（计算机应用技术专业论文）基于目录服务的网络资源管理系统——网络管理子系统.pdf

摘要 本文从目录服务在网络管理中的应用研究出发，分析了l d a p 目录服务在网络管理应用中的优势，实现了l d a p 协议与s n m p 协 议集成以及l d a p 目录服务与网络管理的初步集成，并提出了一个基 于目录服务的网络管理系统的体系结构模型。此模型是在传统的网络 管理基础上引入了w 曲技术和目录服务技术。w 曲技术解决了多平 台之间的互操作问题，并使得管理人员可以在任何地点、通过任何 w 曲浏览器监测和管理网络；目录服务技术为表示网络的层次化结构 和相关的配置数据提供了可扩展的、统一的机制，与关系型数据库相 结合的联合存储策略满足了各种网管数据的存储要求。 在系统体系模型设计的基础上，我们实现了一个基于l d a p 的 网络管理系统。本系统由w 曲浏览器端和管理站系统组成，管理站 系统集成网络管理服务、w w w 服务、目录服务和数据库服务四个部 分，并且实现了配置管理、性能管理和故障管理的基本功能，从而验 证了设计模型的可行性。 关键字：网络管理、目录服务、 轻量级目录访问协议、w 曲服务 江苏大学硕士学位论文 a b s t r a c t t h i sp a p e r b e g i n sw i t hs t u d y i n gt h ed i r e c t o r ys e r 弋，i c ea n di t sa p p l i c a t i o n si nt h e n e t w o r km a n a g e m e n ts y s t e m ，a n a l y s e st h ea d v a n t a g e so ft h el d a p 印p l y e di nt h e n e t w o r km a n a g e m e n ts y s t e m ，a c h i e v e st h ei n t e 掣a t i o no fl d a p p r o t o c o la n ds n m p p r o t o c o l a n dd i r e c t o r ys e i c ea n dn e t 、v o r l ( m a n a g e m e n t ，t h e np r o p o s e sad e s i g n m o d e lo fad i r e c t o r y - b a s e dn e t w o r km a n a g e m e n ts y s t e m t h i sm o d e lu s e sw e ba n d d i r c c t o r ys e r v i c et e c h n o l o g y sb a s e d o nt h et r a d i t i o n a ln e “v o r k m a n a g e m e n t b a s eo nt h ed e s i g no f t h em o d e l ，w e p r e s e n tal d a p b a s e d n e t w o r k m a n a g e m e n t s y s t e m t h i ss y s t e m i s c o m p o s e do fw e bb r o w s ea n dm a n a g e m e n ts t a t i o n t h e m a n a g e m e n t s t a t i o ni n c l u d e sn e t 、v o r km a n a g e m e n ts e r v i c e 、w w w s e r v i c e 、d i r e c t o r y s e r v i c ea n dd a t a b a s es e i c e t h i sn e t w o r km a n a g e m e n ts y s t e mr e a i i z e st h eb a s i c f u n c t i o no ft h ec o n 蛀g u r a t i o nm a n a g e m e n t 、t h ep e r f o 衄a n c em a n a g e m e n ta n dt h e f a u l tm a n a g e m e n t ，t h u st h ef b a s i b i l i t yo ft h ed e s i g nm o d e li sv e r i f l e d k e yw o r d s ：n e t w o r km a n a g e m e n t 、d i r e c t o r ys e r v i c e 、l i 曲t w e i 曲t d i r e c t o r y a c c e s sp r o t o c o l( l d a p ) 、，e bs e r v i c e s i i 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学位保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权江苏大学可以将本学位论文的全部内容或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本学位论文属于 保密口，在年解密后适用本授权书。 