（计算机应用技术专业论文）基于地址过滤的网络拓扑发现的研究与实现.pdf

东北大学硕士学位论文摘要 基于地址过滤的网络拓扑发现的研究与实现 摘要 随着网络规模的日益扩大和网络结构的日趋复杂，网络管理已经成为计算机网 络可靠运行的关键。网络管理的根本任务便是通过从网络中收集网络设备信息，并 分析、监视和控制它们。因此，在进行网络管理之前首先确定网络中存在有什么设 备，以及这些设备的类型，及其连接拓扑非常重要。所以实现网络管理的第一步是 发现网络拓扑结构。 但是，对网络拓扑自动发现功能，尤其是对二层设备拓扑连接发现功能支持的 不足已经严重限制了大量高级网管工具的性能。为适应当前国内管理和国际上网络 信息安全的需求，研究高效的网络拓扑发现算法，对开发具有自主知识产权的网管 产品，保证网络有效、安全运行具有重要的意义。 本文正是基于上述目的而提出的。它首先介绍了网络管理以及网络拓扑发现方 面的一些基本原理，进而阐述了现在已经比较成熟的路由器网络的拓扑自动发现算 法。接着分析了目前各种大型网管系统对交换机网络拓扑发现功能支持普遍不足的 原因，并借此提出了全新的基于地址过滤的网络拓扑发现算法。该算法借助标准的 s n m p 协议获取网络设备的信息，并通过过滤二层设备的地址转发表信息，克服了 不完整的地址转发表对传统拓扑发现算法造成的困难，最终建立起了网络拓扑图。 该算法消除了同类算法必须依赖完整地址转发表或者设备私有协议的缺点，具有实 用性高，通用性强的优点。 关键词：网络管理；配置管理；简单网络管理协议；网络拓扑；拓扑发现 地址过滤 一一 东北大学硕士学位论文 a b s t r a c t r e s e a r c ha n di m p l e m e n t a t i o no fn e t w o r kt o p o l o g yd i s c o v e r y b a s e do na d d r e s sf i l t e r i n g a b s t r a c t w i t ht h ee v e re 1 1 l a r g i n go ft h en e t w o r ka n dc o m p l i c a t i n go fi t ss t r u c t u r e n e t w o r k m a n a g e m e n th a sb e c o m et h ek e yt on e t w o r kc r e d i b i l i t y , w h o s eb a s i ct a s ki sc o l l e c t i n g a n da n a l y z i n gi n f o r m a t i o nf r o me q u i p m e m si nn e t w o r ka n dm o n i t o r i n ga n dc o n t r o l l i n g t h e m s oi ti sv e r yi m p o r t a n tt om a k ec l e a rw h a tk i n d so fe q m p m e n tt h e r ea r ei nt h e n e t w o r ka n dt h et o p o l o g yo ft h e m s ot h ef i r s ts t e pi nn e t w o r km a n a g e m e n ti st of i n dt h e t o p o l o g yo f t h en e t w o r k h o w e v e r ，t h ed e f i c i e n c y i n l a y e r 一2 d e v i c et o p o l o g yd i s c o v e r yh a s s e r i o u s l y r e s t r i c t e dt h ep e r f o r m a n c eo fm a n ya d v a n c e dn e t w o r km a n a g e m e n tt o o l s w i t ht h e d e m a n d so fn a t i v en c t w o r km a n a g e m e n ta n di n t e r n a t i o n a ln e t w o r ks e c u r i t y , i ti so fg r e a t s i g n i f i c a n c ef o rac o p y r i g h tt or e s e a r c he f f e c t i v et o o lo fn e t w o r kt o p o l o g yd i s c o v e r y t h ep a p e ri sj u s tp u tf o r w a r df o rt h i sp u r p o s e f i r s t l y , i ti n t r o d u c e ss o m e f u n d a m e n t a lp r i n c i p l e so fn e t w o r km a n a g e