變量綁定表變量綁定表Name 1Value 1Name 2Value 2Name nValue n4.2.5 SNMP MIB組組MIB-II中的中的snmp組，其對(duì)象標(biāo)識(shí)符為組，其對(duì)象標(biāo)識(shí)符為mib-2 11 4.2

19、.6 SNMP的改進(jìn)的改進(jìn) SNMPv2增加了增加了Manager-to-Manager通信，對(duì)通信，對(duì)SMI進(jìn)行了更新和擴(kuò)進(jìn)行了更新和擴(kuò)充，提出了行的概念，支持表的行建立和刪除操作。充，提出了行的概念，支持表的行建立和刪除操作。 還增加了還增加了get-bulk-request和和inform-request兩個(gè)非常有用的兩個(gè)非常有用的PDU，對(duì)對(duì)trap進(jìn)行格式改造，使其具有與其他進(jìn)行格式改造，使其具有與其他PDU相同的格式。相同的格式。 SNMPv2還對(duì)還對(duì)MIB進(jìn)行很大擴(kuò)充，特別是在進(jìn)行很大擴(kuò)充，特別是在Internet節(jié)點(diǎn)下增加了節(jié)點(diǎn)下增加了snmpv2模塊。模塊。 SNMPv3提出

20、了一個(gè)面向各個(gè)版本的提出了一個(gè)面向各個(gè)版本的SNMP通用的體系結(jié)構(gòu)。通用的體系結(jié)構(gòu)。 每個(gè)實(shí)體包含一個(gè)引擎和若干應(yīng)用，并由所包含的引擎的每個(gè)實(shí)體包含一個(gè)引擎和若干應(yīng)用，并由所包含的引擎的ID命名。命名。 引擎由分發(fā)器、消息處理子系統(tǒng)、安全子系統(tǒng)和訪問(wèn)控制子系統(tǒng)構(gòu)成。引擎由分發(fā)器、消息處理子系統(tǒng)、安全子系統(tǒng)和訪問(wèn)控制子系統(tǒng)構(gòu)成。 實(shí)體內(nèi)部子系統(tǒng)之間采用抽象服務(wù)接口來(lái)定義相互之間的服務(wù)關(guān)系。實(shí)體內(nèi)部子系統(tǒng)之間采用抽象服務(wù)接口來(lái)定義相互之間的服務(wù)關(guān)系。 SNMP服務(wù)的請(qǐng)求者被稱為服務(wù)的請(qǐng)求者被稱為Principle，即用戶，它由具有安全性的名，即用戶，它由具有安全性的名稱標(biāo)識(shí)。稱標(biāo)識(shí)。SNMPv3建

21、議采用基于用戶的安全模型（建議采用基于用戶的安全模型（USM）來(lái)實(shí)現(xiàn)安全服務(wù)，）來(lái)實(shí)現(xiàn)安全服務(wù)，采用基于視圖的訪問(wèn)控制模型（采用基于視圖的訪問(wèn)控制模型（VACM）進(jìn)行訪問(wèn)控制。）進(jìn)行訪問(wèn)控制。 SNMPv3的一大進(jìn)步是大大提高了管理信息訪問(wèn)的安全性。的一大進(jìn)步是大大提高了管理信息訪問(wèn)的安全性。4.3 遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視RMON 4.3.1 遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求 4.3.2 遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的目標(biāo)遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的目標(biāo) 4.3.3 RMON MIB 4.3.4 RMON 2 網(wǎng)絡(luò)管理技術(shù)的一個(gè)新趨勢(shì)是采用遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視（網(wǎng)絡(luò)管理技術(shù)的一個(gè)新趨勢(shì)是采用遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視（RMON, Remo

