譚　寧

[摘要]就網(wǎng)絡(luò)管理中幾種常見(jiàn)的策略分發(fā)技術(shù)進(jìn)行較為詳細(xì)的分析,并對(duì)各策略分發(fā)功能進(jìn)行闡述。

[關(guān)鍵詞]網(wǎng)絡(luò)管理 策略分發(fā) 協(xié)議

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0810046-01

基于策略的網(wǎng)絡(luò)管理中,策略需要分發(fā)到被管理的設(shè)備中去執(zhí)行?，F(xiàn)在有很多協(xié)議可以實(shí)現(xiàn)這一功能,如:傳統(tǒng)的網(wǎng)絡(luò)管理中用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP來(lái)實(shí)現(xiàn),這也是目前網(wǎng)絡(luò)管理系統(tǒng)中運(yùn)用最廣泛的方法;IETF推出一些新的標(biāo)準(zhǔn)協(xié)議開(kāi)放策略服務(wù)協(xié)議COPS來(lái)傳輸策略;還有通過(guò)其它傳輸協(xié)議FTP,HTTP,Telnet等來(lái)進(jìn)行策略的分發(fā)。

一、SNMP協(xié)議

SNMP是基于TCP/IP的應(yīng)用層網(wǎng)絡(luò)管理協(xié)議,它使用UDP作為傳輸層協(xié)議,能管理支持代理進(jìn)程的網(wǎng)絡(luò)設(shè)備。SNMP是適用于互聯(lián)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理框架,主要由管理信息結(jié)構(gòu)、管理信息庫(kù)和SNMP協(xié)議組成。基于SNMP的策略分發(fā)方法,就是通過(guò)SNMP協(xié)議,把策略轉(zhuǎn)換為SNMP的相關(guān)操作實(shí)例,對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理。

網(wǎng)絡(luò)設(shè)備通過(guò)SNMP協(xié)議接受管理站的策略配置命令,對(duì)響應(yīng)的MIB對(duì)象進(jìn)行更改,并調(diào)用底層模塊的接口完成配置工作;處理管理站的查詢命令,向管理站返回當(dāng)前配置情況。

SNMP協(xié)議歷經(jīng)三個(gè)版本。SNMPv3與第一、二版有著較大的區(qū)別。在SNMPv3中,SNMP代理和SNMP管理器都被稱為SNMP實(shí)體,它由SNMP引擎和SNMP應(yīng)用程序組成。

當(dāng)把SNMPv3代理用于對(duì)特定網(wǎng)絡(luò)設(shè)備管理時(shí),除了實(shí)現(xiàn)代理的基本功能和安全機(jī)制外,還需將該設(shè)備的專用管理信息定義為相應(yīng)的管理對(duì)象,并實(shí)現(xiàn)對(duì)應(yīng)的訪問(wèn)例程。當(dāng)對(duì)這些管理對(duì)象進(jìn)行set操作時(shí),通過(guò)底層模塊提供的接

口對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行相應(yīng)的操作,最終把策略分發(fā)到網(wǎng)絡(luò)設(shè)備中。

二、COPS協(xié)議

COPS是一個(gè)RFC4261中定義的應(yīng)答式協(xié)議,用于基于策略的管理協(xié)議,它在PDP和PEP之間采用TCP連接,交換策略請(qǐng)求和策略決定。

COPS定義了三個(gè)邏輯實(shí)體:PDP,PEP,LPDP。其中LPDP備份PDP的決策,當(dāng)PDP與PEP的連接中斷時(shí),LPDP可代替PDP做出決策,保證策略執(zhí)行的連續(xù)性,而PDP具有最終裁決權(quán)。PDP與PEP的關(guān)系可以看作是服務(wù)器與客戶機(jī)的關(guān)系,策略分發(fā)采用兩種方法PULL、PUSH實(shí)現(xiàn)。PULL是PEP向遠(yuǎn)端的PDP發(fā)送配置、更新、刪除等請(qǐng)求,PDP收到后,將決策響應(yīng)回送給PEP,PEP執(zhí)行相關(guān)的操作;PUSH是PDP主動(dòng)向PEP發(fā)送策略,使PEP執(zhí)行相關(guān)的操作。

