基于web的网管系统设计开发

第一章绪论11课题背景随着计算机网络的迅速发展，特别是国际互联网的不断地推广，计算机网络的使用越来越广泛，人们的生产生活学习对计算机网络的依赖也越来越大。同时，随着计算机网络的网络规模的不断扩大和连入网络的设备越来越多样，网络的复杂性也越来越高，网络的异构性也越拉越高。于是，网络管理就成为了一个重要的研究课题。网络管理是对硬件、软件、人力的综合使用和协调，对网络资源进行监视、测试、配置、分析、评价和控制，从而以合理的价格满足网络的需求，如实时运行性能、服务质量等1。从定义中可以看出，网络管理包含了两个重要的任务，一是对网络运行状态的监测，二是对网络的运行进行控制。通过监测可以了解当前网络运行的状态是否正常，是否存在潜在的风险；通过控制可以对网络状态进行调节，提高其性能，保证其服务。随着目前网络系统内部的节点越来越多并且地理上的覆盖范围也不断的扩大，网络所涉及的通信协议也越来越丰富，组网的产品系列也越来越多，经常在一个网络内集成有多个计算机和网络厂家的产品，所有的这些都导致了网络管理的难度越来越大。如此之多的复杂的、大的、异构型设备所构成的计算机网络，必须要有有效的管理技术是无法保证网络的协调而高效的运行。因此，需要一个网络管理系统，不仅仅能保证网络不间断地正常运行，并且能够统一管理各种设备，能够保证网络的信息安全。与网络技术本身日新月异的发展相比，网络管理技术的进步显得有点步履维艰。功能单一、缺乏管理、耗资巨大是广大用户普遍不满的主要原因。因此，未来的网络管理要强调更好的接入控制，即是加强不同用户、多媒体业务功能的管理。同时人工智能技术将会应用到网络管理中去，未来的网络管理系统还将具有自学能力和自我规划功能。现在，网络管理越来越受到人们的重视，随着IT技术的进步，网络管理技术将逐渐成熟并日臻完善。基于WEB的网络管理技术是一种全新的网络管理模式，具备灵活性、易操作性等特点，出现伊始就表现出强大的生命力。12网络管理功能概述121网络管理的功能网络管理有五大功能，即为故障管理（FAULTMANAGEMENT）、配置管理（CONFIGURATIONMANAGEMENT）、计费管理（ACCOUNTINGMANAGEMENT）、性能管理（PERFORMANCEMANAGEMENT）和安全管理（SECURITYMANAGEMENT），简写为FCAPS。在传统意义上，性能管理、故障管理和计费管理可以归为网络监视功能，而配置管理和安全管理归属为网络控制功能。2配置管理配置管理是最基本的网络管理功能，负责网络的建立、业务的展开以及配置数据的维护。配置管理功能主要包括资源清单管理、资源开通以及业务开通。资源清单的管理是所有配置管理的基本功能，资源开通是为了满足新业务需求及时的配置资源，业务开通是为了端点用户分配业务或功能。配置管理建立资源管理信息库（MIB）和维护资源状态，为其他的网络管理功能利用。配置管理初始化网络，并配置网络，以使其提供网络服务。配置管理的目的是为了实现某个特定的功能或使网络性能达到最优。性能管理性能管理的目标是维护网络的服务质量（QOS）和网络运营的效率。为此，性能管理要提供性能监测功能、性能分析功能以及性能管理功能。同时，还要提供性能数据库的维护以及种子发现性能严重下降是启动故障管理系统的功能。网络服务质量和网络运营效率有时是相互制约的。较高的服务质量通常需要较多的网络资源（带宽、CPU时间等），因此在制定性能目标时要在服务质量和运营效率之间进行权衡。在一般的性能管理中，维护服务质量是第一位的。故障管理故障管理是网络管理中最基本的功能之一。用户都希望使用的网络可靠稳定。当网络中的某个组成部分发生故障是，网络管理器必须迅速的查找到故障并及时排除。故障管理的主要任务是发现和排除网络故障。故障管理用于保障网络资源无障碍的无错误的运营状态。包括障碍管理、故障恢复、预防故障。障碍挂你的内容有告警、测试、诊断、业务恢复、故障设备更换等等。预防故障为网络提供自愈能力，在系统可靠性下降，业务经常受到影响的准故障条件下实施。在网络的监测和测试中，故障管理参考配置管理的资源清单来识别网络元素。如果维护状态发生变化，或者故障设备被替换，以及通过网络重组迂回故障时，要与资源MIB互通。如果维护状态影响了有质量保证承诺的业务时，故障管理管理要与计费管理互通，以赔偿用户的损失。计费管理计费管理记录了网络资源的使用，目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价。网络管理员还可以规定用户可以使用的最大费用，从而控制用户过多占用和使用网络资源。这也从另一个方面提高了网络的效率。另外，当用户为了一个通信目的需要使用多个网络中的资源时，计费管理应可计算总费用。安全管理安全性一直是网络的薄弱环节之一，而用户对网络安全的要求又相当高，因此网络安全管理非常重要。网络中主要有以下几个安全问题网络数据的私有性（保护网络数据不被侵入者非法获取）；授权（防止侵入者在网络上发送错误信息）；访问控制（控制对网络资源的访问）。安全管理采用信息安全措施保护网络中系统、数据、以及业务。安全管理与其他管理功能有着密切的关系。安全管理要调用配置管理中的系统服务对网络中的安全设施进行控制和维护。当网络发现安全方面的故障时，要向故障管理通报安全故障事件以便进行故障诊断和恢复。