m e n ta n dt o p o l o g yd i s c o v e r ya tp r e s e n t a n d t h e ni tg o e so nw i t hs o m em a t u r ea l g o r i t h m sf o ra m o m a t i cd i s c o v e r yo fr o u t e rn e t w o r k t o p o l o g y a f t e rt h a t ，i ta n a l y z e sw h ym a n yc u r r e n ta l g o r i t h m s c a nn o t s u f f i c i e n t l y a c h i e v et h ef u n c t i o no fd i s c o v e r i n gs w i t c h - c o n n e c t i o nt o p o l o g y , a n dt h e na na l l a r o u n d n e wa l g o r i t h mi sp u tf o r w a r dw i t hw h i c hi sb a s e do na d d r e s sf i l t e r i n g t h ea l g o r i t h m a c q u i r e sn e t w o r kd e v i c ei n f o r m a t i o nt h r o u g hs t a n d a r ds n m pp r o t o c o l ，a n db u i l d su pt h e n e t w o r kt o p o l o g ym a ps u c c e s s f u l l yb yf i l t e r i n ga d d r e s sf o r w a r d i n gt a b l ei n f o r m a t i o no f l a y e b 2d e v i c e t h ea l g o r i t h me l i m i n a t e st h ed r a w b a c k so ft r a d i t i o n a lt o p o l o g yd i s c o v e r y a l g o r i t h m st h a tm u s td e p e n do ni n c o m p l e t ea d d r e s sf o r w a r d i n gt a b l eo rp f i v a t ed e v i c e i n f o r m a t i o n ，a n di se n d o w e dw i t ht h ec h a r a c t e r so f p r a c t i c a b i l i t ya n da v a i l a b i l i t y k e y w o r d s ：n e t w o r km a n a g e m e n t ；c o n f i g u r a t i o nm a n a g e m e n t ；s n m pp r o t o c o l n e t w o r kt o p o l o g y ；t o p o l o g yd i s c o v e r y ；a d d r e s sf i l t e r i n g 一一 独创性声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取 得的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或 撰写过的研究成果，也不包括本人为获得其他学位而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确 的说明并表示谢意。 学位论文作者签名：琵宿强 日期：柳占，。 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学 位论文的规定：即学校有权保留并向国家有关部门或机构送交论文的 复印件和磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学 位论文的全部或部分内容编入有关数据库进行检索、交流。 学位论文作者签名： 日期： 另外，如作者和导师不同意网上交流，请在下方签名；否则视为 同意。 学位论文作者签名： 签字日期： 导师签名： 签字日期： 东北大学硕士学位论文 第一章引言 第一章引言 1 1 研究背景 自上世纪9 0 年代，计算机网络取得了突飞猛进的发展，网络规模日益扩大， 网络应用也日益深入。在因特网上，按从事的业务分类包括了广告公司、航空公 司、农业生产公司、艺术、导航设备、书店、化工、通信、计算机、咨询、娱乐、 财贸、各类商店、旅馆等等1 0 0 多类，覆盖了社会生活的方方面面，构成了一个 信息社会的缩影。网络的使用如此广泛，一方面给人们的日常生活提供更大便利， 另一方面却也扩大了网络故障的影响范围。单一网络设备的故障亦可能造成难以 估量的损失。