策略管理服务器分析研究 计算机专业

3.3.3策略管理服务器（PDP）由图3-3模型总体结构可以看出，策略管理服务器和传统网管服务是核心，管理服务器的运转效率有着更高的要求，建议使用如图3-2的组织分布关联性比较弱的服务组织结构，PDP对各网络实体实现基于域的控制和管理，也可对分布式环境下的PDP进行相互冗余备份，在本域PDP出现故障时由备份PDP接收管理权限。这样，才能保证策略读取的高效运转模式。策略管理服务器的工作过程如下：（1）与PMT的交互策略管理服务器在接受PMT输入的无语法和语义错误的策略后，首先进行策略的静态冲突检测，确保在同一用户行为事件即相同策略条件下只存在一条适合的策略。符合要求，则存入策略信息库，否则，PMT向报警；另外，策略管理服务器要负责用户行为事件处理的全过程，对处理的用户行为事件和未处理事件进行记录，存入数据库，出现未处理事件时要向PMT进行报警提示。如出现需要立即处理的影响较严重的未处理的用户行为事件，允许管理员编辑策略立即下发执行。（2）与PR的交互对于经过静态冲突检测的策略，以合适的形式存入策略信息库；同时，接受的策略请求，做出策略决策，向策略信息库提取相应策略。（3）与PEP的交互接受PEP的策略信息加工区，对使用的用户的行为进行相应的策略决策的分析，并匹配相应的网络用户行为做出策略决策，马努不同条件的策略决策的要求，跟踪策略发展的结果并进行实时的日志式样记录，园区网中，目前存在着大量的传统网络设备和网管系统，它们是基于SNMP协议进行信息交互的，要实现基于COPS协议的策略管理，必须得有一个过渡。这就要求策略管理服务器不仅要能够与支持COPS协议的PEP设备相互通信，还要能够与传统网管设备和系统通信，这就要以增加策略服务器的工作量为代价来实现，在策略管理服务器中要增加一个策略信息转换器的功能模块，如图3-6所示。通过策略信息转换器，策略服务器可以向PEP发送SNMP查询信息，知道该设备及版本是否支持COPS协议。对于支持COPS的设备，策略信息流沿图中左侧线路流动；如果设备不支持COPS协议，则策略信息转换器作为中间件代PEP向策略管理服务器提出策略申请并对策略执行情况做出信息反馈，同时将下发的策略信息翻译为可接收的SNMP信息。一定意义上，策略信息转换对于策略管理发展有着关键的意义和作用，实现的是多条件和功能时间的完美连接要充分的利用已经搜集呃策略基础信息和传统的网管技术实现对用户的行为的分析和研究，并作出相应的策略。如下图所示以上的内容演示，策略管理服务实现的是策略的数据验证，决策计划的产生，决策结果的数据分析和策略的解释和演化过程的主要部分。通过LDAP协议与策略信息库进行交互，存取策略信息；并通过COPS协议或SNMP协议与PEP进行交互，交换策略信息和反馈息。策略服务器的用户行为综测的事件管理流程如下：3.3.4策略管理服务器（PEP）总体来说，策略执行的作用机制在于策略的解释和转化，在不同的环境下对于决策的上层机制的策略内容进行转换演示，并根据已经搜集到的综测的信息进行对用户的网络行为的分析，将上层的策略信息进行及时有效的翻译，同时将配置的结果翻译成用户自身所能解释的配置设备，从而可以做到的是翻译与识别信息，将已经综测产生的结果进行数据库呃上报，策略服务器得到了上报的信息后进行反馈的信息处理，并做出相应的日志的记录。在这个过程中，关键的信息的收集需要的是地区的网元的支持，这需要在传统的信息收集系统中增加识别自己系统和配置的操作，将策略的信息转化为面向具体网络网络的配置，因此，实现策划转化的功能，在传统的网络设备中，大部分不会支持这样的定制的策略，如下图，可以看到的其中的应用结构，但是如果不支持这样的网元策略的调整，就需要另外的增加网元进行策略的抽象意义的信息解释。