1.28k likes | 1.39k Views
Network Design 第四章 逻辑网络设计. 中国科学技术大学网络学院 李艺 leeyi@ustc.edu.cn. 第一章 概述 第二章 用户需求分析 第三章 现有网络分析 第四章 逻辑网络设计 第五章 网络设备选择 第六章 WAN 接入设计 第七章 网络介质设计 第八章 网络设计案例. 4.1 逻辑设计概述 4.2 物理层的考虑 4.3 网络设备的考虑 4.4 网络拓扑结构考虑 4.5 网络管理的考虑 4.6 TCP/IP 寻址的考虑 4.7 网络安全的考虑 4.8 防火墙的考虑 4.9 冗余设计
E N D
Network Design第四章 逻辑网络设计 中国科学技术大学网络学院 李艺 leeyi@ustc.edu.cn
第一章 概述 第二章 用户需求分析 第三章 现有网络分析 第四章 逻辑网络设计 第五章 网络设备选择 第六章 WAN接入设计 第七章 网络介质设计 第八章 网络设计案例
4.1 逻辑设计概述 4.2 物理层的考虑 4.3 网络设备的考虑 4.4 网络拓扑结构考虑 4.5 网络管理的考虑 4.6 TCP/IP寻址的考虑 4.7 网络安全的考虑 4.8 防火墙的考虑 4.9 冗余设计 4.10 编写逻辑设计档案
4.1 逻辑设计概述 • 确定逻辑设计目标 运行成本最低;需要权衡的是:最小运行成本、最少安装成本、最高的运行性能、最大的适应性、最大的安全性和可靠性、最短的故障时间。 • 整体性能要好,成本与性能是一个两难选择; • 用户操作简单,尽量简化; • 安全性好;确定需要安全保护的系统,进行风险分析。 • 具有良好的适应性和灵活性,这是技术层面的评价,主要考虑: • 广播(后台)通信,网络配置不当,会产生大量的后台广播; • 连接类型,无连接与面向连接。在稳定传输率下传输大量信息,如视频,最适合于面向连接的协议;如果是突发性的传输,如C/S服务,则适合无连接协议; • 可升级性,必须保证网络和应用程序具有可扩展性。 • 作出技术选择。
4.2 物理层的考虑 • 用需求和流量说明书作为指导 • 开始设计物理层前,阅读对需求和流量进行总结的建议,重点放在那些通过特别选择的物理层技术能够部分或全部实现的需求上。 • 增长与可升级性:将来对网络的添加、升级,要考虑安装或重配置的难易程度。 • 响应时间、带宽和数据传输率:用户需要多大的带宽?广域网连接是否超负荷?主干网或高性能工作组比广域网应用有更多的需求吗? • 可靠性、可恢复性:必须从下至上实施。物理传输技术能持续可用吗?信息蜂拥时,无线连接也能工作吗?周围环境有电磁干扰吗? • 网络安全:物理层的网络安全是未经授权而非法访问网络介质,主要防范利用监听线缆来监视或截获传输信息。铜缆线、无线很容易被监听或截获,而光缆最安全。 • 远程接入:必须明确用户需要的远程接入方式。通常有拨号接入、无线接入或卫星接入,用户是在同一城市还是在世界各地? • 节约成本:用现存的线缆网卡可行吗?
