Contenido

RMON (Remote Network Monitor, Monitor de Red Remoto)..........................................1

DEFINICIONES:............................................................................................. 1
DESCRIPCIN:.............................................................................................. 2
Gestores mltiples......................................................................................... 3
Configuracin de la sonda RMON : Gestin de tablas.............................................4
MIB RMON v1............................................................................................ 4
MIB RMON v2............................................................................................ 6
FUNCIONAMIENTO....................................................................................... 7
EJEMPLOS DE APLICACIN............................................................................8

RMON (Remote Network Monitor, Monitor de Red Remoto)

DEFINICIONES:
RMON: Define una MIB que ampla las funcionalidades ofrecidas por MIB-II sin la
necesidad de realizar cambios en el protocolo de gestin SNMP. Con la MIB RMON se
puede obtener informacin sobre la red misma, y no sobre los dispositivos conectados a
la red como es el caso de MIB-II.
El monitoreo remoto de redes es la especificacin ms importante que se puede agregar
al conjunto SNMP, MIB-II. Esta especificacin se encuentra descripta en varias RFCs,
las de mayor importancia son las siguientes:

RFC1757: Remote Network Monitoring Management Information Base.

RFC2021: Remote Network Monitoring Management Information Base II.

Sonda RMON: RMON es un protocolo para la monitorizacin remota de redes. Un

agente RMON, denominado tambin monitor o sonda RMON, recoger informacin de
gestin, principalmente estadsticas del trfico, sobre la red entera, y las pone a
disposicin de las estaciones de gestin. Las sondas RMON recopilan informacin y
tiene la misma funcin que un agente SNMP, transmitiendo la informacin
peridicamente. Adems, pueden procesar la informacin a enviar a la estacin de
administrador.
El monitor RMON puede encontrarse en un dispositivo totalmente dedicado para este
servicio, o ser un proceso que se ejecuta en un dispositivo de la red, como por ejemplo
un Switch, consumiendo recursos de memoria y de procedimiento para la funcin de
gestin.
Identificador de la MIB RMON: iso.org.dod.internet.mgmt.mib-2.rmon 1.3.6.1.2.1.16
VERSIONES:
RMON1: orientado a capas fsica y de enlace, su MIB define 10 grupos de objetos:
estadsticas, alarmas, filtros, eventos,...
RMON2: orientado a capas de red y superiores, su MIB define otros 10 grupos de
objetos.
En ambos casos no siempre el dispositivo implementa todos los objetos.

MODELO
TCP/ IP

Aplicacin
Transporte
Red
Enlace
(MAC)
Fsico

Monitoread
o por:

RMON V2

RMON V1

Ilustracin 1: Capas del modelo TCP/IP y las versiones

de RMON

DESCRIPCIN:
En la especificacin RMON se define el explorador RMON (RMON probe) que es todo
sistema que implemente el uso de la MIB RMON. El explorador RMON consta de un
agente RMON, que no difiere de las caractersticas de un agente SNMP, y de una
entidad de procesos RMON (RMON probe process entity) que es la que provee la
capacidad de lectura y escritura en la MIB RMON local.
VENTAJAS
El uso de RMON para la gestin de redes ofrece muchas ventajas, algunas de estas son:

Operacin off-line: an si se ha producido un fallo en la conexin entre el

monitor RMON y la estacin de gestin de red, el monitor continuar
recolectando informacin acerca de la red (performance, trfico, etc.). De esta
manera, cuando se restaure la conexin con el gestor, el monitor enviar la
informacin requerida por ste. Adems, como el monitor recolecta la
informacin estadstica sin necesidad de que el gestor enve constantemente
pedidos, se logra reducir el trfico de polling, disminuyendo el ancho de banda
necesario para gestin en la red.
Deteccin y reporte de fallos: El monitoreo preventivo ofrece la posibilidad de
detectar un fallo antes de que ste ocurra. Esto se logra mediante el anlisis de la
performance y el trfico de la red. El monitor RMON puede configurarse para
que detecte estos casos automticamente, y en caso de ocurrir esta condicin, la
registra y enva un mensaje de notificacin al gestor de red.
Datos con valor agregado: El monitor de red puede realizar un anlisis de la
informacin recolectada de la subred que gestiona. Por ejemplo, puede
reconocer las estaciones que generan mayor cantidad de trfico, o las que
generan mayor cantidad de errores en la red. Esta funcin no podra ser ejercida
por el mismo gestor de red, salvo que se encontrara dentro de la misma subred.
Mltiples Gestores de red: En casos donde la red es muy amplia y consta de
muchas subredes puede ser necesario el uso de ms de un gestor de red. El
monitor de red puede ser configurado para que funcione correctamente con
mltiples gestores de red.

