（计算机软件与理论专业论文）双出口校园网ip计费系统的研究和实现.pdf

太原理i ? 人牛硕十研究生：学位论文 驴7 8 8 3 0 3 双出口校园网j p 计费系统的研究和实现 摘要 双出口校园网足指学校在原来校园网单一出口( c e r n e t ) 的 情况下，为扩大h 口带宽和减少一部分国际流量而采用的与本地 i s p 连接以获得第二条连接1 n t e r n e t 的方式，这种校园网通过 两个以上出口路由器连接c e r n e t 和公网的方法称为双出口校园 网。 本文对国内外现有的i p 计费方式进行了深入调查和研究， 分忻了现阶段校园网管理所而临的主要难题：比如通过计费网关 计货易造成网络的堵塞；依靠s n m p 计费时间间隔的确定困难； 路由器缓冲数据包容易溢出；依靠代理计费手工环节过多；系统 的集成性差：嵌入现实环境需要很多改造等。在此基础上，本文 提出了在双出口校园网上引入n e t f l o w 技术，实现多模式叠加 ( 包括叠加s n m p 技术等) 的计费模型。n e t f l o w 计费方式区别 于以往任何数据采集方式，它是一种依靠网络流计费的方式，明 显减少对网络带宽和用于统计流量的网络设备的影响，减少网络 设备的额外负担，避免了网络设备不断地响应请求和应答请求。 这种模型使核心路由器采用优良的不丢包的计费方式，获得详尽 1 太原理i ：人学碳十研究生学位论文 信息。这是一种利用中断解决临时大量数据溢出的方法。两方配 合工作基本上从长短两个时段，缓解了s n m p 方式下由于采集不 及时而导致的流量数据丢失i 、口j 题。 本文由两部分组成，一足网络管理系统原理，s n m p 协议和 n e t f l o w 协议的基本技术和工作原理的分析；二是在分析某双出 口校园网结构基础一卜，按照水义提出的多模式叠加理论，设计开 发1 r 基于i p 校园计赞系统，并埘系统进行测试，基本达到要求。 虽然本文做了。些工作，佴罡还有很多方面需要我们去完善 和做进一步研究：例如在网络安全管理方面，我做的工作相对较 少。当然，这不是光靠网络管理1 力、议本身就能够完全解决的，它 还需与其他众多的计算机网络安全技术相结合才能更好地得到 解决，这是今后要努力的方向。 关键词s n m p ，n e t f l o w ，t r a p 太原理i ：人学倾十埘究生学位论文 r e s e a r c ha n di m p l e m e n t a t i o no fd o u b l e e x p o r t c a m p u sn e t w o r ki pa c c o u n t i n gs y s t e m a b s t r a c t d o u b l e - e x p o r tc a m p u sn e t w o r km e a n st h a tt oe x t e n de x p o r t b a n d w i d t ha n dr e d u c et h ei n t e r n a t i o n a lf l u x ，c o m p u sc o n n e c tt h e n a t i v ei s pf o ra n o t h e re x p o r tt ot h ei n t e r n e t ，w h i c hi sn a m e dd o u b l e e x p o r tc a m p u sn e t w o r k t h ep a p e ra n a l y z e st h ec u r r e n ti pa c c o u n t i n g sm o d ea n di t s m a i np r o b l e m so ft h ec a m p u sn e t w o r km a n a g e m e n t f o r e x a m p l e ， aa c c o u n t i n gg a t e w a ym a k e st h en e t w o r kw a l lu pe a s i l y ；t h es n m p a c c o u n t i n g c a n n o tn l a k ec e r t a i nt h et i m e i n t e r v a l ；t h ep r o x y a c c o u n t i n gr e l y o nt o om u c hh a n d w o r k ，b a ds y s t e mi n t e g r a t i o n ；o n t h i sc o n d i t i o n ，t h ep a p e r b r i n g sf o r w a r dt h ec o m b i n i n go f s n m p a n dn e t f l o wf o rt h ed o u b l ee x p o r tc a m p u sn e t w o r k t h en e t f l o w a c c o u n t i n g i sd i f f e r e n tf