基于ＳＮＭＰ協議的ＦｏｒＣＥＳ路由器網絡管理

摘 要：首先分析轉發與控制分離（ForCES）體系結構；接著討論了ForCES結構路由器的網絡管理問題，分析ForCES結構在實現常規網絡管理上的主要問題和困難點；最后著重提出用簡單網絡管理協議（SNMP）及其擴展代理協議AgentX對ForCES結構路由器進行有效網絡管理的方法。

關鍵詞：ForCES；SNMP；AgentX

中圖法分類號：TP393．07 文獻標識碼：A 文章編號：1001-3695(2006)10-0216-03

Network Management of ForCES Routers Based on SNMP

JIN Rong，WU Xiaochun，WANG Weiming

(Institute of Networks Communication Engineering， Zhejiang Gongshang University，Hangzhou Zhejiang 310035， China)

Abstract:First，the Forwarding and Control Element Separation (ForCES) framework is analyzed. Second， the network management issue of ForCES routers is discussed and the problems of its normal network management implementation are analyzed. In the end， a way is put forward to manage ForCES routers based on Simple Network Management Protocol (SNMP) and its Agent eXtensibility (AgentX)protocol .

Key words:ForCES(Forwarding and Control Element Separation)；Simple Network Management Protocol(SNMP)；AgentX

1 引言

下一代網絡（Next Generation Network，NGN）要解決服務質量(Quality of Service，QoS)問題，使其既能可靠地支持多媒體通信和實時數據交換業務，同時又能保持廉價和易擴展性。在NGN的研究中，開放可編程（Open Programming）的網絡結構思想得到了廣泛重視，其基本觀點是網絡通信節點組件（如交換機、路由器）的資源應是通過標準化接口可以開放可編程控制的，因此通過主控器所編程配置的網絡將是活的、智能化可重組的。開放、可編程網絡的研究主要分為兩個方面，即體系結構和接口標準（協議）。ForCES［1］（Forwarding and Control Element Separation）就是目前已經提出并正在制定的一種開放可編程的系統結構以及相應的管理協議。本文首先分析ForCES體系結構，然后從網絡管理的角度分析ForCES結構路由器在實現常規網絡管理上的主要問題和困難點，最后詳細給出一種基于SNMP及AgentX的ForCES路由器網絡管理方法。

2 轉發與控制分離（ForCES）體系結構

一個網絡部件（Network Element，NE)如路由器、防火墻等對外呈現為一個整體的網絡設備。然而，其內部實際上是由大量相互獨立并相互協作的功能塊實體組成。一個NE由兩部分組成，即控制件（Control Element，CE）和轉發件（Forwarding Element，FE）。ForCES致力于確定一個框架和相關的協議來規范CE與FE之間的信息交換，以形成一個標準的機制來使CE和FE成為物理上分離的標準組件。這一通信協議使得控制平臺與轉發平臺能更方便地修改更新而不影響它們之間的互操作性。

ForCES是IETF 路由領域(Routing Area)的一個工作組，它專門研究開放編程IP路由器的體系結構和協議問題，是當前開放可編程網絡研究最受關注的研究組織。ForCES基本思想是將IP路由器分成轉發件（FE）和控制件（CE），認為IP路由器可由多個（可達幾百個）FE、多個CE和連接它們的ForCES協議構成。IETF ForCES工作組已經完成了ForCES需求和ForCES框架， 當前的工作重點是ForCES協議和ForCES FE模型。目前三個ForCES的候選協議（GRMP，FACT和Netlink2）正在初步合并成正式的ForCES協議。其體系結構如圖1所示。

