面向以太網(wǎng)的網(wǎng)絡(luò)故障自動(dòng)實(shí)時(shí)發(fā)現(xiàn)與定位方法

趙燦明　紀(jì)詩(shī)厚　石　滾　田　野

1(國(guó)網(wǎng)安徽省電力公司蕪湖供電公司信通公司　安徽 蕪湖 241000)2(中國(guó)科學(xué)技術(shù)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院　安徽 合肥 230027)

?

面向以太網(wǎng)的網(wǎng)絡(luò)故障自動(dòng)實(shí)時(shí)發(fā)現(xiàn)與定位方法

趙燦明1紀(jì)詩(shī)厚1石滾2田野2

1(國(guó)網(wǎng)安徽省電力公司蕪湖供電公司信通公司安徽 蕪湖 241000)2(中國(guó)科學(xué)技術(shù)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院安徽 合肥 230027)

在網(wǎng)絡(luò)應(yīng)用已完全融入日常生產(chǎn)生活的今天，人們需要穩(wěn)定、可靠的計(jì)算機(jī)網(wǎng)絡(luò)，高效、準(zhǔn)確地發(fā)現(xiàn)和定位網(wǎng)絡(luò)故障，是提高網(wǎng)絡(luò)可靠性的重要手段?，F(xiàn)有的網(wǎng)絡(luò)故障自動(dòng)發(fā)現(xiàn)方法往往需要修改節(jié)點(diǎn)代碼、控制節(jié)點(diǎn)行為來實(shí)現(xiàn)故障檢測(cè)，而交換機(jī)等以太網(wǎng)設(shè)備通常并不具有可修改性。針對(duì)以太網(wǎng)故障的自動(dòng)發(fā)現(xiàn)與定位問題，基于目前標(biāo)準(zhǔn)化交換機(jī)支持的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP(Simple Network Management Protocol)協(xié)議和管理信息庫(kù)MIB-2(Management Information Base)提出了“設(shè)備狀態(tài)一致性檢測(cè)算法”、“設(shè)備擁塞異常檢測(cè)算法”等針對(duì)不同故障的檢測(cè)算法。實(shí)驗(yàn)結(jié)果表明該故障檢測(cè)算法對(duì)發(fā)現(xiàn)和定位以太網(wǎng)故障具有較高的效率和準(zhǔn)確率?；谒岢龅墓收蠙z測(cè)算法，該設(shè)計(jì)實(shí)現(xiàn)了一個(gè)故障發(fā)現(xiàn)與定位系統(tǒng)，并成功地在蕪湖市國(guó)家電網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)中部署運(yùn)用。

網(wǎng)絡(luò)故障故障定位與檢測(cè)管理信息庫(kù)(MIB)

0　引　言

隨著越來越多的互聯(lián)網(wǎng)應(yīng)用融入人們的日常生活，人們對(duì)網(wǎng)絡(luò)的用戶體驗(yàn)要求越來越高。使網(wǎng)絡(luò)保持實(shí)時(shí)暢通是保證用戶體驗(yàn)的前提，因此必須及時(shí)地檢測(cè)并排除網(wǎng)絡(luò)故障，網(wǎng)絡(luò)故障的檢測(cè)與排除是網(wǎng)絡(luò)管理工作中很重要的一部分。如何高效準(zhǔn)確地檢測(cè)網(wǎng)絡(luò)故障成為近年來網(wǎng)絡(luò)故障研究中的一個(gè)熱點(diǎn)和難點(diǎn)。

目前，關(guān)于網(wǎng)絡(luò)故障檢測(cè)算法的研究已有較多成果。Katzela等[1]提出了基于網(wǎng)絡(luò)中通信實(shí)體間的網(wǎng)絡(luò)依賴圖進(jìn)行網(wǎng)絡(luò)故障檢測(cè)和定位。Kandula等[2]提出了基于系統(tǒng)和程序產(chǎn)生的日志信息，模塊依賴圖和歷史診斷結(jié)果來定位和診斷企業(yè)網(wǎng)絡(luò)故障，并研發(fā)出一個(gè)稱為NetMedic的故障檢測(cè)系統(tǒng)。McCann[3]提出通過依賴圖診斷網(wǎng)絡(luò)系統(tǒng)故障，主要包括網(wǎng)絡(luò)協(xié)議棧故障診斷和網(wǎng)絡(luò)流故障診斷。雖然依賴圖對(duì)故障的定位和檢測(cè)具有較高的準(zhǔn)確率，但是建立一個(gè)系統(tǒng)或網(wǎng)絡(luò)的依賴圖要求對(duì)該系統(tǒng)或網(wǎng)絡(luò)很熟悉才能建立比較準(zhǔn)確的依賴圖，且隨著網(wǎng)絡(luò)拓?fù)涞淖兓?，網(wǎng)絡(luò)依賴圖也需要變化，但是保持網(wǎng)絡(luò)依賴圖的實(shí)時(shí)性也較難。Steinder等[4]提出了一種概率事件驅(qū)動(dòng)故障定位技術(shù)，該技術(shù)使用概率癥狀故障地圖作為故障傳播模型，通過更新癥狀-解釋變量，來確定可能出現(xiàn)該癥狀的集合。同時(shí)Steinder等[5]提出了通過貝葉斯推理技術(shù)以及系統(tǒng)的結(jié)構(gòu)狀態(tài)信息來定位網(wǎng)絡(luò)故障。上述兩個(gè)故障定位算法雖然模擬實(shí)驗(yàn)結(jié)果表明具有較高的準(zhǔn)確率，但是算法比較復(fù)雜，工程實(shí)現(xiàn)具有一定的難度。蔣康明等[6]提出了基于主動(dòng)探測(cè)的故障檢測(cè)探測(cè)選擇(PSFD)算法和故障定位探測(cè)選擇(IFL)算法。其中的PSFD算法是在已有的貪婪算法上做了改進(jìn)，IFL算法將現(xiàn)有的2種故障定位探測(cè)選擇算法相結(jié)合，但算法的工程實(shí)用性難以保證。