r o mo t h e r so nf l o w a c c o u n t i n g ，w h i c h r e d u c e st h ei n f l u e n c eo nt h eb a n d w i d t h a n dn e t w o r ke q u i p m e n t s t a t i n gf l u x ，a n d w h i c hr e d u c e st h eb u r d e no fn e t w o r k e q u i p m e n t sb y v 太原理l ：人：学硕1 ：“j i 究生学位论文 a v o j d i n gt h eu n i n t e f r u p t e dr e q u e s it oi h en e t w o r ke q u i p m e n t t h e n l o d en o to n l ym a k e sar o u i e rg e tp a r t i c u l a ri n f b r m a t i o n ，b u ta l s ou s e t 1 1 es n m p a c c o u n i i n gw h e r et h en e f f l o wc a n n o tb eu s e d o nc h ea c t u a lp r o j e c t ，l h ep a p e rd e s i g n st h en e t f l o wc o l l e c t e r i h a tc a nr e c e i v el h en e t f l o wm e s s a g eo fv 1a n dv 5e d i f i o n ，a n dp u t t h em e s s a g et ot h ec a c h et h a ti d e s i g n e d t h em i d d l ed i s p o s a l m o d u l eu s e st h em u l t i t h r e a d i n gm o d e ， b a s i n go nt h ee x p e r i m e n t r e s u l t ， a n do v e r f u l li h r e a d sw i l lu s eo v e f f u l lc p ut i m ep a r c e l s ， t h e ni h e w 丁“i n gt h r e a dc a p a b i l i t yd e s c e n d i 0a v o i d i n gi t ，w em u s t c o n f i r mt h et h r e a dn u m b e rb yt h ee x p e r i m e n tr e p o r ti nr e c e i v i n gt h e u d pm e s s a g e t h em e s s a g ep a r s e rw i l l 墓毛j i 薯篓楚拂薹毫誊蓥主i 萋姜；喜譬 乎? 毫塞塞季垂手耋i 蠢i 堂i 耄垂至量至，誊耋藿肇；。霪；誊蓍；造霎蓬j 薹囊i 拿篓囊妻毫霎j 萋茔茎垂薹毫孝萋释蔓 x 太原理1 人学倾十埘 究生学位论文 s u d d e n l y ， t h er o u t e rw i l ls e n dat r a pm e s s a g et oo u rt r a p c 0 1 l e c i e lt h et r a pc o l l e c t o rj u d g e st h et r a pc l a s sa n di n f b r m st h e g a l h e “n gi h r e a df b rb e g i n n i n gw o r k ，w h i c ht e m p o r a r i l yl i g h t e n sl h e p r e s s u r eo fp r o d u c i n gt o om a n yd a c ao v e r f l o w t h ep a p e ri sm a d eo ft w op a r t s 0 n ep a r ti sa d m i n i s t r a t i o no f n e t w o r k s s y s t e mp r i n c i p l e ，t h e s n m pp r o t o c o la n dn e t f l o w p r o t o c o i ； t h eo t h e rp a n ，ia n a l y z e ds o m e o n ec a m p u sn e t w o r k s t r u c t u r ea n da c c o r d i n gt oo u rt h e o r y ，d e s i g na n dd e v e l o pa nl p c a m p u sn e t w o r ka c c o u nc i n gs y s