RMON – REMOTE

NETWORK MONITORING

Baseado em slides gentilmente cedidos pelo Prof. João Henrique Kleinschmidt da UFABC.

RMON: Conceitos Básicos 2

A RMON fornece um modo efetivo e eficiente de monitorar o comportamento da sub-rede enquanto reduz a carga nos outros agentes e nas estações de gerenciamento.

Monitores de rede (analisadores de rede / probes):

São dispositivos usados para estudar o tráfego na rede como um todo.

Produzem informação de resumo, incluindo estatísticas de erro e estatísticas de desempenho.

Geralmente é necessário um monitor por sub-rede.

Podem ser um: dispositivo stand-alone cujo único propósito é obter e analisar o tráfego; dispositivo com outras responsabilidades (workstation, um servidor ou roteador).

Monitores remotos: se comunicam com uma estação central de gerenciamento da rede.

RMON é muito mais que um agente MIB-II

Exemplo de Uso do RMON 3

RMON: Objetivos de Projeto 4

Operação Off-line

Monitor trabalha remotamente

Gerente se conecta quando necessário

Monitoramento Preemptivo

monitoramento contínuo, com possibilidade de contactar o gerente ao observar falhas

Detecção de problemas e relatórios

Capacidade de identificar problemas a partir dos dados (ex: congestionamento, broadcast storm)

Value-added data

análise de alto nível dos dados, interpretação autônoma

Informações sumarizadas

Múltiplos gerentes

1 monitor pode responder para mais de um gerente simultaneamente

RMON: MIB 5

Na definição de uma MIB RMON, são definidas:

funções para monitoramento da rede,

interfaces para comunicação entre consoles de gerenciamento baseadas em SNMP e monitores remotos.

A MIB é organizada em grupos funcionais

Dentro de cada grupo existem tabelas de controle e tabelas de dados

Control table

Read-write

Cada linha contém informações de controle sobre a monitoração, sendo cada coluna um parâmetro

Descreve os dados

Exemplo: uma linha pode conter informações sobre a fonte de coleta, tipo de dado a coletar, frequência de coleta, etc.

Data table

Read-only

Contém os dados coletados

Monitoramento RMON 6

MIB-II: Grupos de Objetos 7

MIB RMON 8

MIB RMON 9

Statistics

mantém estatísticas de utilização e de erro para cada sub-rede monitorada pelo agente

History

registra amostragens periódicas, para interfaces monitoras, de estatísticas disponíveis no grupo de estatísticas. Default = coleta a cada 30min, mantém 50 últimas coletas.

Alarm

Usado para definir os limiares de desempenho. Um alarme pode ser emitido se o valor de um objeto ficar abaixo de um mínimo ou acima de um máximo.

Host

contém informações sobre os hosts ligados à sub-rede.

Estrutura da MIB no RMON 10

HostTopN

contém estatísticas dos hosts que lideram um ranking de acordo com algum parâmetro. Exemplo: os 10 hosts que mais transmitiram durante 24h

Matrix

Mantém informações de tráfego entre pares de hosts na sub-rede

Filter

permite que o monitor observe pacotes que atendem a um filtro (captura seletiva)

Packet Capture

estabelece o esquema de buferização dos dados capturados pelos filtros

Event

Definição dos eventos gerados pelo agente RMON a partir da observação de valores de outros objetos da MIB

RMON: Grupos e Funções 11

statistics

RMON 1 12

history

RMON 2 13

hosts

RMON 4 14

Exemplo: Grupo Host – Top N 15

Exemplo: Tabelas de controle e dados 16

Grupo alarm 17

Identificar condições anormais pelo monitor e disparar alarmes:

Ex: se houver mais de 200 erros de CRC (limiar) em qualquer período de 5 minutos (intervalo de amostragem), um alarme é gerado e enviado.

Grupo Alarm contém uma única tabela alarmTable, com cada entrada:

Uma variável a ser monitorada (alarmVariable)

INTEGER, counter, gauge, TimeTicks

Um intervalo de amostra (alarmInterval)

Valor amostrado mais recente (alarmValue)

Parâmetros de limiar

alarmRisingThreshold, e alarmFallingThreshold

alarmStartupAlarm

1 (risingAlarm), 2 (fallingAlarm), 3 (risingOrFallingAlarm)

Grupos Filter e Capture 18

O grupo filtros captura pacotes usando expressões lógicas

O grupo capture pode capturar pacotes que passaram pelo

filtro ou apenas gravar estatísticas baseadas nos pacotes

Grupo event

Suporta definições de eventos (problemas, sintomas de problemas)

Um evento é disparado por uma condição localizada

Ex: monitorar uma variável que cruzou um limiar causa um evento

Controla a geração e notificação de eventos

Um evento pode causar (1) uma mensagem SNMP Trap, (2) informações gravadas em log

eventTable:

eventDescritpion: descrição textual

eventType: nenhum(1), log(2), snmp-trap (3) log-and-trap(4)

eventCommunity: identifica a comunidade que irá receber a trap SNMP.

logTable:

logTime: valor do sysUpTime quando o log foi criado

logDescription: descrição do evento que ativou esta entrada

logEventIndex: identifica o evento que gerou esta entrada

19

RMON: Características 20

Características do RMON caem em duas categorias

Configuração

Um monitor remoto precisa ser configurado para coleta de

dados

Configuração é feita inserindo, alterando ou removendo

linhas da tabela de controle

As funções do monitor são definidas em termos das linhas

da tabela de controle

Invocação de ação

RMON: Invocação de Ações 21

O SNMP só pode ler os valores do objeto e setar

valores de objeto em uma visão da MIB.

