如何管理防火墙SNMP流量监控？

学习目标

·理解SNMP的工作原理

·掌握防火墙SNMP的配置方法

·掌握Cacti监控平台搭建(基于Linux)

任务引言

流量和性能监控一般旨在通过网络协议得到网络设备的流量信息，并将流量负载以图形或表格方式显示给用户，以非常直观的形式显示网络设备负载。在网络发展的今天，网络监控还可以网络应用层协议方式进行更精细化的监控，并通过网络监控对网络设备运行情况等信息进行分析。

对网络核心设备如防火墙、三层交换机、服务器等进行流量监控，一般都要将这些设备的SNMP(Simple Network Manger Protocol，简单网络管理协议)功能打开，同时，在网络内部署流量监控服务器，安装监控软件进行监控。在协议开启后，可以基于网管平台(Cacti)进行监控设置，完成对网络设备流量的实时监控。

知识引入

利用SNMP协议，网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规划。网络监控和管理是SNMP的基本功能。

SNMP是一个应用层协议，为客户机/服务器模式，包括三个部分:SNMP网络管理器，一般为主机上的网管软件，如Cacti、Soldwind等，其工作在UDP 162端口；SNMP代理，是网络设备上运行的SNMP程序，负责处理请求及回应，其工作在UDP 161端口；MIB管理信息库，是预先定义好的树形结构库，单个节点代表一个信息。

MIB(Management Information Base，管理信息库)是网络管理数据的标准，也是一个数据库，它代表了某个设备或服务的一套可管理对象。由SNMP管理的每台主机必须有一个MIB，它描述了该主机上的可管理对象。所有的MIB必须用精确的组织结构定义。SNMP管理器在与其他代理连接时，使用MIB中的信息识别该代理上的信息是如何组织的。

MIB将每个变量定义为对象ID(OID)，将厂商(组织)定义到OID的层次结构中，在这样的类似树状结构的MIB库中，部分分支具有许多联网设备共有的变量，而一些独特的分支具有该设备特定的变量，如图5－4－1所示。

图5－4－1　MIB库

在ASA软件版本8.1之前，仅支持SNMPv1和SNMPv2c；ASA软件8.2及更高版本也支持SNMPv3，这是最安全的SNMP协议版本。

SNMP发展历史:

1989年，SNMPv1。

1991年，RMON(Remote Network Monitoring，远程网络监视)，它扩充了SNMP的功能，包括对LAN的管理及对依附于这些网络的设备的管理。RMON没有修改和增加SNMPv1，只是增加了SNMP监视子网的能力。

1993年，SNMPv2(SNMPv1的升级版)。

1995年，SNMPv2正式版，其中规定了如何在基于OSI的网络中使用SNMP。

1995年，RMON扩展为RMON2。

1998年，SNMPv3，一系列文档定义了SNMP的安全性，并定义了将来改进的总体结构。SNMPv3可以和SNMPv2、SNMPv1一起使用。

Cacti介绍:

Cacti是用PHP语言实现的一个软件，它的主要功能是用SNMP服务获取数据，然后用RRDTool储存和更新数据，当用户需要查看数据时，用RRDTool生成图表呈现给用户。因此，SNMP和RRDTool是Cacti的关键。SNMP关系着数据的收集，RRDTool关系着数据存储和图表的生成。

MySQL配合PHP程序存储一些变量数据，并对变量数据进行调用，如主机名、主机IP、SNMP团体名、端口号、模板信息等。

SNMP获取数据后不是存储在MySQL中，而是存储在由RRDTool生成的RRD文件中(在Cacti根目录的RRA文件夹下)。RRDTool对数据的更新和存储就是对RRD文件的处理，RRD文件是大小固定的档案文件，它能够存储的数据量在创建时就已经定义。

工作任务——防火墙流量监控配置

图5－4－2　防火墙流量监控管理

【工作任务背景】

为了完善企业A公司网络设备工作状态监测监控功能，需要在公司内部服务器上搭建Cacti监控平台，如图5－4－2所示。

【工作任务分析】

PC1模拟总公司内部客户端，Server1模拟总公司内部服务器。当配置成功后，PC访问DMZ区域的服务器监控平台查看当前防火墙的流量情况。详细参数见表5－4－1和表5－4－2。

表5－4－1　网络设备信息

表5－4－2　PC信息

【任务实现】(www.xing528.com)

1.根据所学知识，完成拓扑中网络设备的主机名、网络地址的设定。

2.在防火墙设备上设置必要的路由，实现网络拓扑通信。

3.在防火墙设备上配置SNMP，指定团体密码、服务器地址、SNMP版本等信息。

4.在Server1服务器上执行以下命令，检查SNMP连接。测试结果如图5－4－3所示。

图5－4－3　SNMP连接测试

5.初始化Cacti监控平台，手动添加需要监控的设备。

(1)使用浏览器打开“http://172.16.1.100/cacit/”，默认用户名为“admin”，密码为“cacti”。登录成功后，单击“创建设备”按钮，开始添加新的监控对象，如图5－4－4所示。

图5－4－4　Cacti控制面板

(2)在描述框内输入自定义名称，在主机名框内输入被监控的设备地址“172.16.1.254”，在设备模板中选择“Cisco Router”类型，在SNMP版本中选择“版本2”，在SNMP团体中输入团体密码“P＠ssw0rd”，最后单击“创建”按钮，如图5－4－5所示。

图5－4－5　添加新的监控设备

(3)如果SNMP成功连接到对应的网络设备，可以在该页面查看到对应的设备信息。单击右上角的“为设备创建图形”按钮，为当前网络设备创建可视化的监控图标，如图5－4－6所示。

图5－4－6　SNMP设备信息

(4)在页面中选择需要被监控的网络接口，单击“创建”按钮即可生成图表，如图5－4－7所示。

图5－4－7　创建可视化监控图标

(5)图表创建成功后，单击左边工具栏，单击“管理”→“图形”，选择所有图形，将它们添加到“Default Tree”，如图5－4－8所示。

图5－4－8　添加图形到默认树

6.查看监控状态，在页面的顶端找到“图形”，单击打开后找到“Default Tree”，如图5－4－9所示，可以看到当前设备的监控状态。

图5－4－9　设备监控状态

问题探究

1.如何配置防火墙SNMPv3?

2.还有哪些常用的第三方流量监控平台?

知识拓展

SNMPv3通过对数据进行鉴别和加密，提供以下安全特性。

消息完整性(Message integrity):有助于确保数据包在传输过程中未被篡改。

身份验证(Authentication):有助于确保数据包来自已知的可信来源。

加密(Encryption):有助于确保在传输过程中捕获数据时无法读取信息。

项目拓展

配置基于SNMPv3实现流量监控，使用authPriv安全验证等级。