圖1表示了在ForCES體系結構中各個邏輯部件以及它們之間的關系。ForCES NE包含多個CE和多個（可達幾百個）FE。每個FE包含一個或多個外部接口Fi/f用來接收和發送數據包。這些FE外部接口的集合就構成了NE的外部接口。在NE中，還存在大量的內部接口。例如，CE與FE之間的接口Fp， FE與FE之間的接口Fi，CE與CE之間的接口Fr等。圖1還給出了兩個存在于ForCES NE之外的實體，即CE管理者和FE管理者。它們能夠在預連接階段對相應的FE和CE進行配置。其中Fc表示CE管理者與CE之間的接口，Ff表示FE管理者與FE之間的接口，而F1表示CE管理者與FE管理者之間的接口。ForCES協議只定義了節點Fp。

3 ForCES結構下的網絡管理

3．1 ForCES結構下網絡管理的要求

2003年11月RFC3654［3］給出了ForCES需求，關于網絡管理方面，指出無論是預連接階段還是連接后階段，在ForCES中實現對標準網絡管理的支持都是十分必要的，如在某些情況下（如CE與FE連接中斷），可以應用諸如SNMP的網絡管理工具來診斷和修復問題。由于ForCES協議只涉及ForCES體系結構中的Fp參考點，因此其協議只涉及連接后階段。ForCES需求指出，一般來說，在連接后階段，絕大多數的管理任務應當通過與CE的交互來實現。另外，基于ForCES的網絡管理必須遵循以下兩點：

(1)應當支持用SNMP等網絡管理工具讀（但不改變）FE的狀態；

(2)決不能不通知CE而改變FE的某些狀態（FE上的這些狀態的改變會影響整個NE的狀態）。

2004年4月RFC3746［4］給出了ForCES框架，進一步指出ForCES路由器必須要支持SNMP管理，并再一次指出在連接后階段，絕大多數的外部管理任務應當通過與CE交互來實現，這樣做的目的是使ForCES路由器對外呈現為一個整體的功能設備。因此，ForCES框架建議SNMP代理由CE來實現，FE則將收到的SNMP消息重定向到負責它們的CE。

3．2 三個ForCES候選協議對網絡管理的考慮

GRMP，FACT和Netlink2是三個ForCES的候選協議。FACT和Netlink2沒有涉及網絡管理方面的考慮，而GRMP［5］則專門提供了一類消息來支持網絡管理。目前，這三個協議正在合并形成正式的ForCES協議，但尚未考慮網絡管理問題。

3．3 ForCES結構下網絡管理存在的問題和困難點

為了使ForCES路由器對外呈現為一個整體的功能設備，也為了體現CE在ForCES結構中作為控制單元的角色，SNMP代理應當由CE來實現，外界的網管者對ForCES路由器的管理事實上均應當通過與CE上的代理交互來實現。但隨之帶來的問題是：外界的網管者如何通過CE來訪問FE上的信息？支持網絡管理實際上需要具備兩方面的能力:①處理SNMP消息的能力;②維護MIB（Management Information Base，管理信息庫）的能力。在ForCES體系結構中，必須考慮網管能力的分配問題，可以有三種方法：

（1）在ForCES內部，各FE實現獨立的SNMP代理功能（包括處理SNMP消息的能力和維護MIB的能力），CE通過標準的SNMP消息來訪問FE上的信息。但是，對外界網管者而言，各FE上的SNMP代理必須是透明的。

（2）FE以標準MIB的形式維護駐留于自身的MIB（即只實現維護MIB的能力），CE通過某種方式訪問駐留于FE的MIB。

（3）所有的網管任務均由CE來獨立擔當（包括處理SNMP消息的能力和維護MIB的能力），對于與FE有關的信息，CE可以通過自定義的協議與FE交互。

容易看到，第一種方法過于繁復，會帶來許多重復的SNMP消息封裝與解封裝操作；第三種方法獨立性和標準性差，不適合開放可編程的ForCES結構；只有第二種方法最適合CE和FE的角色分配，CE主要負責SNMP消息處理，而FE獨立地維護自己的MIB。進一步，在維護MIB方面，仍然需要考慮許多問題：

（1）CE需要掌握各FE維護的MIB域，即需要知道哪個MIB在哪個FE上。

（2）CE需要具有處理交疊或重疊的MIB域的能力，各FE有可能會駐留交疊或重疊的MIB，但是對于整個ForCES路由器而言，某個MIB需要有唯一的值，因此CE需要決定以哪個FE上的MIB為準。