Nota: no todos los monitores de red soportan estas caractersticas, pero la especificacin
provee el soporte para el uso de las mismas.
Gestores mltiples
Cuando un explorador RMON es compartido puede ser accedido desde diferentes
gestores de red y pueden ocasionarse las siguientes dificultades:

1. Si se realizan pedidos de varios gestores a la vez donde cada uno necesita cierta
cantidad de recursos, y la suma de estos excede la capacidad del explorador
RMON, ste no podr entregar dichos recursos ocasionando que alguno de los
pedidos no se lleven a cabo.
2. Si una estacin de gestin retiene recursos del monitor por un perodo largo de
tiempo, puede provocar que otra estacin de trabajo no pueda acceder a los datos
de gestin por falta de recursos.
3. Los recursos pueden estar asignados a un gestor que haya sufrido un fallo sin
haber liberado estos recursos.
Para evitar este tipo de problemas la MIB RMON tiene para todas las tablas de control
definidas una columna que identifica al propietario de la fila correspondiente. Este valor
puede ser usado de las siguientes maneras:
1. Un gestor puede reconocer los recursos que posee y ya no necesita, y de esta
forma puede liberarlos.
2. Un operador de red puede conocer qu gestor est utilizando determinados
recursos o
3. Un operador puede tener la autorizacin para liberar recursos que otros
operadores hayan reservado.
4. Si un gestor ha sido reinicializado puede detectar los recursos que posea
anteriormente y liberar los que ya no necesitar.
La etiqueta de propietario no confiere ningn tipo de seguridad sobre los objetos
asociados. Estos pueden ser ledos, modificados y borrados por cualquier gestor de red
(en caso de que los objetos tengan permisos de lectura y escritura).
Para mejorar la eficiencia del sistema en el uso de los recursos, en casos de gestores
mltiples, pueden compartirse los valores obtenidos por el explorador RMON. Para que
pueda llevarse a cabo esta mejora es necesario que cuando un gestor requiere
informacin, debe observar antes de solicitar los recursos necesarios por si otro gestor
est pidiendo los mismos datos. Si es as, puede leer los datos de las filas de la tabla
creadas por el otro gestor, sin gastar ms recursos del explorador RMON. La desventaja
de compartir recursos se da cuando el propietario de las filas de la tabla ya no necesita
ms la informacin y elimina las mismas, sin saber que estaban siendo utilizadas por
otro gestor.

Configuracin de la sonda RMON: Gestin de tablas

Tabla de Control (r/w):

En ella se colocan los parmetros de configuracin.

El gestor aade una fila en esta tabla para configurar su peticin de
monitorizacin.
La sonda empieza a recolectar datos sobre esa peticin.

Tabla de Datos (r):

Almacena los resultados de la monitorizacin.

El gestor accede a los resultados almacenados.

