（计算机应用技术专业论文）基于事件关联的网络事件管理的研究和设计.pdf

摘要 网络事件过滤器是一种用来针对各种目恚文件进行事件过滤的程序，它使得 我们可以在众多的复杂事件中发现并找到网络故障的根源，这也是解决网络安全 和故障问题的一种极好的分析措施。本文叙述了利用i n t e r n e t 上已经公布的中 间件s e c ( s i m p l ee v e n tc o r r e l a t i o n ) ，通过v c 编程语言设计实现一个网络事 件过滤系统的原理和技术，并在此基础上探索了一个能够跨平台运行的分布式网 络事件过滤系统基本框架。系统中采用了若干先进的软件开发技术，如插件、多 线程等，这些特征给系统带来了简便强大的扩充能力和较高的运行效率。特别是 中间件技术s e c 和基于规则的事件关联技术的支持使得系统可以在纷乱的事件 流中过滤冗余信息，找到事件根源，并且$ e c 能够自动与要分析的日志文件协调 以共同完成高负荷的过滤任务。 关键词：网络事件过滤，事件关联，多线程，s e c a b s t r a c t n e t w o r ke v e n tc o r r e l a t o ri st h es o f t w a r et of i l t e rt h ee v e n t si na l lk i n d so fl o g f i l e s i te n a b l e su st oc h e c ko u tt h ek e yf a u l tp r o b l e m si na d v a n c ea n dc o m p l i c a t e d s t a t i o n s a ss u c h ，i ti sap e r f e c ta n a l y z ew a yt os o l v et h es e c u r i t ya n df a u l tp r o b l e m s i ni n t e m e t t h i sp a p e rd e s c r i b e sh o wt oo r g a n i z et h ef i l t e r i n gr u l el i b r a r yf o rt h e e v e n t s a l s oi ti n t r o d u c e st h ep r i n c i p l e sa n dt e c h n o l o g i e so fh o wt oi m p l e m e n ta n e t w o r ke v e n tf i l t e rb a s e do nv c a n dt h i sp a p e rm a d es o m er e s e a r c ho dt h e a r c b j t c c t u r eo ft h ed i s t r i b u t e ds y s t e m i nt h es y s t e m ，s o m ea d v a n c e ds o f t w a r e d e v e l o p m e n tt e c h n i q u e ，s u c ha sp l u 甄n sa n dm u l t i t h r e a d i n ga n dd i s t r i b m i o mi s a d o p t e d ，w h i c hb r i n g sb r i e fa n dp o w e r f u le x t e n d e da b i l i t i e sa n dh i g hp e r f o r m a n c e e s p e c i a l l y , t h ep l u g i ns e ca n dr u l e - b a s e de v e n tc o r r e l a t i o nm a d es y s t e mc a nn m s t a b l yo nc o m p l e xe v e n t si nv a r i o u ss t a t i o n s s e cc a nc o m m u n i c a t ew i t ht h e s el o g f i l e sa u t o m a t i c a l l yt oa c c o m p l i s ht h eh i g h l o a df i l t e rt a s k l il a n ( c o m p u t e ra p p l i c a t i o n sa n dt e c h n o l o g y ) d i r e c t e db yp r o f e s s o rl ij i a n m i n g k e y w o r d s ：n e t w o r ke v e n tf i l t e r i n g ，e v e n tc o r r e l a t i o n , m u l f i t h r e a d ， s i m p l ee v e n tc o r r e l a t i o n 独创性声明 本人声明所呈交的学位论文是本人在导烦指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得南暑土学或其他教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 己在论文中作了明确的说明并表示谢意。 