（信号与信息处理专业论文）wimax系统中网管模块的设计与实现(1).pdf

南京自i f 电大学硕士研究生学位论义 摘要 w i m a x ( w o r l d w i d ei n t e r o p e r a b i l i t yf o rm i c r o w a v ea c c e s s ， 全球微波接入互操作性) 是一项基于i e e e8 0 21 6 标准的宽带无线 接入城域网( b r o a d b a n dw i r e l e s sa c c e s sm e t r o p o l i t a n a r e a n e t w o r k ，b w a m a n ) 技术。网管系统用于监视和控制嘲内所有的 基站和用户终端，提供查询、状态监控、软件f 载、系统参数配置 等功能。网管系统的存在使得一个复杂的网络可以在有效的配置平 管理之下稳定高效地运行。由此可见，网管系统的开发对丁一个系 统的开发有着举足轻重的重用。 本文结合w i m a x 接入控制器中网管系统的开发，详细闸述了 基于简单网络管理协议( s n m p ) 和可扩展s n m p 代详防议 ( a g e n t x ) 的网管模块的设计和实现。本文首先介绍了无线城域l 圳 技术，然后简述了简单网络管理协议，最后详细介绍了基于s n m p 和a g e n t x 的网管模块的设计、实现和应用。 关键词：无线城域网，子代理，w i m a x ，s n m p ，a g e n t x 南京邮电人学硕上研究生学位论文a b s t r a c t a b s t r a c t w i m a x ( w o r l d w i d ei n t e r o p e r a b i i i t yf o rm i c r o w a v ea c c e s s ) i s o n ei m p o r t a n tt e c h n o l o g yo ft h eb w a m a n ( b r o a d b a n dw i r e l e s s a c c e s sm e t r o p o l i t a na r e an e t w o r k ) ，w h i c hi sb a s e do nt h ei e e e 8 0 216s t a n d a r d n e t w o r km a n a g e m e n ts y s t e mi su s e dt om o n i t o r a n dc o n t r o la l lo ft h eb a s es t a t i o n sa n du s e re q u i p m e n t si nt h e n e t w o r k ，p r o v i d i n gq u e r y i n g ， s t a t u s m o n i t o r i n g ， s o f t w a r e d o w n l o a d i n g ，s y s t e mp a r a m e t e r sc o n f i g u r i n ga n ds oo n i tc a nb e s e e nt h a tt h ed e v e l o p m e n to ft h en e t w o r km a n a g e m e n ts y s t e m p l a y sa ni m p o r t a n tp a r ti nt h ed e v e l o p m e n to fw i m a x t h i si s s u ed i s c u s s e st h ed e t a i ld e s i g na n dt h ea p p l i c a t i o no f n e t w o r km a n a g e m e n tm o d u l ei nw i m a xa c c e s sc o n t r o l l e ra tt h e b e g i n n i n g ，t h et e c h n o l o g y o fw m a ni si n t r o d u c e da n dt h e f o l l o w i n gi st h ed e s c r i p t i o no ft h et h e o r i e so fs n m pa n da g e n t x f i n a l l y ，t h e d e t a i l d e s i g n a n dt h e a p p l i c a t i o n o fn e t w o r k m a n a g e m e n tm o d u l ea r ed i s c u s s e di nd e t a k e y w o r d s ：w m a n ，s u b a g e n t ，w i m a x ，s n m p , a g e n t x i i 南京邮电大学 硕士学位论文摘要 