（计算机应用技术专业论文）基于ldap的vlan管理系统的研究与实现.pdf

摘要 摘要 随着局域网交换技术的迅速发展，v l a n 技术越来越受到广大用户的关注， 尤其是其灵活的组网技术，有效地减少了网络中因站点移动和改变带来的管理开 销。但v l a n 管理的复杂性，又在一定程度上影响了v l a n 的使用和普及。在 没有专用v l a n 管理系统的情况下，当网络出现了故障或者网络拓扑关系发生 变化时，管理员常常只能利用t e l n e t 等工具登录到被管理的网络交换机上查询端 口状态和v l a n 配置情况如果需要管理的网络设备很多，交换机的v l a n 配 置情况又比较复杂，管理起来就比较困难。专用v l a n 管理系统必须能很好地 解决这些困难，使管理员在监视网络拓扑变化情况和运行状态的同时，能非常方 便地查询到网络中的v i a n 配置及其运行情况，从而综合判断出v l a n 中的所 有设备和网络结点的运行状况。 在详细分析l d a p 目录服务协议和v l a n 管理技术的基础上，提出了一种 灵活合理的v l a n 管理系统体系结构系统结构按功能设计，由客户端、管理 服务端和后台系统三部分组成，将l d a p 协议和v l a n 管理技术集成起来通 过l d a p 目录服务协议，系统将v l a n 管理策略信息等网络资源映射到一个逻 辑目录树中，使管理策略信息的更新与同步转化为对逻辑目录树中不同子树下的 对象的操作，简化了系统模型的开发，易于系统的升级和转化。在系统设计中， 详细描述了v l a n 各个部分的功能和特点，包括认证管理、策略管理、探测管 理和日志管理等功能模块的设计目标和具体内容。在系统设计的基础之上，利用 s n m p 、j a v a 、r m i 、v r p 和s t p 等技术，很好地实现了v i _ a n 管理系统，为 用户提供了一个方便直观的v i _ a n 管理图形化操作平台。 本文提出的这种基于l d a p 的v l a n 管理系统模型和体系结构，实现了 l d a p 目录服务协议和v l a n 管理技术二者的有机结合，为v l a n 的管理和应 用提出一个可行性方案，是v i _ a n 管理研究的一个有益探索，具有良好的发展 前景。 关键字：局域网v l a n管理策略l d a ps n m p a b s t r a c t a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fl a ns w i t c h i n g ，m o r ea n dm o r ep e o p l ef o c u so n v l a n a saf l e x i b l en e t w o r kb u i l d i n gt e c h n i q u e ，i te f f e c t i v e l yr e d u c e st h ec o s to f n e t w o r km a n a g e m e n t h o w e v e r ，t h eu s a g ea n dp o p u l a r i z a t i o no fv l a na r ed e p r e s s e d d u et oi t sm a n a g e m e n tc o m p l e x i t y w i t h o u ts p e c i a lv l a nm a n a g e m e n ts y s t e m ，t h e m a n a g e rh a st ou s et e l n e tt o o lt oc h e c kt h es t a t u so ft h es w i t c h e ra n dt h es e t t i n g so f v l a n ，w h e ns o m e t h i n gi sw r o n gw i t ht h en e t w o r ko rt h et o p o l o g yo fn e t w o r ki s c h a n g e d t h em a n a g e m e n ti sv e r yd i f f i c u l ti ft h e r ea l em a n ye q u i p m e n ta n d t h e s e t t i n g so fv l a na r ec o m p l i c a t e d t h es p e c i a lv l a nm a n a g e m e n ts y s t e ms h o u l d s o l v et h e s ep r o b l e m sv e r yw e l l ，s u c ht h a tt h em a n a g e rc a nm o n i t o rt h en e t w o r ka s w e l la sc h e c kt h ec o n f i g u r a t i o n sa n dp e r f o r m a n c e sc o n v e n i e n t l