（通信与信息系统专业论文）atm网络管理关键技术的研究.pdf

“_ 摘监 摘要 祭于a t m 的b i s d n 用统一的体制实现了话音、数据和视频等不同业务综f 传输和交换，是通信悯发腱的，j 向。为了保持i i i | 络的良好运行状态，就必须文现 i 叫络管理，从而使得嘲络其有最高的有效性和可靠性。 本文在对网络管理以及简单网络管理协议进行分析、研究的基础上，结合柏i 关的科研项目，困家8 6 3 项日“实凡j 化综合接入系统”，设计f ：实现了s x m p 参考 模型巾代理进程软件：根批i t u 一r 建议i 6 1 0 并结合本系统的特点，实现了a 1 m 层管理【_ | l 的部分o a m 功能：环网功能、激活和去激活功能以及性能监洲锚j j ! l | ，的 部分功能，如信元丢失率、信元误插率、信元传输时延、平均信元传输时延、倍 元时延抖动。同时文中还剥c r c 1 0 的校验提出了软件实现的方法。 il 关键词：异步转移模式综合接歹濠统简单网络管理协议 代理运行和维护 y a b s l 一 ( t a b s t r a c t b a s e do na t m b i s d nc a nt r a i l s f e rt h el n f o r m a t i o no fv a r i o u ss e r x i c e s 、i t ha u n i f i e dm o d e w h i c hr e p r e s e n t st h et r e n do fc o m m u n i c a t i o nn e t w o r k i no r d e rt ok e e p g o o dp e r f o r m a n c e o fn e t w o r k ，n e t w o r k m a n a g e m e n ti s n e e d e dw h i c hm a k e st h e n e t w o r kw o r k sw i t hh i g h e s tv a l i d i t ya n dr e l i a b i l i t y b a s e do nt h er e s e a r c ha n da n a l y s i so ft h eb a s i ct h e o r yo fn e t w o r km a n a g e m e n ta n d s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ，t h es o f t w a r eo fa g e n ti nt h er e f e r e n c em o d e lo f s n m pi sd e s i g n e da n di m p l e m e n t e dc o m b i n i n gw i t har e s e a r c hs u b j e c t a c c o r d i n gt o i t u tr e c o m m e n d a t i o ni 610a n dt h ef e a t u r e so fi s a ，l o o p b a c kf u n c t i o n ，a c t i x a t i o n & d e a c t i v a t i o nf u n c t i o na n ds o m ea s p e c t so fp e r f o r m a n c em o n i t o r i n g ，s u c ha sc l r ，c m r c t d m c t d ，c dv w h i c ha r eo a m f u n c t i o n so fa t ml a y e ra r ei m p l e m e n t e dt h e m e t h o do f i m p l e m e n t a t i o no f c r c - 1 0w i t hs o f t w a r ei sa l s op r e s e n t e d k e y w o r d ：a t m a g e n t i a s s i m p l e n e t w o r k m a n a g e m e n t p r o t o c o l o a m 独创性声明 y 0 5 d 1 3 本人声明所呈交的论文是我个人在导师指导一卜进行的研究工作及取得的研 究成果。尽我所知，除了本文中特刖加以标注和致谢q 所罗列的内容以外，论 文中不包含其他人已经发表或撰写过的研究成果：也不包含为获得西安电子科 技大学或其它教育桃构的学位或证1 s 而使用过的材料。与我同工作的同志对 本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。 本人签名：睦逝f 1 期墨迦f ! 