COPS協(xié)議用于策略分發(fā)有很多優(yōu)點(diǎn):它采用TCP作為傳輸協(xié)議,PEP負(fù)責(zé)初始一個(gè)TCP連接,定時(shí)向PDP發(fā)送Keep Alive消息,以檢驗(yàn)連接的有效性;PEP與PDP之間的通訊基于C/S方式,PDP能夠向PEP發(fā)送配置信息,并且在不需要的時(shí)候刪除這些配置信息。

COPS的不足之處是采用TCP連接,從連接建立、數(shù)據(jù)傳輸直到解除連接需要一定的時(shí)延,當(dāng)PEP數(shù)量較多時(shí)容易造成PDP的通信端口擁塞。

三、Telnet協(xié)議

Telnet協(xié)議是由互聯(lián)網(wǎng)工程任務(wù)組IETF在RFC854中定義的,主要的目的是提供一個(gè)相對(duì)通用的,雙向的,面向八位字節(jié)的通信機(jī)制。Telnet協(xié)議是TCP/IP協(xié)議簇中應(yīng)用最廣泛的協(xié)議之一,是Internet遠(yuǎn)程服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式,絕大多數(shù)的可遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備都對(duì)其提供了較好的支持。它采用TCP作為傳輸協(xié)議,給網(wǎng)絡(luò)通信提供了可靠的服務(wù)。傳統(tǒng)的網(wǎng)絡(luò)管理都是網(wǎng)絡(luò)管理員通過(guò)Telnet協(xié)議登錄到網(wǎng)絡(luò)設(shè)備中,手工對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置管理。

Telnet協(xié)議的主體是由網(wǎng)絡(luò)虛擬終端、操作協(xié)商選項(xiàng)以及協(xié)商有限自動(dòng)機(jī)三部分組成。網(wǎng)絡(luò)虛擬終端可以看作一個(gè)能夠提供標(biāo)準(zhǔn)的,網(wǎng)絡(luò)范圍的規(guī)范終端的中間代表者。一旦一個(gè)Telnet連接建立后,通信的兩端被假設(shè)為在一個(gè)“網(wǎng)絡(luò)虛擬終端”上開(kāi)始和終止操作。NVT負(fù)責(zé)本地?cái)?shù)據(jù)的傳輸和遠(yuǎn)端數(shù)據(jù)的輸出。當(dāng)本地發(fā)送數(shù)據(jù)時(shí),將本地終端的字符表示映射到NVT的字符表示上;當(dāng)接收數(shù)據(jù)時(shí),又把NVT的表示映射到本地字符集合上。在定義網(wǎng)絡(luò)終端設(shè)備之后,通信雙方即可實(shí)現(xiàn)最基本的數(shù)據(jù)通信。但如果需要在NVT上實(shí)現(xiàn)更多的功能,比如回應(yīng)、識(shí)別對(duì)端類型或窗口大小等,則需要通過(guò)協(xié)商完成。Telnet協(xié)議進(jìn)行協(xié)商過(guò)程中,對(duì)于不同的協(xié)商方式、命令及協(xié)商選項(xiàng),可以有不同的組合。

但由于Telnet協(xié)議采用明文傳輸通信數(shù)據(jù),在管理網(wǎng)和數(shù)據(jù)傳輸網(wǎng)沒(méi)有分開(kāi)的混雜網(wǎng)絡(luò)環(huán)境下,利用Telnet協(xié)議自動(dòng)分發(fā)安全策略有安全的隱患,容易遭到密碼嗅探的攻擊。目前的可網(wǎng)管網(wǎng)絡(luò)設(shè)備都已經(jīng)開(kāi)始支持加密的傳輸方式,即用SSH來(lái)替代Telnet,增強(qiáng)安全性能。