y o nt h eb a s i so fa n a l y s i so fl d a pa n dm a n a g e m e n tt e c h n i q u e so fv l a n ，w e p r o p o s eaf l e x i b l ea n ds u a a b l ev l a nm a n a g e m e n ts y s t e m t h es y s t e mi sc o m p o s e d o ft h r e ep a r t s ，t h ec l i e n t ，t h es e r v e ra n dt h eb a c k g r o u n ds y s t e m t h el d a pp r o t o c o l a n dt h em a n a g e m e n tt e c h n i q u e so fv l a na r ei n t e g r a t e d d u r i n gt h ed e s i g no ft h e s y s t e m ，t h ep a p e ri n t r o d u c e st h ef u n c t i o na n dc h a r a c t e r i s t i co fe v e r yp a r to ft h e v l a n t h ev l a nm a n a g e m e n t s y s t e m i s i m p l e m e n t e dc o m m e n d a b l yw i t h t e c h n i q u e ss u c ha ss n m p ，j a v 氏r m i ，v r p ，s 1 1 p ，e t c ，p r o v i d i n gac o n v e n i e n ta n d v i s u a lo p e r a t i o np l a t f o r m t h i sp a p e ri n t r o d u c e sav l a nm a n a g e m e n ts y s t e m ，w h i c hi n t e g r a t e st h el d a p p r o t o c o la n dt h em a n a g e m e n tt e c h n i q u e so fv l a nw e l l t h i sp a p e rg i v e saf e a s i b l e s c h e m ew i t hag o o df u t u r e ，w h i c hi sah e l p f u lr e s e a r c ho nt h em a n a g e m e n to fv l a n k e yw o r d ：l a n v l a n m a n a g e m e n tp o l i c y l d a ps n m p 第1 章引言 第1 章引言 随着网络技术日新月异的发展，现代局域网已进入高速交换时代。以交换技术为基 础产生的v l a n 管理技术是一种新的热门技术，目前正在得到越来越广泛的应用【1 l 。它 的出现是和l a n 交换技术分不开的，l n 交换技术使用户可咀较方便地取代传统的共 享式介质局域网。而及时有效地对网络实施v l a n 管理技术，不但可以充分满足用户对 网络灵活性和扩展性方面的要求，而且对隔离网络故障、高效率地分配网络骨干带宽和 降低网络成本提供了一种切实有效的技术手段。因此，从某种角度讲，v l a n 管理技术 己经成为现代大型局域网建设、管理和应用不可缺少的技术。 1 。1 研究背景 2 1 世纪是一个全球信息化的时代，信息社会的发展造成了许多地理分散的相关组 织，越来越多的工作人员在流动的办公室中办公，这就产生了一个称为“虚拟工作组”的 新实体：即在逻辑上相关而物理上分散的人群。但人员的频繁迁移以及网络设备的增 加、移动和更改给网络管理带来了极大的负担。在传统网络中，这种改变是通过物理位 置移动来实现的，需要耗费大量的人力物力口j 。 在传统局域网中，各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性 能的重要因素。为解决发生在网络第二层的信道冲突和第三层的广播风暴问题，网桥和 路由器被广泛应用于局域网中【3 】。这样的网络结构无论从效率还是安全角度考虑都有所 欠缺。由于网络中的站点被束缚在所处的物理网络中，而不能够根据需要将其划分至相 应的逻辑子网，因此网络结构的灵活性欠佳。 为解决以上问题，引出了v l a n ( v i r t u a ll a n 虚拟局域网) 的概念。v l a n 是指网 络中的站点不拘泥于所处的物理位置，而可以根据需要灵活地加入不同逻辑子网的一种 网络技术。对v l a n 的管理是利用网络管理软件来实现的，即通过软件策略将网络用户 按性质及需要分成若干个“逻辑工作组”，每一个“逻辑工作组”就是一个v l a n 4 , 5 1 。