13 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：学 校有权保留送交论文的复印什，允l ：查阅和借阅沦文：学校可以公布论文的全 部或部分内容；可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论 文存斛密后遵守此规定) 本人签名：题釜塞匠 1 期至嫂! ! 立 导师躲进丝 f 期立f ? 筑啦媸论 第一章绪论 1 1a i 、m 概述 i t u t 存i 3 3 i 建议f f i 对a t m 作了盘v f i , j 定义：a t m 是种异步转移模式， 仡这模，州，信息被白【织成信冗，帆包禽段信息的信元并不需要j i i l ：】期r l ：地 现，从信息段的层面上看，信息的传递是异步的。( f l t ( t i 乓体的物理传输j ：通常 都是同步的。) a t m 同传统的信息转移模式相比，具有鲜明的特点。 在带宽分配和使用的灵活性方面，a t m 采用异步时分复用方式，各连接动态 地占用信道，而且占用信道的h 寸j f i j 、位置不固定。信道带宽按需动念分配，信道 利用率高，在棚等信道资源的i j 提下，可以接纳比同步时分复用( s t m ) 更多的 连接数；并日能很好的适应不同速率甚至可变速率的业务，对突发性业务也有较 商的资源利用率。从这个角度讲，a t m 技术最适合于综合业务，特别是多媒体业 务的要求。 在交换速度方面，a t m 技术主要有以下儿个特点：( 1 ) 取消了分组网中逐段 链路的差错控制和流量控制。这在f ：i 阿通信网广泛采用光纤做为传输媒质的条件 f 是合理的，从而无需用软件处理复杂的链路层通信协议，极大地降低了信元在 交换结点的处理时延，提高了速率。( 2 ) 信息的转移以固定长度的分组为单位。 a t m 把待传信息分割成固定长度的小段并组装成信元( c e l l ) ，一个信元的标准长 度为5 3 字节，其中5 个字节作为信元标头，其余4 8 个字节作为信息域。采用定 长的分组格式，可以降低交换网络和缓存管理的复杂性，便于用硬件实现交换等 功能，从丽提高其速率，并使交换与! i e 务类型无关。另外各种、l k 务都采用统一k 度i l j f d 元便于实现业务综合，对支持未来新业务的导入具有更强的适应性。( 3 ) 信冗头的功能尽可能简化。信元头主要起表示信，i 所属虚连接( v p i v c i ) 的作 川，a t m 网络就是通过以州这些v p i v c i ，住川j 、之f 1 1 j 建口。条虚通路，将信息 川，o 经过赢速交换机传逊到| j ，、的：1 i 信冗头的错洪会导致船个信元的丢火 或误插，仃必要铂j 信元头 ! 加入检错纠错功能；，j 外信7 i 头还支持些有限的网 络维护和i ：邶功能。a t m 信元头的简化，使得f i ! l ! 什r 接处p l ! 它们成为呵能，从而 垛访：了网络的高速处 l ! 能力。 仃服务质最保证方而，采j l j 了连接允许控制( c a c ) 、使用参数控制( u p c ) 、 优先控制( p c ) 、拥塞t t l t l j t i l 选择性信元丢弃、业务量平滑等措施。a t m 采用丽 向连接的方法。用户传递信息f i 需要发出建立连接的申请，中请时可以指明所需 要的服务质量( q o s ) ，交换机根掘网络的状况负责分配资源建立连接。一旦连 2 的研究 接缱、，：，a t m 网络负责保证服务质挝。阿x 日络还划川户进入网络的流量进行监 控丈施使川参数控制，违约信元将被打j ：标i 己。h 网络广：生圳塞或将要进入 蜘寒状态，这些信元将涵先被丢弃。优先控制和信元的选择性丢弃等措施能更好 地满足不同类型业务的o o s 要求。 a 1 、m 的卜述特t _ 使得它能很好的支 牛b i s d n 和多媒体i t 算机网络。所以 lr u 1 ，a n s i 和a t mf o r u m 均【二选择a t h 作为宽带公，0 网和号川嘲的统一的信 息转移幔j 。 1 2a t m 捌络模型 a t m 网络，不论是公共网，还是专用网，其一般组成可概括为如图l1 所示 的形式。 i 割1ia t m 网络模 f 【1 1 | 到1 1 所力j ，a t m 骨下网多个网络结点( 包括a t m 本地交换机和a ，r m 转接交换机) 通过高速中继线互连丽成；用户设备一般由a t m 终端和a t m 用户 接入设备( a t mu a e ) 组成。i t u t 将川户一网络接口( u n i ) 定义成肘户设祷 ：，嘲锵之船浚r ：，“。“1 0 冬 ：o i 譬f 1r 1 , 1 1 , 1 i ) 定义为h 络结点( 即k f m 本地交换 机、a i m 转拨交换机) 之m 的接i1 。 a t m j o 接入i 殳备( u a e ) 是把多种通信、l p 务综合接入a t m 骨f ：酬络的泼 符，它把符种各样的川，o 信息( 如数据、话音和图像等) 组装成a t mf ? 抄i ，并 矬臼：川1 ij | j 户信息传送的虚通路。根据是否带有内部交换功能，a t m 川i ，。接入设 备又被分成带内部交换的u a e 和不带内部交换的u a e 。