RMON远端网络监视协议详解（建议收藏）

RMON概述

RMON（Remote Network Monitoring）远端网络监视协议主要实现了统计和告警功能，用于网络中管理装置对被管理装置的远端监控和管理。

统计功能指的是被管理装置可以按周期或者持续跟踪统计其埠所连线的网段上的各种流量资讯，比如某段时间内某网段上收到的报文总数，或收到的超长报文的总数等。

告警功能指的是被管理装置能监控指定MIB变数的值，当该值达到告警阈值时（比如埠速率达到指定值，或者广播报文的比例达到指定值），能自动记录日志、向管理装置传送Trap讯息。

RMON和SNMP都用于远端网络管理：

▶ SNMP是RMON实现的基础，RMON是SNMP功能的增强。RMON使用SNMP Trap报文传送机制向管理装置传送Trap讯息告知告警变数的异常。

虽然SNMP也定义了Trap功能，但通常用于告知被管理装置上某功能是否执行正常、界面物理状态的变化等，两者监控的物件、触发条件以及报告的内容均不同。

▶ RMON使SNMP功能更有效、更积极主动地监测远端网络装置，为监控子网的执行提供了一种高效的手段。

RMON协议规定达到告警阈值时被管理装置能自动传送Trap资讯，所以管理装置不需要多次去获取MIB变数的值，进行比较，从而能够减少管理装置同被管理装置的通讯流量，达到简便而有力地管理大型互联网络的目的。

三旺通讯万兆网管型交换机—支援RMON有效提升网络监测能力

RMON工作机制

RMON允许有多个监控者，监控者可用两种方法收集资料：

▶ 第一种方法利用专用的RMON probe（探测仪）收集资料，管理装置直接从RMON probe获取管理资讯并控制网络资源。这种方式可以获取RMON MIB的全部资讯；

▶ 第二种方法是将RMON Agent直接植入网络装置（路由器、交换机、HUB等），使它们成为带RMON probe功能的网络设施。

管理装置使用SNMP的基本操作与RMON Agent交换资料资讯，收集网络管理资讯，但这种方法受装置资源限制，一般不能获取RMON MIB的所有资料，大多数只收集四个组的资讯。

这四个组是：事件组、告警组、历史组和统计组。

我们采用第二种方法，在装置上实现了RMON Agent功能。通过该功能，管理装置可以获得与被管网络装置埠相连的网段上的整体流量、错误统计和效能统计等资讯，进而实现对网络的管理。

RMON组

RMON规范（RFC2819）中定义了多个RMON组，装置实现了公有MIB中支援的统计组、历史组、事件组和告警组。

下面对这五个组作简要介绍。

1. 统计组

统计组规定系统将持续地对埠的各种流量资讯进行统计（目前只支援对以太网埠的统计），并将统计结果储存在以太网统计表（etherStatsTable）中以便管理装置随时检视。

统计资讯包括网络冲突数、CRC校验错误报文数、过小（或超大）的资料报文数、广播、多播的报文数以及接收字节数、接收报文数等。

在指定界面下建立统计表项成功后，统计组就对当前界面的报文数进行统计，它统计的结果是一个连续的累加值。

2. 历史组

历史组规定系统将按周期对埠的各种流量资讯进行统计，并将统计结果储存在历史记录表（etherHistoryTable）中以便管理装置随时检视。

统计资料包括带宽利用率、错误包数和总包数等。

历史组统计的是每个周期内埠接收报文的情况，周期的长短可以通过命令列来配置。

3. 事件组

事件组用来定义事件索引号及事件的处理方式。事件组定义的事件用于告警组配置项和扩充套件告警组配置项中。当监控物件达到告警条件时，就会触发事件，事件有如下几种处理方式：

▶ Log：将事件相关资讯（事件发生的事件、事件的内容等）记录在本装置RMON MIB的事件日志表中，以便管理装置通过SNMP GET操作进行检视。

▶ Trap：向网管站传送Trap讯息告知该事件的发生。

▶ Log-Trap：即在本装置上记录日志，又向网管站传送Trap讯息。

▶ None：不做任何处理。

4. 告警组

RMON告警管理可对指定的告警变数（如埠收到的报文总数etherStatsPkts）进行监视。

使用者定义了告警表项后，系统会按照定义的时间周期去获取被监视的告警变数的值，当告警变数的值大于或等于上限阈值时，触发一次上限告警事件；当告警变数的值小于或等于下限阈值，触发一次下限告警事件，告警管理将按照事件的定义进行相应的处理。

当告警变数的取样值在同一方向上连续多次超过阈值时，只会在第一次产生告警事件，后面的几次不会产生告警事件。

即上限告警和下限告警是交替产生的，出现了一次上限告警，则下一次必为下限告警。

如所示，告警变数的值（如图中黑色曲线所示）多次超过阈值（如图中蓝色直线所示），产生了多个交叉点，但只有红叉标识的交叉点才会触发告警事件，其它交叉点不会触发告警事件。

5. 扩充套件告警组

扩充套件告警表项可以对告警变数进行运算，然后将运算结果和设定的阈值比较，实现更为丰富的告警功能。

使用者定义了扩充套件告警表项后，系统对扩充套件告警表项的处理如下：

1)对定义的扩充套件告警公式中的告警变数按照定义的时间间隔进行取样。

2)将取样值按照定义的运算公式进行计算。

3)将计算结果和设定的阈值进行比较，越过阈值就触发相应事件