t e m a l t h o u g h l h ep a p e rd os o m ew o r k ，t h a ti sn o te n o u g h f o r e x a m p l e ， a d m i n i s i r a t i o no fn e t w o r k s s e c u r i t y i so u r w e a k n e s s c e r t a i n l yi l i sa ni n t e g r a t e dp r o b l e mw h i c hi sa s s o r c e dw i t h o t h e rn e t w o r kt e c h n i q u e 1w i l lt r ym yb e s to ni ci nt h ef u t u r e k e yw o r d s ： s n m p ，n e t f l o w ，t r a p v 儿 太原理1 人学硕卜i l j 】= 究生。 位论文 捌网络。为了实现大型网络中的流量数据采集必须使用其它方法。有必露 引进n e t f l o w 交换技术设i | ，网络计费系统。 1 2 常用基于i p 计费方式 1 2 1 网络探针( p r o b e ) 这是种比较原始的汁费方式，它不需要路由器，只需要一台计费主 机，安装在一个物理子网的最接近出门路由器主要网段上。网络探针的思 想源于传统e t h e r n e f 总线结构。传统的e t h e m e f 采用总线的形式进行网络 连接，网络通信采用广播的形式，一台主机可以监听到位于同一物理子网 的任何一台主机参与的通信。这种网络设计的初衷是每台主机如果监听到 的是与自己有关的通信则j _ 作，否则，就不工作。现今的网络发展，己经 火大地扬弃了e t h e m e t 总线结构的思想，与某主机无关的其他结点问的通 信不会再被监听到。用于i p 计费的网络探针的方法，相当于利用传统的 e t h e r n ec 的通信原理，安插网络探针，监听并接收所有其他通信，记录通 过本总线的每一次通信，进一步整理成i p 流量的统计。 为了完成校园网内i p 流量统计的要求，网络探针应该放在最接近上连 口路 = = i 器的网段上，这样所有出入校同网的通信才会被监视到。 这种方法对计费主机的夏求很高，首先，为了保证流量记录的精确性， 它露配置很大的缓冲器记录下能够侦听到的所有通信，这是一i 页对主机 要求很高的工作。另外，它还需要有足够的处理速度，把接受进来的内容 。队速保存和处理。可以说，接收数据和及时保存有用数据是这一模型中最 为重要的环节。 1 2 2 采用s n m p 计费 s n m p ( 简单网络管理协议1 是目自口应用最为广泛的协议标准，采用 s n m p 协议来进行i p 流罱统计的方法要求流量记录和统计由计费服务器 和路出器合作来完成。照s n m p 协议的工作原理，由计费服务器充当s n m p 的m a n a g e r ，路由器充当s n m p 的a g e n t 。 双方作用如下： 计费服务器定期向路由器发送s n m p 请求s n m d w a l k ，从路由器获取 数据，本地处理数据，完成数据的存储，统计等功能，提供能直接为计费 使用的数据格式。 同计费服务器相配合的路由器除了能够完成一般路由器具有的路由转 2 太原理l ：人学硕十研究生学位论文 发功能之外，要提供统计过往包的功能并以m i b 的形式存储在本地，以 各m a n a g e r 随时查询。 工作原理如下图1 1 ： 计 4 “世幽： ! 响应请求 赞 ! 堡型盥一 服 4 等钓州问问船 路由器 务 逖堑苎 ! 响匝请求 器 一 3 伟送数据 4 等待叶| 1 = l j 间隔 幽l ls n m p 方式 f i g 1 lt h cs n m p m a n n e r 1 2 3n e t f l o w ( 网络流) 计费方式 利用网络流进行i p 流量统计的方法依据的基础是c i s c o 公司在其路由 器中对网络流( n e t f l o w ) 技术的支持。下面从几个角度简要介绍这一技术。 1 2 3 1 什么是网络流技术? 网络流删e t f l o w l 是c i s c o 公司为了提高网络效率采用的一种技术。所 谓网络上的流r n e 【w o r k f l o w 、是互联网上一对点之间的单向系列传输。“点” 在这里由1 p 地址和传输层p o r t 识别，“单向系列传输”是从一个“点” 到另一个“点”的一系列连续传输。比如从某个i p 地址的某个p o r t 发给 另一个l p 地址的某个p o r t 所有的连续传输称为一个“流”。 非网络流的网络传输是以包( p a c k a g e ) 为单位，网络设备( 路由器和带三 层交换的交换机1 对每个包单独计算其下一步应该转发到的路由器或交换 机的端口。采用网络流方法的网络传输不再以包为单位，而是以流( f l o w ) 为单位进行处理。