同時(shí)對(duì)網(wǎng)絡(luò)故障管理系統(tǒng)研發(fā)的相關(guān)研究也較多。馬秀麗等[7]將開源規(guī)則引擎Drools應(yīng)用于網(wǎng)絡(luò)故障管理系統(tǒng)中。該系統(tǒng)采用數(shù)據(jù)挖掘的方法獲取相關(guān)性規(guī)則，并分類存儲(chǔ)在規(guī)則庫(kù)中，然后通過規(guī)則引擎提供的API創(chuàng)建規(guī)則引擎對(duì)象，并加載規(guī)則庫(kù)，自動(dòng)實(shí)現(xiàn)對(duì)告警實(shí)例的相關(guān)性分析處理。王偉等[8]提出了一種基于專家系統(tǒng)的網(wǎng)絡(luò)故障管理系統(tǒng)結(jié)構(gòu)。把事件關(guān)聯(lián)和數(shù)據(jù)挖掘應(yīng)用于網(wǎng)絡(luò)故障管理,設(shè)計(jì)出了一個(gè)完整的基于規(guī)則的網(wǎng)絡(luò)故障管理系統(tǒng)模型,它能夠同時(shí)支持對(duì)關(guān)聯(lián)規(guī)則和序列模式的推理[9]。結(jié)合專家系統(tǒng)的知識(shí)庫(kù)和推理機(jī)，設(shè)計(jì)故障過濾和故障診斷模型[10]。Kompella等[11]提出基于風(fēng)險(xiǎn)模型和故障排除系統(tǒng)來定位網(wǎng)絡(luò)故障。Zhang等[12]提出基于加權(quán)二分圖的模型來定位網(wǎng)絡(luò)故障。Feng等[13]將概率模型用于網(wǎng)絡(luò)故障定位。然而，基于數(shù)據(jù)挖掘和概率模型研發(fā)的系統(tǒng)其準(zhǔn)確率較難保證，且需要積累海量的網(wǎng)絡(luò)設(shè)備日志進(jìn)行分析，還有不同的廠商生產(chǎn)的網(wǎng)絡(luò)設(shè)備的日志內(nèi)容、格式不一樣，有些網(wǎng)絡(luò)設(shè)備甚至不產(chǎn)生日志。因此如果網(wǎng)絡(luò)中新增加了不同廠商不同類型的網(wǎng)絡(luò)設(shè)備，該設(shè)備的故障檢測(cè)的實(shí)時(shí)性較難保證，同時(shí)不產(chǎn)生日志的網(wǎng)絡(luò)設(shè)備的故障較難檢測(cè)。

還有一些企業(yè)同時(shí)也開發(fā)了商用網(wǎng)絡(luò)故障管理系統(tǒng)。如ManageEngine的OpManager系統(tǒng)[14],這是一款端到端的綜合網(wǎng)絡(luò)管理軟件，可對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)、WAN鏈路、應(yīng)用及服務(wù)等IT基礎(chǔ)設(shè)施實(shí)現(xiàn)全方位、可視化、統(tǒng)一集中監(jiān)控和管理。IBM的Netcool Network Management系統(tǒng)[15]是一款具有拓?fù)浒l(fā)現(xiàn)、檢測(cè)網(wǎng)絡(luò)故障、配置網(wǎng)絡(luò)等功能的系統(tǒng)?；萜盏腛penView系統(tǒng)[16]是一款具有拓?fù)浒l(fā)現(xiàn)和故障管理等功能的系統(tǒng)。

本文基于目前標(biāo)準(zhǔn)化交換機(jī)支持的SNMP和MIB-2，提出了以太網(wǎng)故障檢測(cè)方法。該方法通過查詢MIB-2中的相關(guān)變量和簡(jiǎn)單計(jì)算即可檢測(cè)與定位以太網(wǎng)的一般性故障：鏈路擁塞、設(shè)備異常、設(shè)備狀態(tài)不一致等，且實(shí)驗(yàn)結(jié)果表明該方法具有較高的效率和準(zhǔn)確率。然后基于本文的故障檢測(cè)方法設(shè)計(jì)和實(shí)現(xiàn)了以太網(wǎng)故障檢測(cè)系統(tǒng)，并成功部署到蕪湖市國(guó)家電網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)中。

