论文部分内容阅读
[摘要]就网络管理中几种常见的策略分发技术进行较为详细的分析,并对各策略分发功能进行阐述。
[关键词]网络管理 策略分发 协议
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810046-01
基于策略的网络管理中,策略需要分发到被管理的设备中去执行。现在有很多协议可以实现这一功能,如:传统的网络管理中用简单网络管理协议SNMP来实现,这也是目前网络管理系统中运用最广泛的方法;IETF推出一些新的标准协议开放策略服务协议COPS来传输策略;还有通过其它传输协议FTP,HTTP,Telnet等来进行策略的分发。
一、SNMP协议
SNMP是基于TCP/IP的应用层网络管理协议,它使用UDP作为传输层协议,能管理支持代理进程的网络设备。SNMP是适用于互联网络设备的网络管理框架,主要由管理信息结构、管理信息库和SNMP协议组成。基于SNMP的策略分发方法,就是通过SNMP协议,把策略转换为SNMP的相关操作实例,对网络设备进行管理。
网络设备通过SNMP协议接受管理站的策略配置命令,对响应的MIB对象进行更改,并调用底层模块的接口完成配置工作;处理管理站的查询命令,向管理站返回当前配置情况。
SNMP协议历经三个版本。SNMPv3与第一、二版有着较大的区别。在SNMPv3中,SNMP代理和SNMP管理器都被称为SNMP实体,它由SNMP引擎和SNMP应用程序组成。
当把SNMPv3代理用于对特定网络设备管理时,除了实现代理的基本功能和安全机制外,还需将该设备的专用管理信息定义为相应的管理对象,并实现对应的访问例程。当对这些管理对象进行set操作时,通过底层模块提供的接
口对网络设备进行相应的操作,最终把策略分发到网络设备中。
二、COPS协议
COPS是一个RFC4261中定义的应答式协议,用于基于策略的管理协议,它在PDP和PEP之间采用TCP连接,交换策略请求和策略决定。
COPS定义了三个逻辑实体:PDP,PEP,LPDP。其中LPDP备份PDP的决策,当PDP与PEP的连接中断时,LPDP可代替PDP做出决策,保证策略执行的连续性,而PDP具有最终裁决权。PDP与PEP的关系可以看作是服务器与客户机的关系,策略分发采用两种方法PULL、PUSH实现。PULL是PEP向远端的PDP发送配置、更新、删除等请求,PDP收到后,将决策响应回送给PEP,PEP执行相关的操作;PUSH是PDP主动向PEP发送策略,使PEP执行相关的操作。
COPS协议用于策略分发有很多优点:它采用TCP作为传输协议,PEP负责初始一个TCP连接,定时向PDP发送Keep Alive消息,以检验连接的有效性;PEP与PDP之间的通讯基于C/S方式,PDP能够向PEP发送配置信息,并且在不需要的时候删除这些配置信息。
COPS的不足之处是采用TCP连接,从连接建立、数据传输直到解除连接需要一定的时延,当PEP数量较多时容易造成PDP的通信端口拥塞。
三、Telnet协议
Telnet协议是由互联网工程任务组IETF在RFC854中定义的,主要的目的是提供一个相对通用的,双向的,面向八位字节的通信机制。Telnet协议是TCP/IP协议簇中应用最广泛的协议之一,是Internet远程服务的标准协议和主要方式,绝大多数的可远程管理的网络设备都对其提供了较好的支持。它采用TCP作为传输协议,给网络通信提供了可靠的服务。传统的网络管理都是网络管理员通过Telnet协议登录到网络设备中,手工对网络设备进行配置管理。
Telnet协议的主体是由网络虚拟终端、操作协商选项以及协商有限自动机三部分组成。网络虚拟终端可以看作一个能够提供标准的,网络范围的规范终端的中间代表者。一旦一个Telnet连接建立后,通信的两端被假设为在一个“网络虚拟终端”上开始和终止操作。NVT负责本地数据的传输和远端数据的输出。当本地发送数据时,将本地终端的字符表示映射到NVT的字符表示上;当接收数据时,又把NVT的表示映射到本地字符集合上。在定义网络终端设备之后,通信双方即可实现最基本的数据通信。但如果需要在NVT上实现更多的功能,比如回应、识别对端类型或窗口大小等,则需要通过协商完成。Telnet协议进行协商过程中,对于不同的协商方式、命令及协商选项,可以有不同的组合。
但由于Telnet协议采用明文传输通信数据,在管理网和数据传输网没有分开的混杂网络环境下,利用Telnet协议自动分发安全策略有安全的隐患,容易遭到密码嗅探的攻击。目前的可网管网络设备都已经开始支持加密的传输方式,即用SSH来替代Telnet,增强安全性能。