由于 逻辑工作组的站点组成不受物理位置的限制，当一个站点从一个逻辑工作组转移到另一 个逻辑工作组时，只需要通过软件设定，而不需要改变它在网络中的物理位置，真正实 现了网络用户与他们的地理位置无关，从而大大减轻了网络管理和维护工作的负担。同 时，由于v l a n 根据不同用户的性质或需要将其划分成不同的工作组( 或子网1 ，这就相 应避免了信道冲突，隔离了广播风暴，提高了网络性能和网络安全性。可见，v l a n 管 理技术不但能有效地解决上面的问题，而且还在定程度上提高了网络性能和安全性， 这己引起业界人士的广泛关注。 1 9 9 6 年3 月，i e e e 制定了v l a n 技术国际标准8 0 2 1 0 草案，1 9 9 8 年对其进行了 修正，并于1 9 9 9 年颁布实施，使v l a n 管理技术朝标准化方向迈进了一大步i ”。 随着网络技术趋向于虚拟交换网络发展的方r q t 6 1 ，v l a n 管理技术也由于被愈来愈 多的人们接受和使用而得到了很大发展。国外许多著名网络交换设备厂商均置力于 第1 章 ；占 v l a n 管理技术的研发，纷纷制定和发展自已的v l a n 管理技术策略。3 c o r n 公司制 定了虚拟局域网架构t r a n s o z n dv l a n 。t r a n s c e n dv l a n 架构的目标是使联网更加容 易，从而使网络管理人员能够集中精力提供应用程序和服务；d i g i t m 公司推出e r n v l s n 体系结构，集v l a n 技术、分布式路由和高速变换政策管理为体，用以构造灵活的 虚拟智能交换网络；d i t 和阿尔卡特因特网业务公司曾宣布，两家公司共同开发出可以 通过因特网建立由两个以上的l a n 组成一个虚拟局域网的网络设备“n e t - g f l a t n e t ”。 可见，国外的各网络设备厂商已把v l a n 管理技术作为其设备的网络管理体系结构中 的必备组成部分。但是，设备厂商只是把对v l a n 的管理作为其网络管理的一个功能 模块，而没有专门的对v l a n 进行单独管理的系统。 在我国，随着局域网应用的增加，用v l a n 管理技术作为可供选择的网络解决方案 的需求也在不断增加【7 】。可是，国内网络设备厂商如桑达、华为、实达推向市场的网络 设各中只有少部分提供对a n 管理技术的支持，而且在v i a n 实现功能和管理策略 上与国外相比还有一定的差距。因此，对v l n 管理技术进行深入研究，进而探索、开 发专门的v 】l a n 管理系统在国内更为迫切和必要，同时也有着十分重要的意义。 1 2研究内容和目标 在以上研究背景下，本文首先分析l d b _ p 目录服务协议，指出l 肪蟑目录服务协议 的四类基本模型以及l d a p 用于v ia n 网络管理数据存储的优越性。接着对v l a n 管 理技术的基本原理和主要技术特点进行深入研究，并全面剖析了v l a n 管理策略的理论 类型。在此基础上，设计出v u 龋管理系统的软件模型，为用户提供了方便的图形化管 理界面以及添加、删除、修改a n 管理策略的直观方法，使其对a n 的管理直观 清晰、简单灵活，更为快捷方便。最后介绍了在l i n u x 环境下利用j a v a 编程语言实现 v l a n 管理系统的方法和过程，以及管理系统各功能模块的具体实现。 基于本文研究内容，确定以下主要研究目标： 1 分析l d a p 目录服务协议，找出v l a n 管理策略存储相关技术： 2 研究v l a n 管理技术，启发构建v l a n 管理模型思路； 3 讨论v l a n 管理的相关技术，寻求v l a n 管理系统实现所需的技术支持： 4 提出基于l d a p 的v i a n 管理系统的设计方案； 5 给出在l i n u x 环境下实现v l a n 管理系统的方法和过程。 1 3论文结构 本文由七章和参考文献组成，具体安排如下： 第一章是文章的引言，主要叙述了v l a n 管理系统的研究背景、研究内容、研究目 标和论文结构。 第二章主要分析了l d a p 目录服务协议的四类基本模型，重点研究了目录树的数据 结构、命名方式和访问更新目录信息的功能操作。 2 第1 章引言 第一章对v l a n 管理技术理论进行深入分析和研究，叙述了v l a n 的定义、v l a n 管理技术的特点和管理策略，同时还详细阐述r 包括i e e e 8 0 2 1 0 在内的 v l a n 管理相关协议。 第四章讨论了v l a n 管理系统实现时要用到的相关技术，包括s n m p 、v r p 、s p t 协议和j a v a 技术等。 第五章给出v l a n 管理的设计模型，提出v l a n 管理系统的体系结构，对v l a n 的几个功能模块进行了讨论和设计。 第六章介绍在l i n u x 环境下v l a n 管理系统中关键技术的具体实现，并较为详细地 分析了系统管理功能模块的实现过程。 第七章对整个研究工作做出总结，指出v l a n 管理系统的进步研究方向。 第2 章l d a p 协议分析 第2 章l d a p 协议分析 目录是一种在读取、浏览和查询等方面具有最优化性能的特殊数据库1 8j 。它主要面 向数据的查询服务，能够对大量的查找做出快速响应，有着超常的筛选和过滤能力。