安全管理功能还要接受计费管理发来的与访问权限有关的计费数据和访问事件通报。122网络管理的方式现有的网络设备的管理有以下几种方式基于终端控制台的网络管理终端控制台管理采用命令行的方式，通常提供了设备最基本的系统配置和状态信息，也可以提供最详细和复杂的系统配置。管理员可以使用专门的管理命令集来管理设备。基于TELNET远程登录控制管理此种方式也是采用命令行的方式，终端使用者可以在TELNET程序中输入命令，这些命令就会在服务器上运行，就像直接在服务器的控制台上输入一样，可以在本地控制服务器。SNMP管理和RMONSNMP管理是计算机网络比较基本的管理方式，有一套简单的网关协议规范组成，可以完成基本的网络管理任务，对网络的资源需求较少，主要通过不同类型的消息，实现网络信息的交换。基于WEB的网络管理基于WEB的管理通常把WEB服务器集成在被管理的设备上，是被管理的设备相当于一台WEB服务器。通过管理者的计算机浏览器来访问该设备，来完成管理功能。3各种不同的网管方式各有优缺点，在对设备的网管系统进行设计时，可以根据实际情况来选择所需的最为合适的管理方式。当然，提供的管理方式越多，意味着用户可以更加灵活的管理设备，用户可以通过多种方式在不同的场合管理和配置设备。13基于WEB的网络管理简述基于WEB的网络管理WBM（WEBBASEDMANAGEMENT）主要应用于一个组织内部的信息共享，以运行兼容HTML语言的相关应用层协议的WEB服务器组建而成。技术允许管理人员通过WEB浏览器来监测他们的网络，WBM使用户管理网络的方式得以彻底改善，从而实现了“自己管理网络”和“网络管理自动化”，使得网络用户管理网络的方式得以改善。4WBM技术的一个优点是不需要使用专门的管理软件，通过INTERNET使用网络浏览器就可以实现管理功能，这就使网络管理突破了地理条件的限制。只要能够连接网络，网络管理人员就可以使用任何一种WEB浏览器，输入设备的IP地址，就可以在网络中的任一节点上方便迅速地配置、控制、存取网络中设备的各种运行和配置状态信息。WBM有两种实现的方式。第一种是基于代理的方式，也就是将一个WEB服务器加到一个内部工作站（代理）上，工作站轮流与端设备通信，浏览器用户通过HTTP协议与代理通信，同时代理通过SNMP协议与端设备通信。第二种是WBM嵌入式方式，将WEB功能嵌入到网络设备中，每个设备有它自己的WEB地址，管理人员可以轻松地通过浏览器访问到该设备并且管理设备。基于代理的WBM方案保留了现存的基于工作站的网管系统及设备的全部优点，同时还增加了访问灵活的优点。第二种方式，嵌入式方案给各独立被管设备带来了图形化的管理，它为管理者提供了非常简单易用的接口，因此优于现在的命令行或基于菜单的远程登录界面。两种方式各有优缺点，可以根据实际需要选择合适的管理方式，有的网络管理中需要同时利用这两种的网络管理方式。本文主要讨论了嵌入式方案的基于WEB网络管理方式。嵌入式的基于WEB的网络管理完全采用WEB技术，例如通信协议HTTP协议，网络拓扑算法采用高效的WEB搜索、查询点索引技术，网络管理层次或域的组织采用灵活的虚拟形式，不再受限于地理位置等因素。嵌入式的WBM方案对于小型的办公室网络来说是理想的管理方式。小型办公室网络相对来说比较简单，也不需要强大的管理系统和整个企业的网络视图。由于小型办公室网络经常缺乏网络管理和设备控制人员，而内嵌WEB服务器的管理方式则可以把用户从复杂的管理中解脱出来。第二章基于WEB的网络管理21网络管理模型网络管理中，一般采用管理站代理的管理结构，通过管理进程与一个远程的系统相互作用来实现对远程资源的控制。这种简单的体系结构中，一个系统中的管理进程担当管理站的角色，被称为网络管理站，而另一个系统中的对等实体担当代理者的角色，称之为管理代理。网络管理站将管理要求通过管理操作指令传送给位于被管理系统中的管理代理，对网络内的各种设备、设施、资源实施监视和控制，管理代理则负责管理指令的执行，并且以通知的形式向网络管理站报告被管理对象发生的一些重要事件。下面介绍一些会经常用到的术语网络元素（NETWORKELEMENT）网络中一些具体的通信设备或者逻辑实体；对象（OBJECT）通信和信息范畴里可标识的拥有一定信息特性的资源；网络管理站（NETWORKMANAGER）一般位于网络系统的主干位置或接近主干位置的工作站、微机等，负责发出管理操作的指令并接受来自代理的信息。网络管理站要求管理代理定期收集重要的设备信息。管理代理（NETWORKAGENT）位于管理的设备内部，通常将主机和网络设备等所有的被管理的网络设备称为管理代理。管理代理把来自网络管理站的命令或信息请求转换为本设备的的特有的指令，完成网络管理站的指示，返回他所在的设备信息。网络代理也可能因为某种原因拒绝网络管理站的指令，另外，管理代理也可以把自身系统中发生的事件主动通知给网络管理站。网络管理协议用于网络管理站和管理代理之间传递信息，并完成信息交换安全控制的通信规约就称为网络管理协议。网络管理站通过网络管理协议从管理代理那里获取管理信息或向管理代理发送命令；管理代理也可以通过网络管理协议主动发送报告紧急信息。管理信息库MIB（MANAGEMENTINFORMATIONBASE）MIB是一个信息储存库，是对于通过网络管理协议可以访问信息的精确定义，所有相关的被管对象的网络信息都放置在MIB上。