RMON – REMOTE

NETWORK MONITORING
Baseado em slides gentilmente cedidos pelo Prof.
João Henrique Kleinschmidt da UFABC.
 RMON: Conceitos Básicos
2

 A RMON fornece um modo efetivo e eficiente de monitorar o

comportamento da sub-rede enquanto reduz a carga nos outros
agentes e nas estações de gerenciamento.
 Monitores de rede (analisadores de rede / probes):
 São dispositivos usados para estudar o tráfego na rede como um todo.
 Produzem informação de resumo, incluindo estatísticas de erro e
estatísticas de desempenho.
 Geralmente é necessário um monitor por sub-rede.
 Podem ser um: dispositivo stand-alone cujo único propósito é obter e
analisar o tráfego; dispositivo com outras responsabilidades
(workstation, um servidor ou roteador).
 Monitores remotos: se comunicam com uma estação central de
gerenciamento da rede.
 RMON é muito mais que um agente MIB-II
 Exemplo de Uso do RMON
3
 RMON: Objetivos de Projeto
4

 Operação Off-line
 Monitor trabalha remotamente
 Gerente se conecta quando necessário
 Monitoramento Preemptivo
 monitoramento contínuo, com possibilidade de contactar o gerente ao observar
falhas
 Detecção de problemas e relatórios
 Capacidade de identificar problemas a partir dos dados (ex:
congestionamento, broadcast storm)
 Value-added data
 análise de alto nível dos dados, interpretação autônoma
 Informações sumarizadas
 Múltiplos gerentes
 1 monitor pode responder para mais de um gerente simultaneamente
 RMON: MIB
5

 Na definição de uma MIB RMON, são definidas:

 funções para monitoramento da rede,
 interfaces para comunicação entre consoles de gerenciamento baseadas em SNMP e
monitores remotos.
 A MIB é organizada em grupos funcionais
 Dentro de cada grupo existem tabelas de controle e tabelas de dados
 Control table
 Read-write
 Cada linha contém informações de controle sobre a monitoração, sendo cada coluna um
parâmetro
 Descreve os dados
 Exemplo: uma linha pode conter informações sobre a fonte de coleta, tipo de dado a
coletar, frequência de coleta, etc.
 Data table
 Read-only
 Contém os dados coletados
 Monitoramento RMON
6
 MIB-II: Grupos de Objetos
7
 MIB RMON
8
 MIB RMON
9

 Statistics
 mantém estatísticas de utilização e de erro para cada sub-rede
monitorada pelo agente
 History
 registra amostragens periódicas, para interfaces monitoras, de
estatísticas disponíveis no grupo de estatísticas. Default = coleta
a cada 30min, mantém 50 últimas coletas.
 Alarm
 Usado para definir os limiares de desempenho. Um alarme pode
ser emitido se o valor de um objeto ficar abaixo de um mínimo
ou acima de um máximo.
 Host
 contém informações sobre os hosts ligados à sub-rede.
 Estrutura da MIB no RMON
10

 HostTopN
 contém estatísticas dos hosts que lideram um ranking de acordo com algum
parâmetro. Exemplo: os 10 hosts que mais transmitiram durante 24h
 Matrix
 Mantém informações de tráfego entre pares de hosts na sub-rede
 Filter
 permite que o monitor observe pacotes que atendem a um filtro (captura
seletiva)
 Packet Capture
 estabelece o esquema de buferização dos dados capturados pelos filtros
 Event
 Definição dos eventos gerados pelo agente RMON a partir da observação de
valores de outros objetos da MIB
 RMON: Grupos e Funções
11
 statistics
12
RMON 1
 history
13
RMON 2
 hosts
14
RMON 4
 Exemplo: Grupo Host – Top N
15
 Exemplo: Tabelas de controle e dados
16
 Grupo alarm
17

 Identificar condições anormais pelo monitor e disparar alarmes:

 Ex: se houver mais de 200 erros de CRC (limiar) em qualquer período
de 5 minutos (intervalo de amostragem), um alarme é gerado e
enviado.
 Grupo Alarm contém uma única tabela alarmTable, com cada
entrada:
 Uma variável a ser monitorada (alarmVariable)
 INTEGER, counter, gauge, TimeTicks
 Um intervalo de amostra (alarmInterval)
 Valor amostrado mais recente (alarmValue)
 Parâmetros de limiar
 alarmRisingThreshold, e alarmFallingThreshold
 alarmStartupAlarm
 1 (risingAlarm), 2 (fallingAlarm), 3 (risingOrFallingAlarm)
 Grupos Filter e Capture
18

 O grupo filtros captura pacotes usando expressões lógicas

 O grupo capture pode capturar pacotes que passaram pelo

filtro ou apenas gravar estatísticas baseadas nos pacotes
 Grupo event
19
 Suporta definições de eventos
(problemas, sintomas de
problemas)
 Um evento é disparado por uma
condição localizada
 Ex: monitorar uma variável que
cruzou um limiar causa um evento
 Controla a geração e notificação
de eventos
 Um evento pode causar (1) uma
mensagem SNMP Trap, (2)
informações gravadas em log
 eventTable:
 eventDescritpion: descrição
textual
 eventType: nenhum(1), log(2),
snmp-trap (3) log-and-trap(4)
 eventCommunity: identifica a
comunidade que irá receber a
trap SNMP.
 logTable:
 logTime: valor do sysUpTime
quando o log foi criado
 logDescription: descrição do
evento que ativou esta entrada
 logEventIndex: identifica o evento
que gerou esta entrada
 RMON: Características
20