p， 学位论文作者签名：力_ 筑签字日期：力年易月，目 学位论文版权使用授权书 本学位论文作者完全了解南昌土学有关保留、使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人授权南昌土学可以将学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 孝就 导师签名：季龟历 签字日期：h 百年6 月f 日签字日期：弘吖年月，日 学位论文作者毕业后去向： 工作单位： 通讯地址 电话： 邮编： 申请硕士学位论文 1 1 选题背景 第一章绪论 网络系统规模在日益扩大，网络应用水平在不断提高，为了提供快速、可靠 和更加丰富的网络服务，需要网络在规模、复杂程度上进一步扩展。通常来说， 在一个网络中会包含很多的来自不同厂商的网络互连设备，使用不同的传输媒 体，在这种情况下，计算机网络服务发生意外中断是常见的，这种意外中断在某 些重要的时候可能会对社会或生产带来很大的影响。但是，与单计算机系统不同 的是，在大型计算机网络中。当发生失效故障时，往往不能轻易、具体地确定故 障所在的准确位置，而需要相关技术上的支持。 另外，互联网时代也是病毒和黑客流行的时代，冲击波，振荡波，各式黑客 们无不大显身手，这样安全事件频频出现也是司空见惯了。就是普通的电脑使用 者也可以通过一般的防火墙软件实时地知道谁在p i n g 自己的电脑，谁在连接自 己的通讯端口。在几秒钟之内，这些相同的，类似的事件可能出现几十个甚至上 百个。如果能在这些大量的安全事件中过滤并分析出一些有用的信息或找出黑客 们的目的和潜在的病毒，那对社会和生产将带来很大的益处。 因此，需要有一个事件管理系统，科学地管理网络发生的所有异常和安全事 件，并记录每个异常事件的产生及相关信息，最后确定并改正那些异常，保证网 络能提供连续可靠的服务。 但是随之而来的问题是在网络运行管理中，一旦网络发生异常，与故障相关 的逻辑或物理设备将产生大量的重复、相关的告警信息，并通过网络进行传输。 虽然告警信息有助于分析异常原因，但是由于告警噪声的影响，大量的告警事件 形成“事件风暴”，这就使得网络管理无法实施进行故障诊断。使用事件关联技 术，过滤重复、冗余的报警信息，关联相关的告警事件，可以尽快完成故障根源 的诊断工作。 另外，由于目前网络呈现分布式的特点，所以本论文拟在c o r b a 的理论基础 上试研究如何构建网络故障管理的框架，使得不同设备之间在理论上能进行真 正意义上的透明通讯。 第1 页 申请硕士学位论文 1 。2 课题来源 本课题来源于南昌大学华东南地区网络节点主机房的管理需求，属于理论和 实践相结合的项目。在课题的研发过程中，将根据南昌大学网络中心主结点的运 行和管理的特点，研究在事件相关的理论模式下如何构造分布式网络故障管理框 架，以解决目前机房网络故障管理需要人工干预并且收效甚微的问题。 1 3 选题意义 2 0 0 3 年8 月网络冲击波病毒曾经在全世界范围内造成了网络拥塞，全国范 围内的高校都不同程度地受到了影响。由于网络病毒的影响造成网络拥塞、交换 机频繁失控等一系列告警噪声，网络故障管理在这种情况下急需对告警事件进行 过滤，合并相关事件，从两找出故障根源。在网络管理中，对网络的安全管理以 及故障管理方面的应用趋势尤为明显，所以对于网络管理者来说，如何有效地管 理网络故障事件和安全事件，如何为现有网络规划有效的网络管理系统己变得尤 为迫切。因此，本课题在具体的实践基础上，研究如何在教育网络中心节点构造 基于事件关联的分布式网络故障管理构架，这个从实践到理论，再从理论到实践 的过程对于个人和网络中心的知识积累都是具有重要意义的。 1 4 本课题国内外主要研究成果 1 4 1 本课题研究发展历程 计算机网络的管理可以说伴随着1 9 6 9 年世界上第一个计算机网络一 a r p a n e t 的产生便产生了。随着网络的发展，规模的增大，复杂性的增加，故 障出现的频率增加，使得故障管理模型和技术成为当前i n t e m e t 运行和管理所面 临的关键问题之一。 1 9 7 1 年，麻省理工学院的b e a r d 在博士论文中首先提出用解析冗余代替硬 件冗余，并通过系统自组织实现系统闭环稳定，通过比较观测器的输出得到系统 故障信息。b r e a d 的工作标志着这门故障管理和诊断技术的诞生。 八十年代末期到九十年代中期，网络故障管理集中在专家系统( e s ：e x p e r t 第2 页 申请硕士学位论文 s y s t e m ) 的研究上并有一些实际系统投入使用。 八十年代开始流行带s n a 控制的主机，它能提供连通保证并自动作出解释。 自那以来，人们一直在试图尝试开发出一系列的有效的故障管理软件及相关服务 方法和策略。 多年以来，网络故障管理规划都不是很成功。从九十年代中期开始，出现了 有关网络管理的一系列解决方案，虽然这些方案还只是一些框架，但效果却已初 见端倪。