Опубликован: 10.10.2007 | Уровень: специалист | Доступ: платный
Лекция 9:

Сетевая диагностика. Управляющая база данных MIB

< Лекция 8 || Лекция 9: 123 || Лекция 10 >

Группа локальных переменных IP checkpoint accounting (1.3.6.1.4.1.9.2.4.7.1) представляет собой таблицу, содержащую в каждом рекорде по четыре переменных (в скобках указан суффикс адреса MIB для переменной):

  • ckactbyts [4] — число переданных байт,
  • ckactdst [2] — адрес места назначения,
  • ckactpkts [3] — число переданных пакетов,
  • ckactsrc [1] — адрес отправителя.

Маршрутизаторы Cisco поддерживают две базы данных: active accounting и checkpoint accounting. В первую заносятся текущие результаты измерения входящего и исходящего трафика. Эти результаты копируются в базу данных checkpoint accounting и, если там уже имеются предыдущие данные, они объединяются. Для очистки базы данных checkpointed database выдается команда clear IP accounting, а для базы checkpointclear IP accounting checkpoint (для использования этих команд необходимы системные привилегии). Объем памяти, выделяемой для этих баз данных, задается командой IP accounting-threshold <значение>, по умолчанию максимальное число записей в базе данных равно 512.

Лучшим способом закрепить в памяти все вышесказанное является использование программы SNMPI ( SNMP initiator ) или ее аналога. Если в вашем распоряжении имеется ЭВМ, работающая под Unix, например SUN, вы можете попутно узнать много полезного о вашей локальной сети. Ниже описан синтаксис обращения к SNMPI.

snmpi [-a agent] [-c community] [-f file] [-p portno] [-d] [-v] [-w]

SNMPI — крайне простая программа, используемая для тестирования SNMPD. Чтобы проверить, работает ли она, выдайте команду:

% SNMPI dump

Следует отметить, что в ответ на эту операцию будет произведена весьма объемная выдача.

Опция -a предлагает возможность ввести адрес SNMP -объекта — имя ЭВМ, IP-адрес или транспортный адрес. По умолчанию это местная ЭВМ. Аналогично опция -p позволяет задать номер UDP-порта. По умолчанию это порт 161.

Опция -c позволяет задать пароль (community) для snmp -запроса. По умолчанию это public, т.е. свободный доступ.

Опция -f позволяет выбрать файл, содержащий откомпилированные описания MIB -модулей. По умолчанию это objects.defs.

Опция -w включает режим наблюдения, осуществляя выдачу на терминал всех служебных сообщений. Уход из программы по команде quit ( q ).

Если вы работаете на IBM/PC и ваша машина подключена к локальной сети, получите допуск к одной из UNIX-машин в сети (если вы его не имели) и приступайте. Можно начать с обращения типа:

SNMPI -a 193.124.224.33 
  (адрес или символьное имя надо взять из вашей локальной сети)

Машина откликнется, отобразив на экране SNMPI>, — это означает, что программа имеется и вы можете вводить любые команды.

Начать можно со знакомства с системными переменными (в дальнейшем курсивом выделены команды, введенные с клавиатуры):

SNMPI> get sysdescr.0
snmpi> sysdescr.0="GS software (gs3-k), version 9.1(4) [fc1], software copyright 
(c) 1986-1993 by cisco systems, inc. compiled thu 25-mar-93 09:49 by daveu"
snmpi> get sysobjectid.0
snmpi> sysobjectid.0=1.3.6.1.4.1.9.1.1
snmpi> get sysuptime.0
snmpi> sysuptime.0=14 days, 7 hours, 0 minutes, 15.27 seconds (123481527 timeticks)
snmpi> get sysservices.0
snmpi> sysservices.0=0x6

Код 0x06 (sysservices.0) представляет собой сумму кодов уровней модели ISO, поддерживаемых системой. Для справок: 0x01физический уровень; 0x02 — связной уровень; 0x04Интернет; 0x08связь точка-точка; 0x40прикладной уровень.

Если у вас возникла необходимость просмотреть таблицу, например, udptable, это также можно сделать, используя snmpi:

SNMPI> next udptable
SNMPI> udplocaladdress.193.124.137.14.7=193.124.137.14
SNMPI> next udplocaladdress.193.124.137.14.7
SNMPI> udplocaladdress.193.124.224.33.67=193.124.224.33
SNMPI> next udplocaladdress.193.124.224.33.67
SNMPI> udplocaladdress.193.124.224.33.161=193.124.224.33
SNMPI> next udplocalport.193.124.224.33.67
SNMPI> udplocalport.193.124.224.33.161=161

Если вы хотите получить временные зависимости вариаций потоков дейтограмм, можно воспользоваться услугами программы MRTG. Ниже показана методика выяснения алгоритма и параметров задания величины тайм-аута:

SNMPI> get tcprtoalgorithm.0 tcprtomin.0 tcprtomax.0 tcpmaxconn.0
SNMPI> tcprtoalgorithm.0=vanj(4) (vanj — алгоритм Ван Джакобсона 
  для расчета времени тайм-аута)
tcprtomin.0=300 (минимальное значение тайм-аута = 300 мс)
tcprtomax.0=60000 (максимальное — 60 сек)
tcpmaxconn.0=-1 (никаких ограничений на число соединений)

Чтобы получить информацию о состоянии таблицы адресных преобразований, выдайте команду: SNMPI -a 193.124.224.33 dump at (процедуры с использование субкоманды dump требуют определенного времени для своего исполнения)

atifindex.1.1.193.124.224.33=     1
atifindex.1.1.193.124.224.35=     1
atifindex.3.1.192.148.166.203=    3
atifindex.3.1.192.148.166.205=    3
atifindex.5.1.145.249.30.33=      5
atifindex.5.1.192.148.166.98=     5
atphysaddress.1.1.193.124.224.33= 0x00:00:0c:02:3a:49
atphysaddress.1.1.193.124.224.35= 0x08:00:20:12:1b:b1
atphysaddress.1.1.193.124.224.40= 0x00:00:cd:f9:0d:e7
atphysaddress.1.1.193.124.224.50= 0x00:00:0c:02:fb:c5
atnetaddress.1.1.193.124.224.33=  193.124.224.33
atnetaddress.1.1.193.124.224.35=  193.124.224.35
atnetaddress.1.1.193.124.224.40=  193.124.224.40
atnetaddress.1.1.193.124.224.50=  193.124.224.50
atnetaddress.1.1.193.124.224.60=  193.124.224.60

Текст выдачи с целью экономии места сокращен.

Обычно элементы таблицы расположены в порядке колонка-ряд. Если вы дошли до края колонки или всей таблицы, ЭВМ выдаст вам, в зависимости от реализации программы, имя и значение следующего элемента или сообщение об ошибке.

Чтобы получить полный текст адресной таблицы в рамках SNMPI, достаточно выдать команду:

SNMPI> dump ipaddrtable
snmpi> ipadentaddr.192.148.166.222= 192.148.166.222
ipadentaddr.192.168.1.1=            192.168.1.1
ipadentaddr.192.168.1.2=            192.168.1.2
ipadentaddr.193.124.224.33=         193.124.224.33
ipadentaddr.193.124.224.190=        193.124.224.190
ipadentifindex.192.148.166.222=     3
ipadentifindex.192.168.1.1=         4
ipadentifindex.192.168.1.2=         6
ipadentifindex.193.124.224.33=      1
ipadentifindex.193.124.224.190=     5
(Маски субсетей)
ipadentnetmask.192.148.166.222=   255.255.255.224
ipadentnetmask.192.168.1.1=       255.255.255.0
ipadentnetmask.192.168.1.2=       255.255.255.0
ipadentnetmask.193.124.224.33=    255.255.255.224
ipadentnetmask.193.124.224.190=   255.255.255.224
ipadentbcastaddr.192.148.166.222= 1 
  (Все эти субсети используют для широковещательной адресации 
    одни и те же биты).
ipadentbcastaddr.192.168.1.1=     1
ipadentbcastaddr.192.168.1.2=     1
ipadentbcastaddr.193.124.224.33=  1
ipadentbcastaddr.193.124.224.190= 1
ipadentreasmmaxsize.192.148.166.222= 18024 
(С точки зрения фрагментации и последующей сборки дейтограмм 
   данные субсети эквивалентны).
ipadentreasmmaxsize.192.168.1.1=     18024
ipadentreasmmaxsize.192.168.1.2=     18024
ipadentreasmmaxsize.193.124.224.33=  18024
ipadentreasmmaxsize.193.124.224.190= 18024

Данная распечатка совместно с приведенной для IFtable позволяет получить достаточно полную картину конкретной локальной сети. Чтобы познакомиться с ARP таблицей, можно воспользоваться командой:

SNMPI> dump ipnettomediatable
SNMPI> ipnettomediaifindex.1.193.124.224.33= 1
ipnettomediaifindex.1.193.124.224.35= 1
ipnettomediaifindex.3.192.148.166.193= 3
ipnettomediaifindex.3.192.148.166.196= 3
ipnettomediaifindex.3.193.124.226.110= 3
ipnettomediaifindex.5.145.249.30.33= 5
ipnettomediaifindex.5.192.148.166.100= 5
ipnettomediaphysaddress.1.193.124.224.33= 0x00:00:0c:02:3a:49
ipnettomediaphysaddress.3.192.148.166.196= 0xaa:00:04:00:0c:04
ipnettomediaphysaddress.3.192.148.166.198= 0xaa:00:04:00:0e:04
ipnettomediaphysaddress.3.192.148.166.203= 0x00:00:01:00:54:62
.........................................
ipnettomediaphysaddress.5.145.249.30.33= 0x00:00:0c:02:69:7d
ipnettomediaphysaddress.5.192.148.166.100= 0x00:20:af:15:c1:61
ipnettomediaphysaddress.5.192.148.166.101= 0x08:00:09:42:0d:e8
ipnettomedianetaddress.1.193.124.224.33= 193.124.224.33
ipnettomedianetaddress.1.193.124.224.35= 193.124.224.35
ipnettomedianetaddress.3.192.148.166.193= 192.148.166.193
ipnettomedianetaddress.3.193.124.226.110= 193.124.226.110
ipnettomedianetaddress.5.145.249.30.33= 145.249.30.33
ipnettomediatype.1.193.124.224.33= other(1)
ipnettomediatype.1.193.124.224.35= dynamic(3)
ipnettomediatype.1.193.124.224.37= dynamic(3)
ipnettomediatype.3.192.148.166.195= dynamic(3)
ipnettomediatype.3.192.148.166.222= other(1)
ipnettomediatype.5.193.124.224.190= other(1)
ipnettomediatype.5.193.124.225.33= other(1)
ipnettomediatype.5.193.124.225.35= dynamic(3)

