RMON概述

RMON（Remote Network Monitoring）远程网络监视协议主要实现了统计和告警功能，用于网络中管理设备对被管理设备的远程监控和管理。

统计功能指的是被管理设备可以按周期或者持续跟踪统计其端口所连接的网段上的各种流量信息，比如某段时间内某网段上收到的报文总数，或收到的超长报文的总数等。

告警功能指的是被管理设备能监控指定MIB变量的值，当该值达到告警阈值时（比如端口速率达到指定值，或者广播报文的比例达到指定值），能自动记录日志、向管理设备发送Trap消息。

RMON和SNMP都用于远程网络管理：

▶ SNMP是RMON实现的基础，RMON是SNMP功能的增强。RMON使用SNMP Trap报文发送机制向管理设备发送Trap消息告知告警变量的异常。

虽然SNMP也定义了Trap功能，但通常用于告知被管理设备上某功能是否运行正常、接口物理状态的变化等，两者监控的对象、触发条件以及报告的内容均不同。

▶ RMON使SNMP功能更有效、更积极主动地监测远程网络设备，为监控子网的运行提供了一种高效的手段。

RMON协议规定达到告警阈值时被管理设备能自动发送Trap信息，所以管理设备不需要多次去获取MIB变量的值，进行比较，从而能够减少管理设备同被管理设备的通讯流量，达到简便而有力地管理大型互联网络的目的。

三旺通信万兆网管型交换机—支持RMON有效提升网络监测能力

RMON工作机制

RMON允许有多个监控者，监控者可用两种方法收集数据：

▶ 第一种方法利用专用的RMON probe（探测仪）收集数据，管理设备直接从RMON probe获取管理信息并控制网络资源。这种方式可以获取RMON MIB的全部信息；

▶ 第二种方法是将RMON Agent直接植入网络设备（路由器、交换机、HUB等），使它们成为带RMON probe功能的网络设施。

管理设备使用SNMP的基本操作与RMON Agent交换数据信息，收集网络管理信息，但这种方法受设备资源限制，一般不能获取RMON MIB的所有数据，大多数只收集四个组的信息。

这四个组是：事件组、告警组、历史组和统计组。

我们采用第二种方法，在设备上实现了RMON Agent功能。通过该功能，管理设备可以获得与被管网络设备端口相连的网段上的整体流量、错误统计和性能统计等信息，进而实现对网络的管理。

RMON组

RMON规范（RFC2819）中定义了多个RMON组，设备实现了公有MIB中支持的统计组、历史组、事件组和告警组。

下面对这五个组作简要介绍。

1. 统计组

统计组规定系统将持续地对端口的各种流量信息进行统计（目前只支持对以太网端口的统计），并将统计结果存储在以太网统计表（etherStatsTable）中以便管理设备随时查看。

统计信息包括网络冲突数、CRC校验错误报文数、过小（或超大）的数据报文数、广播、多播的报文数以及接收字节数、接收报文数等。

在指定接口下创建统计表项成功后，统计组就对当前接口的报文数进行统计，它统计的结果是一个连续的累加值。

2. 历史组

历史组规定系统将按周期对端口的各种流量信息进行统计，并将统计结果存储在历史记录表（etherHistoryTable）中以便管理设备随时查看。

统计数据包括带宽利用率、错误包数和总包数等。

历史组统计的是每个周期内端口接收报文的情况，周期的长短可以通过命令行来配置。

3. 事件组

事件组用来定义事件索引号及事件的处理方式。事件组定义的事件用于告警组配置项和扩展告警组配置项中。当监控对象达到告警条件时，就会触发事件，事件有如下几种处理方式：

▶ Log：将事件相关信息（事件发生的事件、事件的内容等）记录在本设备RMON MIB的事件日志表中，以便管理设备通过SNMP GET操作进行查看。

▶ Trap：向网管站发送Trap消息告知该事件的发生。

▶ Log-Trap：即在本设备上记录日志，又向网管站发送Trap消息。

▶ None：不做任何处理。

4. 告警组

RMON告警管理可对指定的告警变量（如端口收到的报文总数etherStatsPkts）进行监视。

用户定义了告警表项后，系统会按照定义的时间周期去获取被监视的告警变量的值，当告警变量的值大于或等于上限阈值时，触发一次上限告警事件；当告警变量的值小于或等于下限阈值，触发一次下限告警事件，告警管理将按照事件的定义进行相应的处理。

当告警变量的采样值在同一方向上连续多次超过阈值时，只会在第一次产生告警事件，后面的几次不会产生告警事件。

即上限告警和下限告警是交替产生的，出现了一次上限告警，则下一次必为下限告警。

如所示，告警变量的值（如图中黑色曲线所示）多次超过阈值（如图中蓝色直线所示），产生了多个交叉点，但只有红叉标识的交叉点才会触发告警事件，其它交叉点不会触发告警事件。

5. 扩展告警组

扩展告警表项可以对告警变量进行运算，然后将运算结果和设置的阈值比较，实现更为丰富的告警功能。

用户定义了扩展告警表项后，系统对扩展告警表项的处理如下：

1)对定义的扩展告警公式中的告警变量按照定义的时间间隔进行采样。

2)将采样值按照定义的运算公式进行计算。

3)将计算结果和设定的阈值进行比较，越过阈值就触发相应事件