（通信与信息系统专业论文）基于snmp协议eos的网络管理代理及命令行设计与实现.pdf

堕墨鎏三矍盔堂堡主堂垡丝塞 摘要 随着城域传输网的发展，数据业务特别是企业的高速上网及企业间的互 连业务逐渐形成了新的业务增长点，原有的面向t d m 业务的s d h 解决方案 已不能满足市场竞争和发展需求。目前国内外各运营商都在根据自身业务和 网络的特点，探索新的城域传输网建设方案，与此同时各种新的传输技术也 不断涌现。在s d h 技术上增加对数据业务的支持，特别是以太网业务的支持， 对于已有s d h 网络和大量t d m 业务的运营商是最直接有效的解决方案， e t h e r n e to v e rs d h 正是在这种需求下应运而生的。e o s 可以有效地将不同局 域网通过s d h s o n e t 的互联转化为一个虚拟的通道，以实现“透明的局域网服 务”。 本论文设计并实现了基于s n m p 协议的e t h e m e to v e rs d h 设备的网管代 理和命令行软件。论文首先对e o s 设备功能进行了概述，接着在介绍完s d h 基本知识后介绍了网络管理功能及简单网络管理协议。然后应用s n m p 协议 进行了网管代理和命令行软件的设计。根据设备的功能和用户需求定义私有 m i b 和命令行，私有m i b 包括五个部分：接口索引映射组；私有系统组：以 太网组；s d h 组；扩展组。在论文的最后对网管软件进行了测试，测试结果 表明为e o s 设备设计和实现的网管代理和命令行软件是有效可行的。 关键词：e o s ；简单网络管理协议；同步数字体系；链路容量调整方案 哈尔滨工程大学硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to ft h ec i t yn e t w o r k ，d a t as e r v i c ee s p e c i a l l yd a t a s e r v i c eb e t w e e ne n t e r p r i s e si sb e c o m i n gai n c r e a s i n gp o i n to fn e ws e r v i c e s t h e o l ds h e e m eo ft m ds e r v i c ef o rs d hc a n ts a t i s f yt h en e e d so fm a r k e t sa n d d e v e l o p m e n t n o w , m a n ys e r v i c ep r o v i d e r s a l e r e s e a r c h i n gn e ws c h e m e s a c c o r d i n gt ot h e i ro w n s e r v i c e s i ti sae f f e c t i v es c h e m ef o re x i s t e ds d hn e t w o r k s a n ds e r v i c ep r o v i d e r st oa d dd a t as e r v i c et os d hn e t w o r k s u n d e rt h ed e m a n d ， e o si sc o m i n g e o sc a nc o n v e r tm a n yl a ni n t oav i s u a lp a t hb ys d h s o n e ti n e f f e c ta n da c h i e v e t h es e r v i c eo f t r a n s p a r e n tl a n ” t h i sp a p e ri st od e s i g na n dp r a c t i c et h es o f t w a r eo fe t h e r n e to v e rs d h n e t w o r km a n a g e m e n ts y s t e m ，w h i c hi sb a s e do ns n m ei tb e g i n sw i t ht h eb a s i c c o n c e p to fe o s a f t e ri n t r o d u c i n gt h eb a s i cc o n c e p to fs d h ，t h ep a p e r i n t r o d u c e s t h em a n a g e m e n tf u n c t i o no ft h en e t w o r km a n a g e m e n ts y s t e ma n dt h es i m p l e n e t w o r km a n a g e m e n tp r o t o c 0 1 t h e n ，t h ep a p e ri n t r o d u c e sd e s i g n i n go ft h e p f i v m