需求向物理介质映射特点 • 对物理层的需求了解清楚后,可以进行物理介质和网卡的选择了 • 物理介质:
4.3 网络设备的考虑 逻辑网络设计必须指定连接LAN各端或者跨区域的多个LAN连接的设备类型。这些设备都要联合工作。本节主要说明这些设备如何协同工作的。 • 学习目标 • 弄懂路由器与交换机之间的区别; • 叙述路由器与交换机在隔离网络方面是如何协同工作的; • 说明物理网络组件逻辑网络组件之间的区别。 • 知识重点 • 网络可用交换机和(或)路由器进行分割。
用交换机和路由器设计网络 网络设计常常组合使用这两种设备,建立高性能、可升级性网络。 • 用交换机和路由器划分子网: • 交换机工作在第二层,划分子网的目的是提供附加带宽; • 路由器工作在第三层,划分子网的目的是限制广播通信,并提供网络安全和控制单个广播域内的冗余。 • 示例环境: 以工作组环境为例。所谓工作组,就是共享计算机资源的用户集合。工作组中计算机数量可多可少,计算机之间物理位置可近可远,但组成成员的计算机固定。
集线器 集线器 工作组2 工作组1 服务器 服务器 下图就是一个工作组环境。通常工作组是先于网络设备安装的。图中只有两个集线器,实际工作组可能包含10-20个集线器。 在这个例子中,网管想利用服务器可用的最大带宽,将PC机分成更小的冲突域来共享10 Mb/s 的接入带宽,只有有限的特权用户才需要10 Mb/s的带宽用于运行程序。要实现这一目标,网管就要判断是安装交换机还是路由器,以消除日益增长的服务器瓶颈。 示例环境:典型的集线器工作组
路由器 集线器 集线器 工作组2 工作组1 路由器实现方案 服务器 服务器 路由器方案: 路由器通过专用高速接口与服务器相连;通过以太网接口与每个集线器相连。 • 优点:将一个大的广播/冲突域分解成了多个小型的广播/冲突域。使得小区域中接点间的流量大大提高。 • 缺点:和交换机相比,路由器价格更贵;算法复杂,时间代价更大。 实际上网管不会认同这种费钱、费时的方案。
交换机 集线器 集线器 工作组2 工作组1 服务器 服务器 • 交换机方案: 在交换环境中,一个广播域被分成4个独立的10Mbps的冲突域,给服务器分配了10Mbps的接入,消除了这些接点之间的访问竞争。特权用户可以直接接入交换机. 本地服务器也提供高速接口,与交换机高速接口想匹配,消除了可能出现的瓶颈。例如,以太网中5个10 Mbps的交换机口以每秒4000帧(FPS)的速率向服务器发送64字节(8位)的数据帧,服务器的端的总负荷是20000 FPS。这远远超过了标准以太网对64字节(8位)数据帧的14880 FPS的限制,若服务器安装100 Mbps快速以太网卡,这个问题随之消除。因为此网卡对64字节数据帧能达到148800 FPS的速率。 交换机实现方案
如果工作组需要访问位于数据中心堆叠式的主干设备,就需要在交换机上添加另一个高速下行链路模块。如果工作组需要访问位于数据中心堆叠式的主干设备,就需要在交换机上添加另一个高速下行链路模块。 • 由于高速技术的影响主要体现在主干网和数据中心,工作组交换机应当应用这一技术为网络的增长提供平稳的升级方案。 • 优点: • 价格比路由器便宜; • 运行速度快; • 方案简单,维护管理方便。随着网络设备数量增加,减少复杂设备、增加简单设备带来的管理、维护方便的优点更加突出。
交换机 集线器 集线器 集线器 服务器 服务器 服务器 • 部门工作组:由多个小型工作组构成的大型工作组。如下图示。 下图中,由小型交换机组网部门工作组,分为3个独立的冲突域。如果服务器需要更大的带宽,连接部门服务器的集线器可以换成低成本的10 Mb/s的交换机。 用模块化的部门交换机组件可以将各自分割独立的数个工作组组成大型工作组。这些交换机组件提供包括以太网、FDDI、ATM的高速接口。利用部门交换机和共享高速接口,所有的用户都可以访问部门服务器。 高端工作组交换机可以提供单个工作组交换机功能、先进的交换技术、宽裕的性能指标、模块化的多种功能和升级能力。 总之,部门 级交换机是管理一 层楼或整个建筑物 范围的工作组设备。 工作组2 工作组1 部门服务器 部门工作组