目 前，主要的目录服务标准有x 5 0 0 、l d a p 等。而l d a p 由于其实现灵活、方便的优势， 成为当前发展较快的一种目录服务协议，其英文全称是l i g h t w e i g h td i r e c t o r ya c c e s s p r o t o c o l ，简称轻型目录访问协议，由美国密西根大学所发明。l d a p 作为种正式的 i e t f 标准，己在r f c l 7 7 7 和r f c 2 2 5 1 中得到描述阱。 2 1 发展历史 世界通用的目录协议是兀u t 与i s o i e c 合作制定的分布式目录服务标准x 5 0 0 系 列( x 5 0 0 - x s 9 9 ) ，它定义综合目录服务，包括信息模型、名字空间、功能模型、访问 控制、i b 录复制及目录协议。虽然x 5 0 0 是一个完整的目录服务协议，但在实际应用的 过程中，却存在着不少障碍。由于目录访问协议d a p 这种应用层协议是严格遵照复杂 的i s o 七层协议模型制定的，对相关层协议环境要求过多，加上功能十分复杂，程序的 代码也十分庞大，这样就使得其很难在p c 机等资源配置较低的计算机上运行。随着 t c p i p 协议体系的普及，使得这种协议越来越不适应需要。因此，皿m 下的a s i d 小组 制定了轻量级目录访问协议l d a p ，其目标是用较小的代价在因特网上实现x 5 0 0 的大 部分功能。 从目录服务技术的发展来看，l d a p 标准实际上是在x 5 0 0 标准基础上产生的一个 简化版本，它继承了最好的特性，同时又去掉了x 5 0 0 的复杂性，是x 5 0 0 标准中的目录 访问协议d a p 的个子集，因此，与x 5 0 0 相比，l d a p 更为简单和实用。l d a p 用相当 于x 5 0 0 标准1 0 的代价完成了9 0 的功能，这使得l d a p 事实上成为了t c p i p 网络目录 服务的标准。 l d a p 协议从1 9 9 3 年批准产生了l d a p v l 版本，随后于1 9 9 7 年发布了第3 个版本 l d a p v 3 ，它的出现是l d a p 协议发展的一个里程碑性标志，使l d a p 协议不仅仅作 为x 5 0 0 的简化版，同时丰富了l d a p 协议许多自有的特性，使l d a p 协议功能更为 完备，具有更大的生命力。 第一版的l d a p 目录不是数据库，它真正是一个协议，把t c p i p 协议转换为i s o 的协议，它不涉及对数据的处理，数据的处理交给了x 5 0 0 服务器，它不过是一个充当 协议转换的角色。l d a p 发展到第2 版，抛弃了x 5 0 0 服务器而独立运行，于是数据库 就挂在l d a p 服务器上，这时的l d a p 服务器不仅仅实现了l d a p 协议，而且自己保 存了数据以供客户机查询，这与数据库的数据存取功能是相似的。因此可以把l d a p 服 务器看作一种特殊数据库。但它不同于一般的数据库，一般数据库有完善的数据存取和 数据管理功能，而l d a p 服务器在这两方面都很弱，不过在数据安全方面，比一般的数 据库做得好。在l d a p v 3 中，增加了扩展操作机制，允许定义协议中没有的操作，如数 4 第2 章l d a p 协议分析 字签名。 2 2基本模型 l d a p 协议是基于客户，服务器的协议模式，运行于t c p p 之上。l d a p 的核心规范 在r f c 中定义，可通过4 种基本模型完整地描述其目录存储、访问控制以及目录数据的 操作处理。l d a p 基于以下4 类模型： 数据模型描述存储在l d a p 目录中数据的结构； 命名模型描述数据在l d a p 目录中如何组织和区分； 功能模型描述可以对l d a p 目录中的数据进行何种操作； 安全模型描述如何保证l d a p 目录中的数据的安全。 2 2 1数据模型 数据模型规定了数据类型以及存储在目录中的基本数据单位。存储于目录中的基本 信息单元称为目录对象或目录项( e n t r y ) ，目录对象代表现实世界中的对象或概念，例如 用户、服务器、组织等。目录对象由一组属性( a t t r i b u t e ) 构成偿 考图2 1 ) ，一个属性描述 了一个目录对象的某种特性。每个属性有一个类型和一个或多个相关的值。属性类型决 定了这种类型的属性有一个还是多个值，以及属性值必须遵守的语法和匹配规则等。 u 螨准规范定义了大量的存储在目录中的对象种类以及相关的属性类型，它们按照 一定的标准和原则被分成不同的模式( s c h e m a s ) 。可见，在s c h e m a 中包括了所有可以 在目录树中出现的目录项的对象类型( 包括对象的名称、对象必须拥有的属性以及对象 可以拥有的属性等) 和属性类型( 包括属性的名称、属性的语法、属性的操作等) ，并 且对象类型和属性类型都可以从其他已经定义的对象类型和属性类型中继承。l d 幢p 服 务器根据模式中定义的信息来决定如何操纵一个目录项。 2 2 2 命名模型 图2 1 目录项、属性类型和属性值的关系 l d a p 命名模型定义目录项是如何被组织和区分的。