因此，网络管理变得日趋重要。为了对来自不同厂家的设备实行有 效的管理，国际标准化组织提出了网络管理标准框架，将网络管理划分成5 大功 能模块：配置管理、性能管理、故障管理、计费管理和安全管理。i n t e m e t 体系结 构委员会在此框架基础上提出了相应的网络管理标准，即简单网络管理协议 s n m p 【1 2 】。基于t c p i p 的s n m p 协议由于其简单和易于实现的特性，已经成为 网络管理领域事实上的协议标准，且目前主要的网络设备都提供对s n m p 协议的 支持，因此基于s n m p 协议的网络管理技术被广泛采用 3 1 o 1 2 研究意义 本文讨论的是作为配置管理的一个重要组成部分的网络拓扑自动发现的设计 和实现。网络拓扑定义了网络节点问相互连接的关系。网络拓扑图是网络实体以 及它们之间存在的连接关系的图形化表示。获取网络拓扑图包含发现网络中存在 的实体和从这些实体中获取设备间连接关系的信息【4 】。 网络管理中的配置、性能、故障、安全等功能都与网络的拓扑信息密不可分， 图形用户晃面也必须以一个准确、真实的网络拓扑视图为依据。只有这样配置管 理才能借助于拓扑视图对网络设备( 及端口) 直接进行配置操作，而且性能数据 也可以直接映射到拓扑视图上。同时如果将拓扑视图和故障管理相结合，也有助 于实时地识别故障点和网络瓶颈，帮助恢复用户所期望的高水平服务。 发现网络元素的物理布局和连接是很多网络管理任务的前提条件。例如，对 一个故障检测和诊断任务，典型地，一个单一网络元素故障可能导致一系列不同 的网络元素都产生报警 5 】，而一个好的网络管理系统应该能够对这些报警信息进 行分析，找到故障的根源，从而仅仅向网络管理员报告故障源的出错信息，而不 是不负责任的产生大量警报信息，而留待网络管理员进行分析【6 】。只有了解网络 的拓扑，才能够对那些二级故障进行过滤从而找到故障的根源 引。此外完整的 1 东北大学硕士学位论文第一章引言 网络拓扑可以帮助提前寻找到网络连接中的单点，有助于进一步提高网络连接的 可靠性。 虽然网络拓扑的自动发现如此重要，但是在当前市场上没有一个网络管理平 台可以提供一个通用的网络拓扑自动发现的工具。大多数系统只能发现i p 层的网 络连接1 9 , 1 0 1 。发现三层拓扑相对简单，这是由于路由器必须明确其邻居情况才能 够很好的工作。但是不幸得是，三层拓扑仅仅包括了网络连接中的一部分，由于 不能够自动发现二层设备之间的复杂连接，而越来越多的交换机被使用以提高网 络的带宽，因此不能被三层网络可见的网络组件也就日益增多。在这种情况下， 网络管理对于检测端到端的可达性和评估链路和设备连接失败所造成的影响都会 受到损害。因此，我们必须提供二层设备的拓扑自动发现功能。 1 3 面临的困难 目前，对于三层网络设备的网络拓扑发现问题日益成熟，很多大型的网络管 理系统也都提供了三层设备拓扑自动发现算法。但是，对于二层设备的网络拓扑 自动发现问题，却没有一个实用的方法。在理论研究方面，大量二层拓扑发现算 法实现的前提条件是必须首先获得完整的地址转发表。但是由于交换机的地址转 发表的定时刷新特性，其完整性难以保证。为了满足算法对完整的地址转发表的 需求，当前主要采用的方式是首先向网络中的各个节点发送特殊构造的i c m p 数 据包，以确保交换机学习到所有网络节点的m a c 地址信息。但是，这一方面对 网络的正常运行造成了一定的影响，另一方面出于安全考虑网络中的很多主机并 不对i c m p 消息进行处理，这就给算法的实际可行性带来了问题。另外还有一些 算法是利用交换机的私有协议信息如c i s c o 的c i s c ow o r k s ，或利用s n m p 协议的 私有m i b 库【1 1 , 1 2 j ，或s t p 协议等来建立交换机的连接拓扑，但是这些方式的通 用性较差。 为了克服上述各种算法的局限性，本文提出了一种基于地址过滤的交换机拓 扑发现算法。该算法既不依赖于完整的地址转发表，也不依赖于s t p 等私有协议， 而仅利用标准的m i b 信息来建立实际网络的拓扑图。 1 4 国内外研究现状 国外早期的i p 网络自动拓扑发现工作 1 3 , 1 4 1 均是利用s n m p 等协议发现管理域 内的逻辑拓扑，即描述路由器与路由器，路由器与子网以及子网内部主机相互连接 关系的i p 层拓扑。另外，许多商业网络管理系统，如惠普公司的o p e n v i e w 【l ”，i b m 公司的t i v o l i 1 6 、达特茅斯的i n t e r m a p p e r 1 7 1 等，其拓扑发现也都是采用基于s n m p 协议的网络层自动拓扑发现算法。 近期，国外的研究工作在物理拓扑自动发现和广域网( 如i n t e r n e t ) 的拓扑发现 东北大学硕士学住论文第一章引言 恻络拓扑可以帮助提前寻找到网络连接中的单点，有助于进一步提高网络连接的 可靠性。 虽然列络拓扑的自动发现如此重要，但是在当前市场上没有一个阿络管理平 台可以提供一个通用的网络拓扑自动发现的工具。大多数系统只能发现i p 层的网 络连接1 9 ，”l 。发现三层拓扑相对简单，这是由于路由器必须明确其邻居情况才能 够很好的工作。