网络管理中的策略分发技术分析.docVIP

网络管理中的策略分发技术分析 　　[摘要]就网络管理中几种常见的策略分发技术进行较为详细的分析,并对各策略分发功能进行阐述。 　　[关键词]网络管理 策略分发 协议 　　中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810046-01 　　 　　基于策略的网络管理中,策略需要分发到被管理的设备中去执行。现在有很多协议可以实现这一功能,如:传统的网络管理中用简单网络管理协议SNMP来实现,这也是目前网络管理系统中运用最广泛的方法;IETF推出一些新的标准协议开放策略服务协议COPS来传输策略;还有通过其它传输协议FTP,HTTP,Telnet等来进行策略的分发。 　　 　　一、SNMP协议 　　 　　SNMP是基于TCP/IP的应用层网络管理协议,它使用UDP作为传输层协议,能管理支持代理进程的网络设备。SNMP是适用于互联网络设备的网络管理框架,主要由管理信息结构、管理信息库和SNMP协议组成。基于SNMP的策略分发方法,就是通过SNMP协议,把策略转换为SNMP的相关操作实例,对网络设备进行管理。 　　网络设备通过SNMP协议接受管理站的策略配置命令,对响应的MIB对象进行更改,并调用底层模块的接口完成配置工作;处理管理站的查询命令,向管理站返回当前配置情况。 　　SNMP协议历经三个版本。SNMPv3与第一、二版有着较大的区别。在SNMPv3中,SNMP代理和SNMP管理器都被称为SNMP实体,它由SNMP引擎和SNMP应用程序组成。 　　当把SNMPv3代理用于对特定网络设备管理时,除了实现代理的基本功能和安全机制外,还需将该设备的专用管理信息定义为相应的管理对象,并实现对应的访问例程。当对这些管理对象进行set操作时,通过底层模块提供的接 　　口对网络设备进行相应的操作,最终把策略分发到网络设备中。 　　 　　二、COPS协议 　　 　　COPS是一个RFC4261中定义的应答式协议,用于基于策略的管理协议,它在PDP和PEP之间采用TCP连接,交换策略请求和策略决定。 　　COPS定义了三个逻辑实体:PDP,PEP,LPDP。其中LPDP备份PDP的决策,当PDP与PEP的连接中断时,LPDP可代替PDP做出决策,保证策略执行的连续性,而PDP具有最终裁决权。PDP与PEP的关系可以看作是服务器与客户机的关系,策略分发采用两种方法PULL、PUSH实现。PULL是PEP向远端的PDP发送配置、更新、删除等请求,PDP收到后,将决策响应回送给PEP,PEP执行相关的操作;PUSH是PDP主动向PEP发送策略,使PEP执行相关的操作。 　　COPS协议用于策略分发有很多优点:它采用TCP作为传输协议,PEP负责初始一个TCP连接,定时向PDP发送Keep Alive消息,以检验连接的有效性;PEP与PDP之间的通讯基于C/S方式,PDP能够向PEP发送配置信息,并且在不需要的时候删除这些配置信息。 　　COPS的不足之处是采用TCP连接,从连接建立、数据传输直到解除连接需要一定的时延,当PEP数量较多时容易造成PDP的通信端口拥塞。 　　 　　三、Telnet协议 　　 　　Telnet协议是由互联网工程任务组IETF在RFC854中定义的,主要的目的是提供一个相对通用的,双向的,面向八位字节的通信机制。Telnet协议是TCP/IP协议簇中应用最广泛的协议之一,是Internet远程服务的标准协议和主要方式,绝大多数的可远程管理的网络设备都对其提供了较好的支持。它采用TCP作为传输协议,给网络通信提供了可靠的服务。传统的网络管理都是网络管理员通过Telnet协议登录到网络设备中,手工对网络设备进行配置管理。 　　Telnet协议的主体是由网络虚拟终端、操作协商选项以及协商有限自动机三部分组成。网络虚拟终端可以看作一个能够提供标准的,网络范围的规范终端的中间代表者。一旦一个Telnet连接建立后,通信的两端被假设为在一个“网络虚拟终端”上开始和终止操作。NVT负责本地数据的传输和远端数据的输出。当本地发送数据时,将本地终端的字符表示映射到NVT的字符表示上;当接收数据时,又把NVT的表示映射到本地字符集合上。在定义网络终端设备之后,通信双方即可实现最基本的数据通信。但如果需要在NVT上实现更多的功能,比如回应、识别对端类型或窗口大小等,则需要通过协商完成。Telnet协议进行协商过程中,对于不同的协商方式、命令及协商选项,可以有不同的组合。 　　但由于Telnet协议采用明文传输通信数据,在管理网和数据传输网没有分开的混杂网络环境下,利用Telnet协议自动分发安全策略有安全的隐患,容易遭到密码嗅探的攻击。目前的可网管网络设备都已经开始支持