网络设备和系统只识别符合自己系统和版本的配置和操作命令，网络设备只有通过策略执行点将策略信息转化为相应的、面向具体网络设备的配置和操作命令，才能将定制的策略得以实现。因此，PEP必须具有策略转化的功能。但是在传统网络设备中，大都是不支持PEP的，其结构如图3-9所示。对于不支持PEP功能的网络设备，则需要增加一个策略代理的抽象层次。3.4本章小结本章着重的是对策略网络运行管理的综合介绍，主要构建的模型是基于策略的网络管理系统，对传统的网络管理系统和策略意义上的网络管理进行高效化和自动化的处理模型，同时也对模型的实施和发展提出了相关的问题和解决的措施，也提出了一些的构建的难点，着重的发展接下来的研究关键，在之后的章节中，对模型的实现又进行了技术性的升级和内容的填充。模型实现相关技术研究本章主要依据系统模型的结构设计和功能设计，来实现模型相关技术的进一步归纳和总结。如今绝大多数网络和现代策略管理不一致，所以现阶段要实现完全基于策略的网络管理的过渡是不现实的。第4章主要是将策略管理模型和基于用户行为的网络管理系统有机地结合在一起，为完成网络管理自动化，及时处理网络异常提供理论依据，同时为后续研究提供一定的理论基础。4.1策略描述及存储系统实现的成败和运行过程中的工作效率主要取决于策略定义和描述的好坏，另外运用合适的策略存储也是可以为策略的查询与匹配等存取操作加速的。4.1.1策略定义要说整个模型最重要的概念和元素那应该就是策略了，因为整个模型的数据流动都是围绕着策略的。因此，对模型实现的成败及效率来说策略定义的好坏起了决定性作用，所以一个好的策略定义在整个模型系统中起着十分重要的作用，第三章对策略的定义如下：策略是模型运行中最重要的数据流，由策略管理工具编辑输入，储存在策略信息库中，通过策略管理服务器下发，通过策略执行点执行具体的设备配置命令，此命令是由策略转化的，通过这些操作来实现网络管理这一目的。整个模型的中心运行是以策略信息流为主的。在管理中，我们通过对策略信息库中的策略进行分类整理来使管理更方便。一般的属性主要包括策略的标识、类型、名称、条件、内容、最新编辑时间、执行体以及描述和附加信息。在本文中策略的定义以元组的形式出现:其中，系统当中的网元便是策略执行体。策略的类型、条件、内容等也可以有属于自己的属性参数。4.1.2策略描述在不同目标的基础上，多种不同的策略描述规范已被国内外多种研究机构和人员提出，如贝尔实验室的PDL策略描述语言，英国皇家学院的PONDER语言和惠普实验室Rei的策略描述语言。文献分析策略的组成元素，提出了一种基于策略主要元素ECA（EnforcementObject，ControlledObject，Action）的策略描述语言，语言简单实用，实现了大规模的网络环境下不同网络安全设备策略描述的统一，但这其中通用的语言规范标准依旧是很不足的，它的缺点主要体现在同时统筹策略描述语言的表达能力和数据交互性以及其可扩展性和转换性的实现较困难。如今对策略信息的表达方式有许多，比如KAoS、Ponder、PFDL、XACML、Rei等。它们有一个共同的不足之处，就是都执着于解决特定领域的策略信息描述，不具备优良的扩展性和推广性。XML语言作为一种数据描述语言存在，逐渐成长Internet上数据表示和数据交换的一个新标准。它的敏捷性和标准性使其具备强大的数据表达能力。本文引入XML作为策略描述语言，是因为它的很多特性与策略描述语言的要求相符合。如下表所示。将XML作为策略描叙的语言，扩充了描叙策略的领域同时使得系统使用更为普遍，其中数据是运用了目录服务器存储提高了访问效率，两者之间的数据交换是利用DSML实现的这显示了简洁性和易实现性。另外，由于策略管理图形界面的需求，体制中可以PMT与策略管理服务器之间加一个中间插件，XML解析器，PMT与XML解析器之间通过HTTP通讯机制实现通讯。