多級分布計算機網絡管理系統

陳鵬

（杭州師范大學錢江學院 計算機科學與技術專業，浙江 杭州 310012）

1 引言

隨著信息技術的廣泛運用，計算機網絡在本單位日常辦公、訓練和管理中的地位和作用日益突出，確保計算機網絡安全、保密、高效、穩定運行顯得尤為重要。分析和研究多級計算機網絡管理系統對搞好計算機網絡管理，提高網絡管理水平有著重要的意義。

2 網絡管理的功能與SNMP

2.1 網絡管理的功能

網絡管理技術是伴隨著計算機、網絡及通信技術的發展而發展的。它是指對網絡的運行狀態進行監測和控制，并能提供有效、可靠、安全、經濟的服務。網絡管理應完成兩個任務，一是對網絡的運行狀態進行檢測，二是對網絡的運行狀態進行合理分配。其目標就是滿足運營者和用戶對網絡的有效性、可靠性、開放性、綜合性、安全性和經濟性的要求。網絡管理(Network Management)的功能可概括為 OAM&P：網絡的運行(Operation)、處理(Administration)、維護(Maintenance)、服務提供(Provisioning)等所需要的各種活動。有時也只考慮前三種，即把網絡管理的功能歸結為 OAM。實際上，網絡管理的范圍還可擴大到網絡中通信活動與資源的規劃和組織。因為如果某個網絡不能很好地規劃和組織，那就根本談不上對它的監測、計費和控制。

2.2 簡單網絡管理協議SNMP

SNMP 最重要的指導思想就是要盡可能簡單，以便縮短研制周期。SNMP 的基本功能包括監視網絡性能、檢測分析網絡差錯和配置網絡設備等。在網絡正常工作時，SNMP 可實現統計、配置和測試等功能。當網絡出故障時，可實現各種差錯檢測和恢復功能，雖然 SNMP 是在TCP/IP 基礎上的網絡管理協議，但也可擴展到其他類型的網絡設備上。

SNMP 整個系統必須有一個管理站(Management Station),它實際上就是網控中心。在管理站上運行管理進程。在每一個被管對象中一定要有代理進程。管理進程和代理進程利用SNMP 報文進行通信，而 SNMP 報文又使用UDP 來傳送。有時網絡管理協議無法控制某些網絡元素。例如，該網絡元素使用的是另一種網絡管理協議。這時可使用委托代理(proxy agent)。委托代理能提供如協議轉換和過濾操作的匯集功能。然后通過委托代理來對被管對象進行管理。SNMP 的網絡管理由三個部分組成，即管理信息庫 MIB，管理信息結構 SMI 以及 SNMP本身。下面先介紹管理信息庫。

3 分布式網絡管理的設計

分布式網絡管理系統采用樹型結構，除最上面的管理站(根節點)以外，每個管理站有且只有一個上級管理站；每個管理站可有 0 個或多個下級管理站，沒有下級管理站的節點稱為葉節點。每個管理站負責管理本級和下級網絡(0個或多個)，能夠獲得管轄范圍內網絡的拓撲結構、所有設備的狀態和統計數據；上下級管理站之間通過網絡交換必要的信息。

3.1 分布式配置

每個 MANAGER 增加一個分布式配置文件，配置網絡級別和管理角色，以及分布式管理策略。① 角色配置：上級：管理站的名稱和 IP地址。本級：管理站的名稱和 IP 地址、1 個或多個本級子網的網絡 ID 和掩碼。下級(0 個或多個)：管理站的名稱和 IP 地址、1 個或多個本級子網的網絡 ID 和掩碼。② 管理策略配置：可以配置針對所有下級網絡的統一的策略，也可以對不同的下級網絡配置不同的管理策略。具體包括：下級獨立配置的端口的性能數據是否上傳？下級節點的系統軟硬件信息是否上傳？下級網絡的系統信息變化事件是否上傳？下級網絡的性能閾值事件是否上傳？