Синтаксис каждого объекта описывается в рамках ASN.1 и показывает побитовое представление объекта. Кодирование объекта характеризует то, как тип объекта отображается через его синтаксис и передается по телекоммуникационным каналам. Кодирование производится в соответствии с базовыми правилами кодирования ASN.1. Все описания объектов базируются на типовых шаблонах и кодах ASN.1 (см. RFC-1213). Формат шаблона показан ниже.

object (Объект):
Имя типа объекта с соответствующим ему идентификатором объекта 
   (object identifier)
syntax (Синтаксис):
asn.1 описание синтаксиса типа объекта.
definition (Определение):
Текстовое описание типа объекта.
access (доступ):
Опции доступа.
status (состояние):
Статус типа объекта.

Маршруты также являются объектами MIB. Согласно требованиям к MIB, каждому маршруту в этой базе соответствует запись, схема которой приведена ниже на рис. 9.3.

Поле место назначения представляет собой IP-адрес конечной точки маршрута. Поле индекс интерфейса определяет локальный интерфейс (физический порт), через который можно осуществить следующий шаг по маршруту. Следующие пять полей ( метрика 1-5 ) характеризуют оценку маршрута. В простейшем случае, например, для протокола RIP, достаточно было бы одного поля. Но для протокола OSPF необходимо 5 полей (разные TOS). Поле следующий шаг представляет собой IP-адрес следующего маршрутизатора. Поле тип маршрута имеет значение 4 для опосредованного достижения места назначения; 3 — для прямого достижения цели маршрута; 2 — для нереализуемого маршрута и 1 — для случаев, отличных от вышеперечисленных.

Поле протокол маршрутизации содержит код протокола. Для RIP этот код равен 8, для OSPF — 13, для BGP — 14, для IGMP — 4, для прочих протоколов — 1. Поле возраст маршрута описывает время в секундах, прошедшее с момента последней коррекции маршрута. Следующее полемаска маршрута, используется для выполнения логической побитовой операции И над адресом в IP-дейтограмме перед сравнением результата с кодом, хранящимся в первом поле записи ( место назначения ). Последнее поле маршрутная информация содержит код, зависящий от протокола маршрутизации и обеспечивающий ссылки на соответствующую информацию в базе MIB.

Формат записи маршрутной таблицы в MIB

Рис. 9.3. Формат записи маршрутной таблицы в MIB

Новым расширением MIB является система удаленного мониторинга сетей (RMON; RFC-1513, -1271, -3577, -3919). RMON служит для мониторирования сети в целом, а не отдельных сетевых устройств. В RMON предусмотрено 9 объектных групп (см. табл. 9.9).

Таблица 9.9. Функциональные группы RMON
Группа Назначение
statistics Таблица, которая отслеживает около 20 статистических параметров сетевого трафика, включая общее число кадров и количество ошибок
history Позволяет задать частоту и интервалы для измерений трафика
alarm Позволяет установить порог и критерии, при которых агенты выдают сигнал тревоги
host Таблица, содержащая все узлы сети, данные по которым приводятся в сетевой статистике
hostTopN Позволяет создать упорядоченные списки, которые базируются на пиковых значениях трафика группы ЭВМ
matrix Две таблицы статистики трафика между парами узлов. Одна таблица базируется на адресах узлов-отправителей, другая — на адресах узлов-получателей
filter Позволяет определить конкретные характеристики кадров в канале. Например, можно выделить TCP-трафик.
packet capture Работает совместно с группой filter. Позволяет специфицировать объем ресурса памяти, выделяемой для запоминания кадров, которые отвечают критериям filter.
event Позволяет специфицировать набор параметров или условий, которые должен контролировать агент. Когда условия выполняются, информация о событии записывается в специальный журнал

Для того, чтобы реализовать функционирование RMON-агента, сетевая карта должна быть способна работать в режиме 6 (promiscuous mode), когда воспринимаются все пакеты, следующие по кабельному сетевому сегменту.

< Лекция 8 || Лекция 9: 123 || Лекция 10 >
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Антон Шавергин
Антон Шавергин
Россия
Степан Крупа
Степан Крупа
Украина, Львів, СЗШ №65, 2012