a t m 交换机根据j 足行 具有l n i 功能，可分为a t m 本地交换机和a t m 转接交换机。 第 i 绪沦 1 3b - i s d n 协议参考模型 i t u - t 参照o s i 关于j l ：放系统互连及其分层原则定义了蟮j ：a t m 的b - i s d n 的胁议参考模型，如图1 2 所示。 图1 2b i s d n 协议参考模性 在b i s d n 协议参考模型中引入了面( p l a n e ) 的概念，其着艮点在于按功能 种类将信息流进行划分，进行不同处理。b i s d n 协议参考模型t h - z + 而组成： 用户面、控制面和管理面。用户面负责用户业务信息的传递以及与其直接相关的 控制功能( 如流量控制、差错控制等) ；控制而负责呼叫连接控制功能，处理与 呼叫和连接的建立、维持及释放等有关的各种信令；管理面负责网络的运行、维 护和管理，分为面管理和层管理。其中面管理实现与整体系统有关的管理功能以 及提供各个面之间的协调功能；层管理实施与资源以及协议实体内参数有关的管 理功能，并处理各层的运行、管理和维护( o a m ) 功能。 1 4 管理面 管理面包插图1 2 中b i s d n 协议参考模型t 1 的层管理和1 t l ? ：i = 理。 层管理有一个到物理层、a t m 层、a a i 。j 。押l 高层协- 议实体的接1 】，如图1 3 所示。层僻掣i ! 负i 1i “l t 视h 】户面和控制l i “故障，生成报警信号及采耿故障恢复动作。 箨特定层次内部的运行和维护信息由层管理水处理，包括故障管理、性能管理和 配截管理。 层管理提供了和用户面及控制丽各层的接口，而面管理仅仅和层管理有接 口。而管理不分层，负责各个而的协调及与整个系统有关的管理功能。 a t m 网络管理哭键技术的_ 【i 】究 1 5 综合接入系统简介 随着通信技术、计算机技术的发展，人类社会已进入了信息时代，用尸不再 满足了荦纯的话音业务和低速数据业务，而对综合业务，特别是高速多媒体业务 的接入提出了越来越迫切的要求，而且目前骨干网尚处于多网共存的局面，包括 p s t n i s d n 、f r 、d d n 、a t m 、i n t e r n e t 等。因此，提出了研制一个统一的的综 合接入系统( i a s ) ，它一方面为用户提供话音、数据和视频等多科；业务，另一：疗 f 自f 将= ，f ： 司的业务接入到不同的骨干网进行传递，例如普通电话按入p s t n i s d n ， 放赫e 接入i n t e r n e t ，多媒体业务接入a 1 1 m 骨干网等。 a t m 技术作为一种新的复接分接、传输和交换技术，综合了电路模式和分组 摸式的优，- j i ，为各种业务的综合接入和信息的高速传输提供了技术保障，所以i a s 衄采j h 毓l 二a t m 的方案。 i a s i 要究成p o t s 、b r a 、p r a 、f r 、d d n 、a d s l 嗣1 1 0 1 0 0 mb a s e 1 等 】。、1 k 务的接入。i a s 的组成可参见剐1 4 ，它分为两部分，即、i k 务接入点( r t ： r e m o t et e r m i n a l ) 和、i k 务分配点( c o t ：c e n t r a lo f f i c et e r m i n a l ) 。r t 主要完成 对a - 种、l k 务的接入功能和多业务的复接分接功能。c o tl ! 要完成f i 刚接入网之问 的交义连接功能和业务分流功能，此外它还负责网络的管理。典型的i a s 拓扑结 构有两种：环型和星型。根据项目要求，设汁的i a s 应具有支持8 个环的能力， 每个爿：最多n j 挂接8 个r t ；环上的传输采h 】s t m4 ，即速率为6 2 2 m b s ，并提 供双环冗余备份；为提高接入网传输资源利用率，环j ：的各科一业务采用分组传送 方式，整个环路的传输带宽采用动态分配方式，由环路上的多个r t 共享。 笫一审绪论 图1 41a s 结构图 1 6 本文所做的工作 本文结合国家8 6 3 3 l7 项目“实用化综合接入系统”，重点研究了网络管理的 若干关键技术，完成了以下工作： 关于系统管理，设计和实现了s n m p 中的网管代理进程，从而实现了网 管终端和设备控制软件之间信息的交互，较好地协调了网管终端和设备 控制软件之i h j 的工作，在对本系统进行管理的实现中起了重要的作用。 结合本系统的特点，实现了a t m 层管理中的若干功能：用于系统自检和 故障珍断的环回功能；用于o a m 功能中性能监测和连通性检测初始化 的激活去激活功能；部分链路性能监测功能，如对信元丢失率、信元误 插率、信元传送时延、平均时延以及时延抖动的j 缸测，通过这些性能数 掘的采集，可以判断此链路是否满足用户的需求，同时还有助于了解网 络使用情况，从而可以发现一些可能会导致拥塞等故障的隐忠，及时地 排除。 根狮c r c 编码的硬件实现办，针对术系统小o a m 功能f f j 所1 7 , ? 的 c r c 1 0 功能的实现，提 n 了软件实现方法，使得在硬件条f q ：4 c 具备的情 况f ，能够尽可能较完善地实现o a m 功能。 