学科、专业：工学信号与信息处理 研究方向：现代通信中的信号与信息处理技术 作 者：三唑级研究生 蒋晓萍指导教师竖塞撞 题目：w i m a x 系统中网管模块的设计与实现 英文题目：t h ed e s i g na n di m p l e m e n t a t i o no fn e t w o r k m a n a g e m e n tm o d u l ei nw i m a x 主题词：无线城域网子代理 w i m a xs n m p a g e n t x k e y w o r d s ： w m a n s u b a g e n t w i m a xs n m p a g e n t x 南京邮电大学学位论文独创性声明 y 8 5 0 9 1 4 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：签堕盘日期：塑l ! 生= ! 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：叠盟导师签名澎期 、4 - - 1 2 南京邮电大学硕士研究生学位论文 销铺l ， 1 1 无线城域网 第1 章绪论 无线城域网( w m a n ，w i r e l e s s m e t r o p o l i t a n a r e a n e t w o r k ) 技术是继见线 局域网( w l a n ) 之后出现的又一项宽带无线接入技术。它的推出是为了满足| 1 益增长的宽带无线接入( b w a ) 市场需求。虽然多年来w l a n 技术及其他很弗 专有技术被用于b w a ，并获得了很大的成功，但是w l a n 的整体设计并不能 r 好地适用于室外b w a 的情况。当其用于室外时，在宽带和用户数方商将受到限 制，同时还存在着通信距离等其它一些问题。基于上述情况，i e e e 指定丁 种 新的更复杂的标准8 0 2 1 6 。这个标准能解决物理层环境( 室外射频传输) 和q o s 两方面的问题，满足b w a 和“最后一公里”接入市场的需要。 无线城域网的组网方式将更加灵恬，宽带无线接入系统通过核心网络，埘楼 群之间的用户提供网络连接。与其他接入手段相比，8 0 21 6 宽带无线接入系统 以最低的成本提供真正有区别的宽带通信业务。在家庭和小企业范围内，览带无 线接入将与电缆和d s l 网络竞争：在中等规模企业楼宇内，宽带无线接入能够 支持高速率连接，将与光纤连接竞争。它可使数以千计的用户在无线城域网 ( w m a n ) 中共享数据、话音和视频服务，而且随着信道、宽带和用户需求的 增加，运营商还可以使系统扩容。 在8 0 21 6 标准拓扑结构中，连接到公嘲上的每个基站可以与数以百计的蚓 定用户台通信。每个用户台一般安装在楼顶，通过无线城域网媒体接入控制层 ( m a c ) ，每个基站分配上行和下行传输带宽，迅速满足用户不问优先级的带宽 要求。空中接口设计成在安全服务质量( q o s ) 的支持下，传送数据或多媒体业 务。m a c 在相融的体系结构内，支持猝发频分双工( f d d ) 和时分双工( t d d ) 传输。它还支持实时自适应调制和编码，这样，在每次猝发传输时链跚r 似十每 个用户台的通信都能迅速得到优化。 南京邮r u 人学硕士研究生学位论文 诅节销论 1 2i e e e8 0 2 1 6 标准 1 21 标准化进程 最早的i e e e 8 0 2 1 6 标准是在2 0 0 1 年1 2 月获得批准的，足针对1 0 6 6 g h z 的高频段视距( l o s ，l i n eo f s i g h t ) 环境而制定的无线城域网标准。8 0 21 6 标 准定义无线城域网单载波空中接口，即传输频率1 0 6 6 g h z 的单载波调制模式。 在这些频率上，信号传输严格限制在视距范围内，但所分配的可用频率很多，j 竹 且每2 5 m h z 信道都可重复使用，数据传输速率高达1 2 0 m b i t l s 。其主要市场：i 包括商业、工业和居民区住宅用户。但目前所说的8 0 21 6 标准主要包括8 0 21 6 a 、 8 0 21 6 d 、8 0 2 1 6 e 三个标准。 8 0 21 6 a 是为工作在2 1 1 g h z 频段的非视距( n l o s ) 宽带固定接入系统 而设计的。在2 0 0 3 年1 月被i e e e 批准通过。8 0 2 1 6 a 传输距离最高可达3 1 英罩( 5 0 k m ) 数据速率可达7 0 m b i t ，s ，频谱效率高达5 b i t s h z 。8 0 21 6 a 作为 一种固定宽带无线接入系统的空中接口标准，可在2 1 1 g h z 内作为有线网络“蝌 后一公里”连接公网的替代手段。它所支持的特许和非特许：传输频率非常适合来 用趣视距的住宅用户和小型企业用户应用。而且，它使得w m a n 和w l a n 适合 结合，其基站以无线方式和互联网相结合，可在有线不发达的地方作为一种替代 手段。这是无线宽带接入技术的重大突破，因为传输点与接收天线之间再也光需 有视距连接。