MIB库采用了结构化的管理信息定义，称为管理信息结构（STRUCTUREOFMANAGEMENTINFORMATION，SMI），它规定了如何识别管理对象以及如何组织管理对象的信息结构。MIB库中的对象按层次进行分类和命名，整体表示为一种树形结构，所有被管理的对象都位于树的叶子节点，中间节点为该节点下的对象组合。MIB是网络管理系统中的重要构件。它是由一个系统内的许多被管对象及其属性组成。MIB实际上就是一个虚拟数据库，由管理进程和各个代理进程共同使用。22基于WEB的网络管理作为一种新出现的网络管理模式，基于WEB的网络管理模式（简称为WBM，WEBBASEDMANAGEMENT），以其特有的灵活性和易操作性等优点获得了许多用户的青睐，被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。WEB页面配置管理性能管理故障管理计费管理安全管理图21基于WEB的网管系统基本结构221WBM简介一般的INTRANET都运行于TCP/IP协议之上并且通过防火墙将其与外部的的INTERNET隔离。网络内部都建有WEB服务器，他们通过与超文本标记语言（HYPERTEXTMARKUPLANGUAGE，HTML）有关的协议与其他的用户通信。INTRANET用户可以在任何的一个网络节点或是网络平台使用有友好的、易于操作的WEB浏览器与服务器进行通信。除此之外，WEB技术更有利于优化网络配置和降低网络扩展和维护的费用。因为WEB浏览器对于计算机硬件的要求很低，所以管理员可以把很多的计算和存储的任务转移到WEB服务器上去完成，而允许用户依靠简单的、廉价的计算机平台去访问它们。这种BROWSER/SERVER的计算模式与传统的CLIENT/SERVER计算模式相比，降低了系统对对于硬件的要求并且提供给了管理者们更大的灵活性。简单的说，基于WEB的网络管理模式实际上就是将INTRANET技术与现用的网络管理技术相结合，为网络管理人员提供更具有分布型和实时性的服务，操作也更为方便，管理能力也变得更强的一种网络管理方法。WBM网络管理模型的主要优点有（1）地理上和系统上的可移动性。传统的网络管理方法中，管理员想要查看网络设备的信息，就必须在网管中心进行网络管理的有关操作。在基于WEB的网络管理可以允许网管人员通过WEB浏览器从内部网络的任何一台工作站上进行网络管理的有关操作。对于网络管理系统来说，在一个平台上实现的管理系统服务器，可以从任何一台装有WEB浏览器的工作站上访问，工作站的硬件系统可以是专用的工作站，也可以是普通的PC机，操作系统的类型也不受限制。（2）具有统一的网络管理程序界面。网络管理者们不必像以往一样学习和运用不同的厂商的网络管理系统程序的操作界面，而是通过简单的WEB浏览器进行操作，完成网络管理的各项任务。（3）易于获得帮助信息。因为WEB浏览器本身可以连接网络，所以只要WBM系统只要提供网络管理服务器供应商的联机技术支持中心的链接，用户就可以得到实时的帮助。（4）网络管理平台具有独立性。WBM的应用程序可以在任何的各种环境下使用，包括不同的操作系统、体系结构和网络协议，无须进行系统移植。（5）网管系统之间可以实现无缝连接。管理者们可以通过浏览器在不同的管理系统之间的切换，比如厂商A开发的网络性能管理系统和厂商B开发的网管故障管理系统之间切换，使得两个系统能够平滑地相互配合，组合成为一个整体。（6）较低的成本开销。WBM的另一个优点是它降低了各个方面的成本。平台的独立性可以较大的减少开发成本，易于减少设备维护的成本，而且易于使用和可以提供帮助的特性可以使网管人员的培训费用大大降低。222WBM的标准5开放的标准时候降低网管系统复杂性和降低网络管理费用的必备条件，WBM管理的开放式标准必不可少，有两个WBM的标准目前正在酝酿之中，一个是WBEMWEBBASEDENTERPRISEMANAGEMENT标准，另一个是JMAPI（JAVAMANAGEMENTAPPLICATIONPROGRAMINTERFACE）标准。（1）WBEM基于WEB的企业管理标准WBEM是由微软公司于1996年7月提议的，目前已经得到了3COM，CISCO，INTEL等网络厂商的支持。WBEM是一个面向对象的工具，各种抽象的管理数据对象通过多种协议从多种的资源中收集。WBEM能够通过单一的协议来管理这些对象，被定为成兼容和扩展当前标准，而不是取代他们。尽管WBEM事实上是一个WEB应用，但是他真正的目标是对所有的网络元素和系统进行管理，包括网络设备、服务器、工作平台和应用程序。WBEM的目的是建立一个工业标准，使得管理者们可以使用任何的浏览器管理分布的网络系统以及其应用。图片22WBEM的体系结构WBEM定义描述了体系结构、协议、管理模式以及对象管理器，管理者们可以使用HTML或者其他的INTERNET数据格式并且使用HTTP的传输请求。WBEM旨在提供一个可以伸缩的异构的网络管理机构，他与网络管理协议如SNMP、DMI兼容。WBEM定义了网络管理体系结构、协议、管理模式和对象管理器，管理信息采用HTML或其他的INTERNET数据格式，使用HTTP传输请求。WBEM包括以下三个部分HMMSHYPERMEDIAMANAGEMENTSCHEMA、HMMPHYPERMEDIAMANAGEMENTPROTOCOL、HMOMHYPERMEDIAOBJECTMANAGER。