网络故障管理办法也随着平台的出现有所改变，开始集中考虑各故障点 的解决方案，只是还不能进行更深层次的综合集成相关操作。当时出现的“智能 化引擎”的软件组合可以相对便利地对各种网络故障进行根源分析，这时，人工 智能的方法也开始运用到网络故障管理中。 1 9 9 6 年，出现了从网络管理向系统管理框架发展的趋势，后者为管理大型 企业网络基础设施提供了共同的基础和手段。这些框架都是基于宏观管理范畴， 将网络仅仅看作是铺设的连接通道。但是，当这些框架用于深入网络故障管理过 程时，它们不能提供实用的、自适应的解决方案。如果没有升级换代或者进行人 工干预，这种故障管理软件根本无法针对变化的环境及时作出响应。 1 9 9 8 年，一种新式的网络管理范例服务层管理开始出台。它包括诸如 故障、配置、计费、性能以及安全等一系列管理项目，能有效地实现商务服务。 商务服务包括各种商务应用、v p n 服务以及任何影响财务收入的服务内容。这 时，故障根源分析功能的应用正在重新改变网络管理系统的研究。 目前，几乎所有的研究都把事件关联技术( e v e n tc o r r e l a t i o n ) 运用到网络 故障根源分析功能中。同时，事件关联也是安全事件管理的核心。事件关联最典 型目的是希望达到减少告警的目标。这里所谓的事件包含范围很广，涉及网络基 础设施中与性能有关的所有实时性问题。有关的分析技术则包括传统的准则系 统，还有诸如实例推理、模糊逻辑以及神经网络等技术，这些技术都是提供某种 解释功能，说明网络性能问题出在哪里和为什么出问题的。 另外，随着o m g 基于c o r b a 的网管系统体系结构的提出，使用c o r b a 的方法来实现基于o s i 开放接口和o s i 系统管理概念将运用到分布式的故障管 理系统，这也是网络事件管理技术的热点之一。 第3 页 申请硕士学位论文 1 4 2 国内外目前主要研究成果和软件产品 目前，针对网络故障管理所做的主要研究和软件产品如下： ( 1 ) 理论研究主要成果 c l a r kw a n g ，m i s c h as c h w a r t z 在1 9 9 3 年提出在网络中设置观察点 ( o b s e r v e r ) ，收集网络信息，进行网络故障检测。 a b o u l o u t a s ， s c a l o ，af i n k e l 在1 9 9 4 年提出使用上下文无关文法 构造被管理网络的依赖图，赋予每个网络部件失效的先验概率，提出了告警关联 的p i a ( p o s i t i v ei n f o r m a t i o na l g o r i t h m ) 算法。 d ，l e e ，a r u nn n e t r a v a l i ，k r i s h a nk s a b n a n i ，b i n a ys u g l a ，a j i t a j o h n 在1 9 9 7 年将网络观察点的概念应用于网络故障管理上，提出了基于f s m 模 型的有效的算法。由于它不影响网络设备的正常工作，特别适用于发现正在运行 的网络上的故障。 g a b r i e l7 a k o b s c n 等在a r t i m 专家系统平台上应用基于模型的推理处理 告警相关问题。 c c l o 和s h c h e n 利用因果关系图模型来描述被管理网络中的问题与现 象，即故障与告警关系，然后基于双极反馈队列调度策略进行告警相关处理，算 法高效，健壮，能处理并发故障、但采用具有确定特性的因果图模型，不能处理 现现象和问题间的非确定性的关系。 g a b r i e l7 a k o b s o n 等在a r t i m 专家系统平台上应用基于模型的推理( m b r ： m o d e lb a s e dr e a s o n i n g ) 处理告警关联问题，但由于模型自身严格的确定性， 使之不能有效处理非确定性关联。 芬兰赫尔辛基大学的m k l e m e t t i n e n 、h m a n n i l a 、h t o i v o n e n 等人开发了 一个基于通信网络中告警数据库的知识发现系统t a s a ( t e l e c o m m u n i c a t i o n n e t w o r ka l a r ms e q u e n c ea n a l y z e r ) 。 r t 和j 。a d h i k a r y 提出了一个基于特征和数据簇的数据挖掘算 法j h a n 、g k o p e r s k i 和n s t e f a n o v i c 研究了一种对数据仓库( w a r e h o u s e ) 空 间。 r a y m o n de m i l l e r ， k h a l e da a r i s h a 在2 0 0 0 年提出将被动测试的方法应 第4 页 申请硕士学位论文 用于网络故障的发现和定位的设想。 面向安全业务的基础平台一o p e n s t f 。o p e n s t f 是开放安全技术框架的英 文缩写，代表了“信息安全业务基础平台“一个开放的技术规范和参考实现。