1　以太網(wǎng)故障發(fā)現(xiàn)與定位方法

1.1MIB變量說明

SNMP是一個(gè)用于IP網(wǎng)絡(luò)設(shè)備管理標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議。目前支持SNMP的網(wǎng)絡(luò)設(shè)備包括：路由器、交換機(jī)、服務(wù)器、工作站、調(diào)制解調(diào)器、打印機(jī)等[23]。SNMP作為一個(gè)網(wǎng)絡(luò)設(shè)備管理協(xié)議并沒有定義哪些信息是網(wǎng)絡(luò)設(shè)備應(yīng)提供用于管理的，而MIB說明了設(shè)備管理的數(shù)據(jù)結(jié)構(gòu)，使用對(duì)象標(biāo)識(shí)符OID(Object Identifier)來唯一標(biāo)識(shí)每個(gè)變量，這些變量可以通過SNMP協(xié)議來讀取和賦值。本文使用的MIB變量如表1所示。

表1　MIB變量說明

1.2以太網(wǎng)故障發(fā)現(xiàn)與發(fā)現(xiàn)方法

首先形式化描述由以太網(wǎng)拓?fù)浒l(fā)現(xiàn)子系統(tǒng)獲得的目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(以太網(wǎng)拓?fù)浒l(fā)現(xiàn)系統(tǒng)是基于文獻(xiàn)[17]中的算法研發(fā)的)。對(duì)于發(fā)現(xiàn)的目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，用圖G=(V,E)表示，其中u∈V表示圖中的一個(gè)節(jié)點(diǎn)，代表拓?fù)渖系囊慌_(tái)交換機(jī)，ui表示交換機(jī)u的第i個(gè)端口。e=(ui,vj)∈E表示圖中的一條邊，代表拓?fù)渲羞B接交換機(jī)u的ui端口和交換機(jī)v的vj端口的一條鏈路。所有的交換機(jī)和鏈路構(gòu)成目標(biāo)網(wǎng)絡(luò)鏈路層拓?fù)銰=(V,E)。

1.2.1 設(shè)備狀態(tài)一致性檢測(cè)算法

以太網(wǎng)交換機(jī)狀態(tài)一致性檢測(cè)算法如算法1所示。目標(biāo)網(wǎng)絡(luò)中交換機(jī)狀態(tài)一致性檢測(cè)主要包括：

? 交換機(jī)端口狀態(tài)檢測(cè)：對(duì)目標(biāo)網(wǎng)絡(luò)中的所有交換機(jī)，對(duì)該交換機(jī)出現(xiàn)在拓?fù)渲械乃卸丝?，查詢其ifOperStatus值為1，表明端口正在工作；否則，報(bào)警。

? 交換機(jī)STP協(xié)議版本一致性檢測(cè)：對(duì)目標(biāo)網(wǎng)絡(luò)中的所有交換機(jī)，查詢其dot1dStpProtocolSpecification取值應(yīng)一致；否則，報(bào)警。

? 交換機(jī)工作方式一致性檢測(cè)：對(duì)目標(biāo)網(wǎng)絡(luò)中的所有交換機(jī)，獲取其dot1dTpPortTable全為空，或者其dot1dSrPortTable全為空；否則，報(bào)警。

? 交換機(jī)源路由協(xié)議版本一致性檢測(cè)：如果網(wǎng)絡(luò)中所有交換機(jī)工作于源路由模式，則查詢所有交換機(jī)的dot1dSrBridgeLfMode取值應(yīng)一致；否則，報(bào)警。

算法1　狀態(tài)一致性檢測(cè)算法Input：switchsetdetectedbyEthernetTopologyDiscoverySystem(ETDS)SDefine：flag=false1．　foreachswitchsinSandeachportpofs：2．　ifp．ifOperStatus==1：continue//檢測(cè)交換機(jī)端口狀態(tài)3．　else：producewarning//交換機(jī)端口不工作，報(bào)警4．　flag=checkwhetherallswitches’dot1dStpProtocolSpecificationinSissame//檢測(cè)交換機(jī)STP協(xié)議版本5．　ifflag==false：producewarning//交換機(jī)STP協(xié)議版本不一致，報(bào)警　//交換機(jī)工作方式//一致性檢測(cè)6．　flag=checkwhetherallswitches’dot1dTpPortTableordot1dSrPortTableinSisempty7．　ifflag==false：producewarning//交換機(jī)工作方式不一致，報(bào)警　//如果交換機(jī)工作于源路由模式檢測(cè)源路由協(xié)議是否一致8．　flag=checkwhetherallswitches’dot1dSrBridgeLfModeinSissame9．　ifflag==false：producewarning//交換機(jī)源路由協(xié)議不一致，報(bào)警