HMMS是一种可扩展、易于独立于实现的公共数据的描述模式，可以描述、实例化和访问各种不同类型的数据，是对各种被管理对象的高层抽象。HMMP是一种访问和控制模式的部件协议，可以用于在HMMP实体之间的传送信息，属于应用层的协议。HMMP是关键，这个传输协议处理包括重发的功能、分组速率、消息拆分以及传送正式等功能。HMMP客户可能是针对于特定的设备的管理进程，也是可以一般的交互式的浏览器，他能够管理有HMMP管理的任何的对象。HMOM的特色功能是用户主要与指定的HMOM通信，由它完成请求的管理任务，减轻HMMP客户定位和管理多种设备的负担。（2）JMAPIJAVA管理应用程序接口是SUN公司作为他的JAVA标准扩展的API结构而提出的。JMAPI的目标是解决分布式系统管理的问题。JMAPI是一种轻型的管理基础结构，他对被管资源和服务进行抽象，提供了一个基本类集合。出去字面上的意思之外，JMAPI更是一个完全的网络管理应用程序开发环境。他提供了一张功能齐全的特性表，其中包括创建特性表、图表的用户接口类；基于SNMP的网络API；远程过程调用的结构化数据访问方式和类型向导等。图片23JMAPI的体系结构开发者可以用JMAPI实现具有完整性和一致性的公共管理，并可以通过对JMAPI的扩展，满足特定的网络管理应用的需要。JMAPI不仅仅是一个类库的集合，它还具有独特的网络管理体系结构。JMAPI由浏览器用户界面、管理运行模块ARMADMINRUNTIMEMODULE和被管元素三个部件组成。其中浏览器界面是管理人员进行管理操作的界面，用来管理视图模块、被管对象接口和支持JAVA的浏览器；管理运行模块对被管对象进行实例化，是整个管理的核心，有HTTP服务器、被管对象工厂、代理对象接口和通报分发器组成；被管元素指被管理的系统和设备，由代理对象构成。三个部件可以通过JRMI（JAVAREMOTEMETHODINVOCATION）进行通信。23WBM的实现方式有两种基本的方案可以实现WBM。一种是基于代理的解决方案，另一种是嵌入式解决方案。231基于代理的解决方案图24基于代理的解决方案基于代理的解决方案是在网络管理平台之上叠加一个WEB服务器，在一个内部工作站上运行WEB服务器（代理），使其成为浏览器用户的网络管理代理者，这个工作站与被管理设备之间通信，浏览器用户与WEB服务器进行通信，网络管理平台通过SNMP或者CMIP与被管设备通信，收集、过滤、处理各种管理信息，维护网络管理平台数据库。WBM应用通过网络管理平台提供的API接口获取网络管理信息，维护WBM专用数据库。管理人员通过浏览器向WEB服务器发送HTTP请求来实现对网络的监视、调整和控制。WEB服务器通过CGI调用相应的WBM应用，WBM应用把管理信息转换为HTML形式返回给WEB服务器，由WEB服务器响应浏览器的HTTP请求。基于代理的解决方案保留了现存的网络管理系统的特性的基础上，提供了操作网络管理系统的灵活性。代理者能与所有被管设备通信，WEB用户也就可以通过代理者实现对所有被管设备的访问。代理者与被管对象之间通过SNMP通信，因此可以利用传统的网络管理设备实现这种方案。232嵌入式解决方案图25嵌入式解决方案嵌入式的解决方案将WEB能力嵌入到被管设备之中。WEB服务器事实上已经嵌入到了终端网络设备之中。每一个设备都有自己的WEB地址，这样的网络管理员就可以通过WEB浏览器与HTTP协议直接访问设备的地址来管理这些设备。代理的解决方案集成了基于工作站的管理系统和产品的所有优点，此外它还具有访问灵活的优点。因为代理服务器和所有的网络终端设备通信仍然他那个过SNMP协议，因而这种解决方法可以和只支持SNMP协议的设备协同工作。从另一方面看，内嵌服务器的方法带来了单独设备的图形化管理。他提供了比命令行和基于菜单的TELNET接口更加简单易用的接口，能够在不牺牲功能的前提下简化操作。嵌入式的解决方案给各个被管设备带来了图形化的管理，提供了简单的管理接口。网络管理系统完全采用WEB技术，例如通信协议HTTP协议，管理信息库利用HTML语言来描述，网络拓扑算法采用高效的WEB搜索、查询点索引技术，网络管理层次或域的组织采用灵活的虚拟形式，不再受限于地理位置等因素。嵌入式的WBM方案对于小型的办公室网络来说是理想的管理方式。小型办公室网络相对来说比较简单，也不需要强大的管理系统和整个企业的网络视图。由于小型办公室网络经常缺乏网络管理和设备控制人员，而内嵌WEB服务器的管理方式则可以把用户从复杂的管理中解脱出来。另外，基于WEB的设备真正实现了即插即用，减少了安装时间和故障排除时间。6嵌入式的解决方案可以带给各个独立被管理对象提供一个图形化的界面管理。它给管理者提供了很简单易用的接口，比现在的命令行和基于菜单的远程登录界面更加简单实用。基于代理的解决方案留存了现存的基于工作站的网络管理系统的全部的优点，而且还增加了访问设备的灵活性的优点。代理能与所有的被管理设备进行通信，所以它可以提供一个公司所有被管理物理设备的全体影响。代理与设备之间是通过SNMP通信，所有这些方案的实施只需要那些传统的解决方法就可以实现。未来的应用中，两种方案可能会被综合使用，一个大型机工可能需要通过代理的方案来进行全网的管理，而嵌入式方案可以应用于小规模的环境之中。