網絡管理中策略分發技術分析

譚　寧

[摘要]就網絡管理中幾種常見的策略分發技術進行較為詳細的分析,并對各策略分發功能進行闡述。

[關鍵詞]網絡管理 策略分發 協議

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0810046-01

基于策略的網絡管理中,策略需要分發到被管理的設備中去執行。現在有很多協議可以實現這一功能,如:傳統的網絡管理中用簡單網絡管理協議SNMP來實現,這也是目前網絡管理系統中運用最廣泛的方法;IETF推出一些新的標準協議開放策略服務協議COPS來傳輸策略;還有通過其它傳輸協議FTP,HTTP,Telnet等來進行策略的分發。

一、SNMP協議

SNMP是基于TCP/IP的應用層網絡管理協議,它使用UDP作為傳輸層協議,能管理支持代理進程的網絡設備。SNMP是適用于互聯網絡設備的網絡管理框架,主要由管理信息結構、管理信息庫和SNMP協議組成。基于SNMP的策略分發方法,就是通過SNMP協議,把策略轉換為SNMP的相關操作實例,對網絡設備進行管理。

網絡設備通過SNMP協議接受管理站的策略配置命令,對響應的MIB對象進行更改,并調用底層模塊的接口完成配置工作;處理管理站的查詢命令,向管理站返回當前配置情況。

SNMP協議歷經三個版本。SNMPv3與第一、二版有著較大的區別。在SNMPv3中,SNMP代理和SNMP管理器都被稱為SNMP實體,它由SNMP引擎和SNMP應用程序組成。

當把SNMPv3代理用于對特定網絡設備管理時,除了實現代理的基本功能和安全機制外,還需將該設備的專用管理信息定義為相應的管理對象,并實現對應的訪問例程。當對這些管理對象進行set操作時,通過底層模塊提供的接

口對網絡設備進行相應的操作,最終把策略分發到網絡設備中。

二、COPS協議

COPS是一個RFC4261中定義的應答式協議,用于基于策略的管理協議,它在PDP和PEP之間采用TCP連接,交換策略請求和策略決定。

COPS定義了三個邏輯實體:PDP,PEP,LPDP。其中LPDP備份PDP的決策,當PDP與PEP的連接中斷時,LPDP可代替PDP做出決策,保證策略執行的連續性,而PDP具有最終裁決權。PDP與PEP的關系可以看作是服務器與客戶機的關系,策略分發采用兩種方法PULL、PUSH實現。PULL是PEP向遠端的PDP發送配置、更新、刪除等請求,PDP收到后,將決策響應回送給PEP,PEP執行相關的操作;PUSH是PDP主動向PEP發送策略,使PEP執行相關的操作。

COPS協議用于策略分發有很多優點:它采用TCP作為傳輸協議,PEP負責初始一個TCP連接,定時向PDP發送Keep Alive消息,以檢驗連接的有效性;PEP與PDP之間的通訊基于C/S方式,PDP能夠向PEP發送配置信息,并且在不需要的時候刪除這些配置信息。

COPS的不足之處是采用TCP連接,從連接建立、數據傳輸直到解除連接需要一定的時延,當PEP數量較多時容易造成PDP的通信端口擁塞。

三、Telnet協議

Telnet協議是由互聯網工程任務組IETF在RFC854中定義的,主要的目的是提供一個相對通用的,雙向的,面向八位字節的通信機制。Telnet協議是TCP/IP協議簇中應用最廣泛的協議之一,是Internet遠程服務的標準協議和主要方式,絕大多數的可遠程管理的網絡設備都對其提供了較好的支持。它采用TCP作為傳輸協議,給網絡通信提供了可靠的服務。傳統的網絡管理都是網絡管理員通過Telnet協議登錄到網絡設備中,手工對網絡設備進行配置管理。

Telnet協議的主體是由網絡虛擬終端、操作協商選項以及協商有限自動機三部分組成。網絡虛擬終端可以看作一個能夠提供標準的,網絡范圍的規范終端的中間代表者。一旦一個Telnet連接建立后,通信的兩端被假設為在一個“網絡虛擬終端”上開始和終止操作。NVT負責本地數據的傳輸和遠端數據的輸出。當本地發送數據時,將本地終端的字符表示映射到NVT的字符表示上;當接收數據時,又把NVT的表示映射到本地字符集合上。在定義網絡終端設備之后,通信雙方即可實現最基本的數據通信。但如果需要在NVT上實現更多的功能,比如回應、識別對端類型或窗口大小等,則需要通過協商完成。Telnet協議進行協商過程中,對于不同的協商方式、命令及協商選項,可以有不同的組合。

但由于Telnet協議采用明文傳輸通信數據,在管理網和數據傳輸網沒有分開的混雜網絡環境下,利用Telnet協議自動分發安全策略有安全的隱患,容易遭到密碼嗅探的攻擊。目前的可網管網絡設備都已經開始支持加密的傳輸方式,即用SSH來替代Telnet,增強安全性能。

四、SSH協議

SSH協議是IETF所制定的一簇協議,其目的是要在非安全網絡上提供安全的遠程登錄和其它安全網絡服務。通過使用SSH,把所有傳輸的數據進行加密,這樣可以防止密碼嗅探,IP欺騙等攻擊。SSH傳輸的數據是經過壓縮的,可以加快傳輸的速度。

SSH實現了Telnet協議的全部功能,也是TCP/IP協議簇中的應用,在傳輸層使用TCP協議,但是在應用層對數據進行了加密。SSH協議工作過程復雜,由傳輸層協議、用戶認證協議層、連接協議層三部分組成。

協議中的命名規則、消息碼、加密方法是SSH協議的基礎,是三個層次之間的橋梁。SSH協議在使用到特定的哈希算法,加密算法,完整性算法,壓縮算法以及密鑰交換算法和其他協議時都利用名字來區分,所以SSH協議框架中很重要的一個部分就是命名規則的限定。

SSH傳輸層協議提供高強度的數據通信加密處理、加密的主機身份認證、數據完整性校驗以及數據壓縮等多項安全服務。

用戶認證協議層用來實現服務器跟客戶端用戶之間的身份認證,它運行在傳輸層協議之上。連接協議層的功能是完成用戶請求的各種具體網絡服務,而這些服務的安全性是由底層的SSH傳輸層協議和用戶認證層協議實現的。由于它給網絡通信帶來的安全特性,現在的網絡設備逐漸支持SSH,SSH協議逐漸取代了Telnet協議。

綜上所述,SNMP協議被應用在很多網絡管理設備中,但是它固有的缺點使得它難以應用在實時性較高的網絡中。COPS協議專用于IETF策略體系結構,由于它完善的標準在2005年才推出,現在的網絡設備還不能有效地支持。利用Telnet/SSH協議進行策略分發,是一個傳統的方法,既便于實現,也被廣泛支持,但是傳統的手動配置方式缺乏效率,通過對協議的簡化,并把策略數據流與程序綁定實現自動分發,以提高效率。

參考文獻:

[1]張延磊、馬玉祥,分布式網絡管理體系結構的研究[J].電子科技,2005.3.

[2]王群,計算機網絡管理技術[M].清華大學出版社,2008.

[3]吳娜、魯東明、潘云鶴,網絡管理技術的研究與發展[J].計算機應用研究,2000.4.

作者簡介:

譚寧,男,漢族,淄博職業學院信息工程系,副教授,研究方向:計算機網絡。