考虑广播数据流:交换环境会产生大量的广播数据流和多播数据流。有些协议(如IP协议)只产生一定量的广播数据流;而有些协议(如IPX协议)要大量利用RIP协议和SAP协议的广播数据流。考虑广播数据流:交换环境会产生大量的广播数据流和多播数据流。有些协议(如IP协议)只产生一定量的广播数据流;而有些协议(如IPX协议)要大量利用RIP协议和SAP协议的广播数据流。 限制的方法是,设计部门工作组网络时,组内计算机数量不能过多。应该考虑如下因素: • 网络性能; • 故障分隔; • 广播数据流对节点CPU运行的影响; • 网络安全。 一般来说,100-200个用户的交换工作组中广播数据流不是很严重的问题,除非使用了某些性能不理想的协议或网络负荷陡增。 • “广播抑压”技术:有些交换机生产商采用“广播抑压”(broadcast throttle)技术来限制交换机广播帧的传输量。原理是在每个指定的时间段内,对通过交换机的广播数据帧或多播数据帧进行计数,一旦达到计数门限,随后的广播帧或多播帧就不能通过交换机,除非从下一个时间段开始计数。 在大型交换网中,广播数据流和多播数据流对某些网络设备的影响非常大。
路由器 交换机 交换机 交换机 服务器 服务器 服务器 • 物理分割: 为消除交换机组网的广播流过大的问题,可以用路由器将网络进行物理划分。使原来共处一个广播域的网络划分成几个广播域。下图用路由器作为部门工作组的顶级网络设备,下面连三个交换机,服务器分散到各自的工作组内,这样就使得共处一个广播域的各个工作组分成了三个独立的工作组。从而消除了广播风暴对整个网络的负面影响。 这种物理分割的效果在于,大量的信息流只在工作组内交流,而经过路由器交换转发的组间信息流大量减少,路由器的低吞吐量就显得不明显了。 工作组1 工作组2 工作组3 物理分割
智能交换机 路由器 终端交换机 终端交换机 服务器 服务器 工作组1 工作组2 用路由器和VLAN进行逻辑分割 • 逻辑分割: 划分子网更为灵活的方法是用交换机构造相互独立的物理工作组,然后用VLAN技术在个子网中灵活地选择任意的计算机组成逻辑子网。减少了因为挪动节点到另外一个子网带来的劳动成本。 如果节点要进行广播或多点传输,信息只传输到位于源站点的VLAN端口。每个交换机端口都配置在VLAN1和VLAN2中。VLAN之间的信息由路由器传播。 这样的组网既保证安全,又便于网络管理。
主干网设备的实现: • 是否选择堆叠式设备?主干网核心设备的选择,影响整个网络工程的成本和性能。堆叠式的主干设备可能是一台交换机,也可能是一台路由器。堆叠式的主干设备的优点在于,集中复杂性,提高了整体性能,减少成本,支持服务器组模型,管理集中。缺点在于,成为性能瓶颈,一旦崩溃,整个网络瘫痪。 • 选择交换机还是路由器?如果网干的功能仅仅是性能要求,就选择一台交换机。因为交换机以线缆速度进行数据包传输并且价格便宜;若性能与安全并举,就选择路由器。路由器虽然贵,但得到了控制手段,保障了安全,还留有冗余。限制了广播流量。
4.4 网络拓扑结构考虑 网络的拓扑结构有很多类型,但层次化网络设计是我们的首选。为什么把网络设计为层次化呢? • 在一个大型非层次化网络中,当网络设备与其它设备通信时,网络上广播数据包会产生负担。广播数据包会在广播域内的每一台设备的CPU产生中断,这些设备必须安装能处理该数据包的协议并花费大量时间。 • 非层次化的另一个问题是,CPU需要承载路由器与其他路由器之间的通信。而层次化网络设计方法允许设计模块化的拓扑结构限制通信路由器数量。 • 层次化设计的模块化特性允许在层次结构的每一层进行精确的容量规划,以减少带宽浪费。 • 层次化设计使网络易于改变。当网络的局部发生变化时,升级的成本限制在很小的局部网络中。而大型平面或网状网络,网络的改变会影响系统的许多部分。 • 当可扩展性是主要目标时,推荐使用层次化拓扑结构,因为它很容易扩展。 • 现今的快速收敛路由选择协议都是为层次化拓扑结构设计的。