真 正的实现有效安全事件管理，应该是一种具备高度可扩展性的基础系统和一系列 适应不同环境的解决方案，往往还要经过大规模的二次开发形成最终管理系统。 ( 2 ) 现有主要产品 h p 公司的o p e n v i e w 已经成为网络管理市场的领导者，被认为是一个工业标 准的网络管理系统。今年3 月4 日h p 向国内市场推出最新版本 o p e n v i e wn e t w o r kn o d em a n a g e r ( 网络节点管理器，以下简称n n m ) 中文版。 它能够把网络节点自动、直观化地呈现出来并能有效地过滤大量事件，并具有 h p 独有的搜点技术和事件过滤技术。在事件过滤方面，o p e n v i e wn n m7 0 1 中 文版拥有自动关联设计器，它提供了十多种设计逻辑方法。除了智能化， o p e n v i e wn n m7 0 1 还具有开放性的优势使管理范围能够及时覆盖到各种不 断变化的技术，有效整含越来越复杂的网络环境”。 i b m 公司的n e t v i e w 采用标准的s n m p 协议对网络上符合该协议的设备进行 实时的监控，对网络中发生的故障进行报警，它在监控网络设备、主机的同时， 可以设置相应参数的阀值，使得当某些设备的性能参数超过阀值或者发生故障等 情况下向网络管理员报警，以便帮助网络管理员及时有效地解决网络故障。 m i c r o m u s e 公司的n e t c o o l 网络业务保障和故障管理解决方案，它提供端到 端的实时网络故障管理和实时的网络设备故障诊断工具。 朗讯公司网络运行系列软件中最著名的产品n a v i sn f m ( n e t w o r kf a u l t m a n a g e m e n t ) 网络故障管理系统的功能非常强大，它能够提供实时故障监测和相 关处理、快速定位故障、关联故障，并可提供多厂家，多技术和多业务区的集中 管理。 1 4 3 本课题发展趋势分析 新一代的综合网管软件必须具备开放系统的特性，即兼容性、可移植性、可 互操作性、可伸缩性和易用性等特征，也是网络管理软件及其技术发展的趋势。 第5 页 申请硕士学位论文 便于远程管理的b s 结构将逐渐成为主流，而网络管理软件的体系架构也呈现出 分布式、集中式和集中分布式等多种结构并存的形式并分别适应对不同规模网络 的管理需求。目前，对网络的集成化及智能综合管理，将决策技术、容错技术和 人工智能应用于网络故障事件管理和网络安全事件管理一直是该领域的热点。而 且，故障事件根源分析功能正在成为世界范围内网络管理战略的中心，它有如下 的几个比较有前景的研究方向。 首先，故障根源分析软件革新最有作为的地方是目标数据存储部分，那里存 放着同管理实体( 如网络装置及其应用等) 有关的信息。 第二，故障诊断技术中另一个改革领域是拓扑结构，拓扑结构的应用起源于 网络环境。传统的路由系统中，告警信息只出现在故障点位置。但有些产品如 h p 公司的o p e n v i e w ，由于它带有能自动搜寻的灵巧插件，因而能包含越来越多 的网络细节管理。 第三，故障诊断技术越来越要求智能化。故障根源分析要求提供一种能将事 件、拓扑变化等联系起来的途径，这通常是一种或一组算法。故障根源分析软件 还包括其它形式的先进智能，如模糊逻辑、专家系统、神经网络等。一个典型的 例子是c a 公司的网络产品n e u g e n t s ，它有模糊逻辑和神经网络功能，因而能提 供预先诊断，以发现可能出现的性能问题。随着更多更好的故障根源分析方案的 出现，人们可以将自动化基础同某种异常问题解决问题的产品结合起来。目前， 人工智能与数据库的结合也成为故障诊断的先进技术之一。 另外，网管软件对网络规划的决策支持能力将越来越重要，逐渐成为安全和 故障以外最重要的功能。网络安全与网络故障管理的结合也将成为网络综合化管 理的发展趋势，更多的用户希望将网管和安全完全应用于一种管理平台，在此基 础上有效管理网络中的资源。 随着网络技术的不断发展，管理系统也必须能够提供动态的支持服务。它必 须提供足够的灵活性以管理网络的空前发展；它必须提高服务质量，管理智能网 络中的各种网络元素和任何应用服务器。因此综合化、智能化和标准化应该是未 来网络管理的发展趋势。 第6 页 申请硕士学位论文 1 5 论文安排 全文内容安排如下： 第一章绪论： 介绍了课题的背景、意义，并简单介绍了网络事件管理的基本概念以及笔者 完成的主要工作。 第二章事件关联和网络事件管理： 在事件关联的理论基础上概述了网络事件管理的功能，发展趋势和目前基于 事件的网络管理产品的现状，阐述了开发专门的事件过滤工具的必要性。 第三章网络事件过滤系统的总体设计： 综述本研究的功能和特点，分析实现这些功能的技术手段和使用的规则，概 括整个研究的实现方式，最后给出事件过滤器的设计方案。 第四章基于事件关联的网络事件过滤系统的详细设计及实现： 从具体实现的角度，给出了综合应用各穗技术，包括p e r l ，v c ，研究事件关 联中基于规则的告警过滤系统的整个实现过程。考虑到篇幅的原因，我们没有给 出所有完整的代码。 论文的最后部分是“总结”和“参考文献”。“总结”分析了在整个论文的实 施过程中遇到的问题和期待完善的某些内容。