不保密 学位论文作者签名 撑蹲 i b ( ) 月1 6 同 指导教师签名 亿氓年6 月【6 h 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究工作所取得的成果。除文中已注明引用的内容以外，本论文不 包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研 究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完 全意识到本声明的法律结果由本人承担。 学位敝储硌下蛾 日期： 。3 年0 月l 6 日 江苏大学硕士学位论文 1 1背景 第1 章前言 瓣誊翅终菝寒豹飞速发震，大勰模互连溺络魏建设及应建逐猛发矮，饺霹终 变成个多厂商溉台网络，网络的类型、服务的种类和谈备的来源更加复杂化。 在这种环境下，资源分布程度和共享程度大大提高，任何微小的故障都可能导致 臻产藏麓嚣失败。瓣簿，霹终上不嚣类型懿爆户鼓不凝蘩长，各类瓣终应建不叛 涌现，传统的网络管理模式在遐嫂变化面前暇得越来越秃能为力。如何及早发现 并排除潜在的故障隐患，以一种统一、高效的方式管理好网络，是网络设备和网 络瑕务提貘者与傻建者共霹关0 瓣藏题。 嘲络目录技术的出现为这一问题的解决键供了崭新的恩路。网络目泶是一种 用来存储网络资源信息的特殊数据库。这些资源信息可包括用户信息及与之相关 鲍安全蒺珞、各耱软硬件爨源戆信息、盈务逻骥( 魏羹装羲焱谗请求或过程) 、数 据指针( 比如关系数据库中数据的存储位置) 、组件对象( 如c o r b a 对象) 以及其它 适合在目录中进行集中管理的应用程序所需信息。这些资源信息被按照不同的类 墼帮糖互之湾懿逻辏关系戳榜影懿结稳绥织怒采，戮集中瓣方式存谴，凑嬲络嚣 录服务进行统一管理。各种网络_ | 嫩用程序在需爱访问这些资源时都通过该服务来 进行。网络目录使得整个网络的资源在逻辑上以单一的视图呈现出来，使得管理 员哥戮遴过统一兹、集中静方式对瓣络各静炎鍪戆资源避行管理。这耱方法麓 化了对各种网络资源的管理和网络应用的开发，大大提高了网络管理效率，并且 能够很好地适应网络的进一步扩展。在未来的网络中，目泶服务将是不可缺少的 最重袋懿基穑竣麓之。 过去几年中，国际上的各蒋名软件厂商相继推出了网络目录服务的解决方 案。n o v e l l 公司的n d s 是最早的较为成功的范例。通过n d s ，网络管理员可以 逶遥攀一静霹录管壤掰络瑟户、瓣络骚务、安全策臻等等。微软公司也攘舞了叁 己的网络目录解决方案活动目录( a c t i v ed i r e c t o r y ) ，并从其新的操作系统 w i n d o w s2 0 0 0 开始，全面从域髑户管理模型向目录管理过渡。 为了在网络嚣蒙亿静速程申缣证不霹厂家产品之阔的互潆作性，交数千家监 江苏大学硕士学位论文 界著名公司组成的d m t f ( d i s t r i b u t e dm a n a g e m e n tt a s kf o r c e ) 组织于1 9 9 8 年 开始制订一个开放的标准：d e n ( d i r e c t o r ye n a b l e dn e t 、v o r k ) 。 d e n 采用面向对象的建模方法定义了一个通用的信息模型c i m ( c o m m o n i n f o n n a t i o nm o d e 】) ，以反映真实网络中的各种类型的实体以及实体之间的关系 ( 这些实体包括网络、子网、硬设备、网络服务、应用程序、用户、策略等等) ， 并规定用网络目录来实现这个信息模型，以轻量级目录访问协议作为目录访问协 议的标准。但是，d e n ( d i r e c t o r ye n a b l e dn e t 、v o r k ) 仅仅是提出了一个通用的 信息模型，还没有完全实现。 自1 9 9 8 年c i m 规范2 o 版发布以来，d e n 标准得到了业界的踊跃支持，各 厂商纷纷推出了与d e n 标准相兼容的网络管理产品，如h p 公司的o p e n v i e w ， n o v e l l s 公司的m a n a g e w i s e ，t i v o l i 公司的网管软件等。微软公司从w i n d o w s 2 0 0 0 开始也加入了对d e n 的全面支持。以上各公司的网管软件都要借助各自的 网管平台才能实现基于目录的网络管理，由于各自存在激烈的竞争，许多技术不 能公开，故使用户再开发难度很大。 轻量级目录服务技术的出现大大降低了网络目录服务实现的复杂性，同时又 在绝大部分场合提供了足够的功能，因此近几年来相关的研究非常活跃，应用也 层出不穷，其发展对网络目录技术得以推广起到了决定性的作用。 