公司总部 销售公司 市区老厂 郊区工厂 公司总部 销售公司 郊区工厂 市区老厂 平面环路拓扑 层次化拓扑 • 平面广域网拓扑结构 一般由连接成环路的几个站点构成。每个站点都有一台广域网路由器,通过点到点链路与其他站点相连(下左图)。这种结构的特点是成本低。 这种结构在环路相反方向的路由器之间要经历许多跳,延迟和出错率增高。如果流量分析显示环路拓扑中相反方向的流量加大了,就应该选择层次化拓扑结构了(下右图)。这种结构的好处是可扩展性好,延迟低,可用性高。
平面局域网拓扑结构 在局域网中使用层次化结构,我们将PC机和服务器连接到交换机上,可以把路由器添加到局域网中,将整个局域网分割成多个广播域,减少广播辐射的影响。 同时,层次化结构中,高端交换机为高流量提供最大的带宽,低端交换机提供廉价的接入。
路由器 路由器 路由器 路由器 路由器 路由器 路由器 路由器 部分网状结构 全网状结构 • 网状拓扑结构 可靠性高是网状结构的显著优点,但成本高昂、维护难度大,升级困难的缺点也很郁闷。网状结构对于广播路由选择更新或路由通告的邻接路由器有限制。随着邻接路由器的增加,更新进程占用的带宽和CPU资源也随之增加。 层次化结构的设计从物理拓扑上就限制了邻接路由器的数量,软件上就不需要限制。并且,网络崩溃而重建路由的代价小得多。
三层层次化结构模型 网络层次化模型一般分为三层结构: • 核心层:网络的高速主干,设计的考虑是高速率、高可靠性。选择高速率、低延迟的路由器机作为主干设备,选择冗余链路和冗余设备作为高可靠的保证。 • 分布层:常在此进行对资源访问的控制,对通过核心层流量的控制,以及VLAN的配置。 • 分布层可以在高带宽的接入层路由选择协议和优化的核心层路由选择协议之间重新分发路由。 • 分布层应该向核心路由器隐蔽接入层的详细拓扑结构信息,只向核心层通告少量的接入层信息。 • 接入层:为用户提供访问互连网的能力。该层设备主要考虑低成本、满足用户需求的带宽。
分布层设备 接入层 交换机 接入层 交换机 接入层 交换机 服务器 服务器 增加一个后门 增加一条链路 层次化网络设计原则 原则一:控制网络层次的加大,一般有三个层次就够了,否则延迟加大。常见的设计错误,是在接入层增加一条链路,或增加一个后门。增加一条链路的结果是使网络增加了一个第4层,它使延迟增加;所谓后门是指同一层设备之间的一个连接,它引起不可预知的路由选择和交换。 尽管有一些合理的理由需要增加一条链接或后门,但应尽量避免。 原则二:首先设计接入层,然后是分布层,最后才是核心层。从接入层开始,可以精确地为分布层和核心层进行容量规划。
网络管理模块 服务器群组 建筑物分布 楼层接入 园区骨干 边界分布模块 园区基础设施模块 电子 商务 因特网 连接 VPN WAN FR ATM ISP B PSTN ISP A ISP边界 服务器 服务器 服务器 园区网拓扑结构的考虑 园区网拓扑结构具有低带宽、小广播域、冗余、镜像服务器、扩展频繁等特色。园区网应设计成层次化结构,以适应这些要求。 园区网应具有交换式骨干网,连接园区的各个大楼。大容量的服务器群直接连接在骨干网上。园区网络设计中,网管是很重要的部分,应提供对网络设备的维护、监测入口。从功能上划分,园区网包括: • 园区基础设施模块; • 服务器群组; • 网络管理模块; • 边界互连模块。 见右图示。 园区网络功能模型
1 LAN 1 1 1 1 3 2 3 2 3 2 LAN 2 生成树STP产生的原因-路径回环
ROOT LAN A LAN C LAN B LAN D LAN E 引入生成树协议(STP) • 通过阻断冗余链路来消除桥接网络中可能存在的路径回环 • 当前活动路径发生故障时激活冗余备份链路恢复网络连通性
生成树协议的基本原理 • 基本思想:在交换机之间传递特殊的消息(配置消息),包含足够的信息做以下工作: • 从网络中的所有交换机中,选出一个作为根网桥(Root) • 计算本交换机到根网桥的最短路径 • 对每个LAN,选出离根桥最近的那个交换机作为指定网桥,负责所在LAN上的数据转发 • 交换机选择一个根端口,该端口给出的路径是此网桥到根桥的最佳路径 • 选择除根端口之外的包含于生成树上的端口(指定端口)