依靠8 0 21 6 a ，运营商能够使用一个发射塔来支持更多的用户 从而显著降低服务成本。 8 0 21 6 d 是8 0 2 1 6 a 的增强型，于2 0 0 4 年6 月被正式批准。丰要是州 8 0 2 。1 6 a 尤其是在空中接口标准部分的进一步完善和对错误的更正。尽管它增强 了非视距的支持，实现了对室内无线数据接八的应用，但仍然只支持 占| 定业务。 8 0 2 1 6 e 标准是8 0 2 1 6 a d 的进一步延伸，它使用2 6 g h z 频段，采用与 i e e e8 0 21 6 a 同样的工作体制，在占用5 m h z 带宽时上、下行键路最高速率都 可以达到1 5 m b i t s ，频谱效率为3 b i t s h z ，支持本地和地区的移动利：，支持漫 游和切换，移动速度可以达到1 5 0 k m h 。它解决的重点是有限的漫游应用和端到 端的网络连接。客户机将能够在基站之问自由切换，从而使用户能够在各个服务 区之间任意漫游。 南京邮电土学硕士研兜生学位论文 1 2i e e e8 0 2 1 6 标准 12 1 标准化进程 蛀早的i e e e8 0 2 1 6 标准是在2 0 0 1 年1 2 月获得批准的，是针对1 0 - 6 6 g h z 的高频段视距( l o s ，l i n e o f s i g h t ) 环境而制定的无线城域网标准。8 0 2 1 6 标 准定义无线城域网单载波空中接口，即传输频率1 0 6 6 g h z 的单载波调制模。 在这些频率j 二，信号传输严格限制在祝距范围幽，假所分配的可， j 频率很多，而 且每2 5 m h z 倍道都可重复使用，数据传输速率高达12 0 m b i t s 。其主要市场将 包括商业、z _ j l k 和居民区住宅用户。但目前所说的8 0 2 1 6 标准主要包括8 0 2 1 6 a 、 8 0 21 6 d 、8 0 21 6 e 三个标准。 8 0 21 6 a 是为7 ：作在2 1 1 g h z 频段的非视距( n l o s ) 宽带固定接八系统 而设计的。在2 0 0 3 年1 月被i e e e 批准通过。8 0 2 1 6 a 传输距离最高可达3 1 英晕( 5 0 k m ) ，数据速率可达7 0 m b j “s ，频谱效率高达5 b i t s h z 。8 0 2 1 6 a 作为 一种同定宽带无线接入系统的窀中接口标准，可在2 1 g h z 内作为有线网络“最 后一公里”连接公网的替代手段。它所支持的特许和非特许传输频率非常适合采 用超视距的住宅用户和小型企业用户应用。而且，它使得w m a n 和w l a n 遣台 结合，其基站以无线方式和互联网相结合，可在有线不发达的地方作为一种替代 手段。这是无线宽带接入技术的重大突破，因为传输点与接收天线之问再也无需 有视距连接。依靠8 0 21 6 a ，运营商能够使用个发射塔来支持更多的阁，。+ 从而显著降低服务成本。 8 0 2 ，1 6 d 是8 0 21 6 a 的增强型，于2 0 0 4 年6 月被正式批准。主要足刑 8 0 21 6 a 尤其是在空中接口标准部分的进步完善和对错误的更_ i _ f 。尽管它增强 ，非视距的支持，实现了对室内无线数据接入的应用，但仍然只支持固定、如务。 8 0 21 6 e 标准是8 0 21 6 a i d 的进步延伸，它使用2 6 g h z 频段，采用与 i e e e8 0 21 6 a 同样的工作体制，在占用5 m h z 带宽时r 、下行链路虽高速率都 可以达到1 5 m b i t s ，频谱效率为3 b i t s h z ，支持本地和地区的移动性，支持漫 游和切换，移动速度可以达到1 5 0 k m f h 。它解决的重点是有限的漫游应用和端到 端的网络连接。客户机将能够在基站之间自由切换，从而使用户能够在各个服务 端的网络连接。客户机将能够在基站之间自由切换，从而使用户能够在各个腿务 区之间任意漫游。 南京】| _ | f 电人学项士研究生学位论文 算j 辛皑论 下表描述了8 0 21 6 系列各阶段的特点 8 0 2 1 68 0 21 6 a i d 8 0 2 1 6 e 内容 固定宽带无线接入固定宽带无线接入 支持固定和移础的 系统空中接口标准系统空中接口标准宽带无线接入 、a i i ( 1 0 g 一6 6 g h z )( 2 g - 1 1 g h z ) 接u 标摊r 许可；顷 段) 频率 10 g - 6 6 g h z2 g 一1 1 g h z2 g 6 g 带宽2 0 ，2 5 ，2 8 m h z1 2 5 m - 2 0 m h z1 2 5 m - 2 0 m h z 数据速率 3 2 m 一1 3 4 m b s7 5 m b s15 m 一6 0 m b s 传输条件视距非视距非视距 调制方式q p s k 、1 6 q a m 和主流o f d m 、2 5 6 主流o f d m 、2 5 6 6 4 q a m子载波、b p s k 、子载波、b p s k 、 q p s k 、1 6 q a m 、q p s k 、1 6 q a m 、 6 4 q a m6 4 q a m 终端移动性固定 固定小1 11 5 0 k m f s 1 2 2 技术特点 表1 18 0 21 6 系列存阶段的特点 8 0 21 6 标准能向固定、携带和移动的设备提供宽带连接，还可以用来连接 8 0 21 1w i f i 与因特网，提供校园连接，以及在“最后一英里”宽带按入领域作 为c a b l em o d e m 和d s l 的无线替代品。