四、SSH协议
SSH协议是IETF所制定的一簇协议,其目的是要在非安全网络上提供安全的远程登录和其它安全网络服务。通过使用SSH,把所有传输的数据进行加密,这样可以防止密码嗅探,IP欺骗等攻击。SSH传输的数据是经过压缩的,可以加快传输的速度。
SSH实现了Telnet协议的全部功能,也是TCP/IP协议簇中的应用,在传输层使用TCP协议,但是在应用层对数据进行了加密。SSH协议工作过程复杂,由传输层协议、用户认证协议层、连接协议层三部分组成。
协议中的命名规则、消息码、加密方法是SSH协议的基础,是三个层次之间的桥梁。SSH协议在使用到特定的哈希算法,加密算法,完整性算法,压缩算法以及密钥交换算法和其他协议时都利用名字来区分,所以SSH协议框架中很重要的一个部分就是命名规则的限定。
SSH传输层协议提供高强度的数据通信加密处理、加密的主机身份认证、数据完整性校验以及数据压缩等多项安全服务。
用户认证协议层用来实现服务器跟客户端用户之间的身份认证,它运行在传输层协议之上。连接协议层的功能是完成用户请求的各种具体网络服务,而这些服务的安全性是由底层的SSH传输层协议和用户认证层协议实现的。由于它给网络通信带来的安全特性,现在的网络设备逐渐支持SSH,SSH协议逐渐取代了Telnet协议。
综上所述,SNMP协议被应用在很多网络管理设备中,但是它固有的缺点使得它难以应用在实时性较高的网络中。COPS协议专用于IETF策略体系结构,由于它完善的标准在2005年才推出,现在的网络设备还不能有效地支持。利用Telnet/SSH协议进行策略分发,是一个传统的方法,既便于实现,也被广泛支持,但是传统的手动配置方式缺乏效率,通过对协议的简化,并把策略数据流与程序绑定实现自动分发,以提高效率。
参考文献:
[1]张延磊、马玉祥,分布式网络管理体系结构的研究[J].电子科技,2005.3.
[2]王群,计算机网络管理技术[M].清华大学出版社,2008.
[3]吴娜、鲁东明、潘云鹤,网络管理技术的研究与发展[J].计算机应用研究,2000.4.
作者简介:
谭宁,男,汉族,淄博职业学院信息工程系,副教授,研究方向:计算机网络。
[关键词]网络管理 策略分发 协议
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810046-01
基于策略的网络管理中,策略需要分发到被管理的设备中去执行。现在有很多协议可以实现这一功能,如:传统的网络管理中用简单网络管理协议SNMP来实现,这也是目前网络管理系统中运用最广泛的方法;IETF推出一些新的标准协议开放策略服务协议COPS来传输策略;还有通过其它传输协议FTP,HTTP,Telnet等来进行策略的分发。
一、SNMP协议
SNMP是基于TCP/IP的应用层网络管理协议,它使用UDP作为传输层协议,能管理支持代理进程的网络设备。SNMP是适用于互联网络设备的网络管理框架,主要由管理信息结构、管理信息库和SNMP协议组成。基于SNMP的策略分发方法,就是通过SNMP协议,把策略转换为SNMP的相关操作实例,对网络设备进行管理。
网络设备通过SNMP协议接受管理站的策略配置命令,对响应的MIB对象进行更改,并调用底层模块的接口完成配置工作;处理管理站的查询命令,向管理站返回当前配置情况。
SNMP协议历经三个版本。SNMPv3与第一、二版有着较大的区别。在SNMPv3中,SNMP代理和SNMP管理器都被称为SNMP实体,它由SNMP引擎和SNMP应用程序组成。
当把SNMPv3代理用于对特定网络设备管理时,除了实现代理的基本功能和安全机制外,还需将该设备的专用管理信息定义为相应的管理对象,并实现对应的访问例程。当对这些管理对象进行set操作时,通过底层模块提供的接
口对网络设备进行相应的操作,最终把策略分发到网络设备中。
二、COPS协议
COPS是一个RFC4261中定义的应答式协议,用于基于策略的管理协议,它在PDP和PEP之间采用TCP连接,交换策略请求和策略决定。
COPS定义了三个逻辑实体:PDP,PEP,LPDP。其中LPDP备份PDP的决策,当PDP与PEP的连接中断时,LPDP可代替PDP做出决策,保证策略执行的连续性,而PDP具有最终裁决权。PDP与PEP的关系可以看作是服务器与客户机的关系,策略分发采用两种方法PULL、PUSH实现。PULL是PEP向远端的PDP发送配置、更新、删除等请求,PDP收到后,将决策响应回送给PEP,PEP执行相关的操作;PUSH是PDP主动向PEP发送策略,使PEP执行相关的操作。