5)下級網絡的IP 綁定事件是否上傳。

3.2 上下級通信

①TCP 連接的建立和維護。由于上下級網管平臺之間是廣域網連接并且通信的數據量較大，所以上下級網管平臺之間采用 TCP 進行通信。為了保證實現的簡單性，上下級網管平臺之間始終保持一條 TCP 連接。上級網管平臺啟動后，打開預先設定的 TCP 監聽端口。如果上下級之間的 TCP 連接尚未建立或者因為某種原因而中斷的話，下級網管平臺每隔 5 分鐘自動嘗試與上級網管平臺建立連接；下級管理人員也可以通過分布式菜單項主動與上級網管平臺建立通信連接。②發送消息。在數據庫中創建一個發送消息緩沖表，各個模塊要發送數據時將數據打包成XML 字符串的形式，加入到發送消息緩沖表中。通信模塊的發送線程定期輪詢發送消息緩沖表，一旦發現待發送的記錄，則嘗試發送。若收到接收方的確認消息，則在發送消息緩沖表中刪除相應記錄。③接收消息。在數據庫中創建一個接收消息緩沖表，通信模塊的接收線程成功地收到一條消息后，就將消息添加到接收消息緩沖表中，同時給發送方返回一條確認消息。通信模塊的消息處理線程定期輪詢接收消息緩沖表，若發現存在記錄，則將該記錄讀出來。解析其中的XML 字符串，根據不同的消息類型進行相應的處理。

4 相關技術難點與措施

4.1 非法主機問題與解決方法

①為了加強對計算機網絡的集中管理和統一規劃，防止一些單位或個人未經請示擅自將計算機接入網絡或隨意修改系統配置。難點在于接入時間和接入位置的不確定性。②某本單位的光傳送網主要采取軍民合建的方式 (與此類似其他單位的網絡傳輸信道多數是租用電信運營商的)，主干傳輸線路委托地方公司維護管理，對這些線路的安全管理是一個難點，為了防止一些不法分子利用中轉站入侵我軍用 (單位專網)網絡，系統必須具有入侵預警和強行關閉功能。③對外撥號預警功能。要求對全網任何用戶利用上軍網的計算機終端以撥號上網方式連接到地方網或國際互連網(因特網)的情況進行監控，一旦發現有撥號上網，系統將進行告警并強行關閉端口。難點在于發現的及時性以及實現控制掛斷功能。對于一些保密規格較高的專用網絡同樣有此需求。

解決方法：①使用 IP 地址綁定工具錄入網絡中所有合法設備的 IP 地址及其 MAC 地址，IP 地址綁定工具定期掃描網絡中出現的所有 IP 地址及其MAC 地址，并將掃描到的 IP地址與 MAC 地址的對應關系與系統事先保存的合法對應關系相比較以發現可能出現的非法IP 地址以及盜用合法 IP 地址的現象 (見圖5.1)。②使用物理拓撲發現工具找到非法 IP 地址在網絡中的接入位置。③通過關閉非法 IP地址所接入的交換機端口以阻止該 IP 地址的上網行為(需要交換機支持)；或者直接向該 IP地址的設備發送干擾報文使得該設備無法進行網絡操作。④在每個主機上安裝系統代理，系統代理監視用戶的撥號上網行為。一旦發現有撥號上網則立即報警并同時掛斷撥號連接，保證廣域網的終端不能通過撥號上網方式連接地方網或互連網。

4.2 無人值守

通信網絡需要保證每周 7 天、每天 24小時不間斷的正常運行，一旦出現異常情況，管理人員必須立刻予以解決。但是某本單位系統同時又存在網絡管理人員少、值勤任務重的情況。因此要求開發無人值守功能，難點在于開發與手機短信平臺的通信程序。解決方法：① 開發了串口通信程序，通過在串口上接入 GSM Modem 或手機向短信平臺發送短信。網管人員不需要值班，當網絡出現異常情況時，網管中心將現場信息發送到指定管理員的手機上，使網管人員通過手機短信遠程了解網絡的運行情況。② 開發了基于 Web 的管理工具，網管人員可以遠程通過互連網掌握網絡的運行情況。

4.3 遠程關閉端口

當網絡中發現有非法計算機接入網絡或發現異常情況時,網管中心可以封閉這些計算機所在的交換機端口,使其不能連入網絡。難點在于有些交換機不支持關閉端口的功能，還有的交換機端口通過集線器連接了不止一個設備。

解決方法：① 首先通過物理拓撲發現工具找到非法用戶接入網絡的位置，然后通過修改交換機 MIB 變量的方式嘗試關閉相應交換機的端口。② 對于不支持關閉端口功能的交換機或者交換機的端口通過集線器連接了多個設備，關閉端口會影響其他正常設備的情況，通過定期發送干擾 ARP 報文，使得非法用戶不斷收到 IP 地址沖突的消息，沒法進行網絡操作。

[1]張滬寅等著.計算機網絡管理實用教程.武漢大學出版社,2005

[2]周曉芬.基于 SNMP 的管理信息庫(MIB)的研究.科技廣場.20075

[3]陳桂漢等著.綜合電信管理解決方案.電子工業出版社,2002