目录项在目录中的组织形式好 像一棵树，因此称之为目录信息树( d i r e c t o r y i n f o r m a t i o n t r e e d r r ) ( 如图2 2 ) 。目录 5 第2 章l d a p 协义分析 项在d r r 中根据各个项的辨别名( d i s t i n g u i s h e dn a m e d n ) 进行排列。d n 能在目录中 唯一区分一个目录项，它是由相对辨别名( r e l a t i v ed i s t i n g u i s h e dn a m e s - - - r d n s ) 组合而 成。辨别名d n 对应了目录信息树中从树根到该目录项的一棵树枝。实际上，每一个r d n 是目录项的一个属性，形式为： = ；而目录项就是一系列的r d n 的连接， 中间以逗号分开。图2 2 展示了一棵简单的目录信息树。 i r o o t f 7 磊删1 0 m y o r 8 d 。：u s 0 c n = z h a r 羽i n g s o n g 0 = a b c 删e n = j o ：h j 哪nm a r 。 圈2 2 目录信息树 树中的一个节点代表了一个目录项，树顶端的根目录项r o o t 仅仅是逻辑想象的， 是一个虚根节点，没有实际意义。在根目录下l d a p 可利用属性类型d c ( d i r e c t o r y c o n t e x t ) 、o ( o r g a n i z a t i o n ) 、o u ( o r g a n i z a t i o nu n i t ) 或c n ( c o m m o nn a m e ) 将树分为不同的子 树，从逻辑上分开数据区，树的最底层是叶节点。 d i t 中目录项的位置常常由该目录项所代表的意义决定，如代表国家的目录项会出 现在d 1 t 的顶端，然后是学校、单位、团体等等。再往下可以是代表人的目录项或是 代表子公司、下属单位等的目录项。在d i t 的最底端的目录项代表实际的个体，如学 院里的学生、单位里的雇员，甚至可以是实验室内的一台交换机等。d 1 t 可以有任意深 度、任意的分支数目，这是由设计时的实际情况而定。 d i t 中的目录项根据它在树中的位置来命名。依据是：从它的位置到根的路径上经 过的节点顺序依次叠加。在图2 2 中，左下角目录项的d n 由五个r d n 组成，它们分别是 c n = z h a n g m i n g s o n g 、o u = c o m p u t e r 、o u = n a n k a i 、o = e d u 和d o = o n ，如果分别用逗号把 它们隔开，并按一定顺序依次叠加，就是d n 的表达样式：c n = z h a n g m i n g s o n g ， o u = c o m p u t e r ，o u = n a n k a i ，o = e d u ，d c = c n 。 可见，用户通过标准的命名模型可以访问树中任何位置的目录项。 6 第2 章l d a p 协议分析 2 2 3 功能模型 l d a p 协议的功能模型是x 5 0 0 功能模型的一个子集，定义了如何使用l d a p 协议 访问更新目录中的信息。l d p a 提供9 个基本的功能操作，根据功能特征可以分成三类： 查询操作：查找、比较。这两种操作允许用户查找目录项和检索相应的目录数据。 目录服务系统将根据用户提供的查找条件形成查找过滤器，从目录树中选择项。查找过 滤器的基本形式是： 。比较符包括“= ”( 等于) 、“ = ”( 大于等于) 、 “= ”( 小于等于) 、“= ”( 等于所有) 。可以使用a n d o r 操作符组合过滤器条件进行扩展匹 配和否定匹配。具体操作原语是s e a r c h 、c o m p a r e 。 更新操作：添加、删除、修改、修改辨别名。这些操作允许添加、删除、改名和更 改目录项，是用户操纵目录数据的方式。具体操作原语是a d d 、d e l e t e 、r e n a m e 、m o d i 卸。 认证和控制操作；绑定、解绑定、放弃操作。绑定操作允许一个客户端通过向目录 提供一个辨别名称和一个认证信息集合来证明自己，服务器将根据客户端提供的身份证 明授予相应的权限；解绑定操作将使服务器放弃客户端的认证信息，终止l d a p 操作， 断开与客户端的连接，关闭t c p 连接；放弃操作允许一个客户端通过向服务器发送一 个先前提交的操作报文，指出它不再对此操作的结构感兴趣。具体操作原语是b i n d 、 u n b i n d 、a b a n d o n 。 除了这9 个基本的操作，l d a p v 3 还增加了三个操作： l d a p 扩展操作：不必对l d a p 核心协议改动就可定义一个新的l d a p 协议操 作。 l d a p 控制：在已存在的l d a p 操作中加载额外的信息，改变操作的动作。 简单认证和安全层s a s l ( s i m p i ea u t h e n t i c a t i o na n ds e c u r i t yl a y e 0 ：是一个在客户和服 务器之间实现各种认证模式的通用协议框架，可以支持多认证方式。 