学习目标
·理解SNMP的工作原理
·掌握防火墙SNMP的配置方法
·掌握Cacti监控平台搭建(基于Linux)
任务引言
流量和性能监控一般旨在通过网络协议得到网络设备的流量信息,并将流量负载以图形或表格方式显示给用户,以非常直观的形式显示网络设备负载。在网络发展的今天,网络监控还可以网络应用层协议方式进行更精细化的监控,并通过网络监控对网络设备运行情况等信息进行分析。
对网络核心设备如防火墙、三层交换机、服务器等进行流量监控,一般都要将这些设备的SNMP(Simple Network Manger Protocol,简单网络管理协议)功能打开,同时,在网络内部署流量监控服务器,安装监控软件进行监控。在协议开启后,可以基于网管平台(Cacti)进行监控设置,完成对网络设备流量的实时监控。
知识引入
利用SNMP协议,网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规划。网络监控和管理是SNMP的基本功能。
SNMP是一个应用层协议,为客户机/服务器模式,包括三个部分:SNMP网络管理器,一般为主机上的网管软件,如Cacti、Soldwind等,其工作在UDP 162端口;SNMP代理,是网络设备上运行的SNMP程序,负责处理请求及回应,其工作在UDP 161端口;MIB管理信息库,是预先定义好的树形结构库,单个节点代表一个信息。
MIB(Management Information Base,管理信息库)是网络管理数据的标准,也是一个数据库,它代表了某个设备或服务的一套可管理对象。由SNMP管理的每台主机必须有一个MIB,它描述了该主机上的可管理对象。所有的MIB必须用精确的组织结构定义。SNMP管理器在与其他代理连接时,使用MIB中的信息识别该代理上的信息是如何组织的。
MIB将每个变量定义为对象ID(OID),将厂商(组织)定义到OID的层次结构中,在这样的类似树状结构的MIB库中,部分分支具有许多联网设备共有的变量,而一些独特的分支具有该设备特定的变量,如图5-4-1所示。
图5-4-1 MIB库
在ASA软件版本8.1之前,仅支持SNMPv1和SNMPv2c;ASA软件8.2及更高版本也支持SNMPv3,这是最安全的SNMP协议版本。
SNMP发展历史:
1989年,SNMPv1。
1991年,RMON(Remote Network Monitoring,远程网络监视),它扩充了SNMP的功能,包括对LAN的管理及对依附于这些网络的设备的管理。RMON没有修改和增加SNMPv1,只是增加了SNMP监视子网的能力。
1993年,SNMPv2(SNMPv1的升级版)。
1995年,SNMPv2正式版,其中规定了如何在基于OSI的网络中使用SNMP。
1995年,RMON扩展为RMON2。
1998年,SNMPv3,一系列文档定义了SNMP的安全性,并定义了将来改进的总体结构。SNMPv3可以和SNMPv2、SNMPv1一起使用。
Cacti介绍:
Cacti是用PHP语言实现的一个软件,它的主要功能是用SNMP服务获取数据,然后用RRDTool储存和更新数据,当用户需要查看数据时,用RRDTool生成图表呈现给用户。因此,SNMP和RRDTool是Cacti的关键。SNMP关系着数据的收集,RRDTool关系着数据存储和图表的生成。
MySQL配合PHP程序存储一些变量数据,并对变量数据进行调用,如主机名、主机IP、SNMP团体名、端口号、模板信息等。
SNMP获取数据后不是存储在MySQL中,而是存储在由RRDTool生成的RRD文件中(在Cacti根目录的RRA文件夹下)。RRDTool对数据的更新和存储就是对RRD文件的处理,RRD文件是大小固定的档案文件,它能够存储的数据量在创建时就已经定义。
工作任务——防火墙流量监控配置
图5-4-2 防火墙流量监控管理
【工作任务背景】
为了完善企业A公司网络设备工作状态监测监控功能,需要在公司内部服务器上搭建Cacti监控平台,如图5-4-2所示。
【工作任务分析】
PC1模拟总公司内部客户端,Server1模拟总公司内部服务器。当配置成功后,PC访问DMZ区域的服务器监控平台查看当前防火墙的流量情况。详细参数见表5-4-1和表5-4-2。
表5-4-1 网络设备信息
表5-4-2 PC信息
【任务实现】(www.xing528.com)
1.根据所学知识,完成拓扑中网络设备的主机名、网络地址的设定。
3.在防火墙设备上配置SNMP,指定团体密码、服务器地址、SNMP版本等信息。
4.在Server1服务器上执行以下命令,检查SNMP连接。测试结果如图5-4-3所示。
图5-4-3 SNMP连接测试
5.初始化Cacti监控平台,手动添加需要监控的设备。
(1)使用浏览器打开“http://172.16.1.100/cacit/”,默认用户名为“admin”,密码为“cacti”。登录成功后,单击“创建设备”按钮,开始添加新的监控对象,如图5-4-4所示。
图5-4-4 Cacti控制面板
(2)在描述框内输入自定义名称,在主机名框内输入被监控的设备地址“172.16.1.254”,在设备模板中选择“Cisco Router”类型,在SNMP版本中选择“版本2”,在SNMP团体中输入团体密码“P@ssw0rd”,最后单击“创建”按钮,如图5-4-5所示。
图5-4-5 添加新的监控设备
(3)如果SNMP成功连接到对应的网络设备,可以在该页面查看到对应的设备信息。单击右上角的“为设备创建图形”按钮,为当前网络设备创建可视化的监控图标,如图5-4-6所示。
图5-4-6 SNMP设备信息
(4)在页面中选择需要被监控的网络接口,单击“创建”按钮即可生成图表,如图5-4-7所示。
图5-4-7 创建可视化监控图标
(5)图表创建成功后,单击左边工具栏,单击“管理”→“图形”,选择所有图形,将它们添加到“Default Tree”,如图5-4-8所示。
图5-4-8 添加图形到默认树
6.查看监控状态,在页面的顶端找到“图形”,单击打开后找到“Default Tree”,如图5-4-9所示,可以看到当前设备的监控状态。
图5-4-9 设备监控状态
问题探究
1.如何配置防火墙SNMPv3?
2.还有哪些常用的第三方流量监控平台?
知识拓展
SNMPv3通过对数据进行鉴别和加密,提供以下安全特性。
消息完整性(Message integrity):有助于确保数据包在传输过程中未被篡改。
身份验证(Authentication):有助于确保数据包来自已知的可信来源。
加密(Encryption):有助于确保在传输过程中捕获数据时无法读取信息。
项目拓展
配置基于SNMPv3实现流量监控,使用authPriv安全验证等级。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。