（3）CE需要具備派發消息的能力，如處理Getnext和Getbulk消息，CE有可能需要多次訪問不同的FE，然后才能構造SNMP響應。

（4）CE需要具備處理MIB表的能力，如ifTable，駐留在各個FE上的接口信息需要以某種方式共同組成標準的接口表信息。

總的來講，當前最大的困難點在于這種分布式的ForCES結構如何支持網絡管理，也即CE和FE在網管能力上如何進行角色劃分以及如何協調工作的問題。

4 基于SNMP及AgentX的ForCES路由器網管方法

基于以上分析，我們提出一種基于SNMP及AgentX的ForCES路由器網管方法。該方法可以較好地解決CE和FE在網管能力上角色劃分及協調工作的問題，同時又滿足ForCES需求和框架的要求。

4．1 SNMP及AgentX

SNMP以其簡單性成為目前廣泛使用的網絡管理標準，SNMP體系結構包含三部分（圖2），即管理者、代理以及管理者與代理之間通信所遵循的SNMP協議。SNMP代理負責與網管者進行SNMP消息通信的任務，同時也負責維護MIB。當駐留在網絡設備上的代理所支持的MIB需要擴展時，在SNMP體系結構下，必須要重新構造代理，即無法支持在不改變原有代理的情況下擴展MIB，即不能實現動態擴展。而許多分布式設備或者由許多獨立模塊組成的復雜設備上的代理均有動態擴展MIB的需求。為了解決這一矛盾，出現了AgentX協議。

1998年1月，IETF在RFC2257中定義了AgentX協議第1版；2000年1月，IETF又在RFC2754［2］中修訂了AgentX協議第1版。它通過將SNMP 代理的功能模塊進行分解， 提供了一種動態擴展代理的途徑。

AgentX協議定義了一個可擴展SNMP代理的標準體系結構。其體系結構將SNMP協議處理和MIB訪問這兩個功能進行分解，從結構上將代理劃分為主代理和子代理兩個部分。對于管理者來說，AgentX 協議是透明的。AgentX結構通過子代理向主代理的注冊實現了代理靈活的動態擴展功能。

該體系結構包含三個部分：兩個處理實體——主代理和子代理，以及主代理與子代理之間通信所遵循的協議——AgentX協議，如圖3所示。

(1)一個主代理：主代理負責處理SNMP 協議消息，與管理者進行交互，但是一般不具備直接訪問管理信息的權限；

(2)若干子代理：子代理負責訪問MIB對象，對于SNMP 協議來說，子代理是透明的。

(3)主代理和子代理交互的協議，即AgentX 協議，實現主代理與子代理之間的通信。

4．2 AgentX over ForCES的網管方法

正式的ForCES協議正在制定過程中，目前已經作了兩次更新。到目前為止，尚未考慮支持網絡管理問題。本文提出可以基于SNMP及AgentX來實現ForCES路由器的網絡管理，是基于以下考慮的：

（1）ForCES體系結構要求FE與CE相互分離但又要協同工作，從而構成一個NE，而且這種開放可編程的路由器要求能靈活地加入FE或卸下FE。這種分布式的可擴展結構正是AgentX協議適用的理想環境。

（2）ForCES需求要求絕大多數的網絡管理任務都應當通過與CE的交互來實現，ForCES框架進一步建議SNMP代理應由CE來實現，FE則僅僅將收到的網管消息重定向到CE。若由CE作為AgentX體系結構中的主代理，FE作為子代理，則以上要求正好與AgentX 協議的分工完全吻合。

（3）AgentX內部使用了MIB注冊機制、處理交迭或重復MIB的優先級機制、主代理派發AgentX PDU機制以及MIB表的處理機制等，解決了分布式環境下MIB的整體維護問題和ForCES結構路由器的網管難點。