6 竺塑婴墅篁：型茎堡丝j 塑竺薹一 第二章网络管理概述 2 1 网络管理与网络管理系统 m 络的重要性在于它们能够提供对大量信息快速而有效的访问。随着网络的 发腱，m 络存我们的二i 常生活巾已经变得越米越普遍。保持网络的良好运行状态， 他f ： 信息高效、矿确和可靠的传输是至关重要的，山此产生了网络管理的概念。 网络锊理是控制一个复杂的网络使得它县有最高的有效性和可靠性的过程。 网络管理系统是网络管理者用来进行网络管理的有效工具。它可以帮助工作 在_ i 同环境中的网络管理者完成| 二l 常的任务，使得管理者有时问去处理更为复杂 的网络问题。同时，作为发现问题的辅助手段，它可以持续地监视网络，还可以 产_ 邛目络信息二| 志并利用这些信息f 1 志去研究和分析网络。这些工作对网络管理 者l m 南是无法如此快速而有效地完成的。 嘲络管理结构模式分成集中式网络管理( c e n t r a l i z e dn e t w o r km a n a g e m e n t ) 、 分级式网络管理( h i e r a r c h i c a ln e t w o r km a n a g e m e n t ) 和分布式管理( d i s t r i b u t e d n e t w o r km a n a g e m e n t ) 三种类型。它们各有优缺点。 ， 集巾式管理系统统一管理全部网络，全网所有需要管理的数据，均存储在一 个集中的数据库中。集中式管理具有易于管理、维护和扩容的优点，但是它也必 然存r i ：集中式策略的缺点：( 1 ) 由于频繁地进行数据交互，使得网络管理系统的 链路承载的业务量过大，有时甚至会超出负荷能力。( 2 ) 一旦出现故障，将导致 全网瘫痪。 分级式管理由多个网络管理系统构成，其中有一个核心网络管理系统用于管 珊其他所有非核心网络管理系统所分别管理的领域。分级式管理的优点在于分散 丁m 络资源( n e t w o r k r e s o u r c e ) 的负荷，降低了核心网络管理系统需收集传 送的业务量，从而减轻了网络管理系统链路的负担：可靠性比集中式管理商。但 是它却具有处理复杂的缺点。 ，j 。；式苫理i - 乡个网络管理系统构成，各个网络管理系统分别管理各自的领 域。分前j 式管理的优点在于完全分散了网络资源( n e t w o r k r e s o u r c e ) 的负荷， 具柏 ! 高的州椎性。但是系统设备更复杂一些。 2 2 网络管理参考模型 嘲络管理者用来监控网络设备所用的协议属于应用层。也就是说，当网络管 理者需要和某一个硬件设备交互的时候，网络管理系统遵循传统的客户一服务器 第：章删络苷理概述7 的模型：位于网络管理者主机上的应 j 程序作为客户，而位于被管m 络设街f ：的 心j | j 程序作为服务器。位于网络管理者主机上的的客户通过使川传统的传输坍议 ( 比如，t c p 、u d p ) 束和服务器建立通信联系，然后二者再根掂络锊雕m 议 进行请求消息和响应消息的交互。图2 1 就是般意义上的网络管理参考干；3 ：删。 网络管理者土机 被管网络殴帑 幽2 1 网络管理参考模，w 上述模型描绘了网络管理系统( n m s ) 、网络管理代理及它们之问关系。n m s 和代理进程在对等层上用网络管理( n m ) 协议进行通信。 n m s 可以是工作站、微机等，一般位于网络系统的t p 心或接近中心的位置， 它负责发出管理操作的指令，并接收来自代理的信息。 代理则位于被管网络设备内部，把来自n m s 的命令或信息请求转化为本设 备特有的指令，完成n m s 的指示，或返回它所在设备的信息。另外，代理也可 以把在自身系统中发生的事件主动通知给n m s 。 n m s 将管理要求通过管理操作指令传送给位于被管网络设备中的代理，代理 则直接管理被管网络设备。代理可能因为某种原因拒绝n m s 的指令。n m s 和代 理之日j 的信息交换可以分成两种：从n m s 到代理的管理操作，从代理到n m s 的 事件通知l 。 个n m s 可以和多个代理进行信息交换，这在网络管理i i ，是常见的：胁一 个代理也可以接受来自多个n m s 的管理操作，但在这种。情况下，代列! 需j 要处理 束舟多个n m s 的多个操作之j 、仃j 的协涮n 日题。 陔模型还进一步舶绘了网络上两个设备之叫的端到端通信，足通过一套协议 栈和设衍驱动程序实现的，山它们实现应用程序霹刚络的通信。 2 3 网络管理的5 个功能域 固际标准化组织( i s o ) 将网络管理的需求划分成5 火类。这5 个功能域在 当今的网络管理设计和实现中通常都是要考虑的，常常j 1 】首字母缩写词f c a p s 来表示： a t m 网络管理关键技术的 i j i = 究 f ( f a u l tm a n a g e m e n t 、 cfc o n f i g u r a t i o nm a n a g e m e n t 、 a ( a c c o u n t i n gm a n a g e m e n t 、 prp e r f o m l a n c em a n a g e m e n t 、 sfs e c u r i t ym a n a g e m e n t ) 故障管理 配置管理 计费管理 性能管理 安全管理 ! 