参考文献部分是在完成本文的过程 当中所参考的主要文献资料列表。 1 6 本人工作 笔者在读研期间参与了多项网络管理相关的项目的设计和开发工作，其中包 括南昌大学校园网流量监控管理系统，江西省公安厅i p 地址查询系统，江西教 育科研网网络故障管理系统，江西省人事厅人事资格事试网上报名系统。通过实 践经验的总结以及理论知识的积累，笔者在网络管理领域的知识有了一定认识， 并发表了有关网络管理的论文。 这期间笔者所做的理论和实践两方面的工作如下： 1 大量阅读事件关联和网络事件管理相关资料，增加理论储备； 2 研究和剖析事件关联的理论，并从中总结可以运用到实践中的理论，使 第7 页 申请硕士学位论文 之运用到笔者自行开发的网络事件过滤器的实践当中。 1 7 小结 本章首先介绍了课题的背景和意义，接着对网络事件管理的概念作了简要说 明，阐明了论文的研究方向，最后叙述了笔者在硕士期间完成的主要工作及论文 的章节安排。下一章将对网络事件管理和事件关联的概念、基于事件关联的网络 事件管理的发展趋势和现状进行分析，进一步阐述。 第8 页 申请硕士学位论文 第二章事件关联和网络事件管理 2 1 网络管理的概念 2 1 1 网络管理的四个阶段 虽然网络管理很早就有，却一直没有得到应有的重视。这是因为当时的网络 规模较小、复杂程度不高，一个简单的专用网络管理系统就可满足网络正常工作 的需要，因而对其研究较少。随着网络的规模的增大、复杂程度增加，以前的网 络管理技术已不能适应网络管理工作的需要。特别是以往的网络管理系统往往是 厂商在自己的网络系统中开发的专用系统，很难对其他厂商的网络系统等进行管 理，这种状况很不适应网络异构互连的发展趋势。现在计算机和通信技术的飞速 发展促进了网络管理技术的发展。现在一个有效和实用的网络一刻也离不开网络 管理。网络管理技术已成为涉及通信和计算机领域的重要前沿技术。 迈向高速网络时代，随着网络带宽增加与各种不同网络应用程序的使用，各 种组织对网络管理也越来越重视。网管已经不再是口号，而是所有组织必须审慎 面对的挑战。一般来说，根据网络建置的顺序，网络管理分为四个阶段： 图2 1 网络管理的四个阶段 第一阶段为网元管理( e l e m e n tm a n a g e m e n t ) ：建置网络时，首先会面对构成 网络基本设备，这些设备包括了计算机、路由器、交换机等：在这阶段所进行管 理工作包括网络设备的安装、设定与维护。利用一台中央服务器来管理分散之计 第9 页 申请硕士学位论文 算机、路由器与交换机，主要目的为让使用者能使用网络上资源，这也是网管最 基本的要求；c i s c o w o r k s 则是大家最耳熟能详与常用的设备管理系统。 第二阶段为运行管理( o p e r a t i o n sm a n a g e m e n t ) ：运行管理包括了拓扑管理、 资产管理、故障管理、事件管理、除错与告警等，主要目的是让网络能够正常运 作，当有问题发生时能通知相关人员来解决，此一阶段主要管理设备各界面是否 正常运作，当有故障发生时，系统可以立即发出报警：另外，运行管理也包括了 对异常流量之告警与提供除错的工具，如实时监控与协议分析等；此类代表性系 统如h po p e n v i e w 、i b mt i v o l i 等。 第三阶段为性能朋民务管理( p e r f o r m a n c e s e r v i c em a n a g e m e n t ) ：当网络建 置完成并顺利运作后，就进入性能与服务管理阶段，性能管理涵盖了网络分析监 控、应用分析监控、带宽规划、故障排除、错误管理与服务等级管理等，其目的 在于维持网络传输之品质与网络应用系统与服务能运行顺畅，除了显示实时流量 信息外，还进行长时间之流量收集、分析与统计，提供管理人员带宽规划与趋势 分析报告，并可以针对不同应用系统与服务之响应时间进行监测与统计，提供服 务等级管理；此类代表性系统为n e t s c o u tn g e n i u s 。 第四阶段为业务管理( b u s i n e s sm a n a g e m e n t ) ：业务管理包括了业务服务、 业务影响分析、应用仿真测试等。此阶段代表了企业在实施新的业务时，如何 预先从不同层面去分析新业务上线后对现有网络环境所造成的影响与所带来之 效益；例如，当一家银行推出了网上银行业务时，需要重新评估依照现有设备及 网络架构是否可以承载新业务所带来的网络流量与服务器工作量，藉此评估如何 实施此业务，并提供企业未来之整体业务与服务蓝图。 目前在国内大部分的大型组织已经完成了设备管理，而金融业与电信业也有 部分企业完成了运行管理之系统建置。相较而言，欧荚企业大都处在性能管理与 业务管理阶段，而国内企业仍有很大空间去加强网络管理。目前在企业管理网络 时普遍遭遇到以下问题： 故障排除与错误管理 每天都有新的病毒出现要如何在病毒肆虐前发现中毒征兆呢? 业务网，办公网或i n t e r n e t 带宽被个别用户占用，如何找出凶手呢? 网络出现异常流量时，如何找出原因并解决问题呢? 