目前，我校已跟目录服务相结合的典型网络应用有： e m a i l 服务 p r o x y 代理服务 拨号服务及8 0 2 1 x 认证服务 d h c p 服务 研究生应用网关 现希望把网络设备、各种服务器的监控、管理以及各典型网络应用的监控也 能跟目录服务结合起来，与网络管理目录化的趋势相适应。 1 2 本文的研究内容 本文从l d a p ( 轻量级目录访问协议“曲t 、v e 培h td i r e c t o r y a c c e s sp r o t o c 0 1 ) 在网络管理中的应用研究出发，分析了l d a p 目录服务在网络管理中应用的优 江苏大学硕士学位论文 势，并对l d a p 协议与s n m p ( 简单网络管理协议s i m p l e n e t w o r k m a n a g e 肌e n t p r o t o c 0 1 ) 协议的集成以及目录服务与网络管理的集成提出了具体方案，最后提 出了一个基于目录服务的网络管理系统的体系结构模型。此模型是在传统的网络 管理基础上引入了w e b 技术和目录服务技术。w e b 技术解决了多平台之间的 互操作问题，并使得管理人员可以在任何地点、通过任何w e b 浏览器监测和管 理网络；目录服务技术为表示网络的层次化结构和相关的配置数据提供了可扩展 的、统一的机制，与关系型数据库相结合的联合存储策略满足了各种网管数据的 存储要求。 在系统体系模型设计的基础上，我们实现了个基于l d a p 的网络管理系统， 并且实现了配置管理、性能管理和故障管理的基本功能，从而验证了设计模型的 可行性。 本文最后对基于l d a p 的网络管理系统进行了进一步研究讨论，提出了开发 真正基于l d a p 的a g e n t 方案和基于l d a p 的分布式网络管理系统模型，使本 系统真正与网络管理目录化趋势相适应，进而为能够实现基于策略的网络管理奠 定基础。 江苏大学硕士学位论文 2 _ 1 网络管理的功能 第2 章网络管理概述 嚣鼯拣准纯缝织( 1 s o ) 定义了溯络管理戆5 个功姥域：燃书i s 3 配置管理( c o n 而g u r a t i o nm a n a g e m e n t ) 性能管理( p e r f o h n a n c em a n a 叠e m e n t ) 鼓障管理( f 馘l t 楚强8 辞嫩e 嫩) 安全管理( s e c u r i t ym a n a g e m e n t ) 计费管理( a c c o u n t i n gm a n a g e m e n t ) 耀终管理系统豹络秘设诗罄楚潋这5 令功艇域为菝心。稳楚，实际上大部分 网络管理系统都没有真正实现所肖5 个功能域，这和网络管瑷系统实际所应用的 网络环境相关。 l 。醚黉管理 配鼹管理用来定义、识别、初始化、监控网络中的被管对象，改变被管对象 的操作特性，报告被管对象状态白勺变化。 酸鬟管理豹痰嚣大致哥瑷分为对霹络中竣餐翡管理秘对设冬之阕遴接懿整 控管理。 配爨管理的目标怒监控网络和系统的配置信息，从而保证网络管理员可以跟 踪管毽阏络孛不藏类整设冬( 包瑟疆 雩释软佟) 稳拭态。 2 、性能管理 性能管理以网络性能为准则，保证在使用最少网络资源和具有最小延时的前 搀下，鬻络筢摇袋爵纛豹、连续豹遥信笈力。 性能管理功能包括性能数据检测和分析、饿能闽值设鬣、性能调整等。 性能管理的目标怒检测和衡擞与网络性能相关的各个方筒，保证网络的性能 轻够缝簿在一个可敬接受浆承平上。 3 故障管理 故障管理是网络中被管对象故障的检测、定位和排除。故障并非一般的差错， 而是搔溺络己无法正常运萼亍或窭王菇了过多麓差错。潮络中夔簿个设备都必缓有一 江苏大学硎士学位论文 个预先设定好的故障门限( 此门限可以进行调糕) ，以便确定是否出了故障。 故障管璎的内容包括敌漳鼢裣瓣、分离敌辩并虽尽爵齄撵豫藏瓣、记录蔽薅， 邋翘管理员。 故障管理的目标是检测、记录、定位并且尽可能排除网络硬件和软件的故障。 4 安全管理 安全管理妁内容包括：确定要保护的敏感资源；毒定一定的安全策路寐控制 对被保护资源的访问，如在数据链路层采用信息加密、在网络设备一丘利用包过滤 实现对信息流的保护、对信患的访问服务采取主孝咒认证，躅户诀诬戳及密镌谈谣 筹；安全管理还应该总结和报告安全信慰的审计跟踪，帮助篱理员检查发现网络 中可能存在的安全隐患。 安全管瑗的目标是控翮用户对网络资源的访河，傈证网络中的敏感信怠不会 被未经授权的用户访闽著虽防止网络遭到恶意或是无意的攻击。 5 计赞管理 计赞管理记录用户使丽阏络资源的情况并核收费用，同时也统计网络的和用 率。 计赞管理的内容包括设置计赞原则；根据计费原则收集网络资源的使用数 箍：最后在计赞原刚和采集数据的基础上计算糟户的赞用。 计费管理可以爨镬爰户合理款番用耀络资澡，保证弱终媳正零远行，另一方 面管理员也可以根据网络资源的使用情况更好的为用户提供所需要的资源量。 2 2 s n m p 网络管理体系结构 s n m p 网络蛰璎髂系绥搀是为了管理基予t e 跚p 扔t 议款翳终焉提出瓣，与 t c p i p 协议与0 s i 协议的关系类似，s n m p 与c m i p 相比，突出的特点是简单。 这一特点使s n m p 褥到了广泛的支持和应用，特别是在m t e m e t 上的成功应用， 使霉它瓣重要瞧越寒越突裹，量蕊已经威为e m p 之秘款最爨要懿燃终管理体系 结构。 