Ilustracin 2: Ejemplo de Tabla RMON

MIB RMON v1
El monitoreo remoto de redes est especificado con la definicin de una MIB que se
encuentra detallada en la RFC 1757. Esta MIB se encuentra incorporada en el rbol de
MIB-II con el identificador 16. La MIB RMON est compuesta por nueve grupos:
1.
2.
3.
4.
5.
6.
7.
8.
9.

statistics
history
alarms
host
hostTopN
matrix
filter
capture
event

En la RFC 1513 se definen extensiones en la MIB RMON para la gestin de redes tipo
Token Ring (802.5). Esta extensin consiste en el agregado de nuevas tablas en los
grupos ya existentes, statistics y history, y el agregado de un nuevo grupo:
10. tokenRing
Los diez grupos son opcionales para la implementacin de RMON. Sin embargo,
existen algunas dependencias que se detallan a continuacin:
1. El grupo alarm necesita la implementacin del grupo event.
2. El grupo hostTopN necesita la implementacin del grupo host.
3. El grupo packet capture necesita la implementacin del grupo filter.
FUNCION
GRUPO DE RMON
Estadstica

Contiene la estadstica medida por la

punta de prueba para cada interfaz
vigilado en este dispositivo.
Historia
Registra muestras estadsticas peridicas
de una red y las salva para la extraccin
posterior.
Alarmar
Toma muestras estadsticas de variables
en la punta de prueba y las compara
peridicamente
con
los
umbrales
previamente configurados.
Ordenador Principal
Contiene la estadstica asociada a cada
ordenador principal descubierto en la red.
HostTopN
Prepara los vectores que describen los
ordenadores principal que rematan una
lista pedida por una de su estadstica.
Matriz
Estadstica de los almacenes para las
conversaciones entre los conjuntos de dos
direcciones
Filtros
Permite a los paquetes ser correspondido
con por una ecuacin del filtro.
Captura del Paquete
Permite a los paquetes ser capturado
despus de que atraviesen un canal.
Acontecimientos
Controla la generacin y la notificacin
de acontecimientos de este dispositivo.
Token-ring
Ayuda del token ring
Tabla 1. Funciones de los Grupos RMON v1

MIB RMON v2
Se encuentra recogida en la RFC 2021. Hace nfasis en el trfico IP y en el trfico del
nivel de aplicaciones. Su funcin es proporcionar informacin de gestin de los niveles
de red y de aplicacin permitiendo analizar el flujo entre subredes. La RMON MIB v2
aade 10 subgrupos a la RMON MIB v1 .

GRUPO DE RMON
Protocol Directory

FUNCION
Lista de protocolos que la sonda RMON2
puede monitorear con lo cual un gestor
puede conocer cuales son los protocolos
que implementa un agente RMON v2.
Muy importante cuando los gestores y los
agente son de diferentes proveedores.
Protocol Distribution
Estadsticas de trfico por cada protocolo
de nivel de red.
Address mapping
Traduccin entre direcciones MAC y
direcciones IP.
Network Layer host
Estadsticas de trfico de la capa de red en
los host.
Network layer matrix
Estadsticas de trfico entre pares de
nodos a nivel de la capa de red.
Application layer host
Estadsticas de trfico de la capa de
aplicacin, por protocolos, en cada host.
Application layer matrix
Estadsticas de trfico entre pares de host,
por protocolo, de la capa de aplicacin.
User history
Muestreo
peridico
a
variables
especificadas por el usuario. Permite, por
ejemplo, obtener la historia de un servidor
particular o de una conexin router-torouter.
Probe configuration
Suministra un estndar para configurar
remotamente los parmetros de una sonda.
Tabla 1. Funciones de los Grupos RMON v2

FUNCIONAMIENTO
Una configuracin tpica de RMON consiste en la direccin de la estacin central de la
red y un dispositivo que hace un monitoreo remoto, llamado un agente de RMON. La
direccin de la estacin de la red puede ser el servidor o una PC basada en Windows o
basada en UNIX que ejecuta una aplicacin, tal como anlisis de efectividad. De esta
estacin, se puede publicar comandos del SNMP que solicita la informacin del agente
de RMON. El agente de RMON enva la informacin solicitada a la estacin, que
procesa y visualiza esta informacin sobre su consola.
El agente de RMON es un software que reside dentro de la red. Mientras que los
paquetes viajan a travs de la red, el agente de RMON recoge y analiza datos de
Ethernet en tiempo real en un segmento alejado del LAN y salva continuamente los
datos localmente en Ethernet DCM segn la especificacin del MIB de RMON.
Para poder administrar una red de manera correcta tambin es necesario un buen y
potente software. Suele ser una buena eleccin el software programado por grupos de
seguridad conocidos.