桥协议数据单元的内容 • 桥协议数据单元(BPDU)也被称作配置消息 • 主要内容包括 • 根网桥的Identifier(RootID) • 从指定网桥到根网桥的最小路径开销(RootPathCost) • 指定网桥的Identifier • 指定网桥的指定端口的Identifier • 即(RootID,RootPathCost,DesignatedBridgeID,DesignatedPortID)
值 域 占用字节 2 协议ID 1 协议版本 1 BPDU类型 1 标志位 8 根桥ID 4 根路径开销 8 指定桥ID 2 指定端口ID 2 Message Age 2 Max Age 2 Hello Time 2 Forward Delay 桥协议数据单元格式 L/T DMA SMA LLC Header Payload • DMA:目的MAC地址 • 配置消息的目的地址是一个固定的桥 的组播地址(0x0180c2000000) • SMA:源MAC地址 • 即发送该配置消息的桥MAC地址 • L/T:帧长 • LLC Header:配置消息固定的链路头 • Payload:BPDU数据
桥协议数据单元的处理 • 将各个端口收到的配置消息和自己的配置消息做比较,得出优先级最高的配置消息更新本身的配置消息,主要工作有: • 选择根网桥RootID:最优配置消息的RootID • 计算到根桥的最短路径开销RootPathCost:如果自己是根桥,则最短路径开销为0,否则为它所收到的最优配置消息的RootPathCost与收到该配置消息的端口开销之和 • 选择根端口RootPort:如果自己是根桥,则根端口为0,否则根端口为收到最优配置消息的那个端口 • 选择指定端口:包括在生成树上处于转发状态的其它端口 • 从指定端口发送新的配置消息
如何确定最优的桥协议数据单元 配置消息的优先级比较原则: • 假定有两条配置消息C1和C2,则: • 如果C1的RootID小于C2的RootID,则C1优于C2 • 如果C1和C2的RootID相同,但C1的RootPathCost小于C2,则C1优于C2 • 如果C1和C2的RootID和RootPathCost相同,但C1的TransmitID小于C2,则C1优于C2 • 如果C1和C2的RootID、RootPathCost和TransimitId相同,但C1的PortID小于C2,则C1优于C2
生成树协议的不足 • 端口从阻塞状态进入转发状态必须经历两倍的Forward Delay时间,所以网络拓扑结构改变之后需要至少两倍的Forward Delay时间,才能恢复连通性 • 如果网络中的拓扑结构变化频繁,网络会频繁的失去连通性,这样用户就会无法忍受。
快速生成树协议 快速生成树协议是从生成树协议发展而来,实现的基本思想一致; • 快速生成树具备生成树的所有功能; • 快速生成树改进目的就是当网络拓扑结构发生变化时,尽可能快的恢复网络的连通性。
快速生成树的改进一 TO ROOT TO ROOT • 如果旧的根端口已经进入阻塞状态,而且与新根端口连接的对端交换机的指定端口处于Forwarding状态时,则在新拓扑结构中的根端口可以立刻进入转发状态,。 LAN B LAN B F F 指定端口 指定端口 指定端口 指定端口 F F LAN A LAN A LAN A LAN A F 新根端口 阻塞端口 F 旧根端口 阻塞端口
快速生成树的改进二 • 指定端口可以通过与相连的网桥进行一次握手,快速进入转发状态。 LAN A 握手请求 F 指定端口 握手响应 4 1 2 LAN B 3 根端口
两点注意: • 握手必须在点对点链路的条件下进行 • 一次握手之后,响应握手的网桥的非边缘指定端口将变为blocking状态,则需要继续向自己的邻接网桥发起握手 F 指定端口 LAN A LAN A 指定端口 指定端口 F F LAN B LAN C 非点到点链路 握手的扩散
快速生成树的改进三 • 网络边缘的端口,即直接与终端相连,而不是和其它网桥相连的端口可以直接进入转发状态,不需要任何延时。 TO ROOT LAN A LAN B LAN C 根端口 阻塞端口 LAN D F 边缘端口