1.2.2 設(shè)備擁塞異常檢測(cè)算法

以太網(wǎng)中交換機(jī)擁塞異常檢測(cè)算法如算法2所示。以太網(wǎng)故障檢測(cè)系統(tǒng)周期地對(duì)網(wǎng)絡(luò)中所有交換機(jī)的每個(gè)端口，計(jì)算由于擁塞導(dǎo)致的報(bào)文丟棄率。本文僅考慮交換機(jī)工作于透明網(wǎng)橋模式下(交換機(jī)工作于源路由網(wǎng)橋模式下的算法類似)。在某個(gè)時(shí)刻t，查詢交換機(jī)每個(gè)端口的dot1dTpPortOutFrames(本文以下使用TpPOF表示)變量和交換機(jī)的dot1dBasePortDelay

ExceededDiscards(本文以下使用BPDED表示)變量。計(jì)算(t,t+1)時(shí)段，交換機(jī)傳輸和丟棄的報(bào)文幀數(shù)。如果在連續(xù)K段時(shí)段中，有L段時(shí)段discard(t,t+1)/transport(t,t+1)大于某個(gè)閾值delta，則報(bào)警。傳輸和丟棄幀數(shù)的計(jì)算公式如下：

算法2　設(shè)備擁塞異常檢測(cè)算法Input：switchsetdetectedbyEthernetTopologyDiscoverySystem(ETDS)S，K，L，t，deltaDefine：transport(t，t+1)=0，discard(t，t+1)=0，count=0，i=01．　foreachswitchsinS：2．　count=0，i=03．　whileidelta：count++//超過閾值7．　　ifcount>L：producewarning，count=0//達(dá)到報(bào)警次數(shù)，報(bào)警8．　　i++

1.2.3鏈路丟包異常檢測(cè)與定位算法

以太網(wǎng)中鏈路丟包異常檢測(cè)與定位算法如算法3所示。以太網(wǎng)故障檢測(cè)系統(tǒng)周期性地對(duì)拓?fù)渲忻恳粭l鏈路(ui,vj)，計(jì)算鏈路在兩個(gè)方向的丟包率。本文以下僅考慮交換機(jī)工作于透明網(wǎng)橋模式下(交換機(jī)工作于源路由網(wǎng)橋模式下的算法類似)。在時(shí)刻t，查詢端口ui和vj的TpPOF和dot1dTpPortInFrames[21](本文以下使用TpPIF表示)變量。分別計(jì)算(t,t+1)時(shí)段，鏈路(ui,vj)不同方向的丟包率。如果在連續(xù)K段時(shí)段中，有L段時(shí)段lossu(v(t,t+1)或lossv(u(t,t+1)大于某個(gè)閾值delta，則報(bào)警。丟包率的計(jì)算公式如下：

u→v方向上的丟包率lossu(v(t,t+1)

v→u方向上的丟包率lossv(u(t,t+1)

算法3　鏈路丟包異常檢測(cè)與定位算法Input：topologydetectedbyEthernetTopologyDiscoverySystem(ETDS)topo，K，L，t，deltaDefine：lossu(v(t，t+1)=0．0，lossv(u(t，t+1)=0．0，count1=0，count2=0，i=0，switchportui，vj1．　foreachedge(ui，vj)intopo：2．　count1=0，count2=0，i=03．　whileidelta：count1++//lossu(v(t，t+1)超過閾值7．　　iflossv(u(t，t+1)>delta：count2++//lossv(u(t，t+1)超過閾值8．　　ifcount1>L：producewarning，count1=0//達(dá)到報(bào)警次數(shù)，報(bào)警9．　　ifcount2>L：producewarning，count2=0//達(dá)到報(bào)警次數(shù)，報(bào)警10．　　i++

1.2.4DoS攻擊檢測(cè)算法

以太網(wǎng)上常見的DoS攻擊是攻擊者通過構(gòu)造偽裝源MAC地址不同的以太幀，使得交換機(jī)在其轉(zhuǎn)發(fā)表中存儲(chǔ)大量的無意義地址轉(zhuǎn)發(fā)條目，并換出真正有用的地址轉(zhuǎn)發(fā)條目，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。以太網(wǎng)故障檢測(cè)系統(tǒng)周期性地，對(duì)網(wǎng)絡(luò)中每臺(tái)交換機(jī)，計(jì)算其換出的地址轉(zhuǎn)發(fā)條目。在時(shí)刻t，查詢交換機(jī)的dot1dTpLearnedEntryDiscards變量。計(jì)算(t,t+1)時(shí)段，換出的轉(zhuǎn)發(fā)條目數(shù)量。如果在連續(xù)K段時(shí)段中，有L段時(shí)段discardentry(t,t+1)>0，則報(bào)警。換出的地址轉(zhuǎn)發(fā)表?xiàng)l目計(jì)算公式如下:

discardentry(t,t+1)=dot1dTpLearnedEntryDiscardst+1-

dot1dTpLearnedEntryDiscardst

1.2.5地址轉(zhuǎn)發(fā)表正確性檢測(cè)算法

隨機(jī)選取一個(gè)MAC地址s，s未綁定在網(wǎng)絡(luò)中任何設(shè)備上。構(gòu)造以s為源地址，以網(wǎng)絡(luò)中待檢測(cè)設(shè)備u為目的地址的以太網(wǎng)幀，在網(wǎng)絡(luò)中傳輸。若交換機(jī)v位于從檢測(cè)系統(tǒng)到待檢測(cè)設(shè)備u的路徑上，則以s查詢v的dot1dTpFdbTable轉(zhuǎn)發(fā)表變量，應(yīng)存在條目(s,vi,learned)條目，其中vi是v接收探測(cè)報(bào)文的端口，表明v已經(jīng)學(xué)習(xí)了s的轉(zhuǎn)發(fā)條目；否則，報(bào)警。

1.3ns-3 模擬實(shí)驗(yàn)

本文使用ns-3[22]進(jìn)行模擬實(shí)驗(yàn),模擬網(wǎng)絡(luò)中包括45臺(tái)交換機(jī)和60臺(tái)主機(jī)。交換機(jī)狀態(tài)一致性錯(cuò)誤模擬是通過給每臺(tái)交換機(jī)定義一組變量且這組變量的初始值都相同，然后隨機(jī)選擇一組交換機(jī)不定時(shí)改變這組交換機(jī)的初始值，實(shí)驗(yàn)過程中本文將時(shí)間間隔設(shè)為1～15秒。同時(shí)每隔interval1秒檢測(cè)所有交換機(jī)的這組變量，實(shí)驗(yàn)中將interval1設(shè)為5秒，如果發(fā)現(xiàn)某臺(tái)交換機(jī)異常則報(bào)警。表2展示的是模擬4種交換機(jī)狀態(tài)一致性錯(cuò)誤各500次，程序檢測(cè)的結(jié)果，實(shí)驗(yàn)結(jié)果表明算法2檢測(cè)交換機(jī)狀態(tài)一致性錯(cuò)誤具有較高的準(zhǔn)確率。

表2　交換機(jī)狀態(tài)一致性錯(cuò)誤檢測(cè)模擬結(jié)果

基于上面的拓?fù)?，本文選取拓?fù)渲械?5條鏈路(由30臺(tái)交換機(jī)組成)，將這25條鏈路分為5組，并將這5組鏈路的丟包率分別設(shè)為3%、5%、8%、12%、15%。然后主機(jī)間以一定的速率sendrate在覆蓋這25條鏈路的路徑上轉(zhuǎn)發(fā)一定數(shù)目的報(bào)文。每臺(tái)交換機(jī)的每個(gè)端口定義兩個(gè)變量sh_rec_packets和ac_rec_packets分別用于統(tǒng)計(jì)應(yīng)當(dāng)接收和實(shí)際接收的報(bào)文數(shù)。實(shí)驗(yàn)中，本文定義報(bào)警閾值delta=0.1、L=1。同時(shí)每隔interval2秒檢測(cè)這30臺(tái)交換機(jī)的所有端口的sh_rec_packets和ac_rec_packets，并根據(jù)算法2和算法3檢測(cè)交換機(jī)故障和端口故障。圖1展示的是sendrate分別為10 packets/s和30 packets/s，interval2=2秒時(shí)，連續(xù)發(fā)送100秒，30臺(tái)交換機(jī)丟包率超過delta的次數(shù)(交換機(jī)按sendrate=10 packets/s時(shí)產(chǎn)生的報(bào)警數(shù)排序)。實(shí)驗(yàn)結(jié)果表明，交換機(jī)轉(zhuǎn)發(fā)流量越大，越容易丟包，這與實(shí)際情況是一致的。當(dāng)sendrate=30 packets/s，25條鏈路兩個(gè)端口產(chǎn)生的報(bào)警數(shù)如圖2所示。從圖2可以觀察到有些鏈路兩個(gè)端口的報(bào)警數(shù)相差較大，這是由于在實(shí)驗(yàn)過程中，我們故意增加一些交換機(jī)的負(fù)荷，使其處理報(bào)文的能力下降造成的。在實(shí)際情況下，如果兩臺(tái)直連交換機(jī)性能相同，但是一臺(tái)交換機(jī)丟包率明顯大于另外一臺(tái)交換機(jī)，應(yīng)該查詢丟包率較大的交換機(jī)判斷其是否出現(xiàn)了故障。

