摘要:本文首先介紹了WBM(基于WEB 的網(wǎng)管系統(tǒng)管理模式) 的三層體系結(jié)構(gòu)算法,然后介紹了網(wǎng)管系統(tǒng)的體系結(jié)構(gòu),最后闡述了網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)算法的實(shí)現(xiàn)過程。本文根據(jù)實(shí)際的應(yīng)用情況提供了一定的改進(jìn),增強(qiáng)了系統(tǒng)對(duì)網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)發(fā)現(xiàn)能力。

關(guān)鍵詞:網(wǎng)絡(luò)管理 網(wǎng)間控制報(bào)文協(xié)議(ICMP)WBM

引言

隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終。

網(wǎng)絡(luò)安全管理的目的就是確保一定范圍內(nèi)的網(wǎng)絡(luò)及其網(wǎng)絡(luò)設(shè)備能夠穩(wěn)定、可靠、高效地運(yùn)行,使所有的網(wǎng)絡(luò)資源處于良好的運(yùn)行狀態(tài),達(dá)到用戶預(yù)期的要求。過去有一些簡(jiǎn)單的工具用來幫助網(wǎng)管人員管理網(wǎng)絡(luò)資源,但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜度的增加,對(duì)強(qiáng)大易用的管理工具的需求也日益顯得迫切,管理人員需要依賴強(qiáng)大的工具完成各種各樣的網(wǎng)絡(luò)管理任務(wù),而網(wǎng)絡(luò)管理系統(tǒng)就是能夠?qū)崿F(xiàn)上述目的系統(tǒng)。

1 WBM 技術(shù)介紹

隨著應(yīng)用Intranet的企業(yè)的增多,同時(shí)Internet技術(shù)逐漸向Intranet的遷移,一些主要的網(wǎng)絡(luò)廠商正試圖以一種新的形式去應(yīng)用MIS。因此就促使了Web (Web-Based Management)網(wǎng)管技術(shù)的產(chǎn)生。它作為一種全新的網(wǎng)絡(luò)管理模式-基于Web的網(wǎng)絡(luò)管理模式,從出現(xiàn)伊始就表現(xiàn)出強(qiáng)大的生命力,以其特有的靈活性、易操作性等特點(diǎn)贏得了許多技術(shù)專家和用戶的青睞,被譽(yù)為是“將改變用戶網(wǎng)絡(luò)管理方式的革命性網(wǎng)絡(luò)管理解決方案”。

WBM融合了Web功能與網(wǎng)管技術(shù),從而為網(wǎng)管人員提供了比傳統(tǒng)工具更強(qiáng)有力的能力。WBM可以允許網(wǎng)絡(luò)管理人員使用任何一種Web瀏覽器,在網(wǎng)絡(luò)任何節(jié)點(diǎn)上方便迅速地配置、控制以及存取網(wǎng)絡(luò)和它的各個(gè)部分。因此,他們不再只拘泥于網(wǎng)管工作站上了,并且由此能夠解決很多由于多平臺(tái)結(jié)構(gòu)產(chǎn)生的互操作性問題。WBM提供比傳統(tǒng)的命令驅(qū)動(dòng)的遠(yuǎn)程登錄屏幕更直接、更易用的圖形界面,瀏覽器操作和W e b頁面對(duì)W W W用戶來講是非常熟悉的,所以WBM的結(jié)果必然是既降低了MIS全體培訓(xùn)的費(fèi)用又促進(jìn)了更多的用戶去利用網(wǎng)絡(luò)運(yùn)行狀態(tài)信息。所以說,WBM是網(wǎng)絡(luò)管理方案的一次革命。

2 基于WBM 技術(shù)的網(wǎng)管系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)的設(shè)計(jì)目標(biāo)

在本系統(tǒng)設(shè)計(jì)階段,就定下以開發(fā)基于園區(qū)網(wǎng)、Web模式的具有自主版權(quán)的中文網(wǎng)絡(luò)管理系統(tǒng)軟件為目標(biāo),采用先進(jìn)的WBM技術(shù)和高效的算法,力求在性能上可以達(dá)到國外同類產(chǎn)品的水平。