网络设备专为它提供c a c h e ，转发的时候，对于属于同 一个流的连续包，只处理它的第一个包，根据第一个包的情况，在n e t f l o w c a c h e 中创建一个记录，属于同一个流的后继包不再做三层处理，而是根 据n e c f l o wc a c h e 中的记录直接做二层转发，这样可以大大加快网络设备 的处理速度。 n e c f l o w 技术本身是c i s c o 公司为了提高网络设备的传输效率而设计 的。作为网络设备的一项单独的功能，它拥有独立的处理过程，并享有专 3 太原理l ：大学硕十研究生学位论文 jc a c h e s ，在i o s 版本以上对它都有支持。用户可以根据自己的情况选择 足采用原始的“包转发”j 正是“流转发”。 1 2 3 2 用n e t f l o w 技术进行i p 流量计费 原理分析：采用n e t f l o w 技术进行l p 流量统计，也需要计费服务器和 “n e t f l o w 设备”合作来完成。但这两种方法的工作原理是根本不同的。 在n e t f l o w 的方法中，计赞服务器配置专用软件，时刻监听。“n e t f l o w 设 备”根掘正常的工作采用n e i f l o w 技术转发网络通信的同时，以流为单 位记录对每个流的统计信息，待某个流的传输完毕后，把n e t f l o wc a c h e m j 陔流的统计信息一次性发送给计费服务器的监听进程。由计费服务器 进行整理，生成i p 流量统计。工作原理如下图1 2 。 1 2 4 计费方式比较 l 流转发结束 计：窿 ， 路由器 赞昕 嘶送数据 l 流转发结束 服j ! f 一 务稃 2 传送数据 器 图l 一2 n e t f l o w 方式 f i g 1 2t h en e t f l o wm a n n e r 比较而言目前利用n e c f l o w 技术进行i p 流量的统计在几种i p 流量 统计技术中，是效率最高并且对网络带宽和网络设备的性能影响最小的技 术。同利用s n m p 的技术比较，它可以减少对网络带宽和用于统计流量的 嗍络设备的影响。 一方面，n e t f l o w 技术对网络带宽的影响会有所缓解。s n m p 的方法 足以固定的时间间隔向路由器请求数据，对于网络使用量不是很大的情况 下。时间间隔可以设置得氏一些。请求数据和接收数据相对来讲不会占用 太多的带宽。而对于网络使用量很大的情况，为了避免数据的丢失，时间 问隔需要设置得相对短一些，频繁的请求和接收数据，对网络带宽的影响 就不容忽视了。另外，利用s n m p 方法从路由器取回的数据是以包为单位 的，对于像f 1 p 这样的服务，完成一次传输可能有很多个包，以包为单位 进行统计势必会造成一次传输多次统计和多次传输，每次只是统计了其中 的一部分。而基于n e t f l o w 技术的流量统计对于这种情况只会在流传输结 束后一次性地把统计信息传送给服务器，有效减少了网络传输的统计数 4 太原理l ：入学硕十研究生学位论文 据，缓解了对网络带宽的影响。 其次，n e t f i o w 技术能减少网络设备的额外负担。避免了网络设备不 断地响应请求和应答请求。网络设备可以根据自己的繁忙情况控制向计费 服务器发送数据的频度。特别是对于能力不是很强的网络设备，在突发的 重负载的情况下，它本身要处理转发事物，而如果这时计费服务器还是依 旧用s n m p 每隔固定的时间间隔向它发送请求，网络设备有可能出现响应 不过束的情况，而s n m p 的工作原理并不是一次访问不成功就放弃，而是 要有几次重试，不断申请网络设备柬响应，这势必会造成恶性循环。即使 兖发传输结束，网络设备也会因为聚集了很多的s n m p 请求没有处理，而 难以自愈。n e f f l o w 技术是完全吼网络设备为主的技术，服务器方的 n e t f l o wc o l l e c t o r 只是一个被动的进程。网络设备可以自行调节向服务器 发送统计数据的进度，从而不会出现由于外界的因素影响其性能的情况。 还有另一种常用的计费策略一基于代理计费。基于代理机制的计费策 略则是用一台工作站或微机跨接在网络入口处，从物理上把内部网络和外 部网络隔离开。任何外界访问内部网络或内部网络访问外界的网络访问， 都必须在工作站上有相应的代理进程代理其活动。这样，通过代理软件统 计出网络访问的源地址、目的地址、数据通信的总字节数、访问时间信息 等，从而得到计费信息。代理机制的讣费系统的优点是可以进行用户认证， 方便地确认用户的访问权限，安全，可靠。缺点是它在物理上隔断了物理 乜路并必须经过软件过滤，这样会带来较大的延时，尤其对于高速网络的 延时更为明显和难以接受，将严重地降低网络的性能。 1 3 本论文的研究工作 本论文阐述了网络管理原理、简单网络管理协议、n e t f l o w 技术等相 关理论知识并根据一般双出口校园网的环境详细论述了一个基于i p 地 址的网络计费系统的设计及实现过程。 该系统采用了当今流行的新兴网络编程语言j a v a ，通过s n m p 协议对 路出器上的m l b 数据库数据进行定时采集或由路由器和根据n e t f l o w 协议 向计费中心发送数据这两种方式采集数掘，并且经过中侧数据处理，最终 得到针对每个i p 的计费数据库。