XML解析器作为PMT的一个功能模块存在，而不加在策略服务器上，尽量减少策略服务器的工作负荷。因此有多少个管理平台，就有多少个XML解析器，如图4-1。利用XML文档很容易构造出标准的策略描述，利用自定义的DTD文件或XMLSchema文件和XML文件进行对照，可以对XML文档的有效性进行验证。根据策略定义，XML语言定义策略的表达形式如图4-2所示。下面主要看一下对于一个园区网常见用户的网络举动应该如何进行策略描述。IP地址为59用户机器遭遇某孺虫病毒袭击，在网关54对此病毒进行控制。配置命令为：aclnumber100ruledenytcpsourceanydestinationanydestination-port390:4200结合本文策略定义，用语言描述策略为：4.1.3策略存储IETF定义的策略框架采用策略信息库（PR）存储管理员制定的策略规则信息，PR可以是目录服务器或关系数据库服务器。两者相比目录服务器的特点主要是数据输出效率髙、数据输入效率低，由于在策略的网络管理的实际应用中，通常情况下，来回制定和删改策略的次数与从PR中提取策略相比要少得多，更有可能达到一次制定多处运行的效果。其用目录服务器存储策略更合适的另一原因便是是读操作多、写操作少的这一特点，另外用目录服务器存储策略信息也是IETF所建议的标准。XML的可扩展性使其成为一种描述数据结构的有力工具，尤其适合表述数据格式未知的半结构化数据，自描述性使得XML所描述的数据拥有与以上的独立性和稳定性。XML的适合表现数据结构和语义特点使其广泛流行，也很自然地得到了各方支持。目前，各种数据库系统提供的XML支持主要用来方便XML文档在数据库中的存储，数据库中数据与XML的相互转化。考虑到LDAP目录存储服务器实现的复杂性和原系统的兼容性，以及传统关系数据库对XML的支持，本文用传统关系数据库来存储策略信息。XML与数据库的关系主要是数据在两者之间的转移以及XML文档结构与数据库结构之间的映射。由于XML从本质上讲是树形层次性的，而大多数现有的数据库系统都是关系型的，因此两者之间进行映射时要设计好适当的转换算法。在本文中，对XML语言描述的策略信息进行了设计简化，将节点属性统一转化为次级节点；策略信息的表示也只进行到根节点、父节点和子节点三层，因此转换算法的设计也较为容易。XML文档转换为数据库表的基本步骤如下：=1\*GB3①取XML文档②文档层次结构分析③映射为数据库表记录转换模型如图4-4所示。OpenXML是SQL关系数据库提供的通过XML文档提供行集视图，也可以实现数据转换，是一个行集提供程序。若要使用其编写对XML文档转换为数据库表表级，首先必须调用SQL的系统存储过程sp-xml-preparedocum，以分析XML文档并返回准备使用的已分析文档的句柄。已分析文档是XML文档中各种节点元素、特性、文本、注释等等的树形表示法。文档句柄传递到OpenXML，然后OpenXML根据传递给它的参数提供文档的行集视图。OpenXML被用来提取XML文档的任何一部分，并把它当作一个表格，然后可以用SELECT语句和INSERT语句或自定义的存储过程实现XML文档数据的数据库表结构存储。根据本文策略信息的XML结构描述，产生关系模式的算法：①对每个复杂元素创建一个表记录及主键列②对于每个简单子元素在表中建立一个属性列③对于子元素，如果是可选的，则允许该列为空值④对于每个复杂子元素，通过主外键实现父表与子表的联接⑤对于文档与表记录，通过表中增加一个列属性实现文档与表记录之间的联系XML文档中的策略信息经过算法转换为策略信息表、条件表以及网元表三个表中的记录。即每一个策略信息文档都将产生与之一一对应的策略信息表、条件表和网元表中的三条记录。