22、te Network Monitoring），它是對(duì)），它是對(duì)SNMP功能的擴(kuò)充，對(duì)監(jiān)測(cè)和管理交換功能的擴(kuò)充，對(duì)監(jiān)測(cè)和管理交換或局域網(wǎng)特別適用，是簡(jiǎn)單網(wǎng)絡(luò)管理向互聯(lián)網(wǎng)管理過(guò)渡的重要步驟?；蚓钟蚓W(wǎng)特別適用，是簡(jiǎn)單網(wǎng)絡(luò)管理向互聯(lián)網(wǎng)管理過(guò)渡的重要步驟。 4.3.1 遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求 雖然雖然MIB將數(shù)據(jù)的總和記錄下來(lái)，但它無(wú)法對(duì)日常通信量進(jìn)行歷將數(shù)據(jù)的總和記錄下來(lái)，但它無(wú)法對(duì)日常通信量進(jìn)行歷史分析。為了查看每天的通信流量和變化率，管理人員必須不斷的輪史分析。為了查看每天的通信流量和變化率，管理人員必須不斷的輪詢?cè)僑NMP代理，可能每分鐘就輪詢一次。代理，可能每分鐘就輪詢一次。 網(wǎng)

23、絡(luò)管理員可以使用網(wǎng)絡(luò)管理員可以使用SNMP來(lái)評(píng)價(jià)網(wǎng)絡(luò)運(yùn)行狀況，并預(yù)測(cè)通信的趨勢(shì)，來(lái)評(píng)價(jià)網(wǎng)絡(luò)運(yùn)行狀況，并預(yù)測(cè)通信的趨勢(shì)，決定采取某種措施。決定采取某種措施。 理論上講，管理站可以通過(guò)不斷地輪詢各個(gè)節(jié)點(diǎn)的理論上講，管理站可以通過(guò)不斷地輪詢各個(gè)節(jié)點(diǎn)的MIB來(lái)計(jì)算網(wǎng)絡(luò)流來(lái)計(jì)算網(wǎng)絡(luò)流量，但在實(shí)際上這是不太可行的。量，但在實(shí)際上這是不太可行的。 一方面會(huì)導(dǎo)致網(wǎng)絡(luò)中傳遞大量的管理信息，使網(wǎng)絡(luò)不堪負(fù)荷；一方面會(huì)導(dǎo)致網(wǎng)絡(luò)中傳遞大量的管理信息，使網(wǎng)絡(luò)不堪負(fù)荷； 二方面，將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺(tái)上（管理進(jìn)程端）。二方面，將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺(tái)上（管理進(jìn)程端）。管理站所在計(jì)算機(jī)的處理能力總是有限

24、的，當(dāng)監(jiān)控十多個(gè)網(wǎng)段時(shí)，可能管理站所在計(jì)算機(jī)的處理能力總是有限的，當(dāng)監(jiān)控十多個(gè)網(wǎng)段時(shí)，可能CPU就無(wú)法應(yīng)付。另外，也會(huì)由于承載管理操作命令和操作結(jié)果的分組的就無(wú)法應(yīng)付。另外，也會(huì)由于承載管理操作命令和操作結(jié)果的分組的丟失而使得統(tǒng)計(jì)結(jié)果不準(zhǔn)確。丟失而使得統(tǒng)計(jì)結(jié)果不準(zhǔn)確。 基于上述原因，人們提出了一種高效、低成本的網(wǎng)絡(luò)監(jiān)視方案，即基于上述原因，人們提出了一種高效、低成本的網(wǎng)絡(luò)監(jiān)視方案，即RMON。 RMON就是將一些專用設(shè)備配置在各個(gè)節(jié)點(diǎn)，并將這些設(shè)備稱為網(wǎng)絡(luò)就是將一些專用設(shè)備配置在各個(gè)節(jié)點(diǎn)，并將這些設(shè)備稱為網(wǎng)絡(luò)監(jiān)測(cè)器（監(jiān)測(cè)器（network monitor或或probe），由此便產(chǎn)生了），由此便