小型网络不需要强大的管理系统，因此嵌入式方案更具备有优势。233实现WBM的关键技术实现WBM的技术有多种，最为常用的就是描述WWW页面的语言HTML。HTML用于生成用户在浏览互联网时看到的网页的语言，可以构建页面的现实和播放信息，并可以提供到达其他的页面的超级链接，图形和动态元素也可以嵌入到HTML页面中。因此可以用HTML页面提供WBM的用户信息接口是很理想的。HTML还可以展示例如网络IP地址和产品清单等的信息表。WBM的另一个关键技术是通过WEB浏览器访问数据库。构成WBM用户界面的HTML文档是WEB浏览器和服务器之间交流的重要中介，WEB文档使用HTML标准格式，HTML语言本身只用来定义超文本文档的外观，不能实现交流的动态性和交互性。传统的WEB不能直接访问数据库，但似乎随着数据库发布技术的进步，这个问题已经得到了解决。现在已经有多种的WEB访问数据库技术，其中公共网关接口（COMMONGATEWAYINTERFACE，CGI）技术得到了较多的应用。CGI提供了基于WEB的数据库访问能力。当WBM应用程序需要访问MIB时，可以利用CGI对数据库进行查询，并格式化HTML页面。CGI程序可以在多种的平台上实现一定的功能，而不需要进行太大的更改就可以完成移植，CGI程序可以在任何凭他、用任何的语言编写，只要满足CGI规范就可以了。另外还有一个重要的技术，就是JAVA语言。它是一种解释性的程序语言，也就是在程序运行时，代码才被处理器程序解释。解释器语言易于移植到其他的处理器上。JAVA的解释是一种被称为JAVA虚拟机（JVM）的设备，它可以应用于千变万化的其他处理器上，而且可以被绑定在WEB浏览器上，使得浏览器能够执行JAVA代码。JAVA提供了一套独立而完备的程序APPLETS专用于WEB。APPLETS能够被传送到浏览器，并且在浏览器的本地机上运行。APPLET具有浏览器强制安全机制，可以对本地系统资源和网络资源的访问进行安全控制。24WBM中的安全性考虑WBM的安全问题在众多网络安全问题中是首要的。一个安全的WBM系统要能够保证网络管理信息的保密性、完整性和真实性。保密性不仅涉及网管信息的存放，更重要的是在于网络的管理信息的传输。信息的完整性是指通过网络对信息进行增删改，以及对信息进行及时的传递时，要保证相关信息不能残缺不全或被人有意篡改。信息的真实性是指主要通信双方的身份进行验证，以防止对系统的非法访问、对信息的破坏记忆通信双方对信息的真实性发生争议。通常一个安全网络需要使用防火墙这样的设备与INTERNET隔离开，以保护资源防止外部INTERNET中的非授权的访问。为了提高INTRANET的安全性，服务器访问必须通过口令控制和访问地址过滤等手段加强来控制。在一个网络中WBM控制着关键资源，所以它被严格要求只有INTERNET上的授权用户才能够访问。幸运的是，基于WEB设备控制访问的能力与其向用户提供方便访问的能力同样值得信赖。管理人员能够设置WEB服务器从而使用户必须通过口令登录。WBM的安全技术与现存的安全方法并不冲突，如目录系统、文件名结构以及其它由WINDOWSNT或UNIX所创建的东西。而且，管理人员能够轻而易举地对它们的WBM系统应用更复杂的权限技术。网络管理人员的网络数据非常敏感，需要加密。WBM得益于在WWW上进行数据传输的安全性方面的长久努力。保护INTERNET上的敏感数据是电子贸易所必须面对的严肃问题，所以很多公司正致力于加密工作以使它们的网络传输能够免受干扰，例如在金融机构中，使用加密以保护客户的电子储蓄信息。WBM能够将这些方案更安全地应用于保护公司内部网数据。用户通过简单的在服务器中施加安全加密措施能够加密所有从浏览器到服务器的通信，服务器和浏览器一起进行加密并解密所有数据。请注意，这对于SNMP或TELNET在安全性方面是一次进步，SNMP和TELNET是从不加密的。这里有一些涉及JAVAAPPLET安全概念的讨论。既然JAVAAPPLET不是二进制代码并且将字符串和其它的数据“暴露于光天化日之下”，那么在理论上就完全可能被改变替代或被中断。在JAVAAPPLETS中有一些固有的安全性保障，APPLETS被定义成不能写磁盘、破坏系统内存或生成到非法站点的超连接。像显示图像或添加动画制作等这类无危害的JAVA作业是基本的初级的。从长远上讲，随着JAVA的嵌入将执行更为广泛的作业，JAVA代码的完整性当然需要保护。为了实现这些，已经出现了一些技术去加密（或加入其他“电子标志”）APPLETS的技术。这些技术将保证收到的APPLETS与原作完全相同，因此使用户不会受到被APPLET串改破坏的影响。第三章网管系统的设计开发31网管系统的软件架构在网管系统的客户端，网络设备管理者可以通过WEB浏览器、TELNET终端或SNMP网管平台对网络设备进行访问和管理。网络管理软件集成在被管理的网络设备中，构成网络管理系统的服务器端。网络设备一旦加电启动，网管软件运行后就会启动守候进程。守候进程在服务器端循环守候，直到接收到来自客户端管理者的管理请求，然后就对请求进行分析处理响应。网管应用程序就是服务器端对于接收到的请求进行处理的程序。对于基于WEB的网络管理，网管应用程序就是一些对网页上表单元素处理的CGI（公共网关接口）程序。