表结构在下一章的策略信息库的实现中会进行系统的讲解。本文是利用SQL对XML的支持实现XML文档的存取。使用SQL自带存储过程分析文档层次结构，再通过OpenXML实现对XML文档中数据的数据库表级转换，并存储到SQL关系数据库中。从策略信息的数据输入到数据库信息的存储具体流程如图4-5所示，管理者登录界面，输入数据经XML解析器模块转换成.xml文件，经.xsd文件验证通过后，再转换为数据库中表级数据，再经策略信息查询与验证，存储于SQL数据库，此过程完成策略的描叙、转换与存储，并在实现安全性检查等其他功能。此后，一条策略信息对应一个XML文档和三条表记录。在策略信息存储后，也可以对策略信息进行查询、修改和删除。对策略信息进行修改的过程大致如图4-6所示：在整改策略时，管理员通过策略搜索的条件来查询与之相关的表的记录，为实现各表记录与策略信息的XML文档两者之间的联系可以在表中设置一列属性。可以通过先搜索此列属性同时查看原策略信息再决定是否需要修改。4.2策略层次及翻译策略的表现形式在不同的抽象级别下是不同的，但其最终所要转换的网络配置及操作命令都要是网络管理设备可以识别的。这也是策略翻译的功能所在，策略翻译的功能便是将策略信息库中储存的策略信息转换为具体的网络配置及操作命令信息。4.2.1策略分层的必要性园区网的典型代表是大学校园网。校园网的结构较复杂，使用人群众多，特点十分鲜明：第一，设备大量不同，比如交换机、路由器、防火墙、服务器、电源系统等一系列设备，而且这些设备的原理功能都不尽相同、设备的管理系统和指令系统也存在差异。第二，设备供应商较复杂，校园网使用人群各异，需求也不一样，园区网里的厂商常常使用了不同的实现方法、数据格式、系统管理软件和不同的命令系统版本的同类型设备。对于这种种类不同、厂商各异、软件系统也不一样的设备，只有通过策略的抽象与分层才可能实现统一制定策略，多处运行。基于策略的网络管理致力于实现网络管理的简单化和自动化，把网管人员从繁琐的管理工作中解放出来。其核心思想是提供相应的方法和技术能够将管理员的管理思想和意志在网络管理中得以表达，实现从“管理策略的提出”到“网络设备规则的执行”，以此提高管理效率，减轻网络管理工作的负担。从网络分析与设计角度来看，管理策略实际上体现了网络管理者对网络设备的控制要求，但这种要求往往是与具体设备的实现是不直接关联的，这就需要管理策略到具体网管命令的一系列转化。4.2.2策略分层优化网络带宽，有效资源分配，确保网络正常稳定运行是策略的网络管理的总目标和任务。具体而言，策略是一套准则，一系列的条件和动作组成了一条条策略，经过系统的网络设备的命令配置来实现网络管理的目的。但站在不同的角度，策略的形态也会有变化。普遍运用于电信领域网络管理的TMN分层体系结构主要分为四个层次，这四个层次都有其各自所侧重的方向同时它们又是互相关联的其由底至上依次是：网元管理层（EML）、网络管理层（NML）、业务管理层（SML）和商务管理层（BML）。这个体系结构把管理功能需求分解为不同的层次，每层相对独立，通过分层实施的管理功能、由下至上的信息综合来实现对电信网的管理。在新的电信运营环境下，TMF提出了一种以TMN的分层结构为指导、结合自上而向下逐层剖析的商务设计准则，将客户管理、业务运作和网络管理融合为一体的电信企业运营管理处理方式。它提出了NGOSS（下一代运营软件和系统）体系结构，该系统结构的四个视点：（1）商务视点：分解商务管理目标和流程、定义需求模型；（2）系统视点：设计逻辑系统构架、定义上下层通信接口、建立数据模型；（3）实现视点：对特定技术进行实现、验证过程；（4）运行视点：对系统进行部署和运行各个系统发展之间存在必然的联系和关系，且每个环节是对应发展的。