但是不幸得是，三层拓扑仅仅包括了网络连接中的一部分，由于 不能够自动发现二层设备之间的复杂连接，而越来越多的交换机被使用以提高网 络的带宽，因此不能被三层网络可见的网络组件也就日益增多。在这种情况下， 网络管理对于检测端到端的可达性和评估链路和设备连接失败所造成的影响都会 受到损害。因此，我们必须提供二层设备的拓扑自动发现功能。 1 3 面临的困难 目前，对于三层网络设备的网络拓扑发现问题日益成熟，很多大型的网络管 理系统也都提供了三层设备拓扑自动发现算法。但是，对于二层设备的网络拓扑 自动发现问题，却没有一个实用的方法。在理论研究方面，大量二层拓扑发现算 法实现的前提条件是必须首先获得完整的地址转发表。但是由于交换机的地址转 发表的定时刷新特性，其完整性难以保证。为了满足算法对完整的地址转发表的 需求，当前主要采用的方式是首先向网络中的各个节点发送特殊构造的i c m p 数 据包，以确保交换机学习到所有网络节点的m a c 地址信息。但是，这一方面对 网络的f 常运行造成了一定的影响，另一方面出于安全考虑网络中的很多主机并 不对i c m p 消息进行处理，这就给算法的实际可行性带来了问题。另外还有一些 算法是利用交换机的私有协议信息如c i s c o 的c i s c ow o r k s ，或利用s n m p 协议的 私有m i b 库1 1 1 , 1 2 | ，或s t p 协议等来建立交换机的连接拓扑，但是这些方式的通 用性较差。 为了克服上述各种算法的局限性，本文提出了一种基于地址过滤的交换机拓 扑发现算法。该算法既不依赖于完整的地址转发表，也不依赖于s t p 等私有协议， 而仅利用标准的m i b 信息来建立实际网络的拓扑图。 1 4 国内外研究现状 国外早期的i p 网络自动拓扑发现工作 1 3 , 1 4 1 均是利用s n m p 等协议发现管理域 内的逻辑拓扑，即描述路由器与路由器，路由器与子网以及子网内部主机相互连接 关系的i p 层拓扑。另外，许多商业网络管理系统，如惠普公司的o p e n v i e w 【l “，i b m 公司的t i v o l i “ 、达特茅斯的i n t e r m a p p e r l l 7 1 等，其拓扑发现也都是采用基于s n m p 协议的网络层自动拓扑发现算法。 近期，国外的研究工作在物理拓扑自动发现和广域网( 如i n t e r n e t ) 的拓扑发现 近期，国外的研究工作在物理拓扑自动发现和广域网( 如i n t e r n e t ) 的拓扑发现 一2 一 东北大学硕士学位论文第一章引言 方面已经开展了一些。最近，i e t f 在意识到物理拓扑发现的重要性后，指定了物理 拓扑s n m pm i b 库1 8 1 ，但是并没有定义任何通用的协议和算法用于获得物理拓扑信 息。一些硬件制造商，如c i s c o 公司，开发了用于发现物理拓扑的私有协议c d p ( c i s c o d i s c o v e r yp r o t o c 0 1 ) f 1 硝以及相关工具，但是c d p 只适用于自动发现c i s c o 公司的网 络设备，不具有通用性。 1 5 论文安排 全文的章节安排如下： 第一章简要介绍了本论文的课题背景、意义，面临的困难，国内外研究现状， 以及论文的组织与安排。 第二章简要介绍了当前网络管理方面的一些基础知识，包括网络管理的模型、 网络管理的体系结构，以及目前最主要的网络管理协议s n m p 。 第三章主要介绍网络拓扑自动发现方面的一些基础知识，包括在实际环境中存 在的各种网络的拓扑结构，以及对这些网络进行拓扑自动发现的一些基本方法。最 后给出了讨论网络拓扑自动发现算法时需要注意的若干问题。 第四章首先重点介绍了路由器网络的拓扑自动发现算法，包括其实现原理以及 在算法具体实现时需要注意的几个问题。最后，给出了具体实现算法及其根据上述 算法所开发的系统的试验结果。 第五章重点介绍了交换机网络的拓扑自动发现算法。首先通过一个实例分析了 传统算法的弊端，指出了当前在二层拓扑自动发现方面所存在的问题。然后阐述了 本文提出的基于地址过滤的网络二层拓扑发现算法得以实现的理论基础，对算法的 正确性进行了论证。接着介绍了基于上述原理得出的拓扑自动发现算法，并通过一 个实例对该算法的执行过程进行了说明。最后则展示了根据该算法所开发的系统及 其试验结果。 第六章对全文进行总结，概括本文的主要工作及成果，并指出今后有待于进一 步开展的工作。 3 东北大学硕士学位论文第二章网络管理技术 第二章网络管理技术 网络管理可以定义为网络和服务的o a m & p ( 操作、管理、维护和供应) 。操 作组关注日常操作，以便提供网络服务。网络管理关注于建立以及管理全部的目 标、策略及网络管理的程序。安装和维护组处理各种功能，包括安装和应用程序 及设备的修复。供应涉及网络规划和线路供应，一般由工程部或供应部负责。 网络管理的主要目的是规划、监督、设计和控制网络资源的使用和网络的各 种活动，以确保其尽可能长时间的正常运行，或者当网络出现问题的时候尽可能 快的发现和修复故障，使之最大限度的发挥其应有的效益的过程，确保网络用户 获得信息技术服务及他们所期望的服务质量。 