系统使用了j s p 技术，向网络用户提供 了基于w e ) 的网络费用查询。该系统具有良好的跨平台性。 1 4 本课题研究意义 当前，在网络如此发达的今天，如何合理地管理网络及网络使用者， 5 太厘理11 人学硕士研究生譬位论文 鬻冀霪花冀霪雾攀鋈簇薷 薹? 1 甏越薹囊粪薹汤 再蚕驻靠薹蚕藕褰鏊誊雾霎 片霪i 乳辑塑唾錾全妻塑鼙愿鬟二窆毒饕 发网蓥曼鋈薹显；昌萎鋈蓦峙叫德霎萼委：鏊墓一弭垃强孟霉如囊分布式 网簿萋篓囊胥蠢，笺瑟虑鬟莲j 囊薹蹩霪羹鍪再莺喜坠蓑霪露；嚣薹蚕芎 墓舂望舅酲塑饕k ，：j ? 薹雩薪哪囊薯蠢霎；荞裂囊垒引卜钆囊豢蒸j 薹 藕墼塑匪遂希垄擎慧雾琴嘉邂墼羹鎏鸯羹：耄瞅鎏莉囊鏊勤摹u 霉刍型基 尊确霪茎辩鎏，骥蜒荔牡薅塑蠢囊矗| ；i 翌龠鋈萎荔鄹攀著币套霎? 薯莆i 囊焉螽嚣纛鬟景薹鉴鍪羹囊吏郦塑鬻臻鉴掌重；氰例环麓羔曲 嚣篓氯墓萋攀蔓甄盘：婴囊萋薹甬缁潜蒂裔鏊穗篓。薷鋈篓薹篓鲤；爹 爱醇黉覆馨主祭恚痧腑鏊羔蠹勃剖囊剽察藿爨1 錾列。群。酉鐾霪划羹 喹冀誊j 蒜蝤篓錾耋翮鬈囊婴鋈寰嗵出鐾耩i 冀囊蚕稀蘸担鲑蚕誉豢象；裂 翘酗鬈萎募蠢熏冀恻揖肾留曼雾圈燃厦；謦蔓纂骟篓萋全直醇，心辇震薷曛 坝i f f 鉴爵磐锉笥薷： 毋雾凳警薹耄猎端岩型藿垂铂醪。犏 岢茵董羹莆拍蚕宁囊目暖毳季鏊 葫蹦型寨豢鬟i 稍季阿膏。囊需型j 遘海：垒型娶ij 鉴鬻螽洲警囊鏊薹囊 蠹葡嗣囊蚓雾嬲掣m 蚓鹁j 要霪霞型囊磐森能搿牛i 嘲博州薹斧要蓠霖 攀萋耄豢粪交；鬲叛雾溶薹荔趋宙龠；马连鉴誓翌甚塞翼慧羹。辇镒鬻擎 雾季珂羹雾囊攀羹裂烈副必；萋露! 鏊鋈刘霪唯鍪蚕莆毒群凌，鬟壤峨璎 羹嚣蓉签蘩露瞪蠹囊孽采鋈数慧变誊蓥薹萋i 藕碟雠需薹子希娄鏊鬟囊鋈葡 太原理i ：人学硕十研究生学位论文 此外一种新型的管理方式一一基于w e b 的网管方式正逐渐被大家所接 受。这种管理方式的体系结构与传统的网管体系结构最大的不同之处在于 ：它使用浏览器作为最终的管理界面，有着跨平台、使用方便简单、价格 低等特点。以下来分析这几种网管体系结构。 2 2 1 集中式体系结构 集中式网络管理由一个管理者管理所有的代理。其网管平台建立在一 个计算机系统上，由一个管理者负责整个网络的管理工作。该管理者处理 与代理之i 刈的通信、提供集中的决策支持和控制、以及维护管理者的管理 数据库。集中式体系结构如图2 一l 。此体系结构中的管理者又可分为两部 分：管理平台和各种管理应用程序。管理平台为处理管理数据的第一级， t 要涉及信息收集，提供如豫控、流量计算等关键管理服务，同时响应用 程序提供数据处理报告。应用程序则处在数据处理的第二级，提供各种系 统管理功能，处理决策支持等比信息收集和简单计算更高级的功能。管理 平台和应用程序通过公共应用程序接口a p t 进行通信。 这种方案，使得网管人员在一个何胃就可以查看所有的网络报警和事 件，有助于发现并修理故障以及确定问题的关联性，也给网管人员带来了 方便、易操作和安全的好处；并简化了在异种主机、多厂商、多管理协议 坏境中综合程序的丌发工作，异构性和协议复杂性只在平台级考虑，而不 必在每个应用程序中进行处理。 不足之处：从一个位置查询所有的闱络设备，会给这段网络链路带来 过多的流量，如果从管理者到网络的连接中断了，那么整个网管系统就瘫 痪了。所以应该在另一个物理位置保存系统的备份。而且当被管理网络规 模扩大或者结构复杂性增大时不能相应地扩充。 幽2 1 集中式体系绱构 f i g 2 it h ec o n c e n t r a tjv es y s t e m a t i cs t r u c t u r e 8 太原理r 人学硕t ：t i f f 究生学位论文 2 2 2 分层式体系结构 这种结构中采用了多个管理者，每个管理者只负责本管理域的管理工 作，这些管理者之问互不通信。另外有一个总的管理者位于各个域管理者 的上层，网管平台的某些功能在这个总管理者上。分层式体系结构如图2 2 所示：这种结构可以用c s 数掘库技术。域管理者没有单独的数据库， 但可以访问总管理者的数据库，所以这个数据库显得很重要，有必要进行 备份。此结构将管理任务分散于多个管理者，节省了网络带宽，缓解了集 中式方案中的一些问题。r m o n ( 远程监控) 系统就是这种结构。还有一个好 处就是：这种结构很容易扩展，既可以增加域管理者，也可以增加总的管 理者，在总管理者之上层建立新的总管理者，形成多级分层的结构。而且 可以较容易地开发综合应用程序，从多个域( 可以是异构的) 获取管理信 。息。 l 兰】2 - - 2 分层式体系结构 2 2 3 分布式体系结构 网络 分布式体系结构结合了集中式和层次式两种结构的特点。系统中使 用了一个以上同等级别的管理平台，每个管理者都有整个网络设备的完整 数据库。 具有以下这些优点： l 可扩展性好。通过建立更多的管理域以及增加相当数量的管理者 9 太原理i ：_ 人学硕十研究生! 学位论文 网络管理协议嵌入服务结构的机制和网络管理协议层嵌入底层通信 结构的机制的描述。不同的网络管理功能要求不同的通信和信息交换的能 力，既不同的网络管理功能要求不同的网络管理协议。