它的服务区范围高达5 0 k m ，用户与基 站之间不要求视距传播，每基站提供的总数据速率最高为2 8 0m b i t s ，这一带宽 足以支持数百个采用t i e 1 型连接的企业和数千个采用d s l 型连接的家庭。总 之，它充分考虑了全世界通信公司和服务提供商设计一个可扩展、长距离、火窬 量“最后一英里”无线通信系统的需要和整套的服务，从而使服务提供商能够在 降低设备成本和投资风险的同时提高系统性能和可靠性，有助于加速无线宽带设 备向市场的投放以及“虽后一英里”宽带在世界各地的部署。 南京邮电人学硕士研| 武生学位论文鹅鼍鼎c # 1 3w i m a x 技术及应用 1 3 1w i m a x 概述 w l m a x ( w o r l d w i d ei n t e r o p e r a b i l i t yf o rm i c r o w a v ea c c e s s ，全球微波接入 互操作性) 是一项基于i e e e8 0 21 6 标准的宽带无线接入城域网( b r o a d b a n d w i r e l e s sa c c e s sm e t r o p o l i t a na r e an e t w o r k ，b w a m a n ) 技术。w 1 m a x 办常 被称为i e e e w i r e l e s sm a n ( m e t r o p o l i t a na r e an e t w o r k ) ，其基本目标是提供 一种在城域网一点对多点的多厂商环境下，可有效地互操作的宽带无线接入 段。 w i m a x 作为一种无线城域网技术，通信商可以将其用来为用户进行九线宽 带数据传送。其最大传送距离可达5 0 公里，最大传输数据速率是每扇i x7 0 m b p s 。 它包括了众多目前先进的研究成果，如服务质量、高安全性、较高的数掂传输、 网状网技术( m e s h ) 以及可以有效利用频谱的智能天线技术。 1 3 2w i m a x 特点及优势 w i m a x 的主要优势在于基站覆盖范围广，无线段速率高。w i m a x 计为宽 带接入的一种手段，与传统的宽带有线接入技术a d s l 和l a n 相比，具有鲫下 优势： 灵活性强：无需等待数周时闯安装线路，无线宽带接入可以轻松快速地弘 任何i 瞄时站点建立起来。同时可根据用户需求和信道状况动态分配系统资 源，减少资金或设备的浪费。 应用范围广：在不便于部署有线宽带接入技术的区域，w i m a x 具有更强 的适应能力。例如；a d s l 接入的有效覆盖范围仅限于距局端5 k m 以内 的区域，而w i m a x 则可以打破这- - , 口e 离限制。 成本低：在城郊和农村等部署传统宽带接入成本较高的地区，采用无线做 入手段可以有效地降低成本；运营商可以通过单个基站为成千l 万广。用r 1 提供不同的服务。 但是，w i m a x 也有其固有的局限性。虽然其相对于有线网络的成本较低， 南京邮电人学硕f 研究生学位论文 但在城市等适宜有线宽带接入的地区，w i m a x 用户侧接入设备的成本仍然比较 高；虽然w i m a x 信号的最远传播距离可达5 0 k i n 但通常h 有3 - 5 k m 范田内4 呵以真正体验7 5 m b i t s 的高速度，一旦超过这一范围，数据传输速率会下降： 相对于有线接入，无线通信的安全问题也不可避免地成为w i m a x 竞争能力的弱 势。 2 0 0 5 年1 2 月1 7 日，互联网工程业务组( i e e e ) 宣布移动w i m a x 籼、准 8 0 21 6 e 标准获批。移动w i m a x 标准与固定w i m a x 标准的不同有：于即使z j 基 站之闻移动时也要用8 0 2 1 6 e 保持连接。新标准的制定使移动宽带向现实又边进 了一步。 1 3 3w i m a x 系统组成及应用 1 。w i m a x 系统的组成 图1 1w i m a x 网络体系结构 图1 1 所示是w i m a x 网络体系结构。包括核心网络、基站( b s ) 、用户终端 ( s s ) 、中继站( r s ) 、用户终端设备( t e ) 以及网管。对于一个w i m a x 系统 而言，通常只包括1 个b s 和多个s s ，也可能根据需要设置若干中继站，形成 点对多点或多点对多点体系结构。 捧】京邮i a 大学颧1 研究生学位论文 箱一母特论 核心网络：w i m a x 连接的核心网络通常为传统交换网或因特网，w i m a x 系统提供核心网络与基站间的连接接口，但w i m a x 系统并不包括核心刚络。 