本網(wǎng)管系統(tǒng)提供基于WEB的整套網(wǎng)管解決方案。它針對(duì)分布式IP網(wǎng)絡(luò)進(jìn)行有效資源管理,使用戶可以從任何地方通過WEB瀏覽器對(duì)網(wǎng)絡(luò)和設(shè)備,以及相關(guān)系統(tǒng)和服務(wù)實(shí)施應(yīng)變式管理和控制,從而保證網(wǎng)絡(luò)上的資源處于最佳運(yùn)行狀態(tài),并保持網(wǎng)絡(luò)的可用性和可靠性。

2.2 系統(tǒng)的體系結(jié)構(gòu)

在系統(tǒng)設(shè)計(jì)的時(shí)候,以國外同類的先進(jìn)產(chǎn)品作為參照物,同時(shí)考慮到技術(shù)發(fā)展的趨勢(shì),在當(dāng)前的技術(shù)條件下進(jìn)行設(shè)計(jì)。我們采用三層結(jié)構(gòu)的設(shè)計(jì),融合了先進(jìn)的WBM技術(shù),使系統(tǒng)能夠提供給管理員靈活簡(jiǎn)便的管理途徑。

三層結(jié)構(gòu)的特點(diǎn):1)完成管理任務(wù)的軟件作為中間層以后臺(tái)進(jìn)程方式實(shí)現(xiàn),實(shí)施網(wǎng)絡(luò)設(shè)備的輪詢和故障信息的收集;2)管理中間件駐留在網(wǎng)絡(luò)設(shè)備和瀏覽器之間,用戶僅需通過管理中間層的主頁存取被管設(shè)備;3)管理中間件中繼轉(zhuǎn)發(fā)管理信息并進(jìn)行SNMP和HTTP之間的協(xié)議轉(zhuǎn)換三層結(jié)構(gòu)無需對(duì)設(shè)備作任何改變。

3 網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)算法的設(shè)計(jì)

為了實(shí)施對(duì)網(wǎng)絡(luò)的管理,網(wǎng)管系統(tǒng)必須有一個(gè)直觀的、友好的用戶界面來幫助管理員。其中最基本的一個(gè)幫助就是把網(wǎng)絡(luò)設(shè)備的拓?fù)潢P(guān)系以圖形的方式展現(xiàn)在用戶面前,即拓?fù)浒l(fā)現(xiàn)。目前廣泛采用的拓?fù)浒l(fā)現(xiàn)算法是基于SNMP的拓?fù)浒l(fā)現(xiàn)算法?；赟NMP的拓?fù)渌惴ㄔ谝欢ǔ潭壬鲜欠浅Ｓ行У?拓?fù)涞乃俣纫卜浅？?。但它存在一個(gè)缺陷。那就是,在一個(gè)特定的域中,所有的子網(wǎng)的信息都依賴于設(shè)備具有SNMP的特性,如果系統(tǒng)不支持SNMP,則這種方法就無能為力了。還有對(duì)網(wǎng)絡(luò)管理的不重視,或者考慮到安全方面的原因,人們往往把網(wǎng)絡(luò)設(shè)備的SNMP功能關(guān)閉,這樣就難于取得設(shè)備的M I B值,就出現(xiàn)了拓?fù)涞牟煌暾?嚴(yán)重影響了網(wǎng)絡(luò)管理系統(tǒng)的功能。針對(duì)這一的問題,下面討論本系統(tǒng)對(duì)上述算法的改進(jìn)-基于ICMP協(xié)議的拓?fù)浒l(fā)現(xiàn)。

3.1 PING和路由建立

PING的主要操作是發(fā)送報(bào)文,并簡(jiǎn)單地等待回答。PING之所以如此命名,是因?yàn)樗且粋€(gè)簡(jiǎn)單的回顯協(xié)議,使用ICMP響應(yīng)請(qǐng)求與響應(yīng)應(yīng)答報(bào)文。PING主要由系統(tǒng)程序員用于診斷和調(diào)試實(shí)現(xiàn)PING的過程主要是:首先向目的機(jī)器發(fā)送一個(gè)響應(yīng)請(qǐng)求的ICMP報(bào)文,然后等待目的機(jī)器的應(yīng)答,直到超時(shí)。如收到應(yīng)答報(bào)文,則報(bào)告目的機(jī)器運(yùn)行正常,程序退出。