25、產(chǎn)生了RMON的概念。的概念。 一般，監(jiān)測(cè)器對(duì)網(wǎng)絡(luò)中各種類型的分組進(jìn)行觀察，從而得到網(wǎng)絡(luò)的總一般，監(jiān)測(cè)器對(duì)網(wǎng)絡(luò)中各種類型的分組進(jìn)行觀察，從而得到網(wǎng)絡(luò)的總體信息，監(jiān)測(cè)器還可將一些分組存儲(chǔ)下來(lái)，以備事后分析。在互聯(lián)網(wǎng)環(huán)境體信息，監(jiān)測(cè)器還可將一些分組存儲(chǔ)下來(lái)，以備事后分析。在互聯(lián)網(wǎng)環(huán)境下，為了達(dá)到監(jiān)測(cè)網(wǎng)絡(luò)流量的目的，一般每個(gè)子網(wǎng)需要一個(gè)監(jiān)測(cè)器。監(jiān)測(cè)下，為了達(dá)到監(jiān)測(cè)網(wǎng)絡(luò)流量的目的，一般每個(gè)子網(wǎng)需要一個(gè)監(jiān)測(cè)器。監(jiān)測(cè)器通常是一個(gè)獨(dú)立的設(shè)備，專用于捕獲和分析流量。器通常是一個(gè)獨(dú)立的設(shè)備，專用于捕獲和分析流量。RMON有許多先進(jìn)之處：有許多先進(jìn)之處： （1）每個(gè)）每個(gè)RMON設(shè)備都對(duì)本地網(wǎng)段進(jìn)行監(jiān)測(cè)和分析，既

26、可被動(dòng)也可主動(dòng)設(shè)備都對(duì)本地網(wǎng)段進(jìn)行監(jiān)測(cè)和分析，既可被動(dòng)也可主動(dòng)地向網(wǎng)絡(luò)管理系統(tǒng)傳遞信息。例如，當(dāng)它發(fā)現(xiàn)嚴(yán)重的分組丟失和過(guò)高的沖突地向網(wǎng)絡(luò)管理系統(tǒng)傳遞信息。例如，當(dāng)它發(fā)現(xiàn)嚴(yán)重的分組丟失和過(guò)高的沖突率時(shí)，可以主動(dòng)地報(bào)警。由于監(jiān)測(cè)是在本地進(jìn)行的，所以得出的分析結(jié)果是率時(shí)，可以主動(dòng)地報(bào)警。由于監(jiān)測(cè)是在本地進(jìn)行的，所以得出的分析結(jié)果是非常可靠的。非常可靠的。 （2）這種工作方式大大降低了）這種工作方式大大降低了SNMP的流量。的流量。 （3）RMON降低了網(wǎng)絡(luò)管理系統(tǒng)時(shí)時(shí)能降低了網(wǎng)絡(luò)管理系統(tǒng)時(shí)時(shí)能“見(jiàn)見(jiàn)”到所有到所有Agent的必要性。的必要性。Agent常常會(huì)因?yàn)榫W(wǎng)絡(luò)過(guò)載等原因而聯(lián)系不上，如果沒(méi)有常常

27、會(huì)因?yàn)榫W(wǎng)絡(luò)過(guò)載等原因而聯(lián)系不上，如果沒(méi)有RMON設(shè)備，此時(shí)設(shè)備，此時(shí)Agent到底發(fā)生了什么情況事后是難以調(diào)查的，因此，往往到底發(fā)生了什么情況事后是難以調(diào)查的，因此，往往Agent越是聯(lián)系越是聯(lián)系不上，網(wǎng)絡(luò)管理系統(tǒng)越要與它聯(lián)系。不上，網(wǎng)絡(luò)管理系統(tǒng)越要與它聯(lián)系。 （4）RMON設(shè)備對(duì)本地子網(wǎng)的監(jiān)測(cè)幾乎可以做到連續(xù)不斷，這會(huì)顯著提設(shè)備對(duì)本地子網(wǎng)的監(jiān)測(cè)幾乎可以做到連續(xù)不斷，這會(huì)顯著提高統(tǒng)計(jì)和控制的精度，使得故障能夠及時(shí)被發(fā)現(xiàn)、報(bào)告和診斷。高統(tǒng)計(jì)和控制的精度，使得故障能夠及時(shí)被發(fā)現(xiàn)、報(bào)告和診斷。 為了對(duì)為了對(duì)RMON技術(shù)提供標(biāo)準(zhǔn)，技術(shù)提供標(biāo)準(zhǔn)，IETF發(fā)布了發(fā)布了RFC1757和和RFC1513，分別