基站：基站提供用户基站与核心网络问的连接，通常采用扇形，定| 占j 天线致 全向天线。w i m a x 基站可提供灵活的子信道部署与配置功能，能够使逛营商根 据所拥有的授权，或非授权频段资源灵活规划信道带宽，并根据用户群体状d 小 断升级扩展网络。 用户终端：用户终端提供基站与用户终端设备问的中继连接。i e e e8 0 21 6 用户终端通常采用固定天线，并被安装在屋顶上。基立i i ，与片j 户终端问采用动态通 应性信号调伟模式，这种模式能够使基站根掘信号强弱调整到每个刷户终端的带 宽，以确保与用户终端的正常连接。 中继站：在点到多点体系结构中，中继站通常用于提高基站的覆盎能力，也 就是浇充当1 个基站与若干个用户终端( 或用户终端设备) 间的中继站。中继站 面向用户侧的下行频率可以与其面向基站的上行频率相同当然也可以采用1 ；川 的频率。 用户终端设备：w i m a x 系统定义用户终端设备与用户终端间的连接按， 提供用户终端设备的接入。但用户终端设备本身并不属于w i m a x 系统。 闻管：网管系统用于监视和控制网内所有的基站和用户终端，提供查询、状 态监控、软件下载、系统参数配置等功能。 2 w i m a x 基于电信级的解决方案 在一个w i m 基于电信级解决方案中，系统核心组成是用户终端( s s 或 c p e ) 和基站( b s ) 。基站和一个或更多用户终端可形成一个以点到多点结构 ( p 2 m ) 的小区。基站控制在小区之内的空中无线活动，包括对用户对媒体的接 入，信道分派，服务质量( q o s ) 和对接入提供安全机制。 放置在用户终端的是c p e 子系统，配合b s 子系统完成用户数据的接收， 它包括用户终端s s 和驻地网关( r e s i d e n t i a lg a t e w a y ) 两个功能部分- ，用。终 端s s 集成m o d e m 功能，完成8 0 21 6 协议规定之功能。驻地网关r g 提供剑 客户设备的接口，并提供完成基于l p 的语音功能。通常这两个功能部分集成证一 个独立实体内。 放置在网络侧的是b s 子系统，通常由网络运营商提供。通常它包括基站b s 、 6 南京邮电大学硕士研究生学位论文 基站控制器b s c 或接入控制器a c 等实体。b s 提供到若干c p e 子系统的全问 或扇区无线覆盖。基站控制器或接入控制器负责提供对一个或若干的綦站系统提 供管理功能，并负责提供基站系统到运营商网络的接入服务。负责提供对客，的 鉴权、授权、计费管理功能的a a a 、提供对网络的管理功能和对客户的管理功 能的网络客户管理设备等，根据实际情况可以独立存在或相互组合构成一个实体 单元：同时根据运营商的特殊情况采用新置设备或使用现有设备。图1 。2 所示足 本文开发中w i m a x 的无线接入网络实现方式。在本文中，b s 予系统中包括摹 站和接入控制器。 图1 2w i m a x 无线接入网络的实现方式 1 4 w i m a x 中网管的实现概述 网管系统用于监视和控制网内所有的基站和用户终端，提供查询、状态监控、 软件下载、系统参数配置等功能。考虑到简单网络管理协议( s n m p ) 自身m h 有 的简单实用性，以及可扩展s n m p 代理协议a g e n t x 为网络设备带来了灵活的 可扩展性，在本文中，提出了基于s n m p 和a g e n t x 的网管实现。 本文基于s n m p 和a g e n t x 的思想来完成整个设计，内容覆盖了以f 各章。 第二章详细描述了s n m p 协议和a g e n t x 协议。这是本文进行网管模块丌 发的理论基础。 第三章对w i m a x 网管模块中的管理信息库( m i b ) 构架进行了阐述。按常 南京邮电大学硕土研究生学位论文；一缄沱 规，m i b 主要划分为以下部分：基本信息管理、软件管理、敞障管理、设备管 ! e 第四章详细阐述了基于s n m p 和a g e n t x 的网管模块的实现及其应h j ，躺 别是对于子代理模型的实现，本文提出了s n m p 子代理支持非本地管到信息晖 实现的新思想。 最后，论文对全文的研究工作进行总结，并对f 一步研究工作进行了展掣。 南京邮电大学硕十研究生学位论x第节州络省心如l z 第2 章网络管理协议 2 - 1 简单网络管理协议s n m p 21 1s n m p 概述 s n m p ( 简单网络管理协议) 是用于赡决( n t e r n e t 网络管理问题的l 虬 s n m p 提供了在局域网和广域网上管理与控制不同类型网络设备的能力，使榭 一个复杂的网络可以在有效的配置和管理之下稳定高效地运行。s n m p 提出于 1 9 8 8 年，目前已广泛应用于t c p i p 网络中。 21 2s n m p 网络管理模型 s n m p 的网络管理模型的结构框图如斟2 1 所示 厂一 1 【一燮竖l 图2 1s n m p 网络管理模型 1 ) 代理( a g e n t ) 代理是驻留在被管理节点( 如主机、路由器、交换机等网络设备) 的个 进程，它接收和响应主机的命令来监视、控制、配置被管理节点。 