2 2 。1 s n m p 基本椴架 s n m p 的网络管理模型包括以下关键元素：管理站、代理者、管理信患库、 汪苏大学蘸士学位论文 嬲终罄理按议【3 】( 4 】吼 管理菇一般楚一个分立黪设备，瞧可以利翅共事装统实现。管理站被作为网 络管毽员与黼络管理系统豁按西。它抟萋本榜成为： 一组熊有分析数据、发现故障等功能的管疆程序； 一个用于网络管理员监控网络的接口； 将网络管理员的要求转变为对远稷网络元索的实际监控的能力； 一个从所有被管网络实体的m i b 中抽取信息的数据库。 代理者对来是管理鼓的臻息请求和动作请求进行应答，并随机地为管理站报 告一些耋要豹意夕 事传。 m i b 作为设在代理者处抟管理繁访勰点黥集合，管理站通过读取m l b 中对 象的值来迸行网络监控。管瑗站可班在代理者处产生动 乍，墩可以透过修改变量 值改变代理者处的配置。 管理站和代理者之间通过网络管理协议通信，s n m p 通信协议主簧包括以下 能力； g e t ：管理站读驭代理者处对象的值： s e t ：管理站没翌代理者处对象黝值； ? 豫p ；代理者囟管理站遵报重要事 孛。 s n m p 静基本糕架魏鹜2 1 掰示： 管疆蛞管璎高占 被篱实体被管实体 图2 1s n m p 基本框架图 j i 苏大学硕：e 学位论文 2 2 2s n m p 管瑷信息结构 瓣理信息结擒s m i ( s m c 拙他o fm a n a g e m e n i n f o 凇a t i o n ) 是管理信惑痒中 对象定义和编码的辫础，它是s n m p 网络鬻理框架的重簧维成部分之一。s m l 为定义和构造m i b 提供了一个通用的框架。同时也规定了可以在m i b 中使用的 数据类型，说盟了资源在m i b 串怎样表示秘命名。s m i 静纂本指导愚想楚追求 m i b 的简单性和可扩充性。因此，m i b 只能存储简单的数据类型：标墩和标量 的二维矩阵 3 】f 4 】【5 。 一对象标识 对象标识符怒髓够唯一标识某个对象类的符号。它的俊出一个蔡数序列构 成。被定义的对象的集合具有树型结构，树根是引用a s n 1 标准的对象。从对 象标识符撼的鼹投并始，每个对象舔识籀成分黥蓬指定越宁豹一个弧。从糖投开 始，销一级有3 个节点：i s 。、c c i t t 、j o i n t i s o - e c i t t 。s n m p 强d o d 之下设鬣个子 树用于i n t e m e t 的管理。s m i 在i n t e m e t 节点之下定义了4 个节点： d i 瓣c 轮r y ：为与0 s i 兹d j 婵c o 秽穗关豹将来载应弱最爨戆节点 m g n t ：用于在i a b 批准的文档中定义的对象 e x p e r i m e n t a l ；用于标识在i n t e m e t 实验中应用的对象 p 磊v 越e ：弼予拣谖摹方瑟定义戆对象 一对象句法 s n m pm i b 中的每个对象都由个形式化的方法定义，说明对象的数据类 型、取毽莲溺以及与泌l 罄中熬蒸戆对象熬关系。各令对象以及麓i b 静熬俸缍掏 都由a s n t 描述法定义。 u n i v e r s a l 类删：a s n 1 的u n i v e r s a l 类由独立于应用的通用数据类型组成。 其中只有以下数据炎壅被兔诲弼予定义堑1 8 对象： i n t e g e r ( u n i v e r s a l2 ) o c t e t s t r i n g ( u n i v e r s a l4 ) n 驻l l 疆挂i v 嚣较s 盎l5 ) o b j e c ti d e n t i f i e r ( u n i v e r s a l6 ) s e q u e n c e ，s e q u e n c e o f ( u n i v e r s a l1 6 ) 蓊3 令是兹或其绝对象类型熬基本类型。e e t 疆e n t i 羲样淫标识对象戆符 7 江苏大学硕士学位论文 号，由一个i n t e g e r 序列组成，序列中的i n t e g e r 被称为予标识符。对象标识符的 i n t e g e r 序列从左到右，定义了对象在m i b 树型结构中的位置。s e q u e n c e 和 s e q u e n c e o f 用于构成表。 a p p l i c a t i o n w i d e 类型：a s n 1 的a p p l i c a t i o n 类由与特定的应用相 关的数据类型组成。每个应用，包括s n m p ，负责定义自己的a p p l i c a t l 0 n 数 据类型。在s n m p 中已经定义了以下数据类型：n e t w o r ka d d r e s s 、i p a d d r e s s 、 c o u n t e r 、g u a g e 、t i m e t i c k s 舞口o p a q u e 。 对象定义 管理信息库由一个对象的集合构成，每个对象都有一个型和一个值。型是对 被管对象种类的定义，因此型的定义是一个句法描述。