虽然s n m p 协议在 功能上弱于c i m s c ) i i p ，但考虑到实际的应用情况，一般网络管理系统还 是多采用之。 目前所有的网络管理协议都没有阐述网络管理目标是如何完成的，它 们只给出了监视、控制和配置被管网络设备的方法。对于如何更有效地分 析通过网络管理协议通信得到的信息则是在设计具体的网络管理系统时 所必须考虑的问题 2 4 网络管理的基本功能 2 4 1 网络i 生能管理 2 4 1 0 网络性能管理概述 性能管理的目的是保证在使用最少的网络资源和具有最少的延迟的 前提下，网络能够提供可靠、连续的通信能力，并使网络资源的使用达到 最优化的程度。性能管理用于监视网络运行的性能，分析网络中存在的问 题，以便调整网络结构及相关参数，提高网络性能。o s i 定义了几种性能 衡量标准：吞吐量、利用率、工作负载、传输迟延、等待时间、响应时间、 服务质量。运用性能管理信息，管理者可以监控网络设备和连接的使用情 况。收集到的数据能帮助管理者判定使用趋势和分离出性能问题，甚至可 能在它们对网络性能产生有害影响之6 口就予以解决。性能管理的具体内容 包括：从被管对象中收集与网络性能有关的数据；分析和统计历史数据； 建立性能分析的模型；预测网络性能的长期趋势，并根据分析和预测的结 果，对网络拓扑结构、某些对象的配置和参数进行调整，逐步达到最佳。 2 4 1 1 j i 生能管理的内容 性能管理包括下面四个步骤： 收集网络设备和连接的当前使用数据。 分析相关数据，辨别使用趋势。 - 设置利用率阔值。 - 使用模拟确定如何调整网络达到最佳性能。 2 4 1 1 1 收集使用数据 网络设备和连接过度使用的一个重要现象是对用户服务水平的显著 太原理l ：大学硕十研究生学位论文 降低，影响服务水平的指标有： 总响应时间 拒绝访问比例 可用性总响应时问是指数据进入网络，被处理，然后作为一个响应离 r 网络所需的时矧。举例术说：远程登录会话的总响应时间包括从用户在 键盘上打入第一个字母的时i 可到信息通过网络到达目的机器再返回显示 在当地终端上的时间。拒绝访问比例是网络由于缺乏资源和性能而不能传 送信息的时问百分比。可用性是网络正常运转，可供访问的时间所占的百 分比，通常用两次失败问的平均时阳j 来表示即m t b f ( m e a nt i m eb e t w e e n h i l u r e ) ：可以使用网络管理协议从网络上收集这些数据，它们对实时排 除网络故障和趋势分析都是很重要的。 2 4 i 1 2 分析数据 分析结果可能是对网络设备或连接使用率的图形化表示，可以是实时 n 勺或历史的。 例如，可以使用曲线或直方图，它们是性能分析最有用的方法。实时 i 訇形分析在解决网络性能问题一卜，是很有帮助的。因为它能显示出当前网络 的使用或错误情况。如图2 4 所示。 连接使用 时间( 秒)时问( 秒) 幽2 4 网络连接使川率荆i 总山错数的实时图形 f i g 2 4 t h er e a l t i m ep i c t u r eo fn e t w o r kc o n n e c t i o n su s er a t ea n dm i s t a k er a t e 绘出网络历史数据的图形对分析网络发展趋势是非常有用的。趋势数 据可以帮助管理者估计何时用户对网络的要求将超出设备或连接的容量。 一张图形不仅能显示网络连接使用率的增加或降低，还能显示其他有用的 统计结果，如在给定时期内某处连接的出错率和某设备的处理器的使用情 况。而且使用月度、季度或年度趋势数据，可以帮助管理者计划未来网络 的容量。 2 4 1 1 3 设置闽值 1 2 太原理。1 ：火学硕十 i | ：究生学位论文 性能管理过程中的另一个步骤是设置使用率阈值。可以对影响网络性 能的各项设置网络阈值，对台网络设备或主机来说可能设置的闽值包括 处理器使用率、警告持续时问等。对一个连接则可以选择对出错率、平均 利用率和总吞吐量等项设置闽值。 一旦闽值被设定，当网络性能达到一个特定的出错率或使用率时，性 能管理工具就会向管理者汇报。决定把阈值设置为多少是很困难的，但通 常情况下，可以通过试验找到一个合理的数值。阈值使管理者能够在影响 网络性能之前就找出并解决它。把使用率数掘的图形表和使用率阈值二者 结合在一起，就是一种实现性能管理的强有力的工具。 2 4 1 1 4 使用网络模拟 网络模拟是管理者可以使用的另一种性能管理工具。使用这一工具， 管理者可以更加确信自己建立的网络将按用户的期望进行工作：网络管理 者可以使用模拟技术来确定如何调整一个网络使之被更有效地使用和具 有更高的性能。例如，假设在某网络的一个远地节点用户正在遭受着很差 的响应时间( 通常这种差的响应时n l j 是某个拥塞连接负担过重的结果) 。 假设通过调查到远地节点的连接的使用情况，发现它的平均使用率超过了 8 0 。于是，决定引线连接的带宽。但是在升级之后，这一远方节点的响 应时间仍然很长。通过更深入的调查，发现连接这节点的网络设备不能以 超过以自0 的连接的速度处理流量。因此，升级连接不能解决响应时问长的 问题，如果在升级连接之| j 1 _ 运行一- 卜网络模拟会帮助管理者探测出这网 络设备的不足。 2 4 2 网络失效( 故障) 管理 2 4 2 1 网络故障管理概述 故障管理是网络管理的诸多任务中最重要的任务。