2 1 网络管理系统的基本组成 从网络管理系统的组成上来说，现代计算机网络的网络管理系统基本上由四 部分组成：至少一个网络管理工作站、多个被管代理、一个通用的网络管理协议 和一个或多个管理信息库( m i b ) 。 管理站：一般是一个单机设备或者是一个共享网络中的一员，它是网络管理 员与网络管理系统的接口。管理站向被管设备发送请求，从被管设备提取信息， 并进行分析处理；同时向被管设备发送命令信息，指挥被管设备进行各种操作； 也可以接收被管代理主动发来的陷阱( t r a p ) 信息，这往往说明被管代理出现了某 些异常。 代( a g e n t ) ：除了管理站之外，网络管理系统中的其它活动元素都是管理代 理代理中存储着被管设备的状态信息，根据管理站的要求，代理负责提取设备数 据以及状态信息，并发送给管理站，或者对设备执行某些操作。在被管设备发生 异常情况时，代理会主动向管理站发送陷阱消息。 网络管理协议：管理站和代理之间通过交换管理信息进行工作，这种信息交 换是通过网络管理协议来实现。管理站和代理可能是属于不同厂家的产品，两者 之间能够通信就要求有统一的接口，有了这个接口，任何厂家的网络管理产品就 能方便的管理其它厂家的产品，不同厂家的网络管理产品之间还能交换管理信息。 这个接口就是标准的网络管理协议。 管理信息库( m i b ) ：代表被管代理特性的数据变量集合。管理站和代理进行 操作、分析的就是这些信息。管理站通过获取m i b 对象的值来实现监视功能，通 过修改代理的特殊变量的值来修改代理配置。 网络管理的流程简单来讲就是：管理工作站接受管理员的命令，通过标准网 络管理协议向各个被管代理发送请求信息，同时接受各个被管代理的通告或者中 4 东北大学硕士学位论文第二章网络管理技术 断信息；被管代理接受来自管理站的命令，执行对代理m i b 信息的查询或者修改， 并发起响应事件；网络管理协议负责封装和交换管理工作站和代理之间的命令和 响应信息。 2 2 网络管理模型 网络管理体系结构就是尽可能满足上述网络管理需求的通用框架。一般来讲， 网络管理的体系结构应该包括如下几个方面的子模型： 组织模型一描述了网络管理的组件和组件间的关系 信息模型一描述信息管理的结构和组织 通信模型一描述所需的通信过程 功能模型一网络管理任务的组成结构 2 2 1 网络管理组织模型 网络管理的灵活性取决于网络管理部件的分散程度，换句话说就是取决于数 据收集、处理、网络控制和监视功能的分布程度。所有这些方面就构成了网络管 理的组织模型，它描述了网络管理体系结构中各个主角以及他们的作用。组织模 型包括管理者、代理者以及管理实体之间的通信方法。 典型的网络管理一般采用管理站，代理的工作模型，管理者可以是网络上的主 机、工作站等，负责发出管理操作指令和接受来自代理的信息。代理位于被管设 备内部，把来自管理站的信息转换成本设备特有的指令，完成管理者的指示，或 者主动把系统中发生的事件报告给管理者。 网络管理系统 图2 1典型网络管理体系结构组织模型 f i g2 1t y p i c a ln e t w o r km a n a g e m e n ts y s t e ms t r u c t u r eo r g a n i z a t i o nm o d e l 管理者通过管理操作指令将管理要求传送给位于被管系统中的代理，代理直 接管理被管设备。一个管理者可以和多个代理进行信息交换，一个代理也可以接 受来自多个管理者的管理操作。其体系结构组织模型如图2 1 所示。 在网络管理中还有另外一种代理转换代理，它向管理系统提供其它设备 或者系统的信息。使用转换代理，管理者可以管理多种类型的设备。转换代理接 5 东北大学硕士学位论丈第二章网络管理技术 收来自管理系统的指令，转换为这些系统或者设备可以接受的指令并发送给他们， 并向管理系统发送从这些系统或设备返回的信息。管理者和代理之间使用的是一 种语言，对于不能理解这种语言的设备，使用转换代理完成通信，转换代理相当 于一个在不同指令语言之间的翻译者。转换代理提供到多个设备的管理访问，管 理者，只需和一个转换代理通信，就可以管理多个设备。其模型如图2 2 所示。 不同语言一 圈管埋操作睡融一磋堡豳 縻；e 霾；i 卜+ 蘑l i 、嚣k 一m ，缀广一一1 邈登翻 鬯骱圜咂 图2 2 通过转换代理的网络管理模型 f i g2 2 n e t w o r km a n a g e m e n tm o d e lb yt r a n s f o r m a t i o np r o x y 2 2 2 网络管理信息模型 网络管理信息库和描述管理信息的信息模型是一个网络管理体系结构重要和 核心的组成部件。管理信息库实现了被管虚拟资源、软件及物理设备在逻辑概念 上的管理和储存。在管理信息库中，被管对象被定义为一种管理信息，是因为网 络管理的目的而对资源进行的一种抽象。被管对象的意义在整个网络系统中是统 一的，即不依赖于任何一个被管对象的具体实现，因此必须要有一种标准化的描 述语言来描述基于这种模型方法的管理信息。描述和管理相关的对象和信息的概 念集合就构成了网络管理体系结构的信息模型。 一般的，一个信息模型还需要定义一种逻辑上的描述方法，来描述被管对象 的一些特性。例如：被管对象的标识、组织形式以及行为特征，对被管对象执行 的操作和行动，被管对象之间的关系、命名编码等。 