 Características do RMON caem em duas categorias

 Configuração
 Um monitor remoto precisa ser configurado para coleta de
dados
 Configuração é feita inserindo, alterando ou removendo
linhas da tabela de controle
 As funções do monitor são definidas em termos das linhas
da tabela de controle
 Invocação de ação
 RMON: Invocação de Ações
21

 O SNMP só pode ler os valores do objeto e setar

valores de objeto em uma visão da MIB.
 RMON permite invocar uma ação (comando) em função
de valores assumidos por objetos dentro da MIB
 Objeto é usado para representar o comando, e uma ação
específica é tomada se o objeto for setado para um valor
específico. A RMON MIB inclui vários objetos desse tipo.
 Os objetos representam estados. Uma ação é realizada se
a estação gerenciada mudar o estado (valor do objeto)
 Estados podem ser alterados usando o comando SNMP set
 RMON: Compartilhamento de Agentes
22

 Os problemas de compartilhamento são:

 Pedidos concorrentes para recursos podem exceder a capacidade do
monitor fornecer tais recursos;
 Uma estação de gerenciamento pode capturar e manter recursos do
monitor por um longo período de tempo, não permitindo o seu uso para
outras funções de gerenciamento desejadas por outras estações de
gerenciamento.
 Recursos podem ser atribuídos para uma estação de gerenciamento que
pode travar sem liberar os recursos.
 O projetoRMON prevê maneiras de lidar com todas as situações
acima
 Monitor usa uma etiqueta de dono (owner label) nos recursos
alocados.
 endereço IP, nome da estação de gerenciamento, gerente, telefone
 RMON: Possíveis Problemas Práticos
23

 Sobrecarga no processamento de Pacotes

 Exemplo: o usuário estabelece que a estação de
gerenciamento irá recuperar cada pacote individual ou
até mesmo todo cabeçalho de pacote individual em um
canal definido.
 Alternativa é fazer o máximo de análise possível
localmente, no monitor, e enviar mais resultados
agregados para a estação de gerenciamento.
 Exemplo de plataforma remota
 RMON2
24

 RMON1 + extensões
 RMON lida da camada física à camada MAC (enlace)
 RMON2 estende funcionalidades RMON para demais camadas
 RMON2 pode monitorar, por exemplo, WWW, Mail, FTP, …
 Grupos adicionais da RMON2-MIB iso.org.dod.internet.mgmt.mib-
2.rmon……
 protocolDir - Diretório de protocolo
 protocolDist - distribuição de protocolo
 addressMap - mapeamento de endereços
 nlHost - camada de rede do host
 nlMatrix - matriz da camada de rede
 alHost - camada de aplicação do host
 alMatrix - matriz da camada de aplicação
 usrHistory - histórico do usuário
 probeConfig - configuração do probe
 RMON1 x RMON2
25
 RMON1 x RMON2
26
 Estudos de caso
27

 PROBLEMA1: O gerente de rede em uma empresa está

com problemas com os usuários finais. Usuários na
divisão de engenharia estão rodando simulações e
utilizam a rede corporativa. As simulações podem
rodar durante dias e precisam de um conjunto
complexo de conexões cliente/servidor que devem
rodar a velocidade máxima durante toda a simulação.
A partir de um certo momento, as simulações começam
a demorar duas vezes mais e a divisão de engenharia
está culpando a falta de banda e quer que a rede
Ethernet de100Mbps migre para 1Gbps ou mais.
 Estudos de caso
28

 PROBLEMA 2: Um usuário final em uma grande

empresa está reclamando sobre um tempo de
respostas anormalmente lento quando acessa seus
dados de pesquisa.
 Estudos de caso
29

 PROBLEMA 3: Uma grande empresa de petróleo

tem uma grande rede corporativa roteada com
muitas rotas alternativas. O backbone consiste de
enlaces WAN conectados permitindo até 3
caminhos alternativos para o tráfego.
Periodicamente, numa certa hora do dia, usuários
remotos ligam para o helpdesk reportando sérios
problemas de comunicação com o centro de
processamento de dados (conexões caem, etc.).
Técnicos procuram o problema mas ele some
sozinho depois de uma hora.
 RMON: Conclusões
30

 RMON não é simplesmente um agente MIB II

 Uso inteligente do RMON para identificar
problemas (zero-in on problems)
 Filtros podem ser pesados
 Filtros sofisticados podem retornar poucas
informações
 Ambos RMON e RMON2 são importantes
 O que aprendemos sobre SNMP e
31
RMON?
 Quais são as limitações do SNMP?
 Gerencia dispositivos individualmente
 Não permite invocação de ações
 Não coleta tráfego da rede

 Quais são as vantagens do RMON?

 Monitoramento remoto
 Coleta de tráfego da rede (em modo promíscuo)
 Filtragem de captura (channels)
 Dispara ações a partir do gerente e a partir de
alarmes