计算机网络管理技术及应用 毕业论文.doc

毕业论文课题名称： 计算机网络信息 专业及班级： 计算机及应用 学 号： 姓 名： 指导教师： 年 月 日装订线 摘要本文首先介绍了wbm(基于web 的网管系统管理模式) 的三层体系结构，然后介绍了网管系统的体系结构，最后重点阐述了网络拓扑自动发现算法。作者根据实际的应用情况对其进行了一定的改进，增强了系统对网络拓扑的自动发现能力。关键词：网络管理 网间控制报文协议(icmp) wbm 目录1 绪论42 wbm 技术介绍43 基于wbm技术的网管系统设计4 3.1系统的设计目标5 3.2系统的体系结构54 网络拓扑发现算法的设计 5 4.1 ping和路由建立 6 4.2 网络拓扑的发现算法具体实现的步骤65 网络的开放性带来的安全问题76 结论8 谢辞9 参考文献10计算机网络管理技术及应用1 绪论网络管理的目的就是确保一定范围内的网络及其网络设备能够稳定、可靠、高效地运行，使所有的网络资源处于良好的运行状态，达到用户预期的要求。过去有一些简单的工具用来帮助网管人员管理网络资源，但随着网络规模的扩大和复杂度的增加，对强大易用的管理工具的需求也日益显得迫切，管理人员需要依赖强大的工具完成各种各样的网络管理任务，而网络管理系统就是能够实现上述目的系统。2 wbm 技术介绍随着应用intranet的企业的增多，同时internet技术逐渐向intranet的迁移，一些主要的网络厂商正试图以一种新的形式去应用m i s 。因此就促使了w e b ( w e b - b a s e dmanagement)网管技术的产生2。它作为一种全新的网络管理模式基于web的网络管理模式，从出现伊始就表现出强大的生命力，以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐，被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。wbm融合了web功能与网管技术，从而为网管人员提供了比传统工具更强有力的能力。wbm可以允许网络管理人员使用任何一种web浏览器，在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此，他们不再只拘泥于网管工作站上了，并且由此能够解决很多由于多平台结构产生的互操作性问题。wbm提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面，浏览器操作和w e b页面对w w w用户来讲是非常熟悉的，所以wbm的结果必然是既降低了mis全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说，wbm是网络管理方案的一次革命。3 基于wbm 技术的网管系统设计3.1 系统的设计目标在本系统设计阶段，就定下以开发基于园区网、web模式的具有自主版权的中文网络管理系统软件为目标，采用先进的wbm技术和高效的算法，力求在性能上可以达到国外同类产品的水平。本网管系统提供基于web的整套网管解决方案。它针对分布式ip网络进行有效资源管理，使用户可以从任何地方通过web浏览器对网络和设备，以及相关系统和服务实施应变式管理和控制，从而保证网络上的资源处于最佳运行状态，并保持网络的可用性和可靠性。3.2 系统的体系结构在系统设计的时候，以国外同类的先进产品作为参照物，同时考虑到技术发展的趋势，在当前的技术条件下进行设计。我们采用三层结构的设计，融合了先进的wbm技术，使系统能够提供给管理员灵活简便的管理途径。三层结构的特点2：1)完成管理任务的软件作为中间层以后台进程方式实现，实施网络设备的轮询和故障信息的收集；2)管理中间件驻留在网络设备和浏览器之间，用户仅需通过管理中间层的主页存取被管设备；3)管理中间件中继转发管理信息并进行s n m p 和h t t p之间的协议转换三层结构无需对设备作任何改变。4 网络拓扑发现算法的设计为了实施对网络的管理，网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前，即拓扑发现。目前广泛采用的拓扑发现算法是基于snmp的拓扑发现算法。基于snmp的拓扑算法在一定程度上是非常有效的，拓扑的速度也非常快。但它存在一个缺陷3。那就是，在一个特定的域中，所有的子网的信息都依赖于设备具有snmp的特性，如果系统不支持snmp，则这种方法就无能为力了。还有对网络管理的不重视，或者考虑到安全方面的原因，人们往往把网络设备的snmp功能关闭，这样就难于取得设备的m i b值，就出现了拓扑的不完整性，严重影响了网络管理系统的功能。针对这一的问题，下面讨论本系统对上述算法的改进基于icmp协议的拓扑发现。4.1 ping和路由建立ping的主要操作是发送报文，并简单地等待回答。ping之所以如此命名，是因为它是一个简单的回显协议，使用icmp响应请求与响应应答报文。ping主要由系统程序员用于诊断和调试实现ping的过程主要是：首先向目的机器发送一个响应请求的icmp报文，然后等待目的机器的应答，直到超时。如收到应答报文，则报告目的机器运行正常，程序退出。路由建立的功能就是利用i p 头中的ttl域。开始时信源设置ip头的ttl值为0，发送报文给信宿，第一个网关收到此报文后，发现ttl值为0，它丢弃此报文，并发送一个类型为超时的icmp报文给信源。信源接收到此报文后对它进行解析，这样就得到了路由中的第一个网关地址。然后信源发送ttl值为1的报文给信宿，第一个网关把它的ttl值减为0后转发给第二个网关，第二个网关发现报文ttl值为0，丢弃此报文并向信源发送超时icmp报文。这样就得到了路由中和第二个网关地址。如此循环下去，直到报文正确到达信宿，这样就得到了通往信宿的路由。4.2 网络拓扑的发现算法具体实现的步骤(1)于给定的ip区间，利用ping依次检测每个ip地址，将检测到的ip地址记录到ip地址表中。(2)对第一步中查到的每个ip地址进行traceroute操作，记录到这些ip地址的路由。并把每条路由中的网关地址也加到ip表中。(3)对ip地址表中的每个ip地址，通过发送掩码请求报文与接收掩码应答报文，找到这些ip地址的子网掩码。(4)根据子网掩码，确定对应每个ip地址的子网地址，并确定各个子网的网络类型。把查到的各个子网加入地址表中。(5)试图得到与ip地址表中每个ip地址对应的域名(domain name)，如具有相同域名，则说明同一个网络设备具有多个ip地址，即具有多个网络接口。(6)根据第二步中的路由与第四步中得到的子网，产生连接情况表。5网络的开放性带来的安全问题internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点： (1)每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。 (2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。例如，nt在进行合理的设置后可以达到c2级的安全性，但很少有人能够对nt本身的安全策略进行合理的设置。虽然在这方面，可以通过静态扫描工具来检测系统是否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环境和专门的应用需求就很难判断设置的正确性。(3)系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；比如说，众所周知的asp源码问题，这个问题在iis服务器4.0以前一直存在，它是iis服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出asp程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的web访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀。(4)只要有程序，就可能存在bug。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的bug被发现和公布出来，程序设计者在修改已知的bug的同时又可能使它产生了新的bug。系统的bug经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。比如说现在很多程序都存在内存溢出的bug，现有的安全工具对于利用这些bug的攻击几乎无法防范。(5)黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。6结论本文提出的icmp协议的拓扑发现方法能够较好的发现网络拓扑，但是它需要占用大量的带宽资源。本系统进行设计时，主要考虑的是对园区网络的网络管理，所有的被管理设备和网管系统处于同一段网络上，也就是说，系统