当对请求进行解析处理后，解析出该请求要操作的管理对象，在管理信息库中查找被管对象，从而找到与被管对象相关联的管理例程，调用设备的GLUECODE（胶合代码），对被管对象进行管理操作。TELNETRS232SNMPHTTPWEBSERVER守候进程TELNETSERVER守候进程CONSOLESERVER守候进程SNMPSERVER守候进程WEBSERVERTELNETSERVERCONSOLESERVERSNMPSERVER网管应用程序管理信息库MIB设备专用的驱动代码被管对象管理例程客户端WEB浏览器、TELNET终端、串口终端或SNMP网管平台设备端图31网管系统的软件结构设备管理者可以通过任意一个连接到网络的客户端中使用WEB浏览器对被管设备进行访问和管理。客户端向被管理设备发送TCP连接请求，被管设备端的WEBSERVER守护进程接收到客户端的连接请求后，然后经过三次握手，双方建立可靠的连接，此时客户端向被管设备发出HTTP请求，WEBSERVER守护进程将收到的HTTP请求传递给WEBSERVER，WEBSERVER通过对HTTP请求进行分析，调用网管应用程序中相应的模块和设备专用的驱动代码，最后将结果通过HTTP数据包传回给客户端，从而完成对被管设备的访问和管理。732管理信息库的构建管理信息库（MIB）是网络管理系统中的重要的组成部分，是网管软件的设计主要内容，管理信息库是根据被管理设备的软硬件所能提供的网络管理能力，将设备的可管理元素抽象成为能够进行访问和管理的数据的集合。其中，管理信息库可以分为两部分一是第三方公共网管软件所提供的标准管理信息库，包括接口组、系统信息组等等；二是设备专用的管理信息库，如设备的寄存器信息等。因此，论文的主要开发工作的内容是开发基于WEB的管理所需要的专用的管理信息库。设备的网管软件的管理信息库主要由以下几个部分组成用户管理组、远程网络管理信息组（RMON）、系统信息组、系统配置组、端口配置信息组、VLAN配置信息组、端口流量组、MAC配置信息组等。系统信息组描述设备全局只读的系统信息；端口配置信息组和端口流量组主要描述设备的每个交换模块和交换端口的寄存器信息；系统配置组主要描述设备的全局的可读写的系统信息；用户管理组主要描述访问用户的管理信息；VLAN配置信息组主要描述虚拟局域网的设置信息；MAC配置信息组主要描述了设备系统中MAC地址表信息。其中的系统配置组、系统信息组和端口流量组中的管理对象是标准管理信息库中的内容，第三方的公共网管软件就有提供，是已开发的公共管理信息库，是可以利用的开发成果。需要做的是用WEB浏览器或TELNET方式直接去访问这一些标准管理信息库对象。而构建的专用管理信息库对象，可以开发其相对于的读写例程。321用户管理用户分为普通用户、管理员和超级管理员三个等级，不同的等级有不同的管理级别和权限。普通用户只可以对系统配置和运行状态等信息进行查看；管理员可以除了查看设备信息还可以对设备的配置进行修改等操作；超级管理员除了就有管理员的权限外，还可以对管理账户进行管理，是设备管理的最高级别。对应于这三个级别，不同的管理功能要设置不同的访问权限，只有当登录者账户权限大于或者等于一个功能的权限级别才可以使用此管理的功能。表31登录账户表登录名登录口令权限级别USERUSER_PASSWORD5普通用户ADMINADMIN_PASSWORD10管理员SUPERSUPER_PASSWORD15超级管理员账户管理内容有添加新用户、删除用户、修改用户管理权限以及修改用户密码。用户只有在WEB页面上正确输入用户名以及用户密码才可以进入管理系统比且使用相应的管理功能。为此，在此模块代码的设计为一个数据结构，并且定义了一个全局变量来描述账户表，定义如下TYPEDEFSTRUCTUSERENTRYSBYTEUSERNAMEKMAXLOGINLEN；SBYTEPASSWORDKMAXPASSWORDLEN；ACCESSACCESSLEVEL；USERENTRY；322接口的性能管理以及计费管理除了控制寄存器，对应于每个以太网端口还有一个计数器一个专门的寄存器，记录流经端口的数据流量的统计信息。通过对各端口计数器的数据流量的记录和对各端口性能参数的统计，实现以太网端口的性能管理。端口的性能参数是MIBII中用于性能管理的INTERFACE组对象的值。网管软件依据这些对象的值计算设备的性能特性。表32中给出了这些对象的列表。这些对象的值是通过读取以太网交换控制器的MIB计数器的数值来得到的。表32性能管理对象对象说明IFINOCTETS接口收到的字节数IFOUTOCTETS接口发送的字节数IFINDISCARDS接口丢弃的输入包数IFOUTDISCARDS接口丢弃的输出包数IFINERRORS错误的输入包数IFOUTERRORS错误而不能传输的输出包数接口利用率的计算方法如下（1）首先取得两个不同时刻X时刻和Y时刻之间传输的总字节数总字节数IFLNOCTETSYIFLNOCTETSX，IFOUTOCTETSYIFOUTOCTETSX。（2）然后计算每秒的总字节数每秒总字节数总字节数/YX。（3）则接口的利用率为利用率F每秒总字节数8/接口速率。（4）接口错误率的计算方法如下输入错误率IFLNERRORS/IFLNUCASTPKTSIFLNNUCASTPKTS；输出错误率IFOUTERRORS/IFOUTUCASTPKTSIFOUTNUCASTPKTS。