故障管理是网络管 理功能中与故障检测、故障隔离、故障诊断和恢复等工作有关的部分，其 目的是保证网络能够提供连续可靠的服务。对网络故障的检测依据是对网 络组成部件状念的监测。当网络中某个组成失效时，网络管理器必须能够 迅速查找到故障并及时排除。网络故障管理包括故障监测、隔离和纠正三 个方面，应包括以下典型功能： ( 1 ) 差错检测：维护和检查差错同志，接收故障报告。 ( 2 ) 差错诊断：寻找故障发生的原因，执行诊断测试，以寻找故障 发生的准确位置。 ( 3 ) 差错纠f ：将故障点从正常系统中隔离出去，并根据故障原因 进行修复。不严重的简单故障可以记入错误日志而不做出特别处理；对于 1 3 太原理f ：火学硕十研究生学位论文 较严重的错误需通知网络管理器，即发出“警报”。网络管理器应根据有 关信息对警报进行处理、排除故障，网络管理器应能执行一些诊断测试来 辨别故障原因。 2 4 2 2 故障管理的内容 故障管理过程包括三个步骤 发现故障； 分离故障原因； 如有可能修复故障。 为了便于说明，让我们假设有一个名为c h e e r s 的网络节点，它与主干 网络之问仅有一个连接( 见图2 5 ) 。一天，该连接发生了故障。首先网络 管理系统应该告诉你有故障存在一一c h e e r s 无法访问到了；下一步工具应 陔分离出引起故障的原因一一c h e e r s 不能访问是由于节点到网络其它部分 f | 串行连接出了故障：第三步，工具应该提示以帮助你排除这个故障，当 然，这依赖工具的智能程度。 f i g 2 5i h es i n g l cc o n n c c co fi h ec h c c r sa n dt h et r u n kn e t w o r kg e tw r o n g 在这个例子中，可以通过在c h e e r s 与网络之间建立另一条连接以修复 敞障。因此，适当地使用故障管理可以很快排除故障而不至导致过长的停 机时间。 显然，第一个任务一确定网络故障一一依赖于当故障存在时能知道 它。下一步，需要确定这个故障是否是要急着解决的，也就是说，需要决 定自己关心的、最重要的故障。不是所有的故障都有相同的优先级。下面 我们研究故障管理的这两个方面。 2 4 2 2 1 收集信息以发现故障 为了确定故障的存在，我们需要收集与网络状态相关的数据。收集信 息有两种方法：设备向管理系统报告关键的网络事件：管理系统定期地查 询网络设备。我们可以利用二者之一，最好是一起使用这两种方法： 1 4 太原理i ：人学硕十研究生学位论文 1 当发生故障情况时和关键网络事件相关的数据被网络设备传送过 来。关键网络事件是诸如连接失败、设备重新启动或者从一个主机来的响 应无法收到等事情。在大多数情况卜仅依赖于这些事件将不能提供所有 进行有效的故障管理所必需的信息。例如，如果一个网络设备完全失效了， 它将不能发送事件。这样仅依赖于重要网络事件的故障管理工具将不能总 是拥有每个网络设备的最新状态。 2 不定时地对网络设备进行查询可以帮助故障管理系统及时地发现 故障。但是，用这种方法有一个代价：你必须在为发现故障所需的及时程 度与所需的带宽消耗量之间进行权衡。在决定查询间隔时所需考虑的其它 因素包括你想要查询的设备数目和连接带宽。例如，假设每个查询和响应 所需带宽量为1 0 0 个字节长，包括数据和数据头信息。对于一个有3 0 个 设备的网络，对每个设备需要发送1 0 0 个字节的查询，并接收1 0 0 个字节 的响应。这将需要总拭为6 0 0 0 个字节( 1 0 0 个字节+ 1 0 0 个字节) 3 0 个设 备，或者说4 8 0 0 0 位( 6 0 0 0 个字节8 位字节) 的带宽用于每次的查询。每 6 0 秒进行一次查询将需要平均以8 0 0 位秒f 4 8 0 0 0 位秒) 的带宽，使你可以 拥有每个设备最近一分钟的状态。这意味着一个小时2 8 8 0 0 0 0 位f 4 8 0 0 0 位 6 0 次查询) ，或者兑约3 兆的带宽用于查询。一般情况下这是一笔巨大 的丌销。你可以将查询蚓隔延长至1 ( ) 分钟，这将需要每小时2 8 80 0 0 位 ( 4 8 0 0 0 位6 次查询) 或者浇为原米l 1 0 的带宽。但是，这样做意味着可 能有一个事件发生了而你可能要1 0 分钟后卅能接到通知。另外，也可以 使用p j n g 来检验设备是否处于运行状态，但是该种方法本身提供的信息仅 能帮助发现一个故障。 2 4 2 2 2 决定管理哪些故障 不是所有的故障都有同样的优先级。其中有一些系统应该通知你，而 另一些你想让系统自动去管理而不用告诉你甚至可以完全忽略掉。你必须 决定哪些故障必须进行人为管理，也就是说对你的特定网络环境而言哪些 是最重要的故障类型。 所以这么做是因为下面几个原因：首先，如果故障的数目非常大，将 无法进行处理；其次，通过限制事件流量可以减少冗余或者无用信息的传 输，并使网络带宽的浪费最小化。作为例子，我们考虑这样一种情况，一 个工作站制造商决定无论什么时候当有用户登录到系统时，都要产生一个 网络事件。虽然这个事件为计费提供了有用的信息，但它与故障管理是没 有关系的。