31 故障瞥理( f m ) 1 故障篱翌b 的内容 故障管理的功能是检测、定位和排除网络硬件和软件中的故障。当出现故障 时，该功能确认故障的发生，并常常要记录故障，找出故障位置并尽可能排除这 些故障。它包括3 个步骤： ( 1 ) 隔离问题； ( 2 ) 隔离问题，找出故障的原因； ( 3 ) 修复故障( 如有可能) 。 故障管理定义中的核心问题是“故障”这个概念。故障与差错不同。故障指 不币常的运行条件，需要网络管理动作进行修复。故障通常是由失效即不能f 确 运行或过量差错来指示。一定程度上的差错( 如通信线路上的c r c 校验错误) 可能偶尔出现，但通常不能把它们当成故障。 很显然，确定一个网络设备是否处于正常的运行状态必须知道每个设备的“故 障特性”，每个设备都有一个预先定义好的故障门限。与配置管理结合在一起， 这些门限应该可以是设置的。 为了确定故障的存在，我们需要收集与网络状态相关的数据。收集信息有两 种方法：设备向管理系统报告关键的网络事件；管理系统定期地查询网络设备。 我们可以利用二者之一，最好是一起使用这两种方法。 丌i 是所有的故障都有同样的优先级。在信息收集过程中网络管理系统还需要 决定剥一个特定的设备中哪些故障需要管理，对故障通知或报告进行优先级判 别，从而实现故障过滤功能防止过多的故障通知在网络上传送，造成泛滥。网 络镑理揣存做出这个决定时应考虑以下因素： ( 1 ) 刘删络的控制范围，它将影响从网络设备获得信息的数量； ( 2 ) 刚络的大小。 预防性的r 常维护能够保证! 连网络中的设备正常运行。理想的故障管理要 包括故障预测。 2 故障报告的形式 通常采用的故障报告形式有： 文字 筇。f 网络箭州枞迓 h 形 卢爵信号 2 32 l 。赶 t 川! ( c m ) 配胃锊- f i l l 包括3 个方晰的内窬： 捩f 0 = ：( = j 。_ i j 口h 络 c 鹳：的信0 、： 提供远程修改设备配铃的手段： 储存数掘、维- f j 、个最新的设备清单并根据数抛产q - - l 技告。 配置管理的功能是掌握和控制网络的状态，包括网络内各设备的状态及其连 接关系。 配置管理最i 二要的作用是它可以增强网络管理者对网络配置的控制。这是通 过对设备的配置数据提供快速的访问来实现的。在比较复杂的系统中，它可以使 管理者能够将萨在使用的配置数据与储存在系统中的数掘进行比较，并且可以根 拆：需要方便的修改配置。 配苜管理与故障管理之间有密切的关系。配置管理的当前方向是为网络设备 提供软件配置的仞始化或更新能力，包括可选的软件配置。 2 33 计赞管理( a m ) 计赀管理的功能是度量各个端用户和应用程序对网络资源的使用情况。这一 方面可以维持网络的运行和发展，另一方面管理者可以根据情况更好地为用户提 供他所需的资源量，并促使用户合理地使用网络资源。 计费管理主要的作用是：网络管理者能够测量和报告基于个人或团体用户的 训赞信息分配资源并计算用户通过网络传输信息的费用，然后据此数据给f h 户 心帐呻。它有一个附带的作用一增加了m 络管理者对用户使用劂络资源情况的 认u ! ，这仃助于创建一个更具l i 产力的网络。 i t 赞 r 4 理技术也能够帮助组织汁算一个给定用户通过网络发送信息的赞用， 使7 t j 。了解为荻得网络服务i j 要花多少钱。这提供了运 7 - , l ：l l , f b j p 悯络的棚天赞 川的合理分 t i 7 , 。 1 史毗汁赞管理包括4 个步骤： ( 1 ) 确定计费原则： ( 2 ) 收集关于网络资源使川情况的数抓： ( 3 ) 没胃使 j 定额： ( 4 ) 为用1 ，o7 1 具网络使川帐单。 o a t m 州 q 什珥 234 陀能倚踯( p m ) 性：能锊理保证计算机网络可以被访问从而使刖户能有效地使用它。故障管王旦! 考【g 的是刚络运行是7 r l r 常，而性能管理考虑的则是网络运行的好坏。运用性能 管川卅i 息，竹朋 卉i 叮以保证嘲络具有足够的弈景以满足川，1 ，的需要，保证网络保 持m j 通过和不拥挤的状态，为h j j 、提供更好的服务。它通过下列途径实现这 雌拧h 络设街年它们的相关连接以确定使h j 率和出错率： 保证没备和连接的容量不会被过度地使用以致对性能产；l 有害影响。 性能僻理包括下面4 个步骤： ( 1 ) 收集网络i = 5 2 备和连接的当前使用数据： ( ! ) 分析相关数据，辨别使用趋势； ( 3 ) 设置利用率阈值； ( 4 ) 使用模拟确定如何调整网络达到最佳性能。 性能僻理除了有利于用户提供可持续水平的服务之外，它还可以帮助管理者 刑i q 络的术米发腱作出规划。 2 3 5 安全管理( s m ) 安令箭理通过控制信息的访问点保护网络中的敏感信息。敏感信息是指一个 组织想要保护的任何数据，比如与财务、顾客的帐户以及与研究和发展的计划相 爻的j ! b 东两。 