快速生成树的性能 • 第一种改进的效果:发现拓扑改变到恢复连通性的时间可达数毫秒,并且无需传递配置消息。 • 第二种改进的效果:网络连通性可以在交换两个配置消息的时间内恢复,即握手的延时;最坏的情况下,握手从网络的一边开始,扩散到网络的另一边缘的网桥,网络连通性才能恢复。比如当网络直径为7的时候,要经过6次握手。 • 第三种改进的效果:边缘端口的状态变化不影响网络连通性,也不会造成回路,所以进入转发状态无需延时。 • 快速生成树也是在整个交换网络应用单生成树实例,不能解决由于网络规模增大带来的性能降低问题
4.5 网络管理的考虑 网络管理就是对网络进行维护、控制、财务核算以及排除网络及其设备故障。有很多用于远程管理网络组件的软件和硬件解决方案,它们大多建立在 SNMP 协议之上。远程网络管理(RMON)具有附加功能和更高的效率。 • 网络管理目的: • 减少停机时间,改进响应时间,提高设备利用率 • 减少运行费用,提高效率 • 减少/消灭网络瓶颈 • 适应性技术 • 容易使用 • 安全 • 学习目标:掌握SNMP协议的主要优缺点;RMON是如何解决这些缺点的。 • 关键知识:网络管理主要是对网络进行超前管理。
SNMP的局限性 SNMP(简单网络管理协议)是一种广为执行的网络协议,它使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网络设备的统计数据。代理不断地收集统计数据,如所收到的字节数,并把这些数据记录到一个管理信息库(MIB)中。网管员通过向代理的MIB发出查询信号可以得到这些信息,这个过程叫轮询(polling)。 虽然MIB计数器将统计数据的总和记录下来了,但它无法对日常通信量进行历史分析。为了能全面地查看一天的通信流量和变化率,管理人员必须不断地轮询SNMP代理,一天中每分钟就轮询一次。这样,网管员可以使用SNMP来评价网络的运行状况,并揭示出通信的趋势,如哪一个网段接近通信负载的最大能力或不必要地正使通信出错。先进的SNMP网管站甚至可以进行编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。
代理软件 代理软件 受控 服务器 受控工作站 流量监视器 代理软件 发送链路状态 管理软件 链路A 路由器 链路A:运行中 链路B:已中断 网管工作站 链路B 管理员与客户间通信 • 传统SNMP模型在大型LAN的布局有如下的局限性: • 它没有伸缩性。在大型的网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤情况的发生。 • 它将收集数据的负担加在网络管理控制台上。管理站也许能轻松地收集8个网段的信息,当它们监控48个网段时,恐怕就应付不下来。
网络设备 RMON服务器 NMS RMON客户机 管理程序轮询,发送历史记录 本地 历史 分析 工具 代理响应(历史记录表) RMON MIB 计数器 远程管理与探测器通信 远程监控(RMON) SNMP标准基本功能集最重要增强功能是RMON。与SNMP类似,RMON是基于客户机/服务器结构的。见下图示。RMON代理的功能类似于服务器,通过探测来维护历史统计数据,亦称为探测器。代理的这种附加功能免除了NMS定期发送调查测试来建立网络运行趋势历史记录的需要。 RMON代理可作为单机设备(带有专用CPU和内存)配置。也可嵌入集线器、交换机或者路由器中。例如,3Com系统的LAN交换机配线就在每个交换机中安装有相应软件来跟踪流经的流量,并在MIB中记录,通过图形用户界面(GUI)向管理员提供信息。
NMS作为客户机运行,它组织和分析由探测器诊断到的网络故障数据。NMS和分布式RMON探测器之间的通信采用SNMP进行,它提供了远程网络分析的基础。 NMS作为客户机运行,它组织和分析由探测器诊断到的网络故障数据。NMS和分布式RMON探测器之间的通信采用SNMP进行,它提供了远程网络分析的基础。 RMON统计数据存档能力是的管理员可以为网络运行开发基线模型。基线模型确立并配置好后,管理员可以确定网段正常运行状态的阈值,用于监视网段流量。当流量超过该阈值时,探测器就会给NMS发出警告。 NMS接到警告后,激活高级RMON性能来诊断该故障。例如,RMON内的 HostTopN 组可以确定是哪个主机在处理网段内的大部分对话,与谁进行对话,对话人是在本网段内还是在Intranet内。利用这些信息,管理员可用主机组的某个指定的主机来响应这个警告。 当然,RMON中数据包截获组和过滤器用探测器将数据包截获,并利用协议分析仪来辅助解决这种异常情况。