TMF认为，网络管理系统中的策略实际上是一个“统一体”。各层策略并不冲突，而是相辅相成的，只是具有不同层次的抽象，各层之间通过建立数据通信接口实现从一个抽象层次的策略到另一个抽象层次的策略的映射。在产品中，已经实现基于策略的网管系统从全局策略到具体设备相关配置的策略翻译机制。这个策略“统一体”具有个抽象层次，如图4-7右侧所示。从图4-7可以看出，TMF策略“统一体”的分层思想，把策略分为五层，在不同层次策略有不同的表现形式，每一底层策略都为上层策略的提供支撑，每一上层策略都通过下层策略得以实现。策略在商务视点下表现为网络管理需求即一个自然语言的子集；系统视点所得到的语言包含的对应信息是通过接受自然语言形式的下的商务策略同时进行分解而得到的；网络视点是比较关键的，其管理设备的方式是要把具体信息准确的翻译成一组与设备无关的规则集合从而进行管理；并运用这些规则集合，提取相应的管理设备类型、版本等参数，将网络视点下的策略规则转换成与特定的管理设备相对应的策略规则这便是设备视点；实例视点则是设备视点的某个具体实现，产生一些自动执行的程序同时将这些规则安置到需要管理的网络设备。商务视点和系统视点的实现主要是通过策略服务器上的网络视点和设备视点。虽然各层都是独立的，但对于园区网的网络管理来说只要对策略转换的层次清楚各层功能相对独立，也便于修改和移植，那么最终是能够转化为对网络设备的管理的，各视点下的策略的表现形式。由于商务视点的表达形式是自然语言的子集，因此这个子集应该要能够充分传达网络管理者的控制需求，同时使普通用户可以理解，即从商务视点来看，管理要求被策略明确的描述了。从系统视点来看，商务视点与网络视点的衔接便是它，同时这也是对商务视点的进一步转化，是对商务策略的分解消化，具体对应的信息通过文字描述的形式获得。从网络视点来看，策略是，用来管理、控制对网络资源的访问，改变网络的运行状态，消除或减弱异常网络行为的一组规则的集合。策略操作所使用的方法和技术不仅要在设备的具体实现上独立，而且要在各种联网设备中能得到支持，使得在设备视点上可以做进一步的转换。其主要包括使用控制使用的端口、对端口速度进行限制、或对数据包进行过滤等方法和技术。上图4-8和4-9给出了不同视点下的策略表达形式。从图4-7和图4-8、4-9中可以看出，结合策略描述，在进行基于策略的实现时，比如策略编辑、存储、转化和执行，策略抽象与实现是从网络视点至实例视点的一系列操作和转换。，商务视点和系统视点下的策略表示形式在园区网网络管理中是在网络设计规划书的纸面策略，经过网络视点、设备视点和实例视点下的策略使这两层抽象策略得以体现和实现。底层三种视点下的策略表示形式才是真正能在网络管理系统中得以表示、存储和执行的。经过策略转化和翻译之后，能在具体的网络设备上形成具体配置指令并加以实行使储存到策略库中的策略是类似网络视点的宏策略，是统一的策略。4.2.3策略翻译的实现怎么实现策略的进一步变革和发展，怎么样才能在不同的网络设备上执行一样的任务，这就是其发展主要面对的问题。在进行总体设计之前，抓哟按照文本的设置类型和形式进行分析和研究主要的含义是；定义4-1策略翻译：将统一描述的策略转换为具体网络管理设备上可识别的操作配置的过程。定义4-2词法库：存储关键字与策略属性转换表的数据库。定义4-3语法库：存储不同设备类型中策略的语法规范的数据库。其实这些技术在许多的软件和系统中都有釆用，比如iptables防火墙的关键字缩写，SQL数据库中各中创建对象的语法规范等等。参照iptables防火墙为例，设计如表4-2所示。语法库主要适用于不同版本的系统和语法发展程序之中，并且为每个系统版本的执行系提供某些方面的支持和帮助，主要的设计图是如表4-3所示。