安个管理使得网络管理者可以通过以下途径来保护敏感信息： 限制用户( 包括组织内部和外部) 对主机和网络设备的访问。 在有人试图或实际突破安全时，报告给管理者。 这种安全管理羽i 操作系统安全或物理安全是不同的。网络安全管理是通过对 】二机或改箭的特殊配骨控制网络中的访问点，但它不处理如何保护实际的安全敏 感信息，因此不膨该把它和物理安全及操作系统安全等其他概念混淆。它主要的 作用是保护敏感信息，并解除用户对安全性的忧虑。 使j j 安个管理，f 叫络管理者可以通过限制用户对主机和网络资源的访问，并 荻甜安个的试i 纠或丈翰m 0 破埘：报告来保护敏感信息。它包括下面4 个步骤： 【1 ) 确j 芷篮f 粜 、，的敏感信息； ( 2 ) 找访问点： ( 3 ) 使用加密、信息过滤、主机认证、用户认证以及密钥认证等方法来保护 访问点： ( 4 ) 维护安全访问点。 第三章简单网络管理协议 s n m p ( s i m p l e n e t w o r km a n a g e m e n tp r o t o c 0 1 ) 一响单网络舒理协议足通川 1 i ：迮刚络设备的网络管p l ! 框架，足当今最流行的标准删络管理框架。s n m p 足应 川层1 的协议，二1 i 要通过f l 【i n t e r n e t 协议及其所依附的资源提供州络钳理服务。 s n m p 提供了个j 离奉框架刚水实现对鉴别、授权、访问控制，以及刚络钳理政 策实施等的商层管强! 。 s n m p 采h j “管理进程一代理进程”模型束监视和控制i n t e r n e t 上各种可管 理网络设备。s n m p 实际l 山3 个要素构成。 个或多个被管理的网络设备，每个都含有一个代理。被管的网络实体 或结点必须具备在i n t e r n e t 匕通信的能力； 一个或多个网络管理设备，每个都含有n m s 。网络管理进程也必须具备 在i n t e r n e t 上通信的能力： 代理进程和n m s 之间的协议用于交换管理信息。这个协议就是s n m p 。 3 1s n m p 的3 个主要标准 s n m p 的，1 j 要标准有3 个： 管理信息结构( s m i ) 管理信息库( m i b ) 网络管理协议( s n m p ) 管理信息结构包含定义s n m p 的基本规则，它描述了被管对象以及在n m s 耳代理之叫传送的管理信息是如何定义的；s n m p 协议足网络管理信息交f i ：的规 则；r r , j 管理信息库则是被管对象的集合。 3 1 1 箭功i 息结构( s m i ) 僻理信息结构是l ；理信息库t f l f 内刈缘定义和编码( 以便通过协议1 输) 的j 点 础。 s m i 址刈公 占卡勾和般类型的描述，和标识方法起，在实现- t 挪婴j t j 剑。 s m i 绐常被比作数抓库的模式。就像模式描述库r ，对象的格式和析】- l d 。样，s m i 描述m i b 的列象。s m i 最关键的原则是管理对象的形式化定义要用抽象语法记法 1 ( a s n 1 ) | 柬描述。 管理对象的集合，在每个实现f | 1 都是作为特定的m i b 严格定义的，花s m i 的证式况法中称为对象类型。 坚 竺竺婴竺笪型篓丝些壹竺：- j 列象类型有3 个用来描述其特性的最基本属一h - ，这些属性使它们在s n m p 填 现导到i t - ：t i f c j t 史g l 。这3 个属性可以看作是对象类型的外在农现，在再种实现中 都魁必h i i , r 少的。s n m p 对象类型的卜述3 个町定义腾，r l ：是： 私 语法 编码 1 刈象炎犁名 x , j 象类型瓠唯 代表一个对象类，是刘象的标识手段，它也称为对象标u 符。 它是j 千j 一串有序枢数表示的，该整数串是遍历由所有已知s n m p 对象构成的全局 树甜到的。 所有这些已知列象是用层次化方法定义的。s n m p 层次化命名结构中的每 层部分配了一个标号。英语的句点将每个子层的标号分割。层次化结构中的任何 个名字都是 串f 】句点分割的标号，该序列反映了对象的层次型结构。一个特 定对象的列象标识可以通过沿着从根到该对象的路径获得。 【司为所有这些列象标识符都用数字表示，因而这种组织方法很自然就带有字 典顺序。这是一个很有用的特性，在树中的任个结点，n m s 可以提供一个对象 或对象实例标识并且申请对在该序列中出现在下一个的对象实例进行操作；同时 个网络管理系统可以在不能确切知道个代理呈现给它的命名树的子域州，通 过宁腆顺序，有效地遍历一个命名树。 2 对象类型的语法 语法是抽象语法记法l ( a s n 1 ) 对对象类结构的形式化定义。语法定义了 列应于具体对象的抽象数据结构。每个对象有4 个标准属性是必须定义的，这样 j 能1 l ：确说明m 1 b 中的对象。 这4 个属性是： 语法类型：必须在预定义的a s n1 o b j e c ts y n t a x 集合中选择； 访问模式：是代理对每个对象的每一次操作的允许程度。目前定义了4 个访问等级：j 读、读弓、只写、不可访问： 状态：定义了被镎结点是否要实现该列象。