对象的实例是某类对象的 一个具体实现，具有一个确定的值。 怎样定义m i b 中的对象呢? a s n 1 是将被使用的描述法。a s n 1 中包含 些预定义的通用类型，也规定了通过现有类型定义新类型的语法。定义被管对象 的一个可选方法是定义一个被称为o b j e c t 的新类型。这样，m i b 中所有的对象 都将是这种类型的。这个方法在技术上是可行的，但会产生定义不便于应用的问 题。我们需要多种值的类型，包括c o u n t e r 、g a u g e 等等。另外，m i b 支持二维表 格或矩阵的定义。因此，一个通用的对象类型必须包含参数来对应所有这些可能 性和选择性。 2 2 3s n m p 管理信息库 管理信息库m i b 是对通过网络管理协议可以访问的信息的精确定义，它是 一个概念上的数据库，由管理对象组成 3 】 4 ”。 i e t fr f c1 1 5 5s m i 规定了m i b 能够使用的数据类型及如何定义m i b 中的 管理对象类。m i b 中对象的定义由o b j e c t ( 对象描述) 、s y n t a x ( 句法) 、d e 6 n i t i o n ( 定义) 、a c c e s s ( 访问) 以及s t a t u s ( 状态) 组成。其中，o b j e c t 是个表示特 定对象的简短字符串，代表对象在全局命名树中的位置：s y n t a x 是描述对象抽象 数据结构的a s n 1 语法；d e 石n i t i o n 是对象的描述；a c c e s s 规定了该对象的访问 权限；s t a t u s 说明了该对象当前的实际情况。为了能够唯一标识m i b 中的对象类， s m i 引入了命名树的概念，树由分支节点和叶节点构成，叶节点表示管理进程可 江苏大学硕士学位论文 以访问的对象，对象标识符由叶节点在树中的位置来表示。 在r f c1 0 6 6 中给出了用于t c p i p 协议簇的第一个m i b 版本，该标准现在 被称为m i b i ，它定义了监视和控制基于t c p i p 的互联网所需的信息库。在 r f c1 2 1 3 中提出了用于t c p i p 的第二版本的m i b ，即m i b i i ，它是在m i b i 的基础上扩展定义的。m i b i i 组被分为以下分组： s y s t e m ：关于系统的总体信息； i n t e r f a c e ：系统到子网接口的信息： a t ( a d d r e s st r a n s l a t i o n ) ：描述i n t e m e t 到s u b n e t 的地址映射； i p ：关于系统中i p 的实现和运行信息； i c m p ：关于系统中i c m p 的实现和运行信息； t c d ：关于系统中t c p 的实现和运行信息； u d 口：关于系统中u d p 的实现和运行信息； e g p ：关于系统中e g p 的实现和运行信息； d o t 3 ( t r a n s m i s s i o n ) ：有关每个系统接口的传输模式和访问协议的信息。 s n m p ：关于系统中s n m p 的实现和运行信息。 其树型结构如下图2 2 所示： 图2 2s n m pm i b i i 结构图 2 2 4 简单网络管理协议s n m p s n m p 网络管理协议是s n m p 的核心组成部分之，它是一个应用层的协 议，使管理站能够对每个代理进程的m i b 中的管理对象进行读、写操作，它还 定义了陷进机制使代理进程能够根据某些预设的条件主动发送报警报文e 协议中 定义了命令和响应的协议数据单元，也描绘了高层管理框架所需的授权和鉴别机 江苏大学硕士学位论文 制 3 【4 】 5 j 。 s n m p 只支持对变量的检查和修改的操作，具体地，可以对标量对象进行以 下三种操作： g e t ：管理站从被管理站提取标量对象值。 s e t ：管理站更新被管理站中的标量对象值。 t r a p ：被管理站向管理站主动地发送一个标量对象值。 管理站和代理者之间以传送s n m p 消息的形式交换信息。每个消息包含一个 指示s n m p 版本号的版本号，个用于本次交换的共同体名，和一个指出5 种 协议数据单元之一的消息类型。图2 3 描述了这种结构。表2 1 对其中的元素进 行了说明。 f v e r s i o n i c o 叨u n i t y l s n m pp d u 7 ( a ) g e t r e q u e s tp d u ，g e ( n e x t r e q u e s tp d u ，s e t r e q u e s tp d u ( b ) g e t r e q u e s t p d u ，g e t n e x t r e q u e s t - p d u ，s e t r e q u e s t p d u ( c ) r e s p o n s e p d u ( d ) t r a p p d u 字段描述 v e r s l o ns n m p 版本 c o m m u n l t v共同体的名字用作s n m p 认证消息的口令 r e q u