现在假设一个组织的某个部门购买了1 0 0 台这种工作站。工作 站的管理者不但对它进行了缺省配置。而且指示将所有的网络事件都传送 给中心故障管理工具，其中就包括每一次用户登录到其中的任一台新的工 作站上的事件。这种无关的事件可能很快就会填满网络管理系统的数据 库。而且，用于传送这种信息的带宽本应该更好地用于传递实际用户数据。 1 5 太原理i ：人学硕十研究生学位论文 解决的办法是：使网络管理者能够对每个设备进行配置使之产生一个合法 事件的特定的子集。如果这不可能，网络管理系统需要对进入的事件进行 过滤，并仅将特定的事件通知网络管理者。 决定管理哪些故障将受以下因素的影响： 对网络的控制范围，它将影响从网络设备上获得信息的数量。 网络的大小。 在许多网络上有一个中心组织管理网络的主干，如图2 6 所示。这 个主干可以由各种各样的没备组成，o l l x 2 5 交换机、i p 路由器和网桥等。 r l ，心组织管理每个主干设备的关键网络事件一那些可以影响到整个网络 的事件，这样可以使局部管理只需对那些发生在特定主机或设备上的故障 i i 行管 里。 局部管理中心管理局部管理 h 一6 在这个结构中点划线将计算机网络化分为局部管理 l l 中心管理。 f i g 2 6 a tt h es t r u c t u r e 1 h ed o tl n e a t i o nd i s p o r tt h en e t w o r ko fp a r ta n dc e n t e rm a n a g e r 不同的管理可以选择审查不同的关键网络事件。计算机网络的大小也 将影响你的决定：在一个相对小型的计算机网络中，比如说少于5 0 台设备， 网络管理者能管理每一个故障，包括那些涉及到主机、路由器、网桥、中 继器等等的故障；在一个中型网络上，管理者可能只能管理和每一个主机 和网络设备相关的关键事件的故障；在一个大型网络中，管理者也许只检 查最重要的主机和网络设备的关键事件。 简单网络管理协议( g n m p ) 定义了7 个关键故障，它可以为从计算机网 络获得信息提供一个起点。 2 4 3 网络安全管理 2 4 3 1 网络安全管理概述 安全管理用于保证降低运行网络及其网络管理系统的风险。网络安全 管理非常重要。网络中主要有以下几大安全问题：网络数据的私有性( 保 护网络数掘不被侵入者非法获取) ，授权( 防止侵入者在网络上发送错误 1 6 太原理i ：人学硕十研究生学位论文 n 勺服务质量。为达到这个目标配置管理至少应包括以下功能 ( 1 ) 识别被管网络的拓扑结构 ( 2 ) 标识网络中的各个对象 ( 3 ) 自动修改指定设备的配置 ( 4 ) 动态维护网络配置数据库 2 4 4 2 配置管理的内容 配置管理包括以下步骤： 1 收集关于当前网络配置信息。 只有对于网络配置具有了清楚的了解，管理人员才能迅速地发现配置 错误，并修复网络故障。 2 修改网络设备的配背。 能够远程地修改网络设备的当前配置是很重要的，管理者可以通过配 背管理工具对网络设备的配置进行远程修改。 3 保存数据，维护所有网络单元的最新设备清单。并生成多种报表。 计算机网络的环境在不断地变化只有了解网络设备的最新配置情 况，管理者月。能随时了解网络的情况。 2 4 4 2 1收集数据 在没有网络管理工具的情况下，从网络上获得数据往往是从手工劳动 丌始的，为此将不得不远程登录到每一个网络设备，然后在记事本上记录 设备的序列号，并将它的地址分配记录存一个a s c i i 文件中。虽然手工劳 动会获得所需的结果，但是要在数据经常变动的网络环境中保持最新的数 据将是十分困难的，不但要耗费大量的时| 日j ，而且也是项非常单调的工作。 例如，假设需要在一个表中口r 踪分配给5 0 0 0 个网络节点的每一个的网 络地址，这些信息可以被分类以使得地址检索容易一些。每增加一个新的 设备，就必须获得它的永久数据，然后输入并重新分类。显然手工收集数 太原理l1 人学硕十研究生学侥论文 图还不能完全反映网络的地理和功能仃局，还需要进行一些手工的修改。 建立一个能够反映网络结构的网络地图，对于全面地观察网络设备将是十 分有用的。这种自动配置工具会消耗掉一定量的带宽，但其带来的好处证 明这种花费是完全值得的。同故障管理的情况一样，对网络设备的查询频 率将影响带宽的需求量，因此管理者需要对信息收集的频率选择一个恰当 的值。由于网络配置通常不会经常变动，这种查询可能每周才有一次，使 得带宽的需求不会太大。 自动发现自动映射 幽2 - 一1 2 白动发现i - 具发现网络上的设磊后，白动建立地幽工具以网络地 幽的形式产生网络地图 f i g 2 1 2a f t e ras e l f - t o o l o ni o o lf i n dt h ee q u i p m e n to ft h en e t w o r k t h e s e l f - m o t i o nm a pt o o lpr o d u c e st h en e t w o r km a p 获得配置数据后，通常需要进行更新。再次考虑我们在手工数据收集中讨 论过的5 0 0 0 个节点的配置，即使仅仅有1 的设备每周需要进行