《网络流量监测与管理》由会员分享,可在线阅读,更多相关《网络流量监测与管理(17页珍藏版)》请在金锄头文库上搜索。
1、网络流量监测与管理目次一、简介1二、网络基础1(一)OSI参考模型1(二)SNMP 介绍 21. SNMP 概述 22. SNMP 工作原理 33. MIB 介绍 44. 网管系统之简介45. MIB 相关工具 5三、NetFlow5(一)NetFlow 简介 5NetFlow versions SupportedP l a t f orms 5(二)执行 NetF l ow 61. 路由器的设定62. 统计分析流程63. 记录及储存 flow 信息64. 统计分析程序8四、MRTG(Multi Router Traffic Grapher) 9(一) MRTG 简介9(二) MRTG 使用方
2、式 91. 取得程序 92. 编译 MRTG 程序(以 Unix 版本为例) 93. 产生 MRTG 设定档 104. 修改 MRTG 设定档 1 15. 测试 MRTG 输出 136. 自动执行 MRTG 程序 13(三)利用 MRTG 监看其它系统资源 131. mrtg-ping-probe142. 系统 CPU Load 143. DNS Load 14参考数据 1 5网络流量监测与管理邵喻美一、简介过去几年来,因特网已经成为越来越重要的需求,在台大校园网络的环 境里,已经普及到所有系所及实验室都有接点可以连上因特网。不过面对 日益复杂的网络联机及逐渐增加的网络流量,系统管理者必须花费
3、更多时 间精力来了解这些网络设备的运作状况,以维持一个系统的正常运作。一般来说,网络管理者所需要了解的是各个网段的使用情形,频宽的使 用率,网络问题的瓶颈发生于何处。当网络问题发生时,必须能够很快地 区隔出问题的发生原因,可能是线路问题、网络设备问题、或者是路由器 的设定问题。一个有经验的管理者要回答这些问题并不难,但是如果所管 理的网络范围过于庞大,那么就可能需要一个有效率的网管系统了。透过 网管系统可以协助网络架构管理,并显示网络上目前发生的各种流量与运 作情形。若发生问题时,也能够减少许多处理时间。以牵涉的节点数量以及能够在节点上执行的协议组合而言,网络都是一 个复杂的系统。即使将范围局
4、限在单一行政范围内,例如校园,还是可能 包含数十个路由器及数百、甚至数千台主机。如果考虑在任一节点上保存 及处理的所有状态,例如地址转译表、路由表、TCP连接状态等,那么很容 易就陷入充满各种数据的茫茫大海中。我们很容易了解为何需要知道哪些放置在不同节点上各协议的状态。举 例来说,我们可能想要监控被中断的 IP 数据段重组数量,以便判断资源回 收部分重组数据段的逾时机制是否需要调整。再举另一个例子,我们可能 想要观测各节点上的负载(亦即,传送或接收的封包数),以便判断是否需 要为网络增加新的路由器或连结。除此之外,我们也必须注意硬件发生故 障及软件失误的征兆。二、网络基础(一)OSI参考模型实
5、体层(Physical Layer):实体层定义的是位传输接口所具备的电子特性、机械特性、功能、以及运作程序。本层包括传输媒介(如同轴缆 线、光纤、铜缆线、无线电波等等)、实体连接方式、模块化与框架技 术(IEEE802.3、FDDI等)。所以只要提及串行埠、10BASET缆线、 网络适配卡等,指的就是实体层。口数据链路层(Data Link Layer):确保底层的数据传送。服务包含错误侦测与更正、数据加框(如 LLC、HDLC、SDLC、IEEE802.2)、MAC 同步 化。口 网络层(Network Layer):网络层提供寻址、选择路径、传送封包至目 的网络,如 IP、PPP、IPX
6、 等。口传输层:提供错误侦测与更正,也能以软件进行网络流量控制。例如TCP/UDP。 SNMP 使用 UDP 协议。口 会谈层(Session Layer):应用程序与网络之间会谈的建立与管理。口 表达层(Presen tat ion Layer):表达层实作数据与通讯协议的转换及 协商,如 ASN.1 与 BER 数据编码。口 应用层(Application Layer):由软件应用程序实作,应用程序与网络 本身的唯一接触接口。如 FTP、 Telnet、 SNMP 等。应用层Management. Agent APIsSNMP表达层ASN.1, BER会谈层RCP, NetBIOS传输层T
7、CP, UDP网络层IP, IPX数据链路层Ethernet, ARCNetToken Ring实体层(二) SNMP 介绍1. SNMP 概述简单网络管理协议(SimpleNetwork Management Protocol, SNMP) 顾名思义就是专为网络管理者所设计的网络管理协议,主要目的是用来管 理网络上各式各样的设备。由于 SNMP 是在 TCP/IP 网络环境中发展出来的管理通讯协议,因此 SNMP在应用上必须使用TCP/IP,被管理的机器必须设定IP地址,同时必 须确保线路的连接与正确的路由。网络上的节点分散各地,因此比较实际的作法便是利用网络来管理网 络。这表示我们需要一种
8、能够让管理者对不同网络节点进行读取并可能写 入各种状态信息的协议。 SNMP 实际上是一个特殊的要求/响应协议,可 支持两种要求讯息:get及put。前者是用来从某些节点取出状态信息,而 后者则是用来在某些节点上储存一份新的状态信息。(SNMP也支持第三种动 作,get-next,稍后再做解释。)下列讨论着重在get作业,因为这是最常使用的。SNMP 的使用是很明确的:系统管理者与一个显示网络信息的客户端程 序进行互动。该客户端程序通常具有一个图形接口。每当管理者选择某种 想要取得的信息,客户端程序便利用SNMP向负责的节点要求信息。(SNMP 在 UDP 上执行。)在接收到要求讯息之节点上执