为了扩展原有的基本操作，最新版本的l d a p 协议允许用户自行定制需要的操作， 这极大地加强了对目录数据的访问和控制能力。 2 2 4 安全模型 安全模型的根本目的在于提供一个框架以防止目录数据受到未经认证的访问。由于 l d a p 协议工作在面向连接的方式，用户所有操作都必须依赖于事先建立的连接，系统 可以在该连接上设置不同的操作权限以防止用户的非法访问或入侵。此外，l d a p 采用 的加密数据传输可以进一步杜绝非法用户通过网络侦听来获取数据的可能性。 l d a p 中的安全模型主要通过身份认证、安全通道和访问控制来实现。 身份认证；在l d a p 中提供三种认证机制，即匿名、基本认证和s a s l ( s i m p l e a u t h e n t i c a t i o na n ds e c u r el a y e r ) 认证。 安全通道：在l d a p 中提供了基于s s l d l t , s 的通讯安全保障。s s l r f l s 是基于 p k i ( p u b l i c k e y i n f r a s t r u c t u r e ) 信息安全技术，是目前i n t e m e t 上广泛采用的安全服务。 访问控制：l d a p 访问控制异常的灵活和丰富，在l d a p 中是基于访问控制策略 语句来实现访问控制。 7 第2 章l d a p 协议分析 2 3会话机制 l d a p v 2 要求客户端在进行会话时先发送一个绑定请求，如果客户端没肯发送，则 服务器端将默认使用l d a p v 3 版本协议与客户端进行通信。l d a p 消息提供个包含所 有协议交换请求通用字段的封装【1 1 1 ，当前通用的字段只有报文和控制。 当一个客户端向服务器发送一个绑定操作时，开始一个l d a p 会话，这里服务器可 能要求进行认证。一旦在双方之间建立了一个连接，客户端可以发送任何的l d a p 更新 或者查询命令。每个命令有一个序列号，以便当返回多个或者几百个记录，这由发送的 过滤器操作决定。发送更新操作的客户端，在操作完成以后，只从服务器接收一个确认 或者一个错误条件。 l d a p 协议直接基于面向连接的t c p 协议实现，定义了l d a p 客户机和l d a p 服 务器闻的通信过程和信息格式。l d a p 服务器在服务端口( 缺省端口为3 8 9 ) 监听，收到客 户机的请求后，建立连接，开始会话。一次l d a p 会话过程包括以下4 个步骤： 对本次l d a p 会话初始化； 客户身份验证； 目录操作，如检索、增加、删除、修改等； 结束会话。 在会话过程中的每一步骤，对客户机的每个请求，服务器都有相应的应答信息。 2 4编程接口和数据交换格式 一个应用程序要读，写目录树中的信息时并不是直接访问目录，而是调用一个函数或 者应用程序接口间接对目录信息访问【1 2 】。 1 应用编程接口 l d a p 应用编程接e l ( a i i ) 描述软件如何编程访问目录，提供一个功能调用和定义 的标准集合。这个a p i s 广泛使用在运行c c + + 、j a v aj a v a s c r i p t 和p e f l 的开发平台 上。 l d a p 应用编程接口有多种类型： c 编程语言的接口a p i 是最老的接口。 支持所有l d a f v 3 性能n e t s c a p e 的j a v a 开发工具包。 p e r l 语言的工具包p e r l l d a p 。 s u n 公司的j n d i 是支持n i s + 、l d a p 等多种类型目录服务访问的一个a p i 。 微软提供的是一个动态目录服务接口a d s i 。 2 数据交换格式 l d a p 数据交换格式( l d a p d a t a i n t e r c h a n g e f o r m a t ，l d i f ) 提供了一种简单文本格 式来表示目录项和相应目录项的变化。l d i f 结合l d a p 接口，很容易编写出更新目录 的工具，以此帮助同步l d a p 所有的目录信息。 l d i f 允许导出目录数据，并导入另一个目录服务器，并允许数据在使用不同数据 格式的服务器之间进行转换。有两种不同类型的l d i f 文件。第一种描述目录项的集合， 8 第2 章l d a p 协议分析 如公司目录树、管理策略目录树等。另一种是u ) 球更新声明序列，描述目录项的变化。 l d 职具有用户可读性，它与l d a p 软件在命令操作中使用的语法相近。使用l d i f 表示一个目录项的基本语法如下： d n ： o b j e c t c l a s s ： o b j e c t c l a s s ： ；l a n g u a g et a g ： ；l a n g u a g et a g ： 其中，一个属性名称各跟着一个冒号，然后是属性值。d n 是第一个出现的属性，跟 着用逗号分割的d n 属性值。实际的数据存储是一个二进制数据。 