（4）AgentX對于外界的網管者而言是完全透明的，即網管者無需知道AgentX協議，只需發送或接收標準的SNMP協議消息即可，而且各FE（子代理）之間相互獨立。這樣，在保證CE和FE獨立性的同時，又可以保證對于外界而言，各CE和FE呈現的是一個整體的網絡設備，滿足ForCES框架要求。

（5）由于各個CE與FE之間的連接一般都是通過網絡，AgentX協議在不同主機間應用時的安全性得不到保障。但ForCES協議中考慮到了安全問題，可以由它來為AgentX消息提供安全保障。

因此，我們提出一種基于AgentX的ForCES路由器的網絡管理方法（圖4）：由CE扮演主代理的角色，負責處理SNMP消息；由各FE扮演子代理的角色，負責提供駐留于各FE的MIB對象的訪問。主代理（CE）與子代理（FE）之間的AgentX消息則由ForCES協議提供封裝以及傳輸。

在這種方法下，FE（子代理）會接收到SNMP管理者發出的SNMP消息，也會收到CE（主代理）發出的AgentX消息。因此在FE上，需要實現一個專門的邏輯功能塊（LFB）來進行必要的判斷和處理，如圖5所示。

圖5中以讀取或改變FE上的MIB為例，典型的工作過程如下：

（1）FE收到SNMP請求包，重定向到CE；

（2）CE將此SNMP消息交給主代理處理，主代理生成AgentX請求給FE；

（3）FE收到AgentX請求包后交給子代理處理，子代理讀取或改變相應MIB值，生成AgentX響應包后又重定向給CE；

（4）CE收到AgentX響應包后生成SNMP響應包，交給FE轉發；

（5）FE將此SNMP響應包發送出去，當然，整個過程中CE與FE之間的任何消息交互均需要ForCES協議提供傳輸。

由此看出，此方法支持網管者對FE的讀操作，對FE的寫操作是經過CE來實現的，完全滿足ForCES需求中對網管規則的兩點規定。同時，由于我們采用標準的AgentX協議，保證了很好的標準性、互操作性、擴展性和健壯性。

5 結束語

本文在分析ForCES體系結構以及SNMP和AgentX協議之后，分析了ForCES需求和框架對網絡管理的要求，同時也分析了三個ForCES候選協議對網絡管理的支持狀況；最后，詳細給出一種基于SNMP及其AgentX的ForCES路由器網絡管理方法。這一方法可以完全滿足ForCES需求，同時也具有可擴展性、互操作性以及健壯性。

參考文獻：

［1］A Doria．ForCES Protocol Specification Draftietfforcesprotocol02.txt［EB/OL］．http://www.sstanamera.com/~forces/Drafts/draftietfforcesprotocol02.txt，2005．

［2］M Daniele，B Wijnen， M Ellison，et al．Agent Extensibility (AgentX)Protocol version 1，RFC 2741［EB/OL］．http://www.faqs.org/rfcs/rfc2741.html，2000．

［3］H Khosravi，T Anderson．Requirements for Separation of IP Control and Forwarding，RFC3654［EB/OL］．http://www.ietf.org/rfc/rfc3654.txt?number=3654，2003．

［4］L Yang ，R Dantu．Forwarding and Control Element Separation (ForCES)Framework，RFC3746［EB/OL］．http://www.faqs.org/rfcs/rfc3746.html，2004．

［5］Wang Weiming，et al.General Router Management Protocol (GRMP) version 1［EB/OL］．http://mirrors.isc.org/pub/www.watersprings.org/pub/id/draftwangforcesgrmp02.txt，2004．

作者簡介：

金蓉(1979-)，女，浙江東陽人，助教，碩士，主要研究方向為網絡與通信技術、網絡管理；吳曉春(1983-)，女， 浙江人，在讀碩士研究生，主要研究方向為網絡與通信技術；王偉明(1964-)，男，浙江遂昌人，教授，碩士生導師，主要研究方向為信息與網絡技術、通信技術、分布式智能信息系統。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文