| 1 前定义了3 种状态：必备 状态、仟选状态、废弃状态； 私值：一段简短的文字，按照s n m p 的术语称为对象描述符，等同于相 应的对象标识符。 3 对象类型的编码 j 某刘象类型的实例定义并说明了以后，它们的值就可以在代理和n m s 之问传送。传送时要刷a s n 1 编码规则对对象的语法进行编解码。s n m p 采用的 传输语法记法是基本编码规则( b e r ) 。也就是况，在s n m p 中每一个对象类型 筇i 章确曲畔销p e 机议 的实例都是川类型( t ) 、长度( l ) 和值( v ) 来表示的。类型就是指此对缘类 型实例的语法类型；长度是指编码后表达式的长度：值q ，包含构成此对象类型实 例的所有字节。 3 1 2 l t 弹信息j 孳 1 定义 管型“寿息库m i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ) 是对于通过网络协议呵以 访问信息的精确定义，定义了一个设备可获得的网络管理信息。豁于s m i 给定了 管理对象定义的一般框架，管理信息库中为每个对象说明了具体的对象实例， 并为每个实例绑定了一个值。每个设备，为了和标准的网络协议一致，必须使j 玎 m i b 中定义的格式显示信息。 2 m i b 的实现 m i b 经常被当作是管理对象的虚拟数据库，在具体实现中，采用哈希表来实 现。影向合希表效率的一个重要因素是哈希函数本身。当两个不同的数据元素的 哈希值相同时，就回发生冲突。通常，解决冲突的方法有以下两种： ( 1 ) 丌放定址法； ( 2 ) 链地址法。 往此，我们采片j 了链地址法。 31 3s n m p 协议 s n m p 是n m s 和代理之问的异步请求和响应协议。s n m p 采用提取一设置 范例来实现n m s 和代理之间信息的交互，n m s 通过提取操作获取设备的信息， 通过设置操作实现对设备的特定控制。 3 2s n m p 参考模型 s n m p 参考模型如图3 1 所示， h 以卜4 个土要部件构成 7j ：迮网络 m 络协议 网络管理进程 被管网络实体 3211 j ：连网络 在s n m p 参考模型中，互连网络是采用相同协议、通过网关相连的一个或多 个网络的集合。 4 a t m 网络管理戈臀j 网络管理进程 川户界面 网络网络网络 管理管理管理 府川麻h 麻川 123 ：| n m s 网络协议 被管删络实体 代理l 代理 进程l 进样 lm i b 网络协议 自连网 幽3ls n m p 参考模型 3 2 2 网络协议 网络协议就是使互连网络能够通信的规则，通常被称为“协议栈”。采用s n m p 时，与此相关的网络协议主要是互连网络中使用的t c p i p 协议集。图3 2 是s n m p 所使用的协议栈。 应用层 传送层 网络层 链路层 s n m p u d p i p l a n 协议w a n 协议m a n 协议 图3 2s n m p 协议栈 s n m p 使用u d p ( 数据报协议) 作为第4 层即传送层协议，因而n m s 和代 理之间通信的标准消息中每一个都是单个包。 u d p 使用无连接的服务，因此s n m p 不需要依靠在代理和n m s 之间保持连 接束传输消息。s n m p 之所以倾向于一个无连接的传送服务，主要原因是其健壮 性。j 二可能i h 现各种失败和违法行为，网络管理操作就变得越来越重要。如果 s n m p 依赖于使用传送连接，那么在失去连接的情况下也就无法进行s n m p 消息 的交了。 3 2 3 网络管理进程 s n m p 参考模型有一个网络管理进程，它也是网络设备，通过网络协议和 s n m p 协议与互连网络中被管理的网络实体通信。网络管理进程有4 个主要部件： 网络管理系统( n m s ) 第j 章简! 扯网络管理d i v 网络管理系统( n m s ) 的m i b 和数据库 网络管理应用程序 网络管理用户界i n i l 网络管i 里系统( n m s ) n m s 是l l ：i 视控制代理进程的处理实体，它与代理进程形成一个兆同体。n m s 呵以通过寸代理m i b i 一特定对象进行读写来实现特定的操作实现划删络改符f 门锊 理，也可以将每个代理一 ，的管理信息存储在自己的本地数据库t h l 2 网络管理系统m i b 网络管理系统的管理信息库中含有本共同体中所有代理m i b 的主清单。 3 网络管理应用程序 网络管理应用程序将s n m p 数据转化成网络管理用户可用的信息。 4 网络管理用户界面 终端用户是通过用户界面来使用网络管理进程设备的。 3 2 4 被管网络实体 s n m p 参考模型中的被管网络实体，就是含有代理进程的网络设备。它也要 用网络协议和s n m p 协议在互连网上与网络管理进程的n m s 通信。被管网络实 体包含2 个关键的部件： 代理进程 代理进程的m i b 1 代理进程 代理进程是处理实体，从所在共同体中的n m s 接收请求，如果请求合法就 进行处理，最后发出适当的响应。代理进程也可以配置成要发送t r a p 报文，以报 告异步预定义的事件。