em i ba n dc l i b a s e do ns n m ea c c o r d i n gt o t h ef u n c t i o no ft h e e q u i p m e n ta n dtt h en e e d s o fc o n s u m e r s ，t h ep r i v a t em i bw a sd e f i n e df i v eg r o u p s ： t h ei n d e xm a p p i n gg r o u p ，t h ep v i v a t es y s t e mg r o u p ，t h ee t h e r n e tg r o u p ，t h es d h g r o u p ，t h ee x t e n s i o ng r o u p i nt h el a s tt h ep a p e ri n t r o d u c e st e s t so ft h es o f t w a r e ， a c c o m p l i s ho f t h ew o r k t h e t e s tr e s u l ti n d i c a t e st h a tt h es o f t w a r ei se f f e c t i v e k e yw o r d ：e o s ，s n m p , s d h ，l c a s 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中已 注明引用的内容外，本论文不包含任何其他个人或集体已 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：互丝 日期：厶，j 年r 月，2 ，日 堕玺鎏三堡盔堂堡主堂焦笙壅 1 1 本课题的意义 第1 章绪论 随着网络建设与投资逐渐从长途网转向城域网与接入网，以及市场竞争 格局的丌放和形成，城域网成为新的建设与竞争的焦点。由于数据业务特别 是企业的高速上网及企业间的互连业务逐渐形成了新的业务增长点，原有的 面向t d m 业务的s d h 解决方案已不能满足市场竞争和发展需求。目前国内 外各运营商都在根据自身业务和网络的特点，探索新的城域传输网建设方案， 与此同时各种新的传输技术也不断涌现。 作为城域网的一个基础网络，城域传送网能承载的业务包括目前已有的 在s d h 上承载的t d m 话音业务和在a t m i p 上承载的各种分组数据业务， 所以城域传送网应该具有多种业务的传输能力。需要注意的是，不问业务的 传输和实现的技术并没有绝对的对应关系，s d h 不仅能够承载t d m 话音业 务，也能够提供宽带分组业务，同样，a t m i p 不但能够提供宽带分组业务， 同样也能够提供t d m 话音业务的传输，其差别在于传输效率的高低和成本 的多少。 传统的s d h 技术主要是适应t d m 业务的传送，在传送带宽可变的分组 业务时显得力不从心，但s d h 技术经过多年的发展，其技术成熟、强大的保 护管理能力以及互联互通性却又是其它新技术无法比拟的。因此在s d h 技术 上增加对数据业务的支持，特别是以太网业务的支持，对于已有s d h 网络 和大量t d m 业务的运营商是最直接有效的解决方案。e t h e r n e l co v e rs i ) t t 正是在这种需求下应运而生的，在2 0 0 1 年，武汉邮电科学研究院烽火网络公 司提出的提案e t h e r n e to v e rs d h 正式成为i t u t 标准，标准号分别为x 8 5 、 x 8 6 。x 8 5 、x 8 6 技术标准是以太网在s d h ，s o n e t 光通信系统上传输1 p 业务的一种新的技术标准。它是在国际电联的x 8 5 、x 8 6 标准及t lx 1 5g f p 标准草案的基础上，将以太网帧映射到s d h s o n e t 的负荷中。该技术可以 有效地将不同局域网通过s d h j s o n e t 的互联转化为一个虚拟的通道，以实 堕叠堡三垂盔堂堡圭堂焦丝塞 现“透明的局域网服务”。 1 2e t h e r n e to v e rs d h 概述 1 2 1e o s 系统的原理结构 e t h e m e to v e rs d h 系统实现了个i p 数据包多交换光广域网，它本质上 采用的是无连接网络机制，内在的全网状连接提供适合于分布式通信的无连 接网络机制，为业务提供者节省大量的光带宽。e t h e m e to v e rs d h 将以太网 的二层交换灵活性和资源优化能力与现有的s d h 光网络的大容量、高带宽效 率和低协议开销相结合，从而得到一种高速、经济的数据接入解决方案。 e t h e m e to v e rs d h 系统的实现是通过在s d h 设备( 如a d m ) 上增加以 太网接口或采用以太网交换机，由以太网接口或交换机提供帧映射和v c 级 联等功能。