2 5用于v l a n 数据存储的优越性 基于l d a p 的v l a n 管理的一个重要思想就是利用l d a p 目录服务技术存储并访问 n 网络管理数据，它在数据访问控制、访问速度、开放性、跨平台等方面极大地提 高了a n 网络管理的质量，这为v l p u n 网络管理提供了有力的技术支持。因此，这种 基于l d a p 的a n 数据存储结构对v l a n 网络管理的性能改善有着许多突出的优越性。 ( 1 ) 扩展性。由一个或若干个l d a p 服务器的目录资源组成整个目录树，从本质上 讲，就是一个树状的数据库。由于树结构的层次性，使得l d a p 目录资源具有易扩展 性，从而使得分布各处的目录资源可以方便地集成起来。 ( 2 ) 数据类型多样性。它不仅支持简单字符串，并且支持图像、声音等二进制数据。 ( 3 ) 平台无关性。u ) a p 实现一个通用的平台无关的结构，目录可以被大多数平台 和应用程序接受和实现。 ( 4 ) 简单实用性。l d a p 继承了x 5 0 0 的最好特性，同时又去掉了它的复杂性。因 此，与x 5 0 0 相比，l d a p 更为简单和实用，实现起来具有易配置、易管理和低费用的 特点，提供了满足应用程序对目录服务所需求的主要特性。 ( 5 ) 快速搜索功能。l d a p 目录服务在数据存储和访问时，不必为加入一些新的数据就 重新创建表和索引，也不必花费内存或硬盘空间处理“空”域，因此，系统开销少，搜索数据 信息速度快。 ( 6 ) 数据访问控制功能。l d a p 提供灵活的不同层次的访问控制功能来控制对目录树 数据读和写的权限。访问控制可以根据谁访问数据、访问什么数据、数据存在什么地方 等对数据进行访问控制。这些对用户是透明的，因为访问控制是l d a p 目录服务器完 成的，而不需要客户端的应用程序进行安全检查。 9 第3 章v l a n 管理技术研究 第3 章v l a n 管理技术研究 3 1v l a n 定义 v l a n 英文全称为v i r t u a ll o c a la r e an e t w o r k ，即虚拟局域网。就其定义，由于 有众多的交换设备供应商所制定的不尽相同的v i a n 解决方案和实旌策略，精确地给 v l a n 下定义就成为一个有争议的问题。因此，目前很难找出一种v l a n 的严格定义，本 文给出的仅是在业界内基本上认同的、常规的v l a n 定义。 1 常规定义 依据一定规则，通过软件策略将大的交换网络从逻辑上划分为多个较小的交换罔， 每个小交换网又是一个广播域，而且广播域的成员可以处在不同的物理l a n 上，但它 们之间却能像在同一个l a n 上那样自由通信而不受物理位置的限制【1 3 l ，这种划分得到 的每个广播域就是一个 n ( 参考图3 1 ) 。定义中的逻辑上划分有两层含义：第一是 交换网络划分过程是逻辑上的，即a n 的划分通过软件配置来完成，还可以反复修 改，而不需要物理网络拓扑的变化；第二是这种交换网络本身的特点是逻辑的，和传统 交换网络不同之处在于与物理位置无关，并且无法通过网络的物理拓扑结构来判断虚拟 交换网络的的划分。 圈3 1 a n 定义典型不例 2 定义延伸的特性 ( 1 ) 同一v l a n 的所有成员组成一个“独立于物理位置而具有相同逻辑的广 播域”，共享一个v l a n 标识( v l a n 1 。 ( 2 ) v u 蝌的所有成员都能收到由同一v l a n 的其他成员发送来的广播包， 但收不到不同v l a n 的成员发送的广播包。 1 0 第3 章v l a n 管理技术研究 ( 3 ) 同一v l a n 的成员之间的通信不需要路由的支持而不同v l a n 的成 员之间的通信则需要路由支持。 3 2工作原理 v l a n 管理技术是将同一v 1 2 k n 内的通信流量( 单播帧、多播帧、广播帧1 经第二层 v l a n 交换机的转发完成，速度极快。第二层v l a n 交换机内建有与v l a n 信息相关 的数据结构，能对v l a n 标记作特殊的处理，完成v l a n 所要求的功能。当v l a n 交 换机从工作站接收到数据后，对数据的部分内容进行检查，判断数据帧的v l a n 属性， 与内建的v l a n 相关数据信息或一个配置的v l a n 数据服务器( 含有m a c 地址等信 息) 中的内容进行比较后，以确定数据去向。如果数据要发往一个v l a n 设各 ( v l a n - a w a r e ) ，交换机就把v l a n 标识加到这个数据信息上，根据v l a n 标识和目 的地址，该数据信息就能被转发到v i a n 中适当的目的地：如果数据发往非一个非 v l a n 设备( v l a n - u i l a w a r e ) ，则v i a n 交换机就不在该数据信息上加v l a n 标识，仅 依据目的地址把数据信息转发到非v l a n 中的目的地1 1 ，”) 。 3 3技术特点 v l a n 管理在功能和操作上与传统l a n 管理相比具有独自的技术特点： ( 1 ) 隔离广播风暴。网络中大量的广播信息所带来的带宽消耗和网络延迟，对用户 来讲是不容忽视的。