现有的网络管理信息模型多采用面向对象的方法定义网络管理信息库。网络 资源被以对象的形式存放在管理信息库( m i b ) e o ，对象在m i b 中的存放形式被称 作管理信息结构( s m i ，s t r u c t u r eo f m a n a g e m e n ti n f o r m a t i o n ) ，管理信息结构指定了 能够在m i b 中使用的数据类型以及如何表示和命名m i b 中的资源。目前两个标 准数据模型是i n t e r n e t 的s m i 和o s is m i 。o s is m i 采用完全的面向对象的方法， 其被管理对象由与对象有关的属性、操作、事件和行为封装而成，对象之间有继 承和包含的关系。对于i n t e r n e t 的s m i ，网络管理信息是面向属性的，其管理信 息的定义更注重简单性和可扩展性。这两种s m i 均采用o s l 的抽象语法表示语 言( a s n 1 ) 表示。 6 一 东北大学硕士学位论文第二章网络管理技术 2 2 3 网络管理通信模型 对于地理上分散的资源的控制和管理，一定会涉及到管理信息的交换。通信 模型定义了在多个网络管理实体之间交换管理信息的方案和机制，依赖不同的实 现目标，通信模型可能涉及到： 控制信息的交换，以影响、改变被管对象资源的行为； 被管对象设备的状态查询： 异步事件消息通报等。 那么，通信模型必须覆盖以下内容： 通信伙伴的描述； 通信机制的描述，即管理应用程序所需的通信服务和协议的描述； 通信中用到的数据结构的语法和语义定义( 数据交换的格式) ； 管理协议嵌入服务结构的机制和协议层级嵌入底层通信结构的机制。 一般来说，一个网络管理协议都应该满足网络管理通信模型的上述内容。通 信模型提供了管理和被管理系统间的协议接口。最广为人知的网络管理协议标准 当属i n t e m e t 的简单网络管理协议一s n m p v l 和s n m p v 2 ，以及i s o o s i 的公共 管理信息服务和公共管理信息协议( c m i s c m i p ) 。s n m p 是一种比较简单实用的 网络管理协议，只提供了一些监视和修改能力；相比而言，c m i s c m i p 是一种比 较高级的网络管理协议，但是由于其自身的复杂性，限制了它的发展。 通信模型只是给出了监视、控制和配置被管网络设备的方法，协议本身并未 阐述是如何完成网络管理的目标。 2 2 4 网络管理功能模型 i s o 在i s o i e c 7 4 9 8 4 文档中定义了网络管理系统所应具有的五大功能，并 被广泛的接受。这五个功能域是：配置管理、性能管理、故障管理、计费管理和 安全管理。 2 2 4 1 配置管理 配置管理初始化，并配置网络使其提供网络服务。配置一个网络需要正式地、 明确地描述所有的网络组成部分及其体系结构、功能和相互关系。配置管理功能 域掌握和控制互联网的状态，提供获取和修改远程网络设备各项参数的手段。应 该包括以下方面的内容： 识别被管网络的拓扑结构； 识别网络中的各个对象： 自动修改指定设备的配置； 动态维护网络配置数据库等。 7 东北大学硕士学位论文第二章网络管理技术 其中为网络管理员提供网络连接关系的一种方式就是网络拓扑图。系统使用 特定的协议同网络中的其它设备通信，从而获得网络中其它设备的信息，然后对 这些信息进行分析来构造网络拓扑图。网络拓扑图，对于故障管理也很有帮助， 可以帮助管理员迅速定位发生故障的设备。 2 2 4 2 性能管理 性能管理关心的是网络运行的好坏，其内容涉及到网络通信信息的收集、加 工和处理等一系列活动。通常以图表的形式向管理员反映网络某项参数的动态变 化情况，使管理员直观的看到参数变化的趋势。帮助管理员确定网络中是否存在 瓶颈，是否有设备因为错误配置而导致性能下降。保证在使用最少的网络资源和 最小的延迟的前提下，网络提供可靠、连续的通信能力，并使网络资源的使用达 到最优化的程度。一些典型的功能包括：收集统计信息；维护并检查系统状态日 志；分析和统计历史数据；建立系统分析模型等。 2 2 4 3 故障管理 故障管理的主要任务是及时发现并排除网络故障，应具有故障检测、故障报 警、故障信息过滤与关联、检索分析故障信息、排错、故障管理配置等功能。通 常故障管理子系统会定义一些规则来判断一个被管设备是否发生故障。对于大中 型网络，由于故障较多，还可采用优先级的办法划分网络故障，对高优先级的故 障及时处理，对低优先级的故障可暂缓处理，这样既能迅速处理严重故障又可有 效减少所占用的网络带宽。实现上述功能需要下面几个步骤：收集网络状态信息； 发现网络故障；查找、分析和分离故障原因；尽可能自动排除故障，或者给管理 者提供排除故障的帮助。 2 2 4 4 计费管理 计费管理根据网络用户使用网络资源的情况，例如信息传输量、占用线路的 时间等统计量，并选择一种用户可以接受的计费方法计算用户使用网络的费用。 这一方面保证了网络的运营和发展，另一方面可以根据计费管理的统计结果了解 端用户的网络访问流量的分布，更好的做到按需分配网络资源。对于商业化的网 络，计费系统还要计算更多、更详细的计费信息，如每次通信的开始、结束时间、 通信中使用的服务等级、通信中传输的信息量以及通信的另一方等信息j i 。