2 ) 网络管理站( n m s ) 网管站是一台微机或工作站，网络管理员可通过它对网络设各进行管理， 以使网络可以稳定、高效地运行。它也可以接收代理发出的t r a p 消息。 3 ) 网络管理协议( s n m p ) 匦 南京邮电大学硕i 。研究生学位论文 第辛叫绢管避协l 卫 网络管理协议是套在网络管理者与网络设备之间传递管理倍启、的脱灿。 4 ) 管理信息库( m i b ) 管理信息库是对于通过网络管理协议可以访问信息的精确化定义。它使削 个层次型、结构化的形式，定义了一个设备可获得的网络管理信息。 2 1 3 对象标识( o i d ) 在定义代理中的m i b 时，由管理信息结构( s m i ) 指定了m i b 变量的定义 和沮别。如s m i 对m i b 的变量类型要进行限制，只有一些指定的变鞋类型可以 被使用，而这些被m i b 变量使异j 的名称来自f - 管理目标实体的识别名称，这0 l 别名称就是对象标识。 对象标识是一个整数序列，以点( “”) 分隔。这些整数构成一个树型结构。 对象杯识从树的顶部开始，顶部没有标识，以r a o t 表示。 图2 2 显示了这种树型结构。树上的每个结点同时还有一个文字名例如标 识1 3 61 2 1 就和i s o o r g d o di n t e r n e tm g m tm i b 一2 对应。这主要是为了人”i 阅读方便。在实际应用中，也就是说在管理进程和代理进程进行数掘报交互时， m i b 变量名是以对象标识来标识的。i s oo r g d o d i n t e r n e tp r i v a t e e n t e r pr i s e s ( 13 614 1 ) 这个标识是给厂家自定义而预留的。 南京邮电大学预上研究生学位论文 塑三! ! 塑篁些坠喳 o r g ( 3 ) d o d ( 6 ) l i n t e r n e t ( 1 ) 一一歹歹7 孓弋苌。 d i r e c t o r y ( 1 ) m g m t ( 2 ) e x p e r i m e n t a l ( 3 ) p r i r a t e ( 4 ) s s c u f 】l y ( 5 ) m i b 一2 ( 1 ) e n t e r p rl s e s ( 1 ) 图2 2 管理信息库中的对象标识 网管控制协议能发出许多潜在的消息命令，如：添加，删除路由，修改接 口地址，检奁地址等。但它把许多复杂的命令精简成很少的些取( g e t ) 和 设置( s e t ) 指令，由这些指令对一些事先定义好的目标实体进行操作，返刽 预定的管理目标，如：要关闭某接口，则网管站发出一个设冒指令把这个接1 的状态值置为关。这种方式相当简单，只有有限的一系列命令，而所管理的 1 标可以通过m i b 的应用加以不断更改、扩充。 2 2 可扩展s n m p 代理协议( a g e n t ( ) 随着网络技术的发展，网络设备越来越复杂，在网络设备上需要管理的信 息也越来越多，在一个复杂的网络设备上仅用一个代理，造成的结果是代理要 承担的管理任务过于庞大使得它难以即使响应网管站的命令；同时，山1 i 代 理过于复杂，也使得代理的开发与维护变得复杂，这对网络设备的) 1 发、运行、 管理都带来了困难。 为了解决这个问题，就出现了可扩展s n m p 代理。可扩展s n m p 代码l 是 指s n m p 代理是由一个主代理( m a s t e r a g e n t ) 与多个子代理( s u b a g e n t ) 构 旷慕 _ _ 耋 扣 一 罕鼎 。 ， 一- 墨 南京邮电大学硕t 研究生学位论文 第j 带络管理l 舟“ 成。这是一种更加结构化的设计，其优点是分摊了网络的负荷，系统管理的规 模大小可按需要来调整，灵活性、扩展性强而且具有很高的可靠忡。 2 21 可扩展s n m p 网络管理模型 可扩展代理由一个主代理( m a s t e ra g e n t ) 和多个子代理( s u b a g e n t ) 纠 成。主代理以代理的身份和网管站通信，发送和接收s n m p 切、议信息，但足基 本访问不到管理信息。子代理不能访问主代理处理的s n m p 信息，但足可以访 问管理信息。主代理和网络管理站通过s n m p 通信，与每个子代婵是通过 a g e n t x 协议通信。 其中主代理主要执行以下功能： 接受子代理建立a g e n t x 任务的请求： 接受子代理注册所负责的m i b 区域； 在特定的传输地址发送和接收s n m p 消息； 发送和接收a g e n t x 信息以访问管理信息： 转发子代理产生的t r a p 信息 而子代理则执行以下的任务： 向主代理发起a g e n t x 任务； 向主代理注册所负责的m i b 区域； 实例化被管对象； 对变量执行管理操作； 产生t r a p 消息。 