圖1　鏈路流量與交換機(jī)報(bào)警次數(shù)的關(guān)系

圖2　25條鏈路兩端口報(bào)警次數(shù)比較

同樣使用上面的拓?fù)?，為模擬DoS攻擊，每臺(tái)交換機(jī)定義兩個(gè)變量learn_table_size和discard_entry分別用于表示轉(zhuǎn)發(fā)表的大小和因超過轉(zhuǎn)發(fā)表的容量被丟棄的表項(xiàng)數(shù)，同時(shí)定時(shí)檢測(cè)discard_entry。然后使拓?fù)渲械闹鳈C(jī)以不同的速率發(fā)送源MAC地址不同的報(bào)文。表3展示的是當(dāng)learn_table_size=500時(shí)，主機(jī)以不同速率連續(xù)發(fā)送60秒報(bào)文，10臺(tái)邊緣交換機(jī)(即與主機(jī)直連的交換機(jī))平均丟棄的表項(xiàng)數(shù)。實(shí)驗(yàn)結(jié)果表明邊緣交換機(jī)丟棄的轉(zhuǎn)發(fā)表的表項(xiàng)數(shù)和該交換機(jī)每秒收到的源MAC地址不同的報(bào)文數(shù)目正相關(guān)。同時(shí)可以發(fā)現(xiàn)當(dāng)主機(jī)的發(fā)送速率為60 packets/s時(shí)，邊緣交換機(jī)丟棄的表項(xiàng)數(shù)與交換機(jī)應(yīng)該接收到的源MAC地址不同的報(bào)文數(shù)目相差較大，這是因?yàn)樵谀M拓?fù)渲形覀儼l(fā)現(xiàn)邊緣交換機(jī)每秒能正確處理的報(bào)文數(shù)目大概為50個(gè)。

表3　交換機(jī)DoS攻擊檢測(cè)模擬結(jié)果

基于上面的拓?fù)?，與模擬DoS攻擊檢測(cè)一樣，在模擬交換機(jī)地址轉(zhuǎn)發(fā)表正確性檢測(cè)時(shí)，本文仍將轉(zhuǎn)發(fā)表的大小learn_table_size設(shè)為500。然后使主機(jī)以不同的速率發(fā)送報(bào)文，以檢測(cè)10臺(tái)邊緣交換機(jī)的轉(zhuǎn)發(fā)表的正確性，實(shí)驗(yàn)結(jié)果如表4所示。實(shí)驗(yàn)結(jié)果表明當(dāng)交換機(jī)超負(fù)荷時(shí)，轉(zhuǎn)發(fā)表的準(zhǔn)確率較低。

表4　交換機(jī)地址轉(zhuǎn)發(fā)表正確性檢測(cè)模擬結(jié)果

2　以太網(wǎng)故障檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

2.1系統(tǒng)概述

以太網(wǎng)故障檢測(cè)子系統(tǒng)架構(gòu)如圖3所示。該系統(tǒng)依賴以太網(wǎng)拓?fù)浒l(fā)現(xiàn)子系統(tǒng)獲取的目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過SNMP通信模塊周期性地查詢目標(biāo)以太網(wǎng)絡(luò)上交換機(jī)的MIB管理變量，執(zhí)行相應(yīng)的故障檢測(cè)算法，發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中交換機(jī)與鏈路故障，生成日志，并向網(wǎng)絡(luò)管理員發(fā)送報(bào)警信息。

圖3　以太網(wǎng)故障檢測(cè)子系統(tǒng)架構(gòu)

以太網(wǎng)故障檢測(cè)子系統(tǒng)包含5個(gè)關(guān)鍵模塊：

? 狀態(tài)一致性檢測(cè)模塊：檢測(cè)目標(biāo)網(wǎng)絡(luò)中所有交換機(jī)及其端口的工作模式是否正確，網(wǎng)絡(luò)鏈路兩端的端口工作模式是否一致，發(fā)現(xiàn)異常時(shí)報(bào)警。

? 端口擁塞異常檢測(cè)模塊：周期性檢測(cè)目標(biāo)網(wǎng)絡(luò)中交換機(jī)端口的擁塞情況，發(fā)現(xiàn)交換機(jī)擁塞異常時(shí)報(bào)警。

? 鏈路丟包異常檢測(cè)模塊：周期性檢測(cè)目標(biāo)網(wǎng)絡(luò)中鏈路的丟包事件，發(fā)現(xiàn)鏈路丟包率異常時(shí)報(bào)警。

? DoS攻擊檢測(cè)模塊：周期性檢測(cè)目標(biāo)網(wǎng)絡(luò)中交換機(jī)地址轉(zhuǎn)發(fā)表的溢出情況，發(fā)現(xiàn)地址轉(zhuǎn)發(fā)表溢出異常時(shí)報(bào)警。

? 轉(zhuǎn)發(fā)表正確性檢測(cè)模塊：檢測(cè)目標(biāo)網(wǎng)絡(luò)中交換機(jī)能否正確構(gòu)造地址轉(zhuǎn)發(fā)表，發(fā)現(xiàn)地址轉(zhuǎn)發(fā)表異常時(shí)報(bào)警。