代理进程利用操作支持例程，操作本地数据结构以提取和 设置它所控制的各个m i b 对象。 2 代理进程的m i b 代f l ! 进程的m i b 是它所关心的变量集合。构成特定代理m i b ，决定于该设 符的功能昶l 所婴管 盟的资源。 3 3s n m p 协议 3 3 1 提取一设置范例 s n m p 采用提取一设置范例来实现n m s 和代理之问信息的交互，被支持的 唯一操作是对标量的修改或检查。 s n m p 共有5 种消息类型： 6 a t m 网络臀珥1 一“： 术的研究 g e t r e q u e s t g e t n e x t r e q u e s t g e t r e s p o n s e s e t - r e q u e s t t r a p s n m p 管理系统使用g e t - r e q u e s t 从拥有s n m p 代理的网络设备中检索信息， s n m p 代理以g e t r e s p o n s e 消息响应g e t r e q u e s t 消息。 g e t - r e q u e s t 和g e t n e x t r e q u e s t 结合起来使用可以获得个表中的对象。 g e t - r e q u e s t 取回一个特定对象；而使用g e t n e x t r e q u e s t 则是请求表中的下一个 对象。通过使用g e t n e x t r e q u e s t ，n m s 可以动态地发现一个m i b 视域结构，同 时它也为搜寻一个未知的表提供了一个有效的方法 使用s e t - r e q u e s t 可以对一个设备中的参数进行远程配置。通过改变代理m i b 中的某个对象的值来进行某种特定的操作。 t r a p 是s n m p 代理发送给n m s 的非请求消息，通知n m s 发生了一个特定 的事件。 归纳起来说，可以对标量进行3 种操作： 1 g e t ：一个n m s 从一个代理取得一个对象的值； 2 s e t ：一个n m s 更新一个代理中的对象的值； 3 t r a p ：一个代理发送一个非请求的对象值到一个n m s 。 其中，g e t 操作就是所谓的提取范例，n m s 可以用来获取设备的状态；s e t 就是所谓的设置范例，n m s 可以用来控制设备。 3 3 2s n m pp d u 在s n m p 中，信息按照s n m p 消息的形式在n m s 和代理之阳j 交换，每一个 消息包括一个指明s n m p 版本的版本标志，一个用于安全性的团体名字，以及5 种协议数据单元( p d u ) 中的一个。 1 版本标志 版水标志是n m s 和代理都知道的常量，刚于实现版本标i ： 。如果n m s 或 代理接收到含有非法的或不支持的版本号的报文，则陔消息就被丢弃。在s n m p v l 驰，版小字段值是0 ，而在s n m p v 2 罩，版本字段值是1 。 2 体名字 s n m p 协议并不是在没有任何形式的安全的情况下提供关于网络设备的信 息或允许对其进行配置改变的。每个代理控制它自己本地的m i b ，而且能够控制 多个n m s 对该m i b 的使用。该控制有3 个方面： 1 认证服务：代理只接收来自特定n m s 的s n m p 消息； 第二章简单刚络锊蹦! m 议 2 访问策略：代理为特定的n m s 提供不同的m i b 视域： 3 转换代理：代理作为其他被骨t ! l b ) 。1 汀曲换代理。 s n m pi 到体的概念是个存代理l ：定义的j 嗣裔f j 概念。代理为每个j i j 要认证、 访问控制年l i 转换代弹l ! 特征的结合建立一个l 卅体。 疆个【 1 休彳f 个唯的【 _ | 体名 ，n i 这个团体内的所有n m s 都必须在所有的g e t 和s e t 操作中使j | 该体的名 字。一个代理可以建立许多团体，这些团体可以包括重叠的n m s 成员。 3 p d u 的格式( 如图3 3 ) ( a ) s n m p 消息 ( b ) g e t r e q u e s tp d u g e t - n e x t - r e q u e s tp d u s e t - r e q u e s tp d u ( e ) g e t r e s p o n s ep d u ( d ) t r a pp d u ( e ) v a r i a b l e - b i n d i n g s l 茎f3 3s n m pp d u 的格式 注意：g e t r e q u e s t 、g e t n e x t r e q u e s t 、s e t - r e q u e s tp d u 同g e t r e s p o n s ep d u 有 一样的格式，它们的错误状念和错误索引域总是被设置为0 。这个预定减少了 s n m p 实体必须处理的不同p d u 格式的数目。 3 3 3s n m p 消息的传输 原珥! 上，一4 个s n m p 实体执行卜- 耐的动作