a g e n t x 的主要设计特点有以下几个方面： 采用主代理和子代理分工的结构，即主代理只关注s n m p 操作以及 a g e n t x 间操作的转换，而子代理只关注管理操作，两者瓦不下扰： 提供标准的协议和规范以提供可扩展代理与管理指令间的操作： 子代理可以被集成到可扩展代理而同时并不知道其它已存在的子代理； 提供一个简单而有效的注册和分发机制，在一个可扩展代理中 个了 代理只负责特定范围内的m i b 信息。 性能考虑。通常情况下主代理和所有的子代理都位于同一个主机上，遮 南京邮电大学帧士研究生学位论文筇辛m 纬竹挫j h 【z 时a g e n t x 在形式上更象进程问的通信，扶而提高了效率。 a g e n t xf 办议建立了这样一种框架：在不明显增加s n m p 代理的复杂p 的 情况下，提供基于s n m p 的管理信息。a g e n t x 对管理者采说是透明的，所以 现有的管理工具可以通过使用基于a g e n t x 的可扩展s n m p 代理收集管邶信 息。a g e n t x 协议的结构也使代理的设计保持简单，而同时f 代理运行舟不同的 进程也增加了网络设备上的s n m p 系统的健壮性。值得注意的是a g e n t x 主罂 是作为主代理和子代理的进程间的通信协议，而不是用于网络范围。 被管节点 。”一。1 。一 一一一一 主代理l 一一了7 弋：= _ 一 ，| ， 、 、 ，k 口e n t x 、 、? 一一一 予代理i - 被管对象 - 一一 图2 3m a s i e | s u b a g e n t 模型 如图2 3 所示，这个模型得到普遍认可，各大设备厂商在设备出厂时就已 经为一类被管对象提供了子代理( s u b a g e n t ) 。同时又有类似n e t - s n m p 这样的 免费的软件开发包，将a g e n t x 协议封装对外提供a p i 接口，这使得子代摩 的开发者不必了解a g e n t x 协议的细节，就可以开发自己的子代理，这样惶j 代理的开发更加简单易行。 22 2 主代理与子代理之间的通信机制 等 南京邮电大学顶十研究生学位论文 塑二翌! 塑篁- 坐坐坚一 网管站 一一 请求响应t丁t r a p 一一 s n m p 主代理 囊j 譬f 下呻孚廿f t r l 子代理子代理 圈2 4 土代理与子代理问通信机制 图2 - 4 可以看出，主代理实际上成为网络设备的管理界面，它一方面接收 并响应网络管理站的命令，另一方面要管理控制各个子代理。主代理负责接收 与u 自应网络管理站的命令，并对命令进行解析，如果网络管理站所请求的m i b 变量在自己本地的m i b 中，那么主代理的行为与一个标准s n m p 代理完令棚 同，本地处理之后响应到网络管理站。如果网络管理站所请求的m i t 3 变量不在 自己的本地m i b 中，它会找出管理此m i b 变量的子代理，并向这个子代理发送 请求，子代理收到请求之后，取得这个m i b 变量的值并将其返回给主代理，j ： 代理再将此m i b 变量的值响应到网络管理站。 子代理的功能是收集被管对象的管理信息，通过主代理响应网管站的查询 和更新请求，必要时发送告警信息给网管站。 2 3 安全机制 s n m p 代理是一个软件，它能够回答s n m p 管理站关于m i bc i ，定义信息 的各种查询，每一个为管理站提供m i b 信息的网络设备都有一个s n m p 代理， 每个代理不但要控制自己本地的m i b ，而且必须控制多个管理站对浚m i b 的使 用。这种控制包含3 个方面： 认证服务：代理可以把对m i b 的访问限制在授权的管理站。 访问策略：代理可以授予不同的管理站不同的访问权限。 转换代理：一个代理可以作为其他被管理系统的转换代理，其任务可能 包括为其它被管理的系统实现认证服务和访问策略。 南京邮电大学硕七研究生学位论文 铺二辛州络麓蛆：协l i 所有这几方面都和安全有关，代理需要保护自身及其m i b ，使m i b 能够扑 绝非法访问。 2 3 1s n m p 的安全性分析 在使用s n m p 进行网络管理时，可能会受到以下六类攻击： 信息更改( m o d i f i c a t i o no fi n f o r m a t i o n ) ：一个实体可以更改l i j 另 授 权实体产生的正在传输的消息，以至于导致越枚的管理操作，包括刈 象值的设定。这种威胁的本质就是来授权的实体可以修改任何管珊参 数，包括与配置、操作和计费方面的参数。 伪装( m a s q u e r a d e ) ：一些未授权的实体可以通过似装具有u 授权实 体的身份，去执行只有授权实体才可以执行的管理操作，从而获得额 外的特权。 消息流的更改( m e s s a g es t r e a mm o d i f i c a t i o n ) = s n m p 被设计成往 ： 连接的协议上运行。对s n m p 安全性的种威胁就是消息_ 能被誊 排、延迟或者重放，导致非授权的操作。 