e t h e m e to v e rs d h 系统的协议栈分三层：网络层为i p v 4 或1 p v 6 ； 链路层由3 个元素组合而成：l l c m a c i ，a p s ；物理层为s d h 传送网。其 中l a p s 是h d l c 协议的一种，它提供数据链路服务及协议规范。 1 2 2e o s 的功能和应用 1 、实现点对点的传输 采用e o s 设备将用户端的以太网帧映射到s d h 帧后，经s d h 设备的支 路盘上s d h 传输线路，实现点对点的传输。如图1 1 所示。 2 、实现s d h 自愈环的1 0 0 m b p s 以太网数据的上下 采用e o s 设备将用户端的以太网帧映射到s d h 帧后，经s d h 的a d m 设备组成的s d h 自愈环实现1 0 0 m b p s 以太网数据的上下。如图1 2 所示。 2 哈尔滨工程大学硕士学位论文 图i 1 点对点传输 图1 , 2 通过环网传输 哈尔滨工程大学硕士学位论文 1 3 本论文课题所作的工作 在整个设备中，有一个非常重要的部分网管系统。网管系统是一套 用来方便用户使用的界面软件，它主要提供五种功能1 1 1 ：c o n f i g u r a t i o n m a n a g e m e n t ( 配置管理) 、f a u ltm a n a g e m e n t ( 故障管理) 、p e r f o r m a n c e m a n a g e m e n t ( 性能管理) 、a c c o u n t i n gm a n a g e m e n t ( 计费管理) 、 s e c u r i t y m a n a g e m e n t ( 安全管理) 。网管系统仅仅提供给用户一个友好的管理 平台，网管系统要实现对设备的管理和控制，必须通过设备中的网管代理来 实现。本论文课题就是实现嵌在设备中的网管代理及串口命令行，串口命令 行平台提供了另一种对设备的管理形式。网管代理和命令行全部由软件实现， 在设备的软件体系结构中属于操作维护部分。 首先，既然要对设备进行管理，必须定义设备需要的管理对象，这就需 要了解设备的整体功能和需求，确定管理对象，用a s n 1 描述性语言表示出管 理对象的框架结构。同时，根据定义好的管理对象定义串口命令的命令格式。 其次，实现对每个管理对象的操作，就是为每个管理对象编写相应的操 作代码以及编写命令行的代码。这一部分主要是编写代码。 最后，调试和联调。在整个软件中，本部分软件起着呈上启下，连接上 层网管和下层驱动的作用。因此，需要和上层网管、下层驱动分别联调，最 后三方再起联调。 本论文接下来将首先介绍s d h 和网管及s n m p 的相关知识，在第四章介绍对 e o s 关键技术作的一些研究，尤其是l c a s 协议部分，在第五章将详细介绍软件 部分的设计过程，在论文最后将介绍网管代理及命令行软件的测试结果及工 作完成情况。 下面将先介绍有关s d h 和网管方面的相关知识。 4 堕玺堡三垂丕堂堡主堂垡监壅 2 1s d h 的提出 第2 章s d h 简介 美国贝尔公司首先提出了同步光网络( s o n e t ) ，美国国家标准协会 f a n s l ) f2 0 世纪8 0 年代制定了有关s o n e t 的国家标准。当时的c c i t t 采 纳了s o n e t 的概念，进行了一些修改和扩充，重新命名为同步数字体系 f s d h ) ，并制定了一系列的国际标准。 s d h 和s o n e t 的基本原理完全相同，标准也兼容，但还是略有差别。 表2 1s d h 和s o n e t 比较 s d hs c 小e t 速率 等级 速率( m b p s ) 等级 ( m b p s ) 5 1 8 4 0 s t s l o c 1 s t m 一11 5 5 5 2 0 1 5 5 5 2 0 s t s 一3 o c 3 4 6 6 5 6 0 s t s 一9 o c 9 s t m 一46 2 2 0 8 0 6 2 2 0 8 0 s t s 一1 2 o c 1 2 9 3 3 1 2 0 s t s 一1 8 o c 1 8 1 2 4 4 1 6 0 s t s 一2 4 0 c 2 4 18 6 6 2 4 0 s t s 一3 6 o c 3 6 s t 一1 6 2 4 8 8 3 2 02 4 8 8 3 2 0s t s 一4 8 o c 一4 8 s t 一6 4 9 9 5 3 2 8 09 9 5 3 2 8 0s t s 1 9 2 0 c 1 9 2 s o n e t 的电信号称同步传递信号s t s ( s y n c h r o n o u st r a n s p o r ts i g n a l ) ，光 信号称光载体o c ( o p t i c a lc a r d e rl e v e l ) ，它的基本比特率是5 1 8 4 0 m b p s ；s d h 的基本速率为1 5 5 5 2 0 m b p s ，其速率分级名称为同步传递模块 s t m ( s y n e h r o n o u st r a n s p o r tm o d u l e ) 。