第1 0 页 申请硕士学位论文 从这些网络管理所面临的问题来看，我们需要一个有效的事件管理系统来帮 助排除这些网络上的盲点，例如事件过滤工具可以让管理人员了解更详细的网络 使用情形，包括了网络上的主要事件与应用列表，网络电话品质的监控与用户使 用统计资料，并可以主动发现异常事件，判断是否为黑客入侵或是病毒散播等； 应用程序响应时间测量与监控可以让企业内重要之业务，如银行之网上银行业 务、电信业之计费系统、制造业之e r p 与p d m 等运行顺畅；解决这些问题的根本 之道在于有没有一个好的事件管理工具可以利用，这也是建置事件管理系统的开 始。所谓的工欲善其事，必先利其器，有效的事件管理系统可以帮助网络管理人 员更了解内部网络之运行状况，也i i i i 强故障的管理及排障能力。 2 1 2 网络管理的功能 网络管理不仅随着计算机和通信技术的发展一直处在不停地完善过程中，而 且正如受管理的对象在许多新的方向发展一样，其定义也在不断扩充。 在朗文现代英语词典( l o n g m a nd i c t i o n a r y o f c o n t e m p o r a r ye n g l i s h ) 中对网络的定义经历了如下变迁： 1 al a r g es y s t e mo fli n e s ，t u b e s ，w i r e s ，e t c ，t h a tc r o s so n ea n o t h e r o ra r ec o n n e c t e dw i t ho n ea n o t h e r ； 2 as e to fc o m p u t e r st h a ta r ec o n n e c t e dt oe a c ho t h e ra n dc a nb eu s e d a sam e a n so fs e n d i n ga n ds h a r i n gi n f o r m a t i o no fm e s s a g e s 3 ag r o u po fr a d i oo rt e l e v i s i o ns t a r i o n si nd i f f e r e n tp l a c e su s j n g m a n yo ft h es a m eb r o a d c a s t s 第一种说法是网络的最初含义，后两者是其引申，分别指计算机网络，电信 网络或有线电视网。 正因为一直处于不断发展完善过程，目前还没有对网络管理的精确定义。例 如，对公用交换网，网络管理往往指实时网络的监控，以便在不利的条件下( 如 过载、故障) 使网络的性能达到最佳。又如，狭义的网络管理仅仅是指网络的通 信量( t r a f f i c ) 管理，而广义的网络管理又是指对网络的系统管理。 网络管理虽无精确定义，但从其功能的角度出发，有以下几种说法： 第一种说法： 第l l 页 申请硕士学位论文 n e t w o r k m a n a g e m e n t c a nb ed e f i n e da s o a m & p ( o p e r a t i o n ， a d m i n i s t r a t i o n ， m a i n t e n a n c ea n dp r o v i s i o n i n g ) o fn e t w o r ka n ds e r v i c e s 这是在m a n i s u b r a m a n i a n 的网络管理经典教材： n e t w o r km a n a g e m e n t p r i n c i p l e sa n d p r a c t i c e ( 高等教育出版社2 0 0 1 年8 月) 中提到的。翻译过来就是：“网络管 理可被定义为o a l p ，即对网络和服务的运行( o p e r a t i o n ) 、处理 ( a d m i n i s t r a t i o n ) 、维护( m a i n t e n a n c e ) 、服务提供( p r o v i s i o n i n g ) ”。 ( m a n a g e m e n t 和a d m i n i s t r a t i o n 二词都可以译为“管理”。但m a n a g e m e n t 往往 是网络管理的泛指。而a d m i n i s t r a t i o n 则指较具体的一些短期的处理，属于 m a n a g e m e n t 中的一部分，故译为“处理”以示区别。) 第二种说法：在谢希仁编著的计算机网络( 大连理工大学出版社，2 0 0 0 年6 月第三版) 中提到：o s i 很早就提出了网络管理标准的框架，即i s o7 4 9 8 4 “3 。 在o s i 网络管理标准中，将网络管理分为系统管理( 管理整个o s i 系统) 、层管理 ( 只管理某一个层次) 和层操作( 只对一个层次中管理通信的一个实例进行管理) 在系统管理中，提出了管理的五个功能域f a c p s ，即故障管理( f a u l t m a n a g e m e n t ) 、配置管理( c o n f i g u r a t i o nm a n a g e m e n t ) 、计费管理( a c c o u n ti n g m a n a g e m e n t ) 、性能管理( p e r f o r m a n c em a n a g e m e n t ) 、安全管理( s e c u r i t y m a n a g e n t ) 。 