四、SSH協(xié)議

SSH協(xié)議是IETF所制定的一簇協(xié)議,其目的是要在非安全網(wǎng)絡(luò)上提供安全的遠(yuǎn)程登錄和其它安全網(wǎng)絡(luò)服務(wù)。通過(guò)使用SSH,把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,這樣可以防止密碼嗅探,IP欺騙等攻擊。SSH傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的,可以加快傳輸?shù)乃俣取?/p>

SSH實(shí)現(xiàn)了Telnet協(xié)議的全部功能,也是TCP/IP協(xié)議簇中的應(yīng)用,在傳輸層使用TCP協(xié)議,但是在應(yīng)用層對(duì)數(shù)據(jù)進(jìn)行了加密。SSH協(xié)議工作過(guò)程復(fù)雜,由傳輸層協(xié)議、用戶認(rèn)證協(xié)議層、連接協(xié)議層三部分組成。

協(xié)議中的命名規(guī)則、消息碼、加密方法是SSH協(xié)議的基礎(chǔ),是三個(gè)層次之間的橋梁。SSH協(xié)議在使用到特定的哈希算法,加密算法,完整性算法,壓縮算法以及密鑰交換算法和其他協(xié)議時(shí)都利用名字來(lái)區(qū)分,所以SSH協(xié)議框架中很重要的一個(gè)部分就是命名規(guī)則的限定。

SSH傳輸層協(xié)議提供高強(qiáng)度的數(shù)據(jù)通信加密處理、加密的主機(jī)身份認(rèn)證、數(shù)據(jù)完整性校驗(yàn)以及數(shù)據(jù)壓縮等多項(xiàng)安全服務(wù)。

用戶認(rèn)證協(xié)議層用來(lái)實(shí)現(xiàn)服務(wù)器跟客戶端用戶之間的身份認(rèn)證,它運(yùn)行在傳輸層協(xié)議之上。連接協(xié)議層的功能是完成用戶請(qǐng)求的各種具體網(wǎng)絡(luò)服務(wù),而這些服務(wù)的安全性是由底層的SSH傳輸層協(xié)議和用戶認(rèn)證層協(xié)議實(shí)現(xiàn)的。由于它給網(wǎng)絡(luò)通信帶來(lái)的安全特性,現(xiàn)在的網(wǎng)絡(luò)設(shè)備逐漸支持SSH,SSH協(xié)議逐漸取代了Telnet協(xié)議。

綜上所述,SNMP協(xié)議被應(yīng)用在很多網(wǎng)絡(luò)管理設(shè)備中,但是它固有的缺點(diǎn)使得它難以應(yīng)用在實(shí)時(shí)性較高的網(wǎng)絡(luò)中。COPS協(xié)議專用于IETF策略體系結(jié)構(gòu),由于它完善的標(biāo)準(zhǔn)在2005年才推出,現(xiàn)在的網(wǎng)絡(luò)設(shè)備還不能有效地支持。利用Telnet/SSH協(xié)議進(jìn)行策略分發(fā),是一個(gè)傳統(tǒng)的方法,既便于實(shí)現(xiàn),也被廣泛支持,但是傳統(tǒng)的手動(dòng)配置方式缺乏效率,通過(guò)對(duì)協(xié)議的簡(jiǎn)化,并把策略數(shù)據(jù)流與程序綁定實(shí)現(xiàn)自動(dòng)分發(fā),以提高效率。

參考文獻(xiàn):

[1]張延磊、馬玉祥,分布式網(wǎng)絡(luò)管理體系結(jié)構(gòu)的研究[J].電子科技,2005.3.

[2]王群,計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)[M].清華大學(xué)出版社,2008.

[3]吳娜、魯東明、潘云鶴,網(wǎng)絡(luò)管理技術(shù)的研究與發(fā)展[J].計(jì)算機(jī)應(yīng)用研究,2000.4.

作者簡(jiǎn)介:

譚寧,男,漢族,淄博職業(yè)學(xué)院信息工程系,副教授,研究方向:計(jì)算機(jī)網(wǎng)絡(luò)。