我国采用s d h 标准，因此下面的叙述 都按s d h 分级方式。 堕玺迭三堡丕堂堡主堂垡堡塞 2 2s d h 的特点 s d h 网的主要特点是同步复用、标准光接口和强大的网管功能。s d h 网络还是一个非常灵活的网络，这体现在以下几个方面。 1 、支持多种业务 s d h 的复用结构中定义了多种容器c 和虚容器v c ，各种业务只要装入 虚容器就可作为一个独立的实体在s d h 网中进行传送。c 、v c 以及联和复 帧结构的定义使s d h 可以灵活地支持多种电路层业务，包括各种速率的异步 数字系列、d q d b 、f d d i 、a t m 等，以及将来可能出现的新业务。另外， 段开销中大量的备用通道也增强了s d h 网的可扩展性。s d h 的这种灵活性 和可扩展性使它成为宽带综合业务数字网理所当然的基础传送网络。 2 、迅速、灵活地更改路由，具有很强地生存性 p d h 中改变网络连接要靠人工更改配线架的接线，耗时长、成本高且易 出错。在s d h 网中，大规模采用软件控制，通过软件就可以控制网络中的所 有交叉连接设备和复用设备，需要改变路由时，通过软件更改交叉连接设备 和分插复用器的连接，只要几秒钟就可灵活地重组网络。特别是s d h 的自愈 环，在某条链路出现故障时，可以迅速地改变路由，从而大大提高了s d h 网的可靠性。 3 、定义了标准地网络接口和标准网络单元 这样提高了不同厂商之间设备的兼容性，使组网时有更大的灵活性。口 2 3s d h 基本帧结构 s d h 以s t m 1 为基础，使用块状的帧结构，并以字节为基础。s t m - n 信号采用字节间插的同步复用合成，支路信号在一帧内分布均匀，有规律， 以便接入和取出。它由纵向9 行和横向2 7 0 n 列字节组成，传输时由左到 右、由上到下的顺序排列成串形码流依次传输，传输一帧的时间为1 2 5 u s 。 s d h 的基本帧结构如图2 1 所示。 从结构组成来看，整个帧结构可分成段开销、s t m n 信息净负荷和管理 单元指针三个基本区域【2 j 。 1 、段开销( s o h ) 区域 哈尔滨工程大学硕士学位论文 是指为保证信息正常、灵活、有效地传送所必须附加的字节，它主要用 于网络的运行、管理、维护及指配( o a m & p ) 。段开销可以分为再生段开销 ( r s o h ) 和复用段开销( m s o h ) 两个部分。由于s d h 具有丰富的开销， 从而为实现强大的网络管理奠定了基础。 g n2 6 1 n 图2 1s t m n 帧结构 2 、净负荷( p a y l o a d ) 区域 是指可真正用于业务传输的比特。该区域还存放了少量可用于通道维护 管理的通道开销字节。 3 、管理单元指针( a u p t r ) 区域 用来指示净负荷区域内的信息首字节在s t m - n 帧内的准确位置，以便 接收时能正确分离净负荷。 各种开销对应的管理对象如图2 2 所示。 喧堡鎏三垂盔堂堡主堂堡丝塞 终端设备再生器复用段设稀再生器终端设备 r 融段斗 卜融黔l 卜融黔l 卜融段1 一一 复用段 i 一 复用段一 一 通道段叫 图2 2s d h 开销管理对象示意图 直接从一台设备到另一台设备，中间没有其它设备的光纤被称作再生段， 两个多路复用设备之间( 中间可能还有一个或多个再生器) 的线路被称作复 用段，源和目的的连接( 中间可能还有一个或多个复用段设备和再生器) 被 称作通道。 再生开销r s o h 负责管理再生段，可在再生器上接入，也可在终端设备 接入。复用段开销m s o h 负责管理由若干个再生段组成的复用段，它将透明 地通过每个再生段，只能在管理单元组( a u g ) 进行组合或分解的地方接入 或终结。通道开销p o h 负责管理由若干个复用段组成的通道，它将透明地通 过每个复用段，只能在虚容器( v c ) 进行组合或分解的地方接入或终结。 2 5s d h 同步复用映射结构 s d h 的一般复用映射结构如图2 3 所剥“。 图2 3s d h 的般复用映射结构 堕玺鎏三堡丕堂堡主堂垡迨塞 图2 4 我国采用的复用映射结构 1 3 92 6 4 k b i t 8 4 47 3 6 k b i t s 3 43 6 8 k b i t s 图2 3 只是i t u u 所规定的最一般、最完整的复用映射结构，并不排除 更简单的选择。为了简化设备，可以根据设备的具体应用环境和业务需求， 省去某些接口和复用映射支路。以使每种净负荷只有一条唯一的复用映射途 径。根据这一思路，我国采用的复用映射结构如图2 4 所示。 2 6 本章小结 本章主要介绍了有关s d h 的一些基本知识。s d h 如何产生、与p d h 的 比较，阐述了s d h 相比与p d h 的优势所在。s d h 的一些特点和基本的帧结 构，同时给出了s d h 复用映射结构的图表，说明了本论文所采用的复用映射 结构。 9 第3 章网络管理体系及s n m p 协议 3 1 网络管理体系 3 1 1 网络管理体系结构概述 网络管理体系结构是网络管理系统的框架基础。