所以，在系统发展之中必须增添必要的语法库和信息库，执行点通过策略发展和代理发展的种种程序，在统一服务器的管理和设计之下，融合了服务器的种种优点和长处，进行各种语法的进一步分析和研究，最终形成了一个统一操作的程序额命令。融合了各种行为和方式，最后的工作原理就是如图表所示。4.3策略冲突检测策略检测涉及到形式化发展和冲突发检测等等化解之中。而且表现形式多种多样，这也是我们长期工作的中心和主导。4.3.1策略冲突定义IETF在RFC3198对于策略冲突进行了详细的归纳和只能归结，采用多种方式对于策略进行分析但是最终的动作无法得以满足，这就促使执行动作不明确具体的工作流程，粗我是多个流程在发展之中出现较多的问题。策略冲突具备多种表现方式，可以进行明确的分类和总结。在很多运用方面主要是利用研究的意义进行分析和实验，通过这种方式来决定整个冲突的方法额方式。通常而言，策略冲突具备多种表现方式，扎哟可以将其划分为动态模式和静态模式两种。（1）静态冲突：静态冲突也称模态冲突或语义冲突。静态冲突就是策略在制定以后，向策略信息库存储时，就与库中存在的策略发生冲突。静态冲突是一种显示冲突，在静态时就应予解决。（2）动态冲突：动态冲突蕴藏着巨大风险，在策略执行和发展过程种出现的所有程序之中都是这样的，这就促使网络设备在一定的条件之下和其他的程序发生矛盾。发生这种情况就需要我们对其进行监督和管理，这种冲突规范在本质上并不存在矛盾和分歧，而是经过必要的处理程序之后才出现这种情况。4.3.2策略冲突检测分类策略冲突涉及到策略生命发展的每个阶段，包括其编辑和侧漏等等方面。策略冲突形态可以将其划分为；（1）策略有效性检测有效性检测也可以叫做语法监督和管理，按照另一种层面而言，也不能将其作为策略冲突检测，但是有效的测量检测方式可以促使整个项目顺利发展，比姑且给予适当的保障和维护。在进行策略编辑时，策略编辑子模块必须对于整个模块发展的效益进行衡量和检检查，这就是所谓的检查所定义策略。主要涉及内容有各条件参数的取值区间是否超过管理员的限制、策略中各字节关于ID的赋值是否为数字序列的字符串、IP地址如源地址或目标地址的取值及其它的网络地址每个字节是否都是之间的数字和端口号是否为符合要求的整数等。（2）策略静态冲突语义冲突检测也可以将其较为静态发展策略，经过一定的检测程序对于各种信息库资料进行主权虐的检查和核对，一个用户仅仅只能对于一个网络行为进行定义和检测，简单地说就是一样的策略条件仅仅和之后的序列一致。语义冲突和之前的信息困之间存在着某些必然的联系。利用语义冲突检测，针对用户不一样的行为进行检测。（3）策略动态冲突动态冲突主要是指同一种策略之发生的种种矛盾。动态冲突是蕴藏着巨大的危险，和策略编辑具备不一样的表现形式。动态冲突，主要是指在不同的环境之下获取的满足感，儿且这种满足感之间存在着某些必然的联系和差别。动态冲突主要指策略之间相互交叉产生的各种冲突和矛盾。策略交叉冲突：当多种以上的条件得到满足和发展的时候，策略就很有可能激发，那么策略的整个动作之间存在某些方面的作用和冲突，就会促使策略交叉冲突。这样就会增加策略的实际时常，从而促使整个设备发展处于混乱的局面，而且这种矛盾只有在特定的程序之中不会被揭示。策略覆盖冲突：就是因为策略之中各种数据材料不具备一定的完整性和全面性，出现这种情况的同时就必须明确该种策略之间存在着某些必然的联系和区别。这就会促使出现这种局面而且不一样的策略条件之间存在某些必然的关系和区别，很有可能会存再联系。策略有效性冲突主要利用语法策略进行解决和判断；策略语义冲突主要是利用原有的策略进行设计和安排，促使整个策略发展比统一和全面，这就是其发展面对的主要问题和难题。但是策略动态冲突到时候会存在某些必然的关系，也会存较大的冲突和矛盾，这也是其不可避免的，本文接下来主要对于这一方面进行了分析和研究。