这对 于网络服务提供商来说是一种十分重要的功能。 2 2 4 5 安全管理 安全管理是控制对计算机网络中信息的访问过程。主要包括：与安全措施有 关的信息分发( 如密钥的分发和访问权设置等) ，与安全有关的事件通知( 如网络 有非法侵入、无权用户对特定信息的访问企图等) ，安全服务设施的创建、控制和 删除，与安全事件有关的网络操作事件的记录、维护和查询等日志管理工作等等。 随着i n t e r n e t 和虚拟专用网( v v n ) 在商业上的广泛应用，以及电子商务的蓬勃发 8 东北大学硕士学位论文 第二章网络管理技术 展，对安全管理的需求也更加强烈。 2 3 网络管理的体系结构 网络管理的体系结构有很多种，应该根据网络的实际情况来决定所采用的网 络管理的体系结构。下面三种体系结构是比较常用的： 集中式的体系结构 分层式的体系结构 分布式的体系结构 除此之外，一种基于w e b 的网络管理方式正逐渐被大家所接受，这种方式使 用浏览器作为最终的管理界面，有着跨平台、使用方便简单、开销小等优点。 每一种体系结构都具有在特定环境下工作良好的特定功能，选择的时候应该 选择一个和单位组织最相似的网络管理体系结构。 2 3 1 集中式的体系结构 集中式体系结构的网络管理平台建立在一个计算机系统上，该计算机负担所 有的网络管理任务，并且由一个集中数据库负责整个受管理网络的数据存储。如 图2 3 所示。 图2 3 集中式体系结构 f i g2 3 c e n t r a l i z e da r c h i t e c t u r e 使用集中式的方案，网络工程师从一个地点就可以访问所有的网络管理应用 和信息，给网络管理带来方便、易操作和安全。但是这种体系结构最大的缺点就 是因为必须从一个位置查询所有的网络设备，这样会给连接到管理站的网络链路 甚至整个网络带来过多的网络流量；而且如果从管理站点到设备的连接中断，就 会丧失所有的网络管理功能。解决这样的问题，可以考虑在另一个物理位置保存 该系统的备份。还存在着当被管网络规模扩大或者结构复杂性增大时不能进行相 应的扩充的问题。 一9 东北大学硕士学位论文第二章网络管理技术 i b m 的n e t v i e w 是今天市场上采用集中式网络管理体系结构的一个例子。 2 3 2 分层式的体系结构 分层式的体系结构使用一个系统作为中央服务器，其它系统作为客户系统， 如图2 4 所示。网络管理平台的某些功能驻留在服务器系统上，其它功能由客户 系统完成，网络工程师可以配置多个独立的客户系统来监视和轮询网络的不同部 分。这种分层的体系结构，可以使用客户机i n , 务器数据库技术。客户通过网络访 问中央服务器的数据库，客户系统没有单独的数据库。 图2 4 分层式体系结构 f i g2 4h i e r a r c h ya r c h i t e c t u r e 层次化的网络体系结构中，网络工程师可以将监控任务分配给客户系统，节省 了网络带宽，缓解了集中式方案中的一些问题，r m o n ( 远程监控) 系统就是采用 的这种结构。而且，这种结构很容易扩展，只需要增加新的客户系统就可以扩展管 理范围，并且可以形成多级分层的结构。但是，因为层次结构采用多个系统来管理 网络，不再有管理整个网络的一个集中地点，这可能会给数据采集造成困难，也会 耽误网络工程师的时间。另外，每个客户系统管理的设备列表需要在逻辑上预先定 义并配置好，否则可能造成多个客户系统监控和轮询同一设备，这会导致消耗多倍 于正常网络管理所需的网络带宽。 s t m c o n n e c t 的s u n n e t m a n a g e r , h p 的o p e n vi e w 以及a t & t 的s t a r s e n t r y ，这 些平台都允许网络工程师将其设置成以层次结构方式运行的平台。 2 3 3 分布式的体系结构 分布式的体系结构结合了集中式和分层式这两种方案的特点。分布式方案使 用了多个对等平台，其中一个平台是一组对等网络管理系统的管理者，每个对等 平台都有整个网络设备的完整数据库，可以执行多种任务并向中央服务器系统报 告结果。 该方案兼备了集中式和层次式方案的优点：任一地点都能获得所有的网络信 息、警报和事件；任一地点都能访问所有的网络应用；不依赖单一的系统；网络 】0 东北大学硕士学位论文第二章网络管理技术 管理任务分散；网络监控分布于整个网络。 但是实现该方案需要同步维护位于不同系统的多个数据库，这样在各子网中 的每一个客户机都可以通过n m s ，从相连的数据库中得到本子网和其他子网中网 络设备的状态信息。数据的同步就需要采用到数据库复制技术，这种技术非常的 负责，所以同步造成的开销，可能比数据库客户服务器技术消耗的网络资源要多 得多。 三种网络管理体系结构各有特点。集中式最为简单易于实现，但是不适合管 理大型网络；分层式比较符合大多数大型网络的管理需求，在实现技术上比集中 式结构复杂，比分布式简单，但是要求网络管理人员对网络有比较全面的了解， 配置上较为复杂。分布式结构能够适合各种网络管理的要求，但是实现技术比较 复杂，目前还在进一步的研究中。 