当前最典型的网络管理 体系结构是i n t e m e t s n m p 管理体系结构、o s i c m i p 系统管理体系结构、t m n 的管理体系结构。t m n 主要用来解决电信网络的管理问题。在实现对e o s 这样一个网络设各( 才日对于电信网来讲) 的管理时，人们通常选择 i n t e m e t s n m p 管理体系结构或o s j c m i p 系统管理体系结构。下面谈谈本交 换平台网络管理系统选择i n t e m e t j s n m p 而未选择o s i c m i p 的原因。 o s i c m l p 管理体系结构是以更通用更全面的观点来组织一个网络的管 理系统，它的开放性、着眼于网络未来发展的设计思想，使得它有很强的适 应性，能够处理任何复杂系统的综合管理。然而正是o s i 系统管理这种大而 全的思想，导致它有许多缺点。 1 o s i 系统管理太复杂，相关标准的数量和内容太多； 2 o s i 系统管理标准化的进程太慢，无法满足实际需要； 3 o s l 网络管理体系结构追求适应性，必然导致体系结构的复杂化： 4 缺乏相应的开发平台： 5 管理方法太复杂。 尽管实际应用中无法实现一个完整的基于o s i 的管理系统，但o s i 管理 标准中提出的很多概念在网络管理领域都得到了广泛应用。如网络管理系统 模型，网络管理功能域等。 i n t e m e t s n m p 体系结构是在八十年代中后期标准化的。当时，i n t e m e t 开始进入快速发展阶段，在i n t e m e t 网的规模发展到网络管理不可缺少时， 出于o s i 管理建议不可能马上出现，l a b 让i e t f 定义特别的管理协议。i e t f 制定s n m p 的指导思想是尽可能简单，以缩短研制周期。这种思想获得了成 1 0 哈尔滨工程大学硕士学位论文 功，在i e t f 完成s n m p 之后不到一年的时间里，就有许多设备厂商开始支 持s n m p ，生产支持s n m p 协议的产品，s n m p 很快发展成为数据通信网事 实上的管理标准。 3 1 2 网络管理系统模型 一个网络管理系统从逻辑上可分为以下几个组成部分【1 ： 1 管理对象 2 管理者 3 管理代理 4 管理协议 一个典型的管理系统模型如图3 1 。 管理者管理代理 通报 i ：甲 1 t l 协议i 一l 协议l ，二= 、 i 实体1 一 - j 实体i ： 管理协议 开放系统 开放系统 图3 1o s i 系统管理模型 管理对象( m a n a g e do b j e c 0 是经过抽象的网络元素，对应于网络中具体可 操作的数据，如记录设备或设施工作状态的状态变量、设备内部的工作参数、 设备内部用来表示性能的统计参数等，管理信息库( m i b ) 是管理对象的集合。 管理者( m a n a g e r ) 负责对网络中的设备，设施以及资源进行全面的监测和 控制。根据网络中各个管理对象的变化来决定对不同的管理对象采取不同的 操作，比如调整工作参数和控制工作状态的打开或关闭等。 管理代理( a g e n t ) 是管理者( m a n a g e r ) 在被管设备内的代理，负责解释 m a n a g e r ，的命令并完成对指令的执行，而且以通知的形式向管理者报告被 哈尔滨工程大学硕士学位论文 管对象发生的一些重要事件。 管理协议( m a n a g e m e n tp r o t o c 0 1 ) 负责在管理者和管理对象之间传递操作 命令，并负责解释这些命令。 3 1 3 本系统实现的管理功能 在o s 网络管理标准中，将开放系统的系统管理功能划分成五个功能域： c o n f i g u r a t i o nm a n a g e m e n t ( 配置管理) 、f a u l tm a n a g e m e n t ( 故障管理) 、 p e r f o r m a n c em a n a g e m e n t ( 性能管理) 、a c c o u n t i n gm a i l a g e m e n t ( 计费管理) 、 s e c u r i t y m a n a g e m e n t ( 安全管理) 。这些领域提供了一个框架，根据这个框架， 可以列出本交换平台网管系统实现的管理功能。另外，本网管系统实现的地 址管理和拓扑管理可以细划出来作为一个独立的功能模块。 3 1 3 1 配置管理 配置管理完成对管理对象的控制、鉴别，从管理对象收集数据以及向管 理对象提供数据。配置管理也提供命名手段，可以使某个名字和特定的管理 对象联系起来。配置管理的主要功能包括： 1 初始化、启动和关闭管理对象； 2 记录网络的当前配置； 3 记录网络配置的改变： 4 设置开放系统或管理对象的参数； 5 改变开放系统或管理对象的配置； 6 使名字和管理对象对应起来。 本系统中的配置信息包括以下几类： 1 系统配置信息 这里是指系统的一般描述信息，以及硬件配置信息。 2 接口配置信息 这里是指1 6 个以太网端口和两个s d h 接口的配置信息。 