網(wǎng)絡管理中策略分發(fā)技術分析

譚　寧

[摘要]就網(wǎng)絡管理中幾種常見的策略分發(fā)技術進行較為詳細的分析,并對各策略分發(fā)功能進行闡述。

[關鍵詞]網(wǎng)絡管理 策略分發(fā) 協(xié)議

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0810046-01

基于策略的網(wǎng)絡管理中,策略需要分發(fā)到被管理的設備中去執(zhí)行?，F(xiàn)在有很多協(xié)議可以實現(xiàn)這一功能,如:傳統(tǒng)的網(wǎng)絡管理中用簡單網(wǎng)絡管理協(xié)議SNMP來實現(xiàn),這也是目前網(wǎng)絡管理系統(tǒng)中運用最廣泛的方法;IETF推出一些新的標準協(xié)議開放策略服務協(xié)議COPS來傳輸策略;還有通過其它傳輸協(xié)議FTP,HTTP,Telnet等來進行策略的分發(fā)。

一、SNMP協(xié)議

SNMP是基于TCP/IP的應用層網(wǎng)絡管理協(xié)議,它使用UDP作為傳輸層協(xié)議,能管理支持代理進程的網(wǎng)絡設備。SNMP是適用于互聯(lián)網(wǎng)絡設備的網(wǎng)絡管理框架,主要由管理信息結構、管理信息庫和SNMP協(xié)議組成?；赟NMP的策略分發(fā)方法,就是通過SNMP協(xié)議,把策略轉換為SNMP的相關操作實例,對網(wǎng)絡設備進行管理。

網(wǎng)絡設備通過SNMP協(xié)議接受管理站的策略配置命令,對響應的MIB對象進行更改,并調(diào)用底層模塊的接口完成配置工作;處理管理站的查詢命令,向管理站返回當前配置情況。

SNMP協(xié)議歷經(jīng)三個版本。SNMPv3與第一、二版有著較大的區(qū)別。在SNMPv3中,SNMP代理和SNMP管理器都被稱為SNMP實體,它由SNMP引擎和SNMP應用程序組成。

當把SNMPv3代理用于對特定網(wǎng)絡設備管理時,除了實現(xiàn)代理的基本功能和安全機制外,還需將該設備的專用管理信息定義為相應的管理對象,并實現(xiàn)對應的訪問例程。當對這些管理對象進行set操作時,通過底層模塊提供的接

口對網(wǎng)絡設備進行相應的操作,最終把策略分發(fā)到網(wǎng)絡設備中。

二、COPS協(xié)議

COPS是一個RFC4261中定義的應答式協(xié)議,用于基于策略的管理協(xié)議,它在PDP和PEP之間采用TCP連接,交換策略請求和策略決定。

COPS定義了三個邏輯實體:PDP,PEP,LPDP。其中LPDP備份PDP的決策,當PDP與PEP的連接中斷時,LPDP可代替PDP做出決策,保證策略執(zhí)行的連續(xù)性,而PDP具有最終裁決權。PDP與PEP的關系可以看作是服務器與客戶機的關系,策略分發(fā)采用兩種方法PULL、PUSH實現(xiàn)。PULL是PEP向遠端的PDP發(fā)送配置、更新、刪除等請求,PDP收到后,將決策響應回送給PEP,PEP執(zhí)行相關的操作;PUSH是PDP主動向PEP發(fā)送策略,使PEP執(zhí)行相關的操作。

COPS協(xié)議用于策略分發(fā)有很多優(yōu)點:它采用TCP作為傳輸協(xié)議,PEP負責初始一個TCP連接,定時向PDP發(fā)送Keep Alive消息,以檢驗連接的有效性;PEP與PDP之間的通訊基于C/S方式,PDP能夠向PEP發(fā)送配置信息,并且在不需要的時候刪除這些配置信息。

COPS的不足之處是采用TCP連接,從連接建立、數(shù)據(jù)傳輸直到解除連接需要一定的時延,當PEP數(shù)量較多時容易造成PDP的通信端口擁塞。

三、Telnet協(xié)議

Telnet協(xié)議是由互聯(lián)網(wǎng)工程任務組IETF在RFC854中定義的,主要的目的是提供一個相對通用的,雙向的,面向八位字節(jié)的通信機制。Telnet協(xié)議是TCP/IP協(xié)議簇中應用最廣泛的協(xié)議之一,是Internet遠程服務的標準協(xié)議和主要方式,絕大多數(shù)的可遠程管理的網(wǎng)絡設備都對其提供了較好的支持。它采用TCP作為傳輸協(xié)議,給網(wǎng)絡通信提供了可靠的服務。傳統(tǒng)的網(wǎng)絡管理都是網(wǎng)絡管理員通過Telnet協(xié)議登錄到網(wǎng)絡設備中,手工對網(wǎng)絡設備進行配置管理。