泄漏( d i s c l o s u r eo fi n f o r m a t i o n ) ；实体可以观测管理者与代理之削的 信息交换，从而获得管理的对象的值，并获知所报告的事件。例如观 测更改口令的s e t 命令，可以使攻击者获知新口令的内容。 服务拒绝( d e n i a lo fs e r v i c e ) ：阻止管理者与代理治安的倍息交换； 阻止或禁止通信设备的正常使用和管理。这种攻击或者是阻止赝商发 往特定目的站点的消息、或者是对这个网络进行破坏使剧络不能运 行、或者是通过大量消息使网络过载从而降低其性能。 流量分析( t r a f f i ca n a l y s i s ) ：分析管理者和代理之间信息交换的殷 模式。 针对上述的安全威胁，s n m p 需要提供相应的安全机制来阻止攻击。 232s n m p v l 的安全机制 s n m p v l 仅仅提供了有限的安全性，即团体( c o m m u n i t y ) 的概念。 团体( c o m m u n i t y ) 是一个在代理上定义的局部概念。一个代理i 以定义 堕皇l 型皇叁兰里竺窒生兰竺堡壅 笙= 王l 型垡望：型l 坐 若干个团体，每个团体使用唯一的团体名。而每个s n m p 团体是个在s n m p 代理和多个s n m p 管理者之间定义的认证、访问控制和转换1 理的关系。 在每条s n m p v l 信息中都包含c o m m u n i t y 字段，在该城l 1 】填入闭体名， 团体名起密码的作用。s n m p v l 假设，如果发遴者知道这个密码，就认为政亿 息通过了认证，是可靠的。 一条已通过认证的信息对m i b 有何访问权限主要通过访问控制来宾矾。代 理为每一个团体定义了一个s n m p v l 的团体框架文件，浚框架文件包括两部 分： m i b 视域：m i b 的个对象子集，每个团体可以定义不同的m i b 视域， 一个视域中的对象集不必属于m i b 的单个子树： s n m p 访问模式：集合( 只读、读写) 的一个元素，每个团体只定义 个访问模式。 s n m p 团体和s n m p 团体框架文件的结合就成为s n m p v l 访问镱略， 一个通过了认证的信息必然指定了一个团体，那么它就有自己相应的团体十 t 架文件，且只能对该框架文件中m i b 视域的指定对象进行规定的操作( i 读或读写) 。 23 3s n m p v 2 的安全机制 s n m p v 2 具有支持分布式网络管理，扩展数据类型，可以实现大鞋数据的 同时传输。丰富故障处理能力增加集合处理功能，加强数据定义语言等特点。 此夕 ，s n m p v 2 还引入了“上下文( c o n t e x t ) ”的概念，上下史是一个明 被s n m p v 2 实体访问的被管理对象资源的集合，分为本地上下文和远程卜r 文；本地上f 文被标识为一个m i b 视域，远程上下文被标识为一个转换代理关 系。 使用了上下文的访问控制策略由以下4 个元素组成： 目标：s n m p 参加者，它按主体方的请求执行管理操作： 主体：s n m p 参加者，它请求目标方执行管理操作； 资源：管理操作在其上执行的管理信息，它可表示为一个本地m i b 视域 或一个代理关系，这一项被称为个上下文； 南京邮电大学顺上 f i f 究生学位论文 鹕二苛州婚管坞。i - ) j | 芟 权限：对于一个特定的上下文可允许的操作，这些操作可允许的坍议数 据单元定义，由目标代替主体执行。 但是，s n m p v 2 并没有完全实现预期的目标，尤其是安全恺能没确搿 到提高，如：身份验证( 如用户初始接入时的身份验证、信息完整性的分析、 重复操作的预防) 、加密、授权和访问控制、适当的远程安全配置和管理能 力都没有实现。1 9 9 6 年发布的s n m p v 2 c 是s n m p v 2 的修改版本虽然功 能增强了，但是安全性能仍没有得到改善，而是继续使用s n m p v l 的机遇 明文密钥的身份验证方式。 2 3 4s n m p v 3 的安全机制 i e t fs n m p v 3 工作组于1 9 9 8 年1 月提出了互联网建议r f c 2 2 7 1 2 2 7 5 ， 工f 式形成s n m p v 3 。这一系列文件定义了包含s n m p v l ，s n m p v 2 所有功能赴 内的体系框架及包含验证服务和加密服务在内的全新的安全机制，同时还规定 了一套专门的网络安全和访问控制规则。可以说，s n m p v 3 是在s n m p v 2 基 础之上增加了安全和管理机制。r f c 2 2 7 1 定义的s n m p v 3 体系结构体现了模 块化的设计思想，可以简单地实现功能的增加和修改。其特点主要有： 适应性强：使用于多种操作环境，既可以管理最简单的网络，实现螓本 的管理功能，又能够提供强大的网络管理功能，满足复杂网络的需求： 扩充性好：可以根据需要增加模块： 安全性好：具有多种安全处理模块。 s n m p v 3 主要有3 个模块：信息处理和控制模块、本地处理模块和用，安 全模块。 1 ) 信息处理和控制模块 信息处理和控制模