3 v c g 配置信息 1 2 哈尔滨工程大学硕士学位论文 这里是 旨v c g 的属性配置，诸如封装模式，v c 类型，包含v c i # 隙等。 4 业务配置信息 这里是指v c g 与以太网端口映射的配置。 3 1 3 2 故障管理 故障管理主要完成o s l 环境中异常操作的检测、隔离和纠正。在开放系 统中，故障以特殊事件的形式表现出来。差错事件必须加上时间标记，作为 差错日志保存，故障管理定义了如何通过日志追查差错。故障管理提供的主 要功能包括： 1 维护、使用和检查差错日志； 2 接受差错检测的通报并作出反应； 3 在系统范围内跟踪差错； 4 执行诊断测试序列； 5 执行恢复动作以纠正差错。 在本系统中，故障管理功能模块具体负责故障检测和故障告警，并记录 故障曰志供网络管理员查询分析；用户还可以自定义告警过滤，过滤一些不 重要的告警。 告警根据其严重程度分为不同的级别，如致命、严重、轻微、警告，确 定和清除。 3 1 3 。3 性能管理 性能管理设施支持对管理对象的行为和通信活动的有效性的评价。它要 收集统计数据，对这些数据应用一定的算法进行分析以获得系统的性能参数。 要用一定的模型来评价一个系统是否满足吞吐量要求；是否有足够的响应时 间；是否过载或系统是否得到有效的使用。性能管理设施提供的主要功能包 括： 1 收集统计数据： 堕签堡三塑盔堂耍圭堂垡堡塞 2 维护和检查系统状态历史的日志，以便用于规划和分析。 在本系统中，性能管理模块主要负责完成s d h 和以太网接口性能测试， 各类性能信息的收集、统计、存储，性能信息数据库的维护，性能管理阂值 的设置与闽值越过报告，产生按需的性能报告，即提供性能信息查询功能， 或周期性的性能报告。 3 1 3 4 计费管理 计费管理完成使用管理对象的费用核算及收取。计费功能必须支持费率 的设置，对一些特殊资源在使用之前进行协商。计费管理提供的主要功能包 括： 1 将应该缴纳的费用通知用户； 2 支持用户费用上限的设置； 3 在必须使用多个通信实体才能完成通信时能够把使用多个管理对象 的费用结合起来。 3 1 3 5 安全管理 安全管理涉及的问题包括保证网络管理工作可靠进行的安全问题和保 护网络用户及网络管理对象问题。0 s i 网管标准中定义了安全管理提供的功 能： 1 支持身份鉴别，规定身份鉴别的过程； 2 控制和维护授权设施； 3 控制和维护访问权限； 4 支持密钥管理； 5 维护和检查安全日志。 在本系统中，安全管理主要包括有如下几个方面： 1 管理系统接入控制； 2 用户信息管理； 1 4 哈尔滨工程大学硕士学位论文 3 安全日志功能； 3 1 3 6 拓扑管理 拓扑管理完成管理网络范围内的拓扑搜索，以及拓扑变化报告等功能。 通过拓扑搜索功能，可以获得当前管理网络范围内的设备的数量、型号以及 相对位置，并可以进一步获得设备的内部配置情况。 3 2 简单网络管理协议( s n m p ) s n m p 【1j 的网络管理系统可分为四个部分：管理信息库m i b ( m a n a g e m e n t i n f o r m a t i o nb a s e ) 使用a s n 1 语法定义并组织管理对象；管理者( m a n a g e r ) ： 管理代t 里( a g e n t ) 管理协议( s n m p ) 。管理者和管理代理共享一个数据m i b 库，他们之间通过s n m p 协议来进行通信。 3 2 1 管理信息库 为实现管理功能，设备中的被管资源都被抽象成管理对象。一个系统内 管理对象及其属性的集合就是管理信息库m i b ( m a n a g e m e n ti n f o r m a t i o n b a s e ) 。管理信息库实际上是一个数据库的概念，这个数据库提供有关被管理 设备网络元素的信息，而这些信息由管理应用和各个管理代理共享。 管理信息结构s m i ( s t r u c t u r eo fm a n a g e m e n ti n f o r m a t i o n ，s m i ) h h 规定了 管理对象的定义格式。管理信息库则对每一个管理对象都按照s m i 的格式进 行定义。m i b 采用a s n 1 作为管理对象的描述语言。要实现s n m p 网管代 理( a g e n t ) 必须要能读懂m i b 库的语言，而且要能用a s n 1 语法定义新的m i b 库。下面首先对a s n 1 作简要的介绍。 3 2 1 1 抽象语法记法( a s n 1 ) a s n 1 ( 抽象语法记法) 提供了一种表示数据的标准方法，这些数据是要在 互联网中传输的。因为不同网络的计算设备上的数据可能采用了互不兼容的 表达方式，所以这标准是十分必要的。a s n 1 是一种高级的数据类型定义 哈尔滨工程大学硕士学位论文 语言，它描述了在网络管理进程和代理进程之间传输的s n m p 报文的格式。 s n m p 始终使用a s n 1 概念中的描述块( m o d u l e ) 来组织a s n 1 对象。 a s n 1 中的描述块是一些相关描述语句的集合。这些描述语句可以在s m i 、 协议或许多m i b 对象组中引用。