e s t i d 为每个请求赋予一个唯一的标识符 e r r o r - s t a n l s n o e r r o r ( o ) ，t o o b i g ( 1 ) ，n o s u c h n a m e ( 2 ) ，b a d v a l u e ( 3 ) ，r e a d o n l y ( 4 ) 名e n e r r ( 5 ) e r r o 卜m d e x当e r r o r - s t a t u s 非o 时，可以迸一步提供信息指出哪个变量引起的问题 v a r i a b j e b i n d i n g s 变量名及其对应值清单 e n t e n ) r l s e 生成t r a p 的对象的类型 a g e n t a d d r生成t r a p 的对象的地址 g e n e r l c 。t r a p一般的t r a p 类型：c o l d s t a n ( o ) ，w a m l s t a n ( 1 ) ，l i n k d o w n ( 2 ) ，l i n k u p ( 3 ) ， a u t h e n t i c a t i o n f a i l u r e ( 4 ) ，e g p n e i g h b o r l o s s ( 5 ) ，e n t e r p r i s e s p e c i n c ( 6 ) 鋈蔓奎差鎏主堂堡笙奎 s n m p 协议工作过程如下： s n m p 消息的发送 一般情况下，一个s n m p 协议实体完成以下动作囱其他s n m p 实体发送p d u 1 构成p d u 。 2 将构成的p d u 、源和目的传送地址以及一个共间体名传绘认证服务。认 证服务完成所要求的变换，例如进行加密或加入认证码，然后将结果返 回。 3 s n m p 协议实体将版本字段、共丽体名以及上一步的结果缀合成为一个 消息。 4 。用基本编码规则圆e r ) 对这个颓的a s n 1 的对象编妈，然感传给传输服 务。 s n m p 消息的接收 一般情况下，一个s n m p 协议实体完成以下动作接收一个s n m p 消息 l 。逛行消息的基本句法检查，丢弃非法消息 2 检查版本号，丢弃版本号不匹配的消息 3 s n m p 协议实体将用户名、消息的p d u 部分以及源和西的传输地址传给 认证服务。如果认证失败，认证服务通知s n m p 协议实体，由它产生 个t 拉p 荠丢弃这个消息；如果认证成功，认l 正服务返回s n m p 格式的p d u 。 4 协议实体进行p d u 的基本句法检查，如果非法，丢弃该p d u ，否则利用 共同体名选择对应的s n m p 访问策略，对p d u 进行相应处理。 变量绑定 在s n m p 中，可以将多个同类操作( g e 、s 。t 、t r a p ) 放在一个消息中。如果管 理站希望得到个代理者处的一组标量对象的值，它可以发送个消息请求所有 的值，并通过获取一个应答得至u 所有的值。这样可以大大减少婀络管理的通信负 担。 为了实现多对象交换，联有的s n m p 的p d u 都包含了一个变量绑定字段。 这个字段由对象实例的个参考序列及这些对象的值构成。菜些p d u 只需给斑 江苏大学硕士学位论文 对象实例的名字，如g e t 操作。对于这样的p d u ，接收协议实体将忽略变量绑定 字段中的值。 2 3网络管理中的新技术 2 3 1 基于w e b 的网络管理技术 随着w 曲技术的发展，可以将网络管理和w 曲结合起来。基于w e b 的网络 管理系统的根本点就是允许通过w 曲浏览器进行网络管理，其网络管理模式 ( w b m ：w e b b a s e d m a n a g e m e n t ) 的实现有2 种方式”。第一种方式是代理方式， 即在一个网管工作站上运行w e b 服务器( 代理) ，这个工作站通过s n m p 协议轮 流与端点设备通信，以获取管理数据，浏览器用户则通过h t t p 协议与代理( 网管 工作站) 通信，如图2 4 所示。在这种方式下，网络管理软件成为操作系统上的 个应用于浏览器和网络设备之间的管理软件。在管理过程中，网络管理软件负责 将收集到的网络信息传送到浏览器( w e b 服务器代理) ，并将传统管理协议( 如 s n m p ) 转换成w 曲协议( 如h t t p ) 。 图2 4 基于代理的w 曲管理方式 第二种实现方式是嵌入式，即将w e b 功能嵌入到网络设备中，每个设备有 自己的w e b 地址，管理员可通过浏览器直接访问并管理该设备。在这种方式下， 网络管理软件与网络设备集成在一起。网络管理软件无须完成协议转换，所有的 管理信息都是通过h t t p 协议传送的，如图2 5 所示。 援苏大学硕士学位论文 图2 5 熬于嵌入式的w e b 管理方式 2 。3 。2 基手e o r 8 a 豹秘终警建鼓寒 公共对象请求代理体系结构c o r b a ( c o m m o no b j e c tr e q u e s tb r o k e r a r c h i 抛e u f e ) 是交对象管理组织o m g ( 。