两种说法的区别在于传统电信网的网络管理常用第一种说法，即o a m & p 或 o a m 来描述，而后者基本上覆盖了整个网络管理的范围。实际上，这两种表示方 法描述的功能域差不多，只是考虑的角度不同而已。 以下我们0 s i 网络管理标准的五个功能域来进行阐述： 完整的网络管理系统从概念上说要完成以下五个主要功能：性能管理、配置 管理、计费管理、安全管理以及诊断管理( 也称故障管理) 。一些网络管理系统提 供所有的这些服务功能，然而大多数的专用工具只提供一到两个功能。 ( 1 ) 故障管j 孽_ ( f a u l tm a n a g e m e n t ) 故障管理管理是网络管理中最基本的功能之一，它能够检测、隔离并纠正网 络的运行故障。用户都希望有一个可靠的计算机网络，当网络出现故障时，网络 管理系统必须能够迅速找到故障并及时排除。进行故障检测的依据是网络组成部 第1 2 页 申请硕士学位论文 件的状态信息，对一些简单故障通常被记录在错误日志中，并不作特别处理。而 一些比较严重的故障则需要网络管理系统做出响应，进行故障检测并进一步排除 故障。当故障比较复杂时，网络管理系统应能执行一些诊断测试来辨别故障原因， 以防止类似故障的再次发生。所以故障管理应包括以下典型功能：维护并检查错 误日志；接受错误检测报告并做出响应；跟踪和确定故障：执行诊断测试；排除 故障。 ( 2 ) 配置管理( c o n 矗g u r a t i o nm a n a g e m e n t ) 配置管理负责监控和管理整个网络的配置状态，它监控和收集网络中各设备 的配置信息，并根据网络的运行状况进行优化，使网络的运行性能达到最佳。配 置管理由一组定义、监控、收集和修改网络设各配置信息的功能所组成。它们包 括：定义配置信息；初始化或关闭被管对象；设置和修改管理对象的属性值；监 视和记录被管对象的配置变化：生成配置状态报告。 ( 3 ) 性能管理( p e r f o r m a n c em a n a g e m e n t ) 性能管理主要用于监控和调整网络的运行性能，使其达到最佳状态。它涉及 到网络通信信息的收集、加工和处理等一系列活动。其其体内容包括：从被管对 象中收集与网络性能有关的数据；分析和统计历史数据；建立性能分析模型；预 测网络性能的发展趋势；根据分析和预测结果对网络拓扑结构和某些对象的配置 参数进行调整，使网络性能逐步达到最佳。 ( 4 ) 安全管理( s e c u r i t ym a n a g e m e n t ) 安全管理有两层含义：一方面是保证网络资源不被非法使，另一方面是保证 网络管理系统本身不被非法访问。安全管理一壹是网络管理的薄弱环节之一，而 用户对网络安全的要求又相当高，因此安全管理非常重要。安全管理的主要内容 有：网络数据的私有性即保护网络数据不被侵入者非法获取；用户认证即防止对 网络的非法使用；访问授权和访问控制；与安全有关的信息分发；与安全有关的 事件通知；安全管理日志的记录、维护和查询等。 第”页 申请硕士学位论文 ( 5 ) 计费管理( a c c o u n t i n gm a n a g e m e n t ) 计费管理至少有两方面的作用：一方面，在网络资源有偿使用的情况下，计 费管理能够根据用户使用网络资源的情况，计算用户的使用费用。另一方面，在 非商业化计算机网络上，计费管理可以统计出不同资源的利用情况，从而进行网 络资源的合理配置。目前计费管理主要包括以下功能：制定计费政策；收集计费 信息：计算用户账单；生成统计报表；提供用户查询等。 2 1 3 网络管理逻辑结构 从网络管理系统的组成来说，不论是o s i 的网络管理，还是i n t e r n e t 的网 络管理，都认为网络管理系统基本上由四部分组成：多个被管代理、至少一个网 络管理进程或称管理工作站、一种通用的网络管理协议和一个或多个管理信息 库。用户主机和网络互连设备等所有被管理的网络设备称为被管设备；驻留在被 管设备上，配合网络管理的进程称为代理进程；而把实施管理的称为管理进程， 管理进程驻留在管理工作站上；管理进程和被管代理通过交换管理信息来进行工 作，这种信息交换通过一种网络管理协议实现；信息分别驻留在被管设备和管理 工作站上的管理信息库中。因此一个网络管理系统从逻辑上可以抽象为以下四个 组成部分：被管设备、网络管理工作站、网络管理协议、网络管理信息库。其逻 辑结构如图2 2 所示： 网管工作站网管协议被管设备 管理信息库 图2 2 网络管理的逻辑结构 2 。1 4 网络管理体系结构 从本质上说，网络管理体系结构是一个描述网络管理系统的通用框架，对于 一个具有特定需求的网络而言，它应该能够通过客户化的过程开发出一个具体的 网络管理系统。