下图给出了一个描述块的大致组成。 d e f i n i t l 0 n s ：= b e g i n e n d s n m p 中的描述块的名 中通常包括给出相应描述语句r f c 编号。例如，第l 版s m i 的描述块名就是r f c l l 5 5 一s m i 。链接语句 可以说明在描述块之间的定义引入和导出。因为s m i 描述块中定义了其在 s n m p 中使用的指南，它的链接语句包含了e v e r y t h i n g - - 一然后是它导 出的对象列表。声明语句 包含了构成该描述块的一系列 a s n 1 定义语句。 与s n m p 有关的3 个a s n 1 组件： 1 管理对象数据类型的类型符号 2 定义数据类型值和实例的值符合 3 发送和接收用a s n 1 编码的信息的传送语法 类型记法和值记法实现a s n 1 的语法定义和它们的值定义。传送语法 是用b e r 定义的一个专题。b e r 是a s n 1 规则的应用之。 s n m p 中使用的类型符号是用o b j e c t s y n t a x 数据类型定义的，o b j e c t - s y n t a x 是用a s n 1 定义的c h o i c e 类型。c h o i c e 类型是一个类联合( u n i o n l i k e ) 的数据结构，它可取若干个数据类型之中的一种。对s n m p 来说，o b j e c t s y n t a x 数据结构可以是下列3 种数据类型之一： 1 简单类型( s i m p l e ) 哈尔滨工程大学硕士学位论文 简单类型 数据类型 用途 t n t e g e r 基本的数据类型，常用于表示枚举类型，从而 便于进行约束检查。s m ir f c 要求枚举的 i n t e g e r 值不能是0 。 o c t e ts t r i n g 0 或更多个字节，每个字节值在0 到2 5 5 之问。 o b j e c t 对象的名字，用点分十进制数字表示，反映了 i d e n t i f e r 它在互联网全局命名树中的位置 n u l l 占位符。目前还未在s n m p 中使用。 2 单结构类型( s i m p l e c o n s t r u c t e d ) 简单结构类型 数据类型用途 s e q u e n c e用于列表。这一数据类型与大多数程序设计语言中 的“s t r u c t u r e ”类似。一个s e q u e n c e 包括0 个或 更多个元素，每个元素又是另一个a s n 1 数据类型。 s e q u e n c eo f用于表格。这一数据类型与大多数程序设计语言中 t y p e 的“a r r a y ”类似。一个表格可包括0 或更多个统一 a s n 1 数据类型的元素。 3 应用类型( a p p l i c a t i o n w i d e ) 应用数据类型 数据类型 用途 i p a d d r e s s基本的数据类型，常用于表示枚举类型，从而便于 进行约束检查。s m ir f c 要求枚举的i n t e g e r 值 不能是0 。 o c t e ts t r i n g 0 或更多个字节，每个字节值在0 到2 5 5 之间。 o b j e c t 对象的名字，用点分十迸制数字表示，反映了它在 i d e n n f e r 互联网全局命名树中的位置 n u l l 占位符。目前还未在s n m p 中使用。 3 2 1 2 基本编码规则( b e r ) 正如高级语言必须编译成机器可识别的代码以后才能运行一样，用 1 7 堕玺堡三型盔堂堡主堂垡鲨塞 a s n 1 描述的数据类型，也必须翻译成发送方和接收方都能识别的字节流才 能传送。所以o s i 在定义描述语法的同时还规定了传送语法和a s n 1 的数据 对象到传送语法的转换规则，即a s n 1 基本编码规则b e r ( b a s i ce n c o d i n g r u l e ) 。该编码规则定义了如何将数据翻译成可以通过网络传输的字节流。 s n m p 的协议数据包就是用b e r 方式编码成二进制数据流在网络上传播的。 b e r 的基本思想是所传送的p d u 中的每一个域都是自解析的 ( s e l f - d e f i n i n g ) 。每一个域都采用所谓的t l v 方法进行编码。即每一个域都可 以表示为以下三个字段组成的八位位组序列： 1 字段一一用于识别类型的八位位组t ( t y p e ) 2 l 字段一一用于表示数据长度的八位位组l ( l e n g t h ) 3 v 字段一一用于表示数据元素值的八位位组v ( v a l u e ) t 字段是b e r 的类型标识符，声明了所编码的数据类型。 l 字段表示的长度，是不包括t 字段和l 字段的数据长度，即v 字段的 长度。由于b e r 允许采用嵌套定义，所以v 字段有可能是基本类型的数据。 有关b e r 的具体描述可以参考协议i t u t x 6 9 0 。 