路由建立的功能就是利用I P 頭中的TTL域。開始時(shí)信源設(shè)置IP頭的TTL值為0,發(fā)送報(bào)文給信宿,第一個(gè)網(wǎng)關(guān)收到此報(bào)文后,發(fā)現(xiàn)TTL值為0,它丟棄此報(bào)文,并發(fā)送一個(gè)類型為超時(shí)的ICMP報(bào)文給信源。信源接收到此報(bào)文后對(duì)它進(jìn)行解析,這樣就得到了路由中的第一個(gè)網(wǎng)關(guān)地址。然后信源發(fā)送TTL值為1的報(bào)文給信宿,第一個(gè)網(wǎng)關(guān)把它的TTL值減為0后轉(zhuǎn)發(fā)給第二個(gè)網(wǎng)關(guān),第二個(gè)網(wǎng)關(guān)發(fā)現(xiàn)報(bào)文TTL值為0,丟棄此報(bào)文并向信源發(fā)送超時(shí)ICMP報(bào)文。這樣就得到了路由中和第二個(gè)網(wǎng)關(guān)地址。如此循環(huán)下去,直到報(bào)文正確到達(dá)信宿,這樣就得到了通往信宿的路由。

3.2 網(wǎng)絡(luò)拓?fù)涞陌l(fā)現(xiàn)算法具體實(shí)現(xiàn)的步驟:

(1)于給定的IP區(qū)間,利用PING依次檢測(cè)每個(gè)IP地址,將檢測(cè)到的IP地址記錄到IP地址表中。

(2)對(duì)第一步中查到的每個(gè)IP地址進(jìn)行traceroute操作,記錄到這些IP地址的路由。并把每條路由中的網(wǎng)關(guān)地址也加到IP表中。

(3)對(duì)IP地址表中的每個(gè)IP地址,通過發(fā)送掩碼請(qǐng)求報(bào)文與接收掩碼應(yīng)答報(bào)文,找到這些IP地址的子網(wǎng)掩碼。

(4)根據(jù)子網(wǎng)掩碼,確定對(duì)應(yīng)每個(gè)IP地址的子網(wǎng)地址,并確定各個(gè)子網(wǎng)的網(wǎng)絡(luò)類型。把查到的各個(gè)子網(wǎng)加入地址表中。

(5)試圖得到與IP地址表中每個(gè)IP地址對(duì)應(yīng)的域名(Domain Name),如具有相同域名,則說明同一個(gè)網(wǎng)絡(luò)設(shè)備具有多個(gè)IP地址,即具有多個(gè)網(wǎng)絡(luò)接口。

(6)根據(jù)第二步中的路由與第四步中得到的子網(wǎng),產(chǎn)生連接情況表。

4.1 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):

身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。

4.2 邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(Virtual Private Network)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5 結(jié)束語

本文提出的ICMP協(xié)議的拓?fù)浒l(fā)現(xiàn)方法能夠較好的發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)?但是它需要占用大量的帶寬資源。本系統(tǒng)進(jìn)行設(shè)計(jì)時(shí),主要考慮的是對(duì)園區(qū)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理,所有的被管理設(shè)備和網(wǎng)管系統(tǒng)處于同一段網(wǎng)絡(luò)上,也就是說,系統(tǒng)可以直接到達(dá)被管理的網(wǎng)絡(luò),所以對(duì)遠(yuǎn)程的局域網(wǎng)就無能為力了。在做下一步工作的時(shí)候,可以添加系統(tǒng)對(duì)遠(yuǎn)程局域網(wǎng)絡(luò)的管理功能。

參考文獻(xiàn)

[1]國家信息安全基礎(chǔ)設(shè)施研究中心、國家信息安全工程技術(shù)研究中心.《電子政務(wù)總體設(shè)計(jì)與技術(shù)實(shí)現(xiàn)》

[2] 周楊,家海,任憲坤,王沛瑜.網(wǎng)絡(luò)管理原理與實(shí)現(xiàn)技術(shù)[M].北京:清華大學(xué)出版社.2003.6

[3] 李佳石, 冰心著. 網(wǎng)絡(luò)管理系統(tǒng)中的自動(dòng)拓?fù)渌惴╗J].華中科技大學(xué)學(xué)報(bào).2002,06.

[4] 黃志輝 計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備全攻略[M]西安電子科技大學(xué)出版社 2004. 6

作者簡(jiǎn)介:徐安平(1980-),男,湖南商務(wù)職業(yè)技術(shù)學(xué)院實(shí)訓(xùn)中心。