RMON性能:与传统的SNMP相比,RMON是较高级的Intranet管理工具。其特点表现为:RMON性能:与传统的SNMP相比,RMON是较高级的Intranet管理工具。其特点表现为: • RMON极大地降低了网络管理的流量。由于WAN通道带宽比LAN链路带宽小得多,网管应充分利用RMON探测器实施网管,而不是利用SNMP进行调查测试。以将宝贵的WAN带宽留给用户传输数据。 • RMON提供有关整个网络的信息,例如所有网络设备、服务器、应用程序和所有用户。 • RMON MIB:Internet工程特别小组(IETF)于1991年11月公布了RMON MIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。实现了对异构环境进行一致的远程管理,它为通过端口远程监视网段提供了合适的解决方案。RMON是对SNMP标准的扩展,定义了标准功能以及在基于SNMP管理站和远程监控者之间的接口,主要实现对一个网段乃至整个网络的数据流量的监视功能,目前已成为成功的网络管理标准之一。
RMON MIB特点 • 可以记录某些网络事件,即使在网络管理站没有与监控设备主动进行联接(脱机)的情况下,也同样可以完成记录。 • 可以用于记录网络性能数据和故障历史,可以在任何时候访问故障历史数据以有利于进行有效的故障诊断。使用这种方法减少了管理者同代理间的通信流量,使简单而有力地管理大型互联网络成为可能。 • RMON的一个重要的优点还在于它与现存的SNMP框架相兼容,不需对该协议进行任何修改。 • RMON MIB如何收集数据: • 一种是通过专用的RMON探测仪(Probe),网管站直接从探测仪获取管理信息并控制网络资源,这种方式可以获取RMON MIB的全部信息; • 另一种方法是将RMON代理直接植入网络设备(路由器、交换机、Hub等)使它们成为带RMON Probe功能的网络设施,网管站用SNMP的基本命令与其交换数据信息,收集网络管理信息,但这种方式受设备资源限制,一般不能获取RMON MIB的所有数据,大多数只收集四个组的信息。
RMON MIB功能组 RMON提供的信息可以进行较SNMP MIB更为全面的网络管理,标准的RMON MIB功能可以划分为十个组: • 统计累计的局域网通信和故障统计数据; • 历史进行趋势分析的区间抽样统计数据; • 报警确定阀值; • 主机由介质访问控制地址(MAC)组成的统计数据; • HostTop N按MAC地址排序的统计数据; • 矩阵所追踪的两个设备之间的对话; • 事件对报警信号所引起的操作进行控制的机制; • 过滤器数据包选择机制; • 包捕获数据包收集和上载机制; • 令牌环针对令牌环设备的特殊参数,包括环站、环站次序、环站配置、源路由统计数据。
RMON2 MIB 在RMON基础上产生的 RMON2 标准能将网管员对网络的监控层次提高到网络协议栈的应用层。因而除了能监控网络通信与容量外,RMON2还提供有关各应用所使用的网络带宽量的信息,这也是在客户机/服务器环境中进行故障排除的重要因素。 RMON在网络中查找物理故障,RMON2 进行的则是更高层次的观察,它监控实际的网络使用模式。RMON探测器观察的是由一个路由器流向另一个路由器的数据包,而RNOM2 则深入到内部,它观察的是哪一个服务器发送数据包,哪一个用户预定要接受这一数据包,这一数据包表示何种应用。网管员能够使用这种信息,按照应用带宽和响应时间要求来区分用户,就像过去他们使用网络地址生成工作组一样。 RMON II没有取代RMON,而是它的补充技术。RMON II在RMON标准基础上提供一种新层次的诊断和监控功能。事实上,RMON II能够监控执行RMON标准的设备所发出的意外事件报警信号。