Telnet協(xié)議的主體是由網(wǎng)絡虛擬終端、操作協(xié)商選項以及協(xié)商有限自動機三部分組成。網(wǎng)絡虛擬終端可以看作一個能夠提供標準的,網(wǎng)絡范圍的規(guī)范終端的中間代表者。一旦一個Telnet連接建立后,通信的兩端被假設為在一個“網(wǎng)絡虛擬終端”上開始和終止操作。NVT負責本地數(shù)據(jù)的傳輸和遠端數(shù)據(jù)的輸出。當本地發(fā)送數(shù)據(jù)時,將本地終端的字符表示映射到NVT的字符表示上;當接收數(shù)據(jù)時,又把NVT的表示映射到本地字符集合上。在定義網(wǎng)絡終端設備之后,通信雙方即可實現(xiàn)最基本的數(shù)據(jù)通信。但如果需要在NVT上實現(xiàn)更多的功能,比如回應、識別對端類型或窗口大小等,則需要通過協(xié)商完成。Telnet協(xié)議進行協(xié)商過程中,對于不同的協(xié)商方式、命令及協(xié)商選項,可以有不同的組合。

但由于Telnet協(xié)議采用明文傳輸通信數(shù)據(jù),在管理網(wǎng)和數(shù)據(jù)傳輸網(wǎng)沒有分開的混雜網(wǎng)絡環(huán)境下,利用Telnet協(xié)議自動分發(fā)安全策略有安全的隱患,容易遭到密碼嗅探的攻擊。目前的可網(wǎng)管網(wǎng)絡設備都已經(jīng)開始支持加密的傳輸方式,即用SSH來替代Telnet,增強安全性能。

四、SSH協(xié)議

SSH協(xié)議是IETF所制定的一簇協(xié)議,其目的是要在非安全網(wǎng)絡上提供安全的遠程登錄和其它安全網(wǎng)絡服務。通過使用SSH,把所有傳輸?shù)臄?shù)據(jù)進行加密,這樣可以防止密碼嗅探,IP欺騙等攻擊。SSH傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,可以加快傳輸?shù)乃俣取?/p>

SSH實現(xiàn)了Telnet協(xié)議的全部功能,也是TCP/IP協(xié)議簇中的應用,在傳輸層使用TCP協(xié)議,但是在應用層對數(shù)據(jù)進行了加密。SSH協(xié)議工作過程復雜,由傳輸層協(xié)議、用戶認證協(xié)議層、連接協(xié)議層三部分組成。

協(xié)議中的命名規(guī)則、消息碼、加密方法是SSH協(xié)議的基礎,是三個層次之間的橋梁。SSH協(xié)議在使用到特定的哈希算法,加密算法,完整性算法,壓縮算法以及密鑰交換算法和其他協(xié)議時都利用名字來區(qū)分,所以SSH協(xié)議框架中很重要的一個部分就是命名規(guī)則的限定。

SSH傳輸層協(xié)議提供高強度的數(shù)據(jù)通信加密處理、加密的主機身份認證、數(shù)據(jù)完整性校驗以及數(shù)據(jù)壓縮等多項安全服務。

用戶認證協(xié)議層用來實現(xiàn)服務器跟客戶端用戶之間的身份認證,它運行在傳輸層協(xié)議之上。連接協(xié)議層的功能是完成用戶請求的各種具體網(wǎng)絡服務,而這些服務的安全性是由底層的SSH傳輸層協(xié)議和用戶認證層協(xié)議實現(xiàn)的。由于它給網(wǎng)絡通信帶來的安全特性,現(xiàn)在的網(wǎng)絡設備逐漸支持SSH,SSH協(xié)議逐漸取代了Telnet協(xié)議。

綜上所述,SNMP協(xié)議被應用在很多網(wǎng)絡管理設備中,但是它固有的缺點使得它難以應用在實時性較高的網(wǎng)絡中。COPS協(xié)議專用于IETF策略體系結構,由于它完善的標準在2005年才推出,現(xiàn)在的網(wǎng)絡設備還不能有效地支持。利用Telnet/SSH協(xié)議進行策略分發(fā),是一個傳統(tǒng)的方法,既便于實現(xiàn),也被廣泛支持,但是傳統(tǒng)的手動配置方式缺乏效率,通過對協(xié)議的簡化,并把策略數(shù)據(jù)流與程序綁定實現(xiàn)自動分發(fā),以提高效率。

參考文獻:

[1]張延磊、馬玉祥,分布式網(wǎng)絡管理體系結構的研究[J].電子科技,2005.3.

[2]王群,計算機網(wǎng)絡管理技術[M].清華大學出版社,2008.

[3]吳娜、魯東明、潘云鶴,網(wǎng)絡管理技術的研究與發(fā)展[J].計算機應用研究,2000.4.

作者簡介:

譚寧,男,漢族,淄博職業(yè)學院信息工程系,副教授,研究方向:計算機網(wǎng)絡。