RMON permite invocar uma ação (comando) em função

de valores assumidos por objetos dentro da MIB

Objeto é usado para representar o comando, e uma ação

específica é tomada se o objeto for setado para um valor

específico. A RMON MIB inclui vários objetos desse tipo.

Os objetos representam estados. Uma ação é realizada se

a estação gerenciada mudar o estado (valor do objeto)

Estados podem ser alterados usando o comando SNMP set

RMON: Compartilhamento de Agentes 22

Os problemas de compartilhamento são:

Pedidos concorrentes para recursos podem exceder a capacidade do monitor fornecer tais recursos;

Uma estação de gerenciamento pode capturar e manter recursos do monitor por um longo período de tempo, não permitindo o seu uso para outras funções de gerenciamento desejadas por outras estações de gerenciamento.

Recursos podem ser atribuídos para uma estação de gerenciamento que pode travar sem liberar os recursos.

O projetoRMON prevê maneiras de lidar com todas as situações acima

Monitor usa uma etiqueta de dono (owner label) nos recursos alocados.

endereço IP, nome da estação de gerenciamento, gerente, telefone

RMON: Possíveis Problemas Práticos 23

Sobrecarga no processamento de Pacotes

Exemplo: o usuário estabelece que a estação de

gerenciamento irá recuperar cada pacote individual ou

até mesmo todo cabeçalho de pacote individual em um

canal definido.

Alternativa é fazer o máximo de análise possível

localmente, no monitor, e enviar mais resultados

agregados para a estação de gerenciamento.

Exemplo de plataforma remota

RMON2 24

RMON1 + extensões

RMON lida da camada física à camada MAC (enlace)

RMON2 estende funcionalidades RMON para demais camadas

RMON2 pode monitorar, por exemplo, WWW, Mail, FTP, …

Grupos adicionais da RMON2-MIB iso.org.dod.internet.mgmt.mib-2.rmon……

protocolDir - Diretório de protocolo

protocolDist - distribuição de protocolo

addressMap - mapeamento de endereços

nlHost - camada de rede do host

nlMatrix - matriz da camada de rede

alHost - camada de aplicação do host

alMatrix - matriz da camada de aplicação

usrHistory - histórico do usuário

probeConfig - configuração do probe

RMON1 x RMON2 25

RMON1 x RMON2 26

Estudos de caso 27

PROBLEMA1: O gerente de rede em uma empresa está com problemas com os usuários finais. Usuários na divisão de engenharia estão rodando simulações e utilizam a rede corporativa. As simulações podem rodar durante dias e precisam de um conjunto complexo de conexões cliente/servidor que devem rodar a velocidade máxima durante toda a simulação. A partir de um certo momento, as simulações começam a demorar duas vezes mais e a divisão de engenharia está culpando a falta de banda e quer que a rede Ethernet de100Mbps migre para 1Gbps ou mais.

Estudos de caso 28

PROBLEMA 2: Um usuário final em uma grande

empresa está reclamando sobre um tempo de

respostas anormalmente lento quando acessa seus

dados de pesquisa.

Estudos de caso 29

PROBLEMA 3: Uma grande empresa de petróleo tem uma grande rede corporativa roteada com muitas rotas alternativas. O backbone consiste de enlaces WAN conectados permitindo até 3 caminhos alternativos para o tráfego. Periodicamente, numa certa hora do dia, usuários remotos ligam para o helpdesk reportando sérios problemas de comunicação com o centro de processamento de dados (conexões caem, etc.). Técnicos procuram o problema mas ele some sozinho depois de uma hora.

RMON: Conclusões 30

RMON não é simplesmente um agente MIB II

Uso inteligente do RMON para identificar

problemas (zero-in on problems)

Filtros podem ser pesados

Filtros sofisticados podem retornar poucas

informações

Ambos RMON e RMON2 são importantes

O que aprendemos sobre SNMP e

RMON? 31

Quais são as limitações do SNMP?

Gerencia dispositivos individualmente

Não permite invocação de ações

Não coleta tráfego da rede

Quais são as vantagens do RMON?

Monitoramento remoto

Coleta de tráfego da rede (em modo promíscuo)

Filtragem de captura (channels)

Dispara ações a partir do gerente e a partir de alarmes