這樣的系統(tǒng)架構(gòu)設(shè)計(jì)使得系統(tǒng)的各個(gè)模塊的耦合度較低，具有較好的擴(kuò)展性和可移植性。

2.2對(duì)實(shí)際運(yùn)行網(wǎng)絡(luò)的故障發(fā)現(xiàn)與定位

我們將所提出的故障檢測(cè)方法應(yīng)用到對(duì)蕪湖市國(guó)家電網(wǎng)公司計(jì)算機(jī)網(wǎng)絡(luò)中。蕪湖市國(guó)家電網(wǎng)的內(nèi)部以太網(wǎng)覆蓋安徽省蕪湖市的所有電網(wǎng)網(wǎng)點(diǎn)，骨干網(wǎng)絡(luò)由40多臺(tái)交換機(jī)組成，為整個(gè)城市的供電管理提供了通信基礎(chǔ)設(shè)施。基于本文提出的以太網(wǎng)故障檢測(cè)方法、系統(tǒng)架構(gòu)和10個(gè)測(cè)量agent，我們開發(fā)了以太網(wǎng)故障檢測(cè)子系統(tǒng)，并集成到公司的網(wǎng)絡(luò)管理綜合系統(tǒng)中。故障檢測(cè)子系統(tǒng)的功能界面如圖4所示。我們統(tǒng)計(jì)該模塊連續(xù)運(yùn)行50天檢測(cè)到的各種故障結(jié)果。其中交換機(jī)狀態(tài)一致性錯(cuò)誤檢測(cè)結(jié)果如表5所示。STP協(xié)議版本不一致錯(cuò)誤檢測(cè)到3次是由于在實(shí)驗(yàn)期間，公司由于業(yè)務(wù)需要，新增了3臺(tái)交換機(jī)，這三臺(tái)交換機(jī)的STP協(xié)議的版本均高于目前網(wǎng)絡(luò)中交換機(jī)運(yùn)行的STP協(xié)議版本。公司網(wǎng)絡(luò)中所有交換機(jī)都工作于透明網(wǎng)橋模式下，表4中的交換機(jī)工作方式不一致錯(cuò)誤以及交換機(jī)源路由協(xié)議版本不一致錯(cuò)誤是我們?nèi)藶樾薷慕粨Q機(jī)配置造成的。

圖4　以太網(wǎng)故障檢測(cè)子系統(tǒng)界面

錯(cuò)誤類型端口不工作STP協(xié)議版本不一致工作方式不一致源路由協(xié)議版本不一致檢測(cè)到的次數(shù)8332020

實(shí)驗(yàn)期間我們研發(fā)的系統(tǒng)檢測(cè)到交換機(jī)擁塞異常10次，鏈路擁塞異常16次，DoS攻擊100次(均是我們每天人為偽造2次DoS攻擊的結(jié)果)，我們?nèi)藶榘l(fā)送100個(gè)MAC地址不同的報(bào)文，發(fā)現(xiàn)報(bào)文所經(jīng)過鏈路上的交換機(jī)轉(zhuǎn)發(fā)表均能正確學(xué)習(xí)到。同時(shí)我們統(tǒng)計(jì)所有故障發(fā)生到檢測(cè)到的時(shí)間間隔，發(fā)現(xiàn)所有故障平均的檢測(cè)時(shí)間位54秒。實(shí)驗(yàn)結(jié)果表明，我們研發(fā)的以太網(wǎng)故障檢測(cè)系統(tǒng)能較快較準(zhǔn)確地發(fā)現(xiàn)和定位以太網(wǎng)故障。

3　結(jié)　語(yǔ)

基于目前標(biāo)準(zhǔn)化交換機(jī)支持的SNMP和MIB-2，本文提出了以太網(wǎng)故障檢測(cè)方法，并基于該方法研發(fā)了以太網(wǎng)故障檢測(cè)系統(tǒng)。模擬實(shí)驗(yàn)結(jié)果和對(duì)實(shí)際運(yùn)行網(wǎng)絡(luò)的故障檢測(cè)結(jié)果表明該方法能較高效、較準(zhǔn)確地發(fā)現(xiàn)和定位以太網(wǎng)故障，因此該方法具有較好的適用性和較高的工程應(yīng)用價(jià)值。

[1] Katzela I,Schwart M.Schemes for fault Identification in network communications [J].IEEE/ACM Transactions on Networking,1995,3(6):753-763.

[2] Kandula S,Mahajan R,Verkaik P,et al.Detailed diagnosis in enterprise networks [C]// Proc.of ACM International Conference on the applications,technologies,architectures,and protocols for computer communication’09,2009.

[3] McCann J N.Automating performance diagnosis in networked Systems [D].Prince George`s County,State of Maryland:School of Computer Science,University of Maryland,2010.

[4] Steinder M,Sethi A S.Probabilistic fault diagnosis in communication systems through incremental hypothesis updating [J].Computer Networks,2004,45(4):537-562.

[5] Steinder M,Sethi A S.Probabilistic fault localization in communication systems using belief networks [J].IEEE/ACM Transactions on Networking,2004,12(5):809-822.