（5）接口的丢包率的计算方法如下输入丢包率IFLNDISCARDS/IFLNUCASTPKTSIFLNNUCASTPKTS；输出丢包率IFOUTDISCARDS/IFOUTUCASTPKTSIFOUTNUCASTPKTS。通过对以太网交换芯片的端口计数器的管理，网管软件可以对各端口的数据流量进行统计和分析，并可以完成对计数器清零的操作，从而实现对设备的性能管理和计费管理。323MAC地址管理以太网交换工作在OSI的第二层，在这里，交换控制芯片可以理解为一个多端口网桥。在每个交换芯片中维护着一张能够容纳4K个地址的MAC地址表，这张MAC地址表记录着设备学习到的MAC地址表项的内容包括MAC地址、属于哪个端口、是否静态地址、是否锁定的地址以及是否老化等。交换控制芯片通过对MAC地址的学习和过滤，进行各个端口间数据的交换。下面以GT48350为例，详细说明MAC地址的自学习过程。GT48350通过检查从端口输入的所有以太帧的源MAC地址，来自学习与之相连的网络设备上的端口信息。如果在自己的MAC地址表中没有找到这个源地址，GT48350就自动在MAC地址表中添加此源地址和此源地址所在的端口信息和VLAN等信息，并借助于NEWADDRESS消息通知系统中其他的GALNET设备，更新其他的GALNET设备的MAC地址表。也就是说，系统中所有的GALNET设备上的MAC地址表是同时维护，保持一致的。在自学习的过程中，MAC地址表的内容不断的更新，GT48350每隔一段时间就会对MAC地址表进行扫描，如果某个动态MAC地址项在这段时间间隔内并未传输任何帧，则该地址会自动从表中被删除。这个MAC地址表更新的时间门限称为地址老化时间。地址老化时间不能太长，否则MAC地址表会溢出；也不能太短，否则设备会频繁进行删除和建立地址表项的工作，影响设备性能。因此，必须允许依据管理员的需求通过网管软件来设置和修改地址老化时间。静态地址，是MAC地址表中不随时间老化的地址，它一直存在于MAC地址表中，不会因为老化AGING机制而被删除。静态地址的设定和删除，都必须由网管软件通过CPU直接在MAC地址表里建立或删除，再由CPU利用标准NEWADDRESS消息更新系统中所有GALNET设备的MAC地址表。在学习过程中，静态地址所属的条目不会自动更新，交换设备也不会向CPU发送NEWADDRESS消息。地址表的结构完全由GT48350控制并初始化。MAC地址表的内容通过交换控制器的地址自学习逻辑自动完成，这个过程一般不需要软件干预。对地址表的修改通常在自学习过程中完成。或者CPU利用标准NEWADDRESS消息更新，或者利用询问寄存器来询问表项的内容。实际上，对以太网接口的MAC地址的管理就是对各交换控制芯片中MAC表的读写操作。还是由于前面提过的原因，我们并不是直接对芯片中的MAC表进行管理，而是在内存中建立一份MAC地址表的镜像，MAC表镜像在每次系统初始化过程中建立。但与端口状态镜像不同的是，MAC地址表是会自动更新的。为了使镜像MAC表与交换芯片中真正的MAC表保持一致，这里用到了消息机制即当MAC表自动更新时，交换控制器会向CPU发一个新地址消息，控制器的驱动程序会处理这个消息，根据它更新镜像地址表。综上所述，通过对以太网交换芯片中的MAC地址表的读写操作，网管软件实现的对MAC地址的管理内容如下静态MAC地址表项的建立与删除；老化时间的设置；地址询问操作包括对某个指定MAC地址的询问，指定端口的询问，指定VLAN的询问。33开发工具RAPIDCONTROL简介331RAPIDCONTROLSDK的介绍8RAPIDCONTROLSDK是RAPIDLOGIC公司开发的用于开发设备管理应用程序的软件开发包，是针对基于实时操作系统的网络设备上的管理系统的开发。利用RAPIDCONTROLSDK开发包，我们可以开发出一个支持多种管理方式和多种技术的综合网络管理系统，使管理人员可以通过WEB浏览器，TELNET远程登录，JAVA应用平台以及企业应用平台来管理设备。由于RAPIDCONTROLSDK本身已有一整套的网管系统实现方案，并提供很多关键技术的实现，这使得设备开发人员可以集中精力于管理系统中与具体设备相关的功能实现，从而大大加快了开发进度。RAPIDCONTROLSDK支持基于WEB、基于命令行等的多种管理方式，并使它们以统一的方式访问被管对象，这其中最为关键技术就是RAPIDCONTROLBACKPLANE（RCB），它就是整个软件开发包的核心技术。关于RCB的介绍将会在下面做详细说明。RAPIDCONTROLBACKPLANE是描述被管对象的数据库，在这个数据库中包含了所有被管对象的相关信息，通过这个数据库，可以将管理方式与对设备的具体操作相分隔开，统一了被管对象描述以及对它们的操作。命令行方式企业应用SNMPAGENTRAPIDCONTROLFORAPPLETSRAPIDCONTROLFORWEBRAPIDCONTROLFORCLIRAPIDCONTROLFORENTERPRISEEMBEDDEDLIBRARYPRODUCTAPPLICATIONASICLIBRARYWEB浏览器JAVA应用接入方式控制层应用层系统层文件系统MIBWAYRAPIDCONTROLBACKPLANE实时操作系统图32RAPIDCONTROL软件框架图为了能够调用已有SNMP管理例程，RAPIDCONTROL还提供了MIBWAY机制。