28、對(duì)分別對(duì)Ethernet LAN和和token ring LAN的的RMON進(jìn)行了規(guī)范，形成了進(jìn)行了規(guī)范，形成了第一個(gè)版本的第一個(gè)版本的RMON。 （1）離線操作離線操作 在必要時(shí)由網(wǎng)絡(luò)管理站來(lái)限制或停止對(duì)監(jiān)視器的輪詢，有限查詢可以節(jié)在必要時(shí)由網(wǎng)絡(luò)管理站來(lái)限制或停止對(duì)監(jiān)視器的輪詢，有限查詢可以節(jié)約通信開(kāi)支。如查詢通信失敗或管理站發(fā)生錯(cuò)誤，查詢會(huì)終止。一般情況下，約通信開(kāi)支。如查詢通信失敗或管理站發(fā)生錯(cuò)誤，查詢會(huì)終止。一般情況下，即使監(jiān)視器沒(méi)有被網(wǎng)管站查詢，也會(huì)繼續(xù)不停的收集使性能和配置信息。監(jiān)即使監(jiān)視器沒(méi)有被網(wǎng)管站查詢，也會(huì)繼續(xù)不停的收集使性能和配置信息。監(jiān)視器不斷積累統(tǒng)計(jì)信息，以便管理站將來(lái)

29、查詢時(shí)提供管理信息。視器不斷積累統(tǒng)計(jì)信息，以便管理站將來(lái)查詢時(shí)提供管理信息。（2）主動(dòng)監(jiān)視主動(dòng)監(jiān)視 若監(jiān)視器有足夠的資源，通信負(fù)載也允許，監(jiān)視器可以連續(xù)不斷地運(yùn)行若監(jiān)視器有足夠的資源，通信負(fù)載也允許，監(jiān)視器可以連續(xù)不斷地運(yùn)行診斷程序，對(duì)網(wǎng)絡(luò)進(jìn)行診斷并記錄網(wǎng)絡(luò)性能狀況。在子網(wǎng)出現(xiàn)故障時(shí)通知管診斷程序，對(duì)網(wǎng)絡(luò)進(jìn)行診斷并記錄網(wǎng)絡(luò)性能狀況。在子網(wǎng)出現(xiàn)故障時(shí)通知管理站，向管理站提供診斷故障的有用信息。理站，向管理站提供診斷故障的有用信息。（3）問(wèn)題監(jiān)測(cè)和報(bào)告問(wèn)題監(jiān)測(cè)和報(bào)告 主動(dòng)監(jiān)視探測(cè)網(wǎng)絡(luò)將消耗較多的網(wǎng)絡(luò)資源去檢測(cè)錯(cuò)誤和異常情況。主動(dòng)監(jiān)視探測(cè)網(wǎng)絡(luò)將消耗較多的網(wǎng)絡(luò)資源去檢測(cè)錯(cuò)誤和異常情況。監(jiān)視器也可以根據(jù)