3 2 2 信息管理库的访问 3 2 2 1 对象标识符 m i b 为每一个管理对象都做了定义，那么如何访问这些管理对象的信息 呢? m i b 利用a s n 1 来命名所有的管理对象。a s n 1 定义了一个树状的名字 空间，因而每一个对象的名字都反映了该对象在这树中的位置。对m i b 中 管理对象的访问可以使用管理对象的名字，也可以使用o l d ( o b j e c t i d e n t i f i e r l 的形式。下面以实际工作中定义的一个管理对象为例来说明 m i b 库的访问形式。 瑞斯康达科技有限公司申请了一个位于“e n t e r p r i s e s ( 1 3 6 1 4 1 ) ”下的节 点“r a i s e c o m ( 1 3 6 1 4 1 8 8 8 6 ) ”。这样r a i s e c o m 就是e n t e r p r i s e s 下的一个组织， 该组织为其内部i s c o m 系列产品分配了一个节点“i s c o m s e r i e s f i 3 6 4 1 8 8 8 6 6 ) ”。在瑞斯康达科技有限公司开发的e o s 项目在节点 哈尔滨工程大学硕士学位论文 “i s c o m s e r i e s ”下为自己定义了一个名为i s c o m 4 3 0 0 的管理信息库来完成对 所开发设备的描述和管理。考虑到对象定义的层次性、清晰性以及业务的扩 展性，该项目专门为设备系统配置信息分配了一个节点 “r a i s e c o m s y s t e m c o n f o b j e c t s ( 1 3 6 1 4 1 8 8 8 6 6 6 1 1 1 ) ”。在这个节点 下有个“设备名称”的管理对象，我们需要对这个对象进行管理，那么它的 访问方式用节点名称可以表示为： i s o o r g d o d i n t e m e t p f i v a t e e n t e r p r i s e s r a i s e c o m i s c o m s e r i e s i s c o m 4 3 0 0 r a i s e c o m s y s t e m o b j e c t s r a i s e c o m s y s t e m c o n f o b j e c t s r c d e v i c e n a m e 由于数字的易操作性，m a n a g e r a g e n t 发送和接收的s n m p 消息中，并 不用上述这样冗长的字符串来标识m i b 对象，而是采用大为简洁的数字形 式。数字形式和字符串形式是一一对应的。上述对象的名字因此就可以用下 面的一组整数来表示： 1 3 6 1 4 1 8 8 8 6 6 6 1 1 1 2 在s n m p 中，如上述的a s n 1 的标记就称为o i d ( o b j e c ti d e n t i f i e r ) 。两 种表示方式在a s n 1 的树型命名空间中，可以表示为图3 2 。 m i b 的对象分为集合( a g g r e g a t e ) 对象和非集合( n o n - a g g r e g a t e ) 对象两类。 集合对象拥有一个或多个的下层节点( 即字节点) ，所以相当于“树”中的“节 点”。而非集合对象则是m i b 名字空间中的最下层节点，它没有字节点，所 以相当于“树”中的“叶节点”。 对于m i b 中定义的每一个非集合对象，a g e n t 都可以维护它的个或多 个实例0 n s t a n c e ) 。对象本身不能接受s n m p 的操作，所有对对象的管理操作 都是通过对象实例来进行。对象实例以变量名作为唯一标识。变量名的一般 形式是x y ，其中x 是对象标识符，y 是变量的实例部分。 在m i b 中，所有的非集合对象又可以分为两种类型：标量( s c a l a r ) 对象和 表量( t a b u l a t ) 对象。每个标量对象有且只有一个实例，s n m p 规定标量对象的 实例标识由它的对象标识加上一个0 组成。如，对于我们上面提到的“设备 名称”这一标量对象，它的一个实例就可以用下述o i d 来表示： 1 3 6 1 4 1 8 8 8 6 6 6 1 1 1 2 0 1 9 哈尔滨工程大学硕士学位论文 3 2 2 2 表量对象 ，。l 。， ，。；! 。o 。0 。m 。， 盎= = 麓意 表量对象对应于m i b 中概念表的列。它可以有很多个实例，实例的对象 标识符也可以表示为x y 形式，其中x 是对象的标识符，y 是表格的行索引 f i n d e x ) 。表格的索引是表格当中能够唯一确定该行的列属性对象，它可以是 一个对象，也可以由多个对象组成。 例如，在设计以太网接口时，因为有1 6 个以太网接口，获得每一个以太 网接口的属性都需要指明接口索引。“以太接口双工模式 ( r c e t h d u p l e x m o d e ) ”是其中一个表量，如果我们想获得某个以太网接口的 2 0 哈尔滨工程大学硕士学位论文 双工模式，则指定接口( 用 f l n d e x 表示) 索引值。r c e t h d