这使得已经开发了拥有SNMP管理代理服务的设备以最小的代价实现基于WEB的管理。本文的研究重点是开发基于WEB的设备管理应用程序，因此，也会对RAPIDCONTROLFORWEB组件做一详细的介绍。332RAPIDMARK和RCB技术RAPIDMARK和RCB技术是开发包的核心部分。RCB是管理接口部分和管理功能实现部分的中间层，相当于被管对象与接口间的数据词典。RAPIDMARK和RCB技术主要是为了实现HTML页面数据与设备数据的之间的关联。RAPIDMARK是对主机上某些特定的数据所做的抽象标志，标志中记录了数据的属性和方法，并且代替任何类型的数据。所谓的方法就是一些函数指针，它们指向了对这些数据进行操作的函数的入口地址，这些操作包括读、写以及校验函数。当对RAPIDMARK所对应的设备上的被管元素进行读写操作时，实际上是调用这个RAPIDMARK相应的函数指针所指向的读写函数。而对设备上的数据进行读写操作时，是在读写函数中调用设备的驱动代码来完成的。8一个RAPIDMARK的名称来表示一个需要管理的设备上的数据。可以将RAPIDMARK理解为一个数据单元，每一个被管对象由一个RAPIDMARK来标记。访问权限是RAPIDCONTROL为设备管理提供的一种安全管理机制，可以通过对每个RAPIDMARK设置不同的访问权限数值来限制不同级别用户对这个RAPIDMARK所代表的设备资源的访问。只有用户权限高于要访问的RAPIDMARK的访问权限时才能对该RAPIDMARK进行读写访问，获取所需要的数据。访问权限必须是整数值，有5、10、15三级。RAPIDMARK包括名称、数据类型、访问权限以及指向读写例程的指针等内容。访问方式分为直接访问和调用“读写”例程两种。浏览器所提交的任何信息都以文本字符串的形式传递给管理程序，客户端看到的WEB页面的显示结果也一定是字符的形式。但是设备上的数据大都是以二进制形式存储传递的，因而使用一个二进制数据与可识别文本之间相互转换的问题。因此设计的程序中必须有格式转换的操作。图33RAPIDMARK的设计最后还需要将这个RAPIDMARK分别与设备上寄存器的数据和HTML表单对象相关联。当设备上对应于该RAPIDMARK的相应寄存器的数值发生变化时，HTML页面上用来显示这个RAPIDMARK的表单元素的VALUE也应随之做相应的改变。这样当在程序中对这个RAPIDMARK所储存的数据进行读取和操作之后，操作后的结果就会同时反映到HTML页面上。RAPIDMARK实际上就是设备上被管对象的统一的抽象元素，而记录RAPIDMARK及其相关信息的RAPIDCONTROLBACKPLANE实际上就是设备的管理信息库。因此，设计RAPIDMARK首先是对管理信息库的构建，然后用RAPIDMARK来表示管理信息库中的每一个对象。管理信息库的构建就意味着确定了设备的被管对象。下面给出RAPIDMARK的数据结构TYPEDEFSTRUCTDATABASEENTRY/BASENAMEDBE/SBYTEPNAME；/RAPIDMARK的名称/ACCESSPERMISSIONS；/存取权限/ACCESSUSERLEVELREAD；/读权限级别/ACCESSUSERLEVELWRITE；/写权限级别/DATATYPEIDATATYPE；/数据的数据类型/VOIDPDATAOBJECT；/数据的存储地址/INTP_FUNCVALIDSTRUCTENVIRONMENT，VOID；/校验例程函数/VOIDP_FUNCRDPRIMSTRUCTENVIRONMENT，VOID，VOID，CHAR；/数据读取例程函数/INTP_FUNCWRPRIMSTRUCTENVIRONMENT，VOID，VOID；/数据存储例程函数/STRCDESP_SDROBJECT；/数据所在结构体的描述结构体的地址/COUNTEROFFSETINTOSTRUCT/数据在结构体中的地址/DATABASEENTRY；RCB（RAPIDCONTROLBACKPLANE）是一个主机上的在线数据库，这个数据库储存了系统中所有WEB页面的信息以及其他各类资源的信息。其实RCB是一个RAPIDMARK的数据库，存放了所有的RAPIDMARK以及其相关读写函数的信息。RCB对于不同的管理接口有着统一的管理框架，并且可以提高系统的安全性能。总之，通过RCB技术，实现了设备上的数据与HTML显示的表单元素相关联。8但是，用RAPIDMARK来标识的设备数据是动态变化的，即RAPIDMARK的内容是动态的，但RAPIDMARK只是实际数据的映像，它指向数据存储的地址，并非数据本身。当设备上的某一数据发生变化时，对这一数据的读取操作并不会发生改变。因此，RCB只是一个静态的数据库，它存储的是设备上一些数据的映像条目，而非实际数据，一旦被初始化，RCB的内容不会改变。当访问RAPIDMARK时，通过查询RCB找到与之相关联的读写例程函数，从而实现对设备数据进行读写操作。操作例程包括了对被管对象的读写函数以及其他的一些辅助功能函数，这些构成了胶合代码（GLUECODE）的全部内容。总之，RAPIDMARK将设备上需要访问的数据进行某种数据类型的抽象，抽象为HTML页面上对于用户可以识别的元素。这样，当用户提交一个HT