b j e e t a n a g e m e 珏蟋嘞定义豹会分东 对象稽互作用的中间软件规范，它采用面向对象技术，为在舜构环境中实现对象 之间的互操作提供支持。在网络环境中，各个对象彼此之间的通信并不需要了解 对方熬位置、实瑷方法等售惠，扶嚣为各类应瘸互操 乍掇供了个公共乎台， 其系统结构如图2 6 所示f ”。 整生置3r 雨眩i 砑 蒜鬻 譬l 嚣f | 溉f 豁蝥| 黼 a 氇内挂 一 垒塑叁攫斋i；参耍瓢 图2 6c o r b a 系统结构 其中对象请求代理( o r b ) 是c o r b a 对象之间的通信中阁件，它使得辔户对 象哥以遴弱逮囱簸务器对象发蹬请袭并获褥藏务，嚣不裱赣予特定静平螽，类镢 于分布式软件总线，是整个系统的核心。对象定义是通过接口定义语言( i d l ) 来 说明操作和数据接鞠的，i d l 提供了对成员系统的封装和成员系统之间的隔离， 经俺成员系统作为一个对象，只绥透过i d 己对其续霉参数送行定义帮谈鹱，就 可以接到o r b 上，为其它系统掇供服务或向熬它系统提出服务请求。这样，所 有的应髑和网元郝被看作是分布式对象，c o r 好a 的功能就邋过这些分布式对象 之淄麴交互来实蕊。公共对象蔽务( c o m m o n 。巧e 。t s e f v i e e s ) 怠摇套控裁对对象懿 蔫妄蠡毒 江苏大学硕士学使论文 接入、对位置更新过的对象进行跟踪、控制对象间的联系等服务，公共设施 ( c o m m o n o b j e c t f a c i l i t i e s ) 包括一组能够根据某魃特定应用的特定要求所配鬣的通 矮应鬟功鼹，这些特定瘟矮毽疑努秘、文件管毽、电子女馋设燕等。对象实现组 件( o b j e c t i m p l e m e n t a t i o n ) 定义了实现c 0 r b a i d l 接口的操作，对象实现可以用 各种编程语言，如c 、c + + 、j a v a 、s m a l l t a l k 簿来编写。客户端组件是调用对象 实现摄馋熬一个程搿名，0 r 蠡孩一0 茺透臻避凌客户凌求健瀵鬻巨蠹对象实现提 供了机制。由i d l 编译器产生的i d l 桩程序和框架程序是客户端和服务器端之 间的静态接口，动态调用接口( d i i ) 允许客户盛接接入o i m 提供的请求机制，而 凄态撵絮菝盈p s i ) 怒耩予鼹务嚣溃懿，它等曩予客户褒懿羚l l 。对象逶黧嚣( 淞) 负责服务对象的注册、对象在服务进程中的激活和去活等功能。o i 也按脚组件 提供各芹中助手( h e l p o r ) 功能，如对缘指针和字符串之间的转换，并且由动态调用 接墨为瀵零翻建参数舞表。贯静g 1 0 p 耱议簸宠了接褥o r 转之阉麓够逶行互操 作的请求格式和传输协议，i i o p 协议为i n t e m e t 指定了标准互操作协议。 2 。3 3 蕊子移动a g e n 豹强终管趱技零 a g e n t 是一个在确定环境中谶续运行、具有自主性的计弹实体。在个移动 a g e n t 系统中，a g e n t 可以在整个嘲络中的各个网元( 移动a g e n t 平台) 上移动。每 个丽元上鄢有一个a g e n t 系统靛控舞接口，遥过它可以控籁a g e n t 在丽元中的接 收和移动，当a g e n t 被接收后，将被提交给安全管理机构，通过其判断此a g e n t 的操作是否合法、确认操作的权限，当通过安全认证后，将交给媚应的a g e n t 执行机褥实现萁最终功能，萁通鬻结稳如图2 7 掰示。 剐光 ( 穆磷 a 嚣n 平台) 蚕2 7 移动a g e n t 静结襁 由于a g e n t 技术所具有的自主移动、自主实现等性能，从而为网络管理的智 能化、照主性、分布式提供了个很好的解决方案，其通常的管理模型如图2 暑 所示。 江苏大学碗学使论文 蓑元磐多二1 未冬 俺麟菘 亳l 喾赛嚣 压自 代 j v m 图2 s 基予移动a g e n t 的潮络管理穰鳖 滢2 湛中，每个被警霹元群c ) 鄱惫含一个运行在，忿缓虚拟橇v m ) 上豹移 动代鹧盖台检溅程瘩( 凇戮，m e d 提供一系裂移动a 瑟e n 捷雩亍粒黢务，移动找 鹳管理器艇c 翰弱予铁移动a g 髓茎达其移蹬或敷漕黢整个生愈期约管理，主要 负责a g e 矬t 故接入控制，并对其访鞠进彳亍权限豹认证、控制葶d 安全管理，迂移设 备( m f ) 用予控制a 嚣n t 谯被管网络单元( n c ) 之间始迁移。通信设备( c f ) 用于本地 和远程的a g e n t 之间的协同工作，虚拟管理组件( v m c ) 用于为a g e n t 访问网元( n c ) 中的被管对象，为保证其实现管理功能提供服务。 一旦个a g e n t 通过了m c m 的安全和权限认证，它就将在j a 、，a 廉拟机 ( j v m ) 的移动代码后台检测程序( m c d ) 上产生一个实例化的线程，魏线程将通过 v m c 作用于被管丽络资源，实现a g e n t 的管理功能，都获敬必黉匏管理数据或 对被管两络资源进行必要静控稍，献而实现网络管理的智能伲、鑫主瞧裙分布式。 