一般说来，任何一个适合在当今异构互连的网络中进行综合管理 的网络管理系统，其体系结构都应包含以下四个子模型或其中部分模型( 如图 第1 4 页 申请硕士学位论文 2 - 2 ) 图2 3 网络管理的模型 组织模型( o r g a n i z a t i o n a lm o d e l ) 描述网络管理中的元素和他们之间 的关系： 信息模型( i n f o r m a t i o nm o d e l ) 描述管理的对象： 通信模型( c o m m u n i c a t i o nm o d e l ) 描述实施管理所需的通信过程； 功能模型( f u n c t i o n a lm o d e l ) 描述网络管理的功能。 第1 5 页 申请硕士学位论文 2 2 网络故障事件管理 2 2 1 网络中存在的故障事件 网络系统 图2 3网络中存在的故障事件 图2 3 中描述了故障是怎样发生的，首先是网络中某个错误发生，从而 出现故障，继而表现出某些程序运行失败，从而产生一系列的告警，这些告 警在网络中以s n m p 的协议的t r a p 消息模式向网络管理系统发出消息，网 络管理系统利用其中的网络故障管理功能模块产生消息定位，告知网络系 统。 在一个典型的网络环境中，由于被管理网元( n e ) 物理上和逻辑上的相关 性，故障可以分为设备故障( 硬故障) 和网络服务故障( 软故障) 。 ( 1 ) 硬故障 硬故障是指网络的硬件设备在工作过程中产生的各种错误。这些错误与 该设备的作用有密切关系，网络系统的复杂性也正是由于设各的多样性体现 出来的。根据这些设备的作用，我们也可以将它们简单分为以下三类： 1 、与网络连接有关的设备，包括光缆、光纤收发器、路由器、交换机 等。 第1 6 页 申请硕士学位论文 2 、共享设备，包括各种类型的主机、各种功能的服务器、工作站、微 机、终端等， 3 、其他设备，如电源、监控装置等。 由这三类设备我们可以引申出相应的三种故障类型： 连接设备故障 这种故障的现象主要是网络的物理连接出现问题，也可以称为通路故 障，造成故障的原因可能是电缆线断开、收发器断开或不能正常工作以及其 它连接设备间的接口出问题等等。根据这类故障的来源不同，我们又可以将 这种类型的故障细分为线路故障、网络接口故障、收发器故障、路出器故障 等等，这类故障是故障管理的最主要对象。 共享设备故障 用于资源共享的设备出现问题，不能提供或享受所需的服务，这种情况 一般被归类为共享设备故障。这种类型的故障又可以细分为服务故障( 打印 机故障、文件服务器故障等) 、工作站故障等等。工作站故障主要有两个方 面：一是主机的配置不当，二是安全故障，比如，主机没有控制其上的f i n g e r ， r p c ，r l o g i n 等多余服务等等 其他设备故障 包括电源故障、监控器故障、测试仪故障、分析仪故障等。 由于网络中的硬故障多种多样，采用这分层的方法有得于全面、清晰地 找到网络问题的所在。硬故障诊断称为再有效( r e a c t i v e ) 诊断。 ( 2 ) 软故障 软故障是指网络系统软件运行出错。网络拥塞、软件失常、资源耗尽、 交换效率下降等问题。软故障的发现和处理是在管理过程中逐渐被人们所认 识的，因为软件属于一种无形的东西，问题的表现不如硬件那么直观。故障 管理中所处理的软故障主要针对与网络通讯和服务有关的系统软件，它可以 直接根据网络软件来划分，包括通讯协议软件故障、网络文件系统( f n s ) 故障、文件传输软件故障、域名服务系统( d n s ) 等，其中通讯协议软件故 障是系统研究的重点。这种错误通常是在协议软件运行时遇到某个异常条件 第1 7 页 申请硕士学位论文 ( 如缓冲队列满) 或协议本身末提供可靠机制而导制传输失败，报文丢失。 软故障诊断也称为前有效( p r o a c t i v e ) 诊断。通过这种前有效诊断可以 预测并防止灾难性故障的发生由此可提高网络的生存能力和有效性。 在网络故障管理中，硬故障和软故障相应产生的告警信息可分为地域相关告 警( r e g i o nr e l a t i v ea l a r m ) 和属性相关告警( a t t r i b u t er e l a t i v ea l a r m ) l 。r r a 是与 设备故障相关的告警，其特征往往在某子网或网段产生告警系列。a r a 是与网 络服务相关的告警，其特征往往由服务的某个属性产生异常而激发一连串的相关 属性产生告警系列。例如单一的设备故障往往会在相关的网元中产生大量的告警 信息( 包括激发网络服务故障) 。严重的时候会激发告警风暴造成网络性能的急剧 下降，甚至网络崩溃。网络管理员要面对大量的告警信息，往往很滩从中找出故 障的真正原因，从而无法快速实施故障修复和障碍排除。从而引出网络故障管理 的研究。 2 2 2 网络故障管理的三个方面 网络故障管理又称失效管理，是指网络中某个组成失效时，网络管理系统能 迅速找到故障并及时排除的能力。网络故障管理提供对网络的异常运行情况进行 检测、隔离和校正的一组功能它是网络管理中最基本的功能之一。故障管理的功 能直接关系到被管理网络的可用性( a v a i l a b i l i t y ) 和可靠性( r e l i a b i l i t y ) ，它主要有 以下典型3 ：j 3 能( 3 1 ： + 维护并检查错误日志 接受错误检测报告并作出响应 + 跟踪、辨认错误 执行诊断测试 + 纠正错误 主要包括故障检测、故障诊断和故障修复三个方面： 故障检测( d e t