Ilustracin 3: Esquema de operacin de RMON

EJEMPLOS DE APLICACIN
Ejemplo 1:
Problema:

El personal de la divisin de ingeniera de un fabricante de computadoras corre

simulaciones sobre la Intranet lo que tpicamente dura das y requiere la mxima
velocidad de la red.
Las simulaciones comenzaron a estar muy lentas y la divisin de ingeniera le
echo la culpa a la falta de ancho de banda de la red exigiendo que la tecnologa
de su LAN fuera reemplazada con otra de ms velocidad.

Metodologa de Solucin:
El administrador de red:
o Analiz el historial de trfico de las sondas RMON en las LAN criticas
de ingeniera.
o Elabor grficos que mostraban la utilizacin y la mxima utilizacin de
las mquinas de la red.
Resultado:
o La utilizacin del ancho de banda de las LAN nunca alcanzo el 10 %.
o La mquina de ms trfico en la red de ingeniera era una x-terminal
corriendo un sofisticado protector de pantalla desde el servidor.
La divisin de ingeniera no se quej desde entonces.
Ejemplo 2:
Problema:
La Internet de una ciudad presenta baja respuesta.
Los usuarios reportan problemas en el acceso a los servidores va TCP/IP.
Eventualmente, los problemas se resuelven reseteando los servidores pero es una
solucin temporal pues los problemas se vuelven a presentar.
Metodologa de Solucin:
El administrador de red coloca:
o Varias sondas RMON en la red y detecta que el trfico de broadcast es el
40% del trfico de la red.
o Filtros en las sondas para capturar slo el trfico de broadcast, resultando
que varios de los servidores estaban enviando solicitudes ARP en
proporcin anormal.
o Filtros para capturar una conversacin cliente/servidor observndose que
todas las solicitudes al servidor estaban siendo respondidas, no con una
respuesta, sino con una solicitud ARP.

 Se evidencia que el servidor pierde informacin de las direcciones fsicas de los

clientes tan pronto como la obtiene, o sea, su cach ARP se limpia
constantemente.
Al revisar la configuracin del servidor se encontr que valor de time out de la
cach estaba fijada en milisegundos en vez de en minutos.
El problema de la red se resolvi completamente cambiando el valor de time
out de la cach.
Ejemplo 3:
Problema:
Una gran empresa posee una Internet corporativa enrutada y muy redundante
con topologa malla en el backbone de la WAN al cual se conectan las LAN.
Peridicamente, en un cierto momento del da, los usuarios remotos llaman
reportando problemas severos de comunicacin con el centro de datos.
Los tcnicos se esfuerzan para encontrar el problema pero este desaparece
despus de aproximadamente una hora.
Metodologa de Solucin:
El administrador de la red:
o Coloc agentes RMON en las LAN conectadas a los enlaces WAN
conociendo el comportamiento adecuado del trfico en las mismas.
o Fij umbrales para que cualquier desviacin del rango de trfico activara
una alarma.
Durante una de las ocurrencias peridicas del problema un agente dispar la
alarma por poseer proporciones de trfico de 10 a 12 veces por encima de lo
normal.
Se detecta que los causantes eran dos puertos del router de la LAN que llevaban
a la WAN.
Una captura de trfico demostr que la mayor parte del trfico de la LAN venia
de la WAN y se destinaba a estaciones fuera de la red local.
Se encontr que el router del problema calculaba mal sus tablas de asignacin de
rutas durante el chequeo peridico que un tcnico haca en cierto momento del
da.
En lugar de enrutar el trfico dentro de la infraestructura de la malla de la WAN,
estaba desviando el trfico a la LAN desde donde era enrutado nuevamente a la
WAN.
Esto provocaba que la LAN en cuestin formaba parte del backbone corporativo
durante una hora hasta que el router se arreglaba a si mismo.
Se cambi el protocolo de ruteo y la lista de acceso al router se modific para
quitar el impacto de las actividades del tcnico.