COPS协议用于策略分发有很多优点:它采用TCP作为传输协议,PEP负责初始一个TCP连接,定时向PDP发送Keep Alive消息,以检验连接的有效性;PEP与PDP之间的通讯基于C/S方式,PDP能够向PEP发送配置信息,并且在不需要的时候删除这些配置信息。
COPS的不足之处是采用TCP连接,从连接建立、数据传输直到解除连接需要一定的时延,当PEP数量较多时容易造成PDP的通信端口拥塞。
三、Telnet协议
Telnet协议是由互联网工程任务组IETF在RFC854中定义的,主要的目的是提供一个相对通用的,双向的,面向八位字节的通信机制。Telnet协议是TCP/IP协议簇中应用最广泛的协议之一,是Internet远程服务的标准协议和主要方式,绝大多数的可远程管理的网络设备都对其提供了较好的支持。它采用TCP作为传输协议,给网络通信提供了可靠的服务。传统的网络管理都是网络管理员通过Telnet协议登录到网络设备中,手工对网络设备进行配置管理。
Telnet协议的主体是由网络虚拟终端、操作协商选项以及协商有限自动机三部分组成。网络虚拟终端可以看作一个能够提供标准的,网络范围的规范终端的中间代表者。一旦一个Telnet连接建立后,通信的两端被假设为在一个“网络虚拟终端”上开始和终止操作。NVT负责本地数据的传输和远端数据的输出。当本地发送数据时,将本地终端的字符表示映射到NVT的字符表示上;当接收数据时,又把NVT的表示映射到本地字符集合上。在定义网络终端设备之后,通信双方即可实现最基本的数据通信。但如果需要在NVT上实现更多的功能,比如回应、识别对端类型或窗口大小等,则需要通过协商完成。Telnet协议进行协商过程中,对于不同的协商方式、命令及协商选项,可以有不同的组合。
但由于Telnet协议采用明文传输通信数据,在管理网和数据传输网没有分开的混杂网络环境下,利用Telnet协议自动分发安全策略有安全的隐患,容易遭到密码嗅探的攻击。目前的可网管网络设备都已经开始支持加密的传输方式,即用SSH来替代Telnet,增强安全性能。
四、SSH协议
SSH协议是IETF所制定的一簇协议,其目的是要在非安全网络上提供安全的远程登录和其它安全网络服务。通过使用SSH,把所有传输的数据进行加密,这样可以防止密码嗅探,IP欺骗等攻击。SSH传输的数据是经过压缩的,可以加快传输的速度。
SSH实现了Telnet协议的全部功能,也是TCP/IP协议簇中的应用,在传输层使用TCP协议,但是在应用层对数据进行了加密。SSH协议工作过程复杂,由传输层协议、用户认证协议层、连接协议层三部分组成。
协议中的命名规则、消息码、加密方法是SSH协议的基础,是三个层次之间的桥梁。SSH协议在使用到特定的哈希算法,加密算法,完整性算法,压缩算法以及密钥交换算法和其他协议时都利用名字来区分,所以SSH协议框架中很重要的一个部分就是命名规则的限定。
SSH传输层协议提供高强度的数据通信加密处理、加密的主机身份认证、数据完整性校验以及数据压缩等多项安全服务。
用户认证协议层用来实现服务器跟客户端用户之间的身份认证,它运行在传输层协议之上。连接协议层的功能是完成用户请求的各种具体网络服务,而这些服务的安全性是由底层的SSH传输层协议和用户认证层协议实现的。由于它给网络通信带来的安全特性,现在的网络设备逐渐支持SSH,SSH协议逐渐取代了Telnet协议。
综上所述,SNMP协议被应用在很多网络管理设备中,但是它固有的缺点使得它难以应用在实时性较高的网络中。COPS协议专用于IETF策略体系结构,由于它完善的标准在2005年才推出,现在的网络设备还不能有效地支持。利用Telnet/SSH协议进行策略分发,是一个传统的方法,既便于实现,也被广泛支持,但是传统的手动配置方式缺乏效率,通过对协议的简化,并把策略数据流与程序绑定实现自动分发,以提高效率。
参考文献:
[1]张延磊、马玉祥,分布式网络管理体系结构的研究[J].电子科技,2005.3.
[2]王群,计算机网络管理技术[M].清华大学出版社,2008.
[3]吴娜、鲁东明、潘云鹤,网络管理技术的研究与发展[J].计算机应用研究,2000.4.
作者简介:
谭宁,男,汉族,淄博职业学院信息工程系,副教授,研究方向:计算机网络。