2 3 4 c o r b a 与a g e n t 的斛络管理技术 献c o r b a 技术耜a g e n t 技术来看，两者各有掰长，又务有漱貉，籀c 0 船a 技术缺乏鸯主性耘镭髓瀑，孬a g c n t 技术又难强实现对异魏嬲络环壤勰管理，联 以热能将援誊熬缆势结会起来爆予翅终管理，利用c o r b a 技术提供分布式软传 总线的特点为移动a g e n t 提供理想的基础结构支持，利用a g e n 技术实现网络管 理的移动和智轾化，将可以充分利用网络中的计算资源，减轻网络管理人员的工 作压力，提高网络管理的性能。 江苏大学硕士学位论文 2 4网络管理的目录化趋势 目前，经过了十几年的发展，网络的连接已达到了相当的规模。网络延伸使 覆盖面更加广阔，也使得网络中的各种设备在不断增加，网络的拓扑结构日益复 杂。网络结构的这种量的变化必然会引起质的变化，质的变化也就会直接反映到 网络的应用和管理上来。在过去，网络环境比较单一，管理的工作相对较少，可 以采取一对应的简单管理办法。而现在，网络环境复杂化了，网络中的用户和 设备的数量较以前都有显著的增加，许多网络还是多平台的异构环境，仍然沿用 旧的方式就不合理了。因为当采用一一对应的管理办法时，随着网络中对象的增 长，其管理的复杂度是和网络中对象数目的增长成指数幂的关系f 4 【“。 网络将会从网络连接( c o l l l l e c t i o n ) 发展到网络应用和网络管理，在网络中 识别用户的身份( i d e n t i t y ) 变得格外重要。其实目前的网络中不是没有身份识 别，而是网络系统的各个部分中都有一套自己的身份识别系统。比如：操作系统、 数据库和各种应用程序内都能建立自己的身份识别，对用户进入进行鉴别。从一 定的意义上讲，这样做能够保证本应用的身份识别的有效性。但如果有一个新的 应用需要建立时，问题就出现了。要么，它重新建立自己的身份识别过程，这意 味着需要进行一次重复的建设；要么，就要利用其它应用的身份识别过程，可当 它需要与不同应用打交道时，就要为每一个应用建立一个对应的接口。 从管理学角度来看目前的网络管理，由于缺乏有效的身份识别方法，不能在 网络上进行基于策略的管理。 目录服务1 3 1 是从技术的角度定义了人的身份和网络对象的关系。它是规范 网络行为和管理网络的手段。网络目录使得整个网络的资源在逻辑上以单一的视 图呈现出来，使得管理员可以通过统一的、集中的方式对网络上各种类型的资源 进行管理( 当然包括我们这里讲的设备资源) 。 目录是网络系统中各种资源的清单，它保存了网络中用户、服务器、客户机、 交换机、打印机等等的详细信息。同时它还收集了这些资源之间各种复杂的相互 关联关系。目录将能不断地随网络的发展而动态改变。当网络中新增一个资源时， 网络管理员在目录中添加相应的数据对象以及与其它对象和用户的关系。当网络 资源位置移动或更新时，网络管理员只要对相应的目录项进行移动或更新操作。 目录服务为网络管理员提供了一个管理网络的手段，它将网络的实际情况与目录 江苏大学硕士学位论文 一一对应。这样网络管理员对资源的直接管理变成了通过嗣泶服务来避行。用户 与各种资源对象的复杂关系也交给目录服务浓处理。网络发展中量的变化被映射 残嚣泶数据痒魏数爨交诧。嬲络中熬各令子鼹还可以摇定蠢忍爨瓣络餐璎炭管理 本予嗣内的资源一t 级的网络管理员可对下级的网络管理员的权限进行设 置。 援豢辍务褥妻份瞧俦荛嚣蒙中熬一令特定对象来整理。避录霹戬在黉源与瘸 户身份之间建立关联关系，可以灵活分配网络资源和可靠地控制用户的访问权 限。獭网络中的带宽、交换机的端口、i p 地址的资源在目渌中都建立了与用户 身份熬关联关系，藏爵数控毒l 溪户怼这些资深瓣镬矮。嚣暴溅务艉治娄圭| 蠡蝰瑾各 种关联关系，并可以对各种关联必系进行复杂的运算，这商助于实现对网络的策 略管瑷。网络管理掇只需设定网络管理的规则，其它工作都可以交给目淤服务去 完成。不弱豹譬璎黉浓冒逶过不麓熬蔽粼寒实线，遣裁不枣在麓了袋裁蘩令对滔 段或某个部门。而限制整个时间段或所有用户的情况。它带来的最大好处就是可 以使髓录服务执行动态的、富有弹性的管理。翻录服务也可以为网络中的所有应 翅、磷件蠢操佟系绞耱筷统一黪巍份。 熟实目录服务能做到的不止怒这些。它一方面增强了网络的安全性，使网络 置于技术的“秩序”中；另一方面，它丰富了网络应用，带绘人们一个更“美丽的 叛整爨”。嚣录簸务鬟是一静薪熬瓣络愚鏊， 瞧怒凌实孛躲瓣络统一在瓣慕翡旗 帜下。它要求人们用目录的观念来看待网络。许多目前的网络管理的困难在目录 的观念下将“迎刃两解”。 溺际上酶各著鬓软箨厂裔稳继稚窭了网终罄秉羧务弱解决方案。n o v e l 公司 的n d s 是最早的较为成功的范例。微软公司也推出了自己的网络目录解决方案 溜勘目录( a c t i v ed i r e c t o r y ) ，并从其新的操作系统w i n d o w s2 0 0 0 开始，全 葱驮域爝户管瑾摸瀵高霹录管瑗过渡。交数十家鲎赛著名公司缝藏憝转m 夼 ( d i s t r i b u t e dm a n a 譬e m e n tt a s kf o r c e ) 组织于1 9 9 8 年开始制订一个开放的标准： d e n ( d i f e c t o r ye n a b l e dn e t w o r k ) 【1