[6] 蔣康明,林斌,喬焰.基于主動(dòng)探測(cè)的高效故障檢測(cè)與定位方法[J].北京郵電大學(xué)學(xué)報(bào),2012,35(1):36-40.

[7] 馬秀麗,王紅霞,張凌云.Drools在網(wǎng)絡(luò)故障管理系統(tǒng)中的應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(8):1859-1862.

[8] 王偉,蘆東昕,唐英.基于專家系統(tǒng)的網(wǎng)絡(luò)故障管理系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì),2005,26(11):3031-3033.

[9] 岳海濤.基于事件關(guān)聯(lián)和數(shù)據(jù)挖掘的網(wǎng)絡(luò)故障管理技術(shù)的研究[D].長(zhǎng)沙：中南大學(xué)計(jì)算機(jī)學(xué)院,2010.

[10] 趙永杰.基于事件機(jī)制的網(wǎng)絡(luò)故障管理系統(tǒng)的研究[D].西安：西安電子科技大學(xué)計(jì)算機(jī)學(xué)院，2008.

[11] Kompella R R,Yates J,Greenberg A,et al.IP fault localization via risk modeling [C]// Proc.of Symposium on Network System Design and Implementation’05,2005.

[12] Zhang C,Liao J X,Li T H,et al.Probabilistic fault localization with sliding windows [J].China Science Information Science,2012,55(5):1186-1200.

[13] Feng M,Gupta R.Learning universal probabilistic models for fault localization [C]//Proc.of ACM SIGPLAN-SIGSOFT Workshop on Program Analysis for Software Tools and Engineering’10,2010.

[14] ManageEngine OpManager System [EB/OL].[2014-04].http://www.manageengine.com/network-monitoring/network-fault-mana-gement.html.

[15] IBM Netcool Network Management System [EB/OL].[2011-07].http://www-03.ibm.com/software/products/en/netcool-network-management.

[16] HP OpenView System [EB/OL].[2013-08].http://h71000.www7.hp.com/.

[17] Breitbart Y,Garofalakis M,Jai B,et al.Topology discovery in heterogeneous IP networks:the NetInventory system [J].IEEE/ACM Transactions on Networking,2004,12(3):401-414.

[18] McCloghrie K,Rose M.Management Information Base for Network Management of TCP/IP-based internets.IETF RFC 1156 [EB/OL].[1990-05].https://www.ietf.org/rfc/rfc1156.txt.

[19] Decker E,Langille P,Rijsinghani A,et al.Management information base for network management of TCP/IP-based internets.IETF RFC 1286 [EB/OL].[1991-10].https://www.ietf.org/rfc/rfc1286.txt.

[20] Decker E,McCloghrie K,Langille P,et al.Definitions of managed objects for source routing bridges.IETF RFC 1525 [EB/OL].[1993-09].https://www.ietf.org/rfc/rfc1525.txt.

[21] Decker E,Langille P,Rijsinghani A,et al.Definitions of managed objects for bridges.IETF RFC 1493 [EB/OL].[1993-07].https://www.ietf.org/rfc/rfc1493.txt.

[22] ns-3 main page [EB/OL].[2011-08].http://www.nsnam.org/.

[23] SNMP wiki [EB/OL].[2015-4-28].http://en.wikipedia.org/wiki/Simple_Network_Management_Protocol#cite_note-ESNMP-1.

AN ETHERNET-ORIENTED METHOD FOR AUTOMATIC REAL-TIME NETWORK FAULTS DETECTION AND LOCALISATION

Zhao Canming1Ji Shihou1Shi Gun2Tian Ye2

1(Information and Telecommunication Branch,State Grid Wuhu Power Supply Company,Wuhu 241000,Anhui，China)2(SchoolofComputerScienceandTechnology,UniversityofScienceandTechnologyofChina,Hefei230027,Anhui,China)

Nowadays the network applications have been fully integrated into people’s daily life,the people require a stable and reliable computer network.To efficiently and accurately identify and locate network faults is the important means for improving networks reliability.However existing automatic network faults detection methods usually need to modify nodes code or control nodes behaviour to realise the faults detection,but the switches and other Ethernet devices are not modifiable typically.In this paper,in light of automatic Ethernet faults detection and localisation issue,we proposed based on SNMP and MIB-2 which supporting the standardised switches the “device status consistency detection algorithm”,“device congestion anomaly detection algorithm” and other detection algorithms aimed at different Ethernet faults.Experimental results indicate that these algorithms could identify and locate Ethernet faults with high efficiency and accuracy.Based on these proposed algorithms we design and implement a detection and localisation system for Ethernet faults,and it is successfully deployed in computer networks of State Grid in Wuhu Power Supply Company.

Network faultsFault localisation and detectionManagement information base (MIB)

2015-05-05。國(guó)家自然科學(xué)基金項(xiàng)目(61202405，61103228)。趙燦明，工程師，主研領(lǐng)域：計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)。紀(jì)詩(shī)厚，工程師。石滾，碩士生。田野，副教授。

TP393

A

10.3969/j.issn.1000-386x.2016.09.024