30、它所觀測(cè)到的流量被動(dòng)地識(shí)別并記錄某些錯(cuò)誤及其他情監(jiān)視器也可以根據(jù)它所觀測(cè)到的流量被動(dòng)地識(shí)別并記錄某些錯(cuò)誤及其他情況，例如網(wǎng)絡(luò)擁塞，并在出現(xiàn)錯(cuò)誤時(shí)通知管理站。況，例如網(wǎng)絡(luò)擁塞，并在出現(xiàn)錯(cuò)誤時(shí)通知管理站。 （4）提供增值數(shù)據(jù)提供增值數(shù)據(jù) 監(jiān)視器可以分析采集到的子網(wǎng)中的數(shù)據(jù)，從而減輕管理站的計(jì)算任務(wù)監(jiān)視器可以分析采集到的子網(wǎng)中的數(shù)據(jù)，從而減輕管理站的計(jì)算任務(wù)的負(fù)擔(dān)。例如，監(jiān)視器可以分析子網(wǎng)流量來(lái)確定哪臺(tái)主機(jī)在子網(wǎng)上產(chǎn)生的的負(fù)擔(dān)。例如，監(jiān)視器可以分析子網(wǎng)流量來(lái)確定哪臺(tái)主機(jī)在子網(wǎng)上產(chǎn)生的流量或錯(cuò)誤最多等等。流量或錯(cuò)誤最多等等。（5）多管理站操作多管理站操作 一個(gè)網(wǎng)可以配置多個(gè)管理站，以提高可靠性，也可分

31、步實(shí)施不同的管一個(gè)網(wǎng)可以配置多個(gè)管理站，以提高可靠性，也可分步實(shí)施不同的管理功能。監(jiān)視器可以配置為同時(shí)和多個(gè)管理站并發(fā)工作，為不同的管理站理功能。監(jiān)視器可以配置為同時(shí)和多個(gè)管理站并發(fā)工作，為不同的管理站提供不同的信息。提供不同的信息。 并不是每個(gè)遠(yuǎn)程監(jiān)視器都能夠?qū)崿F(xiàn)所有這些目標(biāo)，但是并不是每個(gè)遠(yuǎn)程監(jiān)視器都能夠?qū)崿F(xiàn)所有這些目標(biāo)，但是RMON的規(guī)范的規(guī)范提供了實(shí)現(xiàn)所有目標(biāo)的支持。提供了實(shí)現(xiàn)所有目標(biāo)的支持。4.3.3 RMON MIB 在一個(gè)管理域中，各個(gè)節(jié)點(diǎn)上配備的在一個(gè)管理域中，各個(gè)節(jié)點(diǎn)上配備的RMON設(shè)備可能來(lái)自不同的廠設(shè)備可能來(lái)自不同的廠商，因此需要為與商，因此需要為與RMON通信建立公共的

32、句法和語(yǔ)義標(biāo)準(zhǔn)。通信建立公共的句法和語(yǔ)義標(biāo)準(zhǔn)。 RMON的句法也利用的句法也利用ASN.1描述，其管理信息結(jié)構(gòu)與描述，其管理信息結(jié)構(gòu)與SMI定義被管對(duì)定義被管對(duì)象類所采用的結(jié)構(gòu)類似。象類所采用的結(jié)構(gòu)類似。 RMON MIB中包含若干中包含若干RMON組，這些組的開(kāi)發(fā)經(jīng)歷了組，這些組的開(kāi)發(fā)經(jīng)歷了3個(gè)階段。個(gè)階段。 （1）RMON MIB（RFC1271）是在）是在1991年為年為Ethernet LAN開(kāi)發(fā)的；開(kāi)發(fā)的； （2）1995年，發(fā)布了（年，發(fā)布了（RFC1757），同時(shí)廢止了（），同時(shí)廢止了（RFC1271）；）； （3）1993年面向年面向tokenring LAN管理的（管理的（RFC1513）對(duì)）對(duì)RMON1進(jìn)進(jìn)行了擴(kuò)充。行了擴(kuò)充。 RMON1的應(yīng)用對(duì)遠(yuǎn)程監(jiān)控產(chǎn)主了非常好的效果，但是由于它僅面的應(yīng)用對(duì)遠(yuǎn)程監(jiān)控產(chǎn)主了非常好的效果，但是由于它僅面向向OSI網(wǎng)絡(luò)模型的第網(wǎng)絡(luò)模型的第2層，因此又在層，因此又在1997年開(kāi)發(fā)了年開(kāi)發(fā)了RMON2，它的管理對(duì)，它的管理對(duì)象是第象是第3層到第