9、行的 SNMP 服务器将找到适 当的讯息,并将其传回给客户端程序,然后显示给使用者参考。2. SNMP 工作原理SNMP 定义了五种 Manager 与 Agent 之间的通讯形式。Get-request Get-next-requestSet-requestGet-responseTrap前三项都是属于 Manager 向 Agent 发出的讯息,后两项则属于 Agent向 Manager 发出的讯息。SNMP ManagergetrequestSNMP Agent吗getresponsegetnextrequestgetresponsetrap每个 Agent 都是一个执行程序,负责将该网
10、络节点的设定数据以及运 作现状以数据结构的方式储存,客户端程序如何表示需要撷取何种信息, 以及服务器如何得知应读取内存中的那个变量以符合要求?答案是 SNMP 根 据一个称为管理信息基础(Management Information Base, MIB)的伴 随规格(companion specification)。当Agent收到网管主机所发出的SNMP get-request、get-next-request、set-request 时,便以相对应的 MIB 数 据透过SNMP get-response方式响应。MIB定义了可以从网络节点取得的特 定信息, MIB 变量。下一节将描述一部份
11、 MIB 变数。此外,有一种特殊的 SNMP命令,称为trap,可允许Agent在特殊的情况下(如error, shut down) 主动发讯息给网管主机。3. MIB 介绍SNMP 定义一个可供管理数据的标准,它定义了网络设备各种信息的储 存结构,这种结构是以树状结构为基础,每种变量分支都是唯一的,亦即 MIB。目前所使用的版本是MIB-II,定义于RFC-1213。网络设备的TCP/IP 数据分为八份,分别为 system, interface, addr-translation, ip, icmp, tcp, udp 与 egp。 MIB 定义了各分支下的数据项,所包含的数据包括整数,
12、字符串,与窗体内容。见下图举例说明:ccitt(O) iso(1) jointisoccitt(2)org(3)dod(6).iso.org.dod.internet.mgmt.mib-2.interfaces.ifnumber.0.1.2.6.1.2.1.2.1.04. 网管系统之简介网络管理是一个相当大规模且重要的领域,一般来说,网管系统的任 务就是要能达成掌握网络主机状况,加速故障排除,同时减少网管人员的 负担。一些网络或计算机相关厂商也都有网管软件的产品,目前应用最广 的就是 HP 的 OpenView, IBM 的 NetView 等,这类型的网管系统强调的是一 个整合型的网络管理解
13、决方案,由一个网管的作业平台与许多网管功能的 模块所组合而成。上述两种作业平台都有提供基本的网络拓朴功能, MIB Browser, SNMP tool. Data Collec tion,绘图与网络事件管理功能。从管 理者的角度来看,这些功能十分好用,但是这些软件都非常昂贵。除非网 络环境具有特殊性或者复杂度,否则便需要考虑一下软件的价格与效能比 值不值得。在一般学校最常用的网管工具就是MRTG,严格来说只具有网管软件中 的一小部分功能。 MRTG 把 SNMP 所 request 的数据经过计算后绘成图表,其 中最常用的是网络流量统计图,其它如 CPU Load, Error Count
14、等亦可支 持。由于属于免费软件,因此使用群相当广泛。最后要提出来说明的是 RMON 这项产品,当网段上有需要监测的问题 时,除了使用 Protocol Analyzer 到现场去量测之外,最常用的就是把 RMON挂到网段上当Agent,然后在Manager端(如HP的OpenView NNM使用 netmertix)来接收RMON所收集到的封包,藉由RMON可以使得管理者在远 程进行现场的量测动作,对于需要长时间量测以及不规则发生之网络问题 状况特别有此必要。5. MIB相关工具Snmpget:fetch an SNMP objectSnmpwalk:fetch all the SNMP ob
15、jects from an agent Snmpwalkoid:query for a tree of information about a network entitySnmp_get_quick_print:fetchthecurrentvalueoftheUCD librarys quick_print settingSnmp_set_quick_print:set the value of quick_print within the UCD SNMP libraryGetif:window-based MIB browser三、NetFlow(一)Net Flow 简介NetFlow为Cisco之专属协议,提供路由器中第三层之信息,可用来 了解该路由器所传输之封包表头内容,依据此内容,我们可以撰写程序将 所获得之资料加以统计。一旦收集到路由器上的详细流量数据后,便可为 网络流量统计、网络使用量计价、网络规划、网络监测等应用提供计数根 据。同时,Net Flow也提供针对QoS (Quali ty of Service)的测量基准, 能