2 3 4 基于w 曲的三层分布式体系结构 基于w e b 的网络管理w b n m ( w e bb a s e dn e t w o r km a n a g e m e n t ) 通过w e b 技 术( 如w e b 服务器、h t t p 协议、h t m l 语言、j a v a 语言和w e b 浏览器) 集成网 络管理系统，获得可运行于各种平台的简单有效的管理工具。利用h t t p ( 超文 本传输协议) ，使用具有h t m l ( 超文本标记语言) 和j a v a 语言解释能力的w e b 浏览器，可以有效的显示网络管理数据，减少操作命令。 基于w e b 的三层分布式体系结构分为表示层、业务层、数据层。表示层为客 户端的w e b 浏览器，用户通过w e b 页面输入数据：业务层为w e b 服务器，是表 示层和数据层的桥梁，响应表示层用户的请求，从数据层提取数据，并将数据传 送到表示层；数据层，响应业务层的请求访问数据，这一层通常是由大型的数据 库服务器组成的。 网络管理员通过w e b 浏览器和网管服务器的w e b 服务器通信，浏览管理信息 或者传送命令，实现对被管设备的访问、监视和操作；网管服务器使用标准网络 管理协议与被管网络设备通信，提取或者设置网络设备的管理信息。 三层模型向浏览器提供了一个以网络为中一t h , ( n e t w o r k c e n t r i c ) 的视图，使用者 只需要知道管理整个网络的u r l ，所有的管理信息可以被集成处理并在浏览器和 网管软件之间传送。三层模型有更大的可扩展性和灵活性，可以通过增加软件的 功能，增强网管软件的处理能力，特别适合要求低成本、易于理解、平台独立和 远程访问的网路运行环境。 2 4s n m p 协议 简单网络管理协议s n m p 是由i n t e r n e t 体系结构委员会( 1 a b ，i n t e r n e t a r c h i t e c t u r eb o a r d ) 领导的i n t e m e t 工程任务组( i e t f , i n t e m e te n g i n e e r i n gt a s kf o r c e ) 一 东北大学项士学位论文第二章网络管理技术 研究开发的，它提供了一种监控和管理计算机网络的框架和协议，这个框架和协议 被广泛地应用于商业产品中，并成为网络管理的事实上的标准。随着i n t e r a c t 的迅 速发展s n m p 也在不断发展以适应新的要求，到目前为止s n m p 已历经了三个版本 【2 0 1 。本文所讨论的s n m p 代理开发平台其中很大一部分正是对s n m p 协议代理端 的实现。 2 4 1s n m p 的发展 s n m p 标准随着网络技术的发展和应用需求的变化不断得到改善，它的发展经 历了三个阶段： s n m p v l 2 1 】 1 9 8 7 年底，i n t e m e t 的管理机构i a b ( i n t e r n e t a c t i v i t i e sb o a r d ) 意识到需要在众多 的网络管理方案中进行选择，以便集中对网络管理的研究。i a b 要选择适合于t c p i p 网络、特别是i n t e r n e t 的管理方案。1 9 8 8 年，i a b 制订了i n t e m e t 管理的发展策略， 即采用s g m p 作为短期的i n t e r n e t 的管理解决方案，在适当的时候转向c m i s c m i p ， 并将研究工作委托给i e t f 。i e t f 对o s i 的c m i p 协议作了修改，修改后的协议被 称作c m o t ( c o m m o nm a n a g e m e n to v e rt c p i p ) 。但由于c m o t 的实现迟迟未能出 台，i e t f 决定把己有的s g m p ( s i m p l eg a t e w a ym o n i t o r i n gp r o t o c 0 1 ) 进一步修改后， 作为临时的解决方案。这个在s g m p 基础上开发的解决方案就是著名的s n m p ，1 9 9 0 年i e t f 在r f c l l 5 7 中正式公布了s n m p 。它的特点如下： ( 1 )简单性：s n m p 相对于其它网管标准而言，比较简单，较容易实现，且 成本较低； ( 2 )可伸缩性：s n m p 可管理绝大部分符合i n t e r n e t 标准的设备： ( 3 ) 扩展性：通过定义新的“被管理对象”即m i b ，可以非常方便地扩展管理 能力； ( 4 )健壮性：即使在被管理设备发生严重故障时，也不会影响管理者的正常 工作。 由于s n m p 的简单和易于实现，因此，s n m p 得到广泛应用，并成为网络管 理的事实上的标准 2 2 】。 但是由于s n m p v l 本身缺乏一个较完备的体系结构，且其安全l 生较差，s n m p 在9 0 年代 初得到了迅猛发展的同时，也暴露出了明显的不足。 s n m p v 2 c 【2 3 1 s n m p v l 如同t c p i p 协议簇的其它协议一样，没有考虑安全问题，为此许多用 户和厂商提出了修改s n m p v l ，增加安全模块的要求。于是，i e t f 在1 9 9 2 年雄心 勃勃地开