v l a n 具有隔离广播风暴的特点，可以把一个大的局域网划分成几 个小的v a n ，使每个v l a n 中的广播信息大大减少，从而减少整个网络范围内广播 包的传输，提高网络传输效率。除此之外，在划分v l a n 时，若将工作性质相同的用户 集中在同一个v i a n ，减少跨v l a n 的访问，可减少路由器由网络传输带来的延迟， 进一步提高网络的性能。 ( 2 ) 网络连接的灵活性。在局域网中，工作站在一个建筑物内或校园网内增加、移 动、更改是很常见的事情。划分了v l a n 后，当一个工作站需要变动物理位置时，只 要通过网管工作站就可以重新配置其属性：当工作站在相同的v l a n 内移动位置时， 它在新的位置仍然保留其原有的属性；当工作站在不同v l a n 之间移动时，就把新的 v l a n 的属性应用于这个工作站。另外，若一个部门的个别人员需调到另一个部门，或 因开发某个项目需要i 嗌时组建一个由不同部门的技术人员组成的工作小组时，有了 v l a n ，小组的成员就不必在物理位置上真正集中到一起，他们只需坐在自己的计算机 旁就可参与另一部门的工作或了解其他合作伙伴的工作情况。工作结束后，这个工作组 可以随之消失。 ( 3 ) 增强网络的安全性。各个v l a n 之间不能进行直接通信，而必须通过路由器( 或 三层交换机) 转发。如果v l a n 之间没有路由器，那么v l a n 就是与外界隔离的，相 当于一个独立的局域网，可防止大部分以网络监听为手段的入侵。当使用路由器转发时， 可以在路由器上进行相应的设置，实现网络的安全访问控制。另外，在每个交换机端口 只有一个工作站的结构中，可以形成特别有效的限制非授权访问的屏障。 第3 章v l a n 管理技术研究 ( 4 ) 提高网络的可靠性。在v l a n 中利用s t p ( s p a n n i n gt r e ep r o t o c 0 1 ) 础以在两条 t r u n k 链路上进行负载分担和冗余备份f 1 ”。也就是说，当两条t r u n k 链路都工作的时 候，可以使一部分v l a n 通过一条t r u n k 链路传递信息，另一部分v l a n 通过另一 条t r u n k 链路传递信息，使得两条t r u n k 链路共同分抠信息传递，提高传送速度；当 两条t r u n k 链路中有一条不能传递信息时，另一条自动承担全部v l a n 的信息传递， 保证了网络传递信息的可靠性。 3 4管理策略 具有v l a n 管理能力的交换机称为v l a n 交换机，它们基本上可分为两类：一 类是o s i 第二层f 数据链路层) v l a n 交换机，它建立在第二层桥的体系结构上，基于 端口或m a c 地址进行v l a n 划分，创建第二层的v l a n ；另一类是o s i 第三层f 网 络层) v l a n 交换机，它引入网络层属性，基于协议( p 、i p x 等1 来划分v l a n ，创建 第三层的v i a n 。根据划分v l a n 的具体方式来区分v l a n 管理策略方案，也有两 类，即基于第二层v u 心管理策略和基于第三层v l a n 管理策略，具体可大致分为下 面几种。 3 4 1 基于端口管理v l 州 基于端口管理v l a n 的策略是按照局域网交换机端口来管理v l a n 成员，也是 最常用的一种管理策略。它是从逻辑上把局域网交换机的端口划分开来，从而把终端系 统划分为不同的部分，各部分相对独立，在功能上模拟了传统的局域网【。 这种管理策略将交换机上的物理端口分成若干个组，每一组定义为一个v l a n 。如 图3 2 ，把交换机的1 、3 、9 、1 2 端口上的站点划归v l a n l 管理，把5 、7 、1 0 端口上 的站点划归v l a n 2 管理。 图3 2 基于单交换机端口管理v l a n 这是基于单交换机端口管理a n ，当然，第二代v l a n 交换机也支持跨交换机 管理v l a n 。如图3 3 ，交换机1 的端 上的站点a 与交换机2 的端口上站点c 属于同一 第3 章v i a n 管理技术研究 v l a n ，而站点b 尽管和站点a 连接在同一个交换机上，但由于它们不属于同一v n 因此就不能相互访问。 图3 3 基于多交换机端口管理v l a n 优点： ( 1 ) v l a n 划分简单，管理方便。 ( 2 ) 交换机处理过程简单，帧转发速度快。 ( 3 ) 安全性好。v l a n 外的主机既无法假冒v l a n 内的成员身份，也无法窃 听v l a n 中的广播信息，即使该主机与v l a n 成员位于同一交换机的相 邻端口。 缺点： ( 1 ) 移动能力不够强。由于自动化程度低，灵活性不好，不允许用户移动， 一旦用户移动到一个新的位置，网络管理员必须配置新的v l a n 。 ( 2 ) 不允许多个v l a n 共享一个物理网段或交换机端e l 。 总之，基于端口的v l a n 管理策略完全隔离了广播，高效安全，也是目前应用最广 的v l a n 管理策略。 3 4 2 基于姒c 地址管理v l 州 由于m a c 地址对应于唯一的网络接口卡，因此基于m a c 地址管理v u 蚪时， 当网络设备从一个物理位置移到另一个物理位置而没有改变其