多级分布计算机网络管理系统

陈鹏

（杭州师范大学钱江学院 计算机科学与技术专业，浙江 杭州 310012）

1 引言

随着信息技术的广泛运用，计算机网络在本单位日常办公、训练和管理中的地位和作用日益突出，确保计算机网络安全、保密、高效、稳定运行显得尤为重要。分析和研究多级计算机网络管理系统对搞好计算机网络管理，提高网络管理水平有着重要的意义。

2 网络管理的功能与SNMP

2.1 网络管理的功能

网络管理技术是伴随着计算机、网络及通信技术的发展而发展的。它是指对网络的运行状态进行监测和控制，并能提供有效、可靠、安全、经济的服务。网络管理应完成两个任务，一是对网络的运行状态进行检测，二是对网络的运行状态进行合理分配。其目标就是满足运营者和用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。网络管理(Network Management)的功能可概括为 OAM&P：网络的运行(Operation)、处理(Administration)、维护(Maintenance)、服务提供(Provisioning)等所需要的各种活动。有时也只考虑前三种，即把网络管理的功能归结为 OAM。实际上，网络管理的范围还可扩大到网络中通信活动与资源的规划和组织。因为如果某个网络不能很好地规划和组织，那就根本谈不上对它的监测、计费和控制。

2.2 简单网络管理协议SNMP

SNMP 最重要的指导思想就是要尽可能简单，以便缩短研制周期。SNMP 的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。在网络正常工作时，SNMP 可实现统计、配置和测试等功能。当网络出故障时，可实现各种差错检测和恢复功能，虽然 SNMP 是在TCP/IP 基础上的网络管理协议，但也可扩展到其他类型的网络设备上。

SNMP 整个系统必须有一个管理站(Management Station),它实际上就是网控中心。在管理站上运行管理进程。在每一个被管对象中一定要有代理进程。管理进程和代理进程利用SNMP 报文进行通信，而 SNMP 报文又使用UDP 来传送。有时网络管理协议无法控制某些网络元素。例如，该网络元素使用的是另一种网络管理协议。这时可使用委托代理(proxy agent)。委托代理能提供如协议转换和过滤操作的汇集功能。然后通过委托代理来对被管对象进行管理。SNMP 的网络管理由三个部分组成，即管理信息库 MIB，管理信息结构 SMI 以及 SNMP本身。下面先介绍管理信息库。

3 分布式网络管理的设计

分布式网络管理系统采用树型结构，除最上面的管理站(根节点)以外，每个管理站有且只有一个上级管理站；每个管理站可有 0 个或多个下级管理站，没有下级管理站的节点称为叶节点。每个管理站负责管理本级和下级网络(0个或多个)，能够获得管辖范围内网络的拓扑结构、所有设备的状态和统计数据；上下级管理站之间通过网络交换必要的信息。

3.1 分布式配置

每个 MANAGER 增加一个分布式配置文件，配置网络级别和管理角色，以及分布式管理策略。① 角色配置：上级：管理站的名称和 IP地址。本级：管理站的名称和 IP 地址、1 个或多个本级子网的网络 ID 和掩码。下级(0 个或多个)：管理站的名称和 IP 地址、1 个或多个本级子网的网络 ID 和掩码。② 管理策略配置：可以配置针对所有下级网络的统一的策略，也可以对不同的下级网络配置不同的管理策略。具体包括：下级独立配置的端口的性能数据是否上传？下级节点的系统软硬件信息是否上传？下级网络的系统信息变化事件是否上传？下级网络的性能阈值事件是否上传？

5)下级网络的IP 绑定事件是否上传。

3.2 上下级通信

①TCP 连接的建立和维护。由于上下级网管平台之间是广域网连接并且通信的数据量较大，所以上下级网管平台之间采用 TCP 进行通信。为了保证实现的简单性，上下级网管平台之间始终保持一条 TCP 连接。上级网管平台启动后，打开预先设定的 TCP 监听端口。如果上下级之间的 TCP 连接尚未建立或者因为某种原因而中断的话，下级网管平台每隔 5 分钟自动尝试与上级网管平台建立连接；下级管理人员也可以通过分布式菜单项主动与上级网管平台建立通信连接。②发送消息。在数据库中创建一个发送消息缓冲表，各个模块要发送数据时将数据打包成XML 字符串的形式，加入到发送消息缓冲表中。通信模块的发送线程定期轮询发送消息缓冲表，一旦发现待发送的记录，则尝试发送。若收到接收方的确认消息，则在发送消息缓冲表中删除相应记录。③接收消息。在数据库中创建一个接收消息缓冲表，通信模块的接收线程成功地收到一条消息后，就将消息添加到接收消息缓冲表中，同时给发送方返回一条确认消息。通信模块的消息处理线程定期轮询接收消息缓冲表，若发现存在记录，则将该记录读出来。解析其中的XML 字符串，根据不同的消息类型进行相应的处理。

4 相关技术难点与措施

4.1 非法主机问题与解决方法

①为了加强对计算机网络的集中管理和统一规划，防止一些单位或个人未经请示擅自将计算机接入网络或随意修改系统配置。难点在于接入时间和接入位置的不确定性。②某本单位的光传送网主要采取军民合建的方式 (与此类似其他单位的网络传输信道多数是租用电信运营商的)，主干传输线路委托地方公司维护管理，对这些线路的安全管理是一个难点，为了防止一些不法分子利用中转站入侵我军用 (单位专网)网络，系统必须具有入侵预警和强行关闭功能。③对外拨号预警功能。要求对全网任何用户利用上军网的计算机终端以拨号上网方式连接到地方网或国际互连网(因特网)的情况进行监控，一旦发现有拨号上网，系统将进行告警并强行关闭端口。难点在于发现的及时性以及实现控制挂断功能。对于一些保密规格较高的专用网络同样有此需求。

解决方法：①使用 IP 地址绑定工具录入网络中所有合法设备的 IP 地址及其 MAC 地址，IP 地址绑定工具定期扫描网络中出现的所有 IP 地址及其MAC 地址，并将扫描到的 IP地址与 MAC 地址的对应关系与系统事先保存的合法对应关系相比较以发现可能出现的非法IP 地址以及盗用合法 IP 地址的现象 (见图5.1)。②使用物理拓扑发现工具找到非法 IP 地址在网络中的接入位置。③通过关闭非法 IP地址所接入的交换机端口以阻止该 IP 地址的上网行为(需要交换机支持)；或者直接向该 IP地址的设备发送干扰报文使得该设备无法进行网络操作。④在每个主机上安装系统代理，系统代理监视用户的拨号上网行为。一旦发现有拨号上网则立即报警并同时挂断拨号连接，保证广域网的终端不能通过拨号上网方式连接地方网或互连网。

4.2 无人值守

通信网络需要保证每周 7 天、每天 24小时不间断的正常运行，一旦出现异常情况，管理人员必须立刻予以解决。但是某本单位系统同时又存在网络管理人员少、值勤任务重的情况。因此要求开发无人值守功能，难点在于开发与手机短信平台的通信程序。解决方法：① 开发了串口通信程序，通过在串口上接入 GSM Modem 或手机向短信平台发送短信。网管人员不需要值班，当网络出现异常情况时，网管中心将现场信息发送到指定管理员的手机上，使网管人员通过手机短信远程了解网络的运行情况。② 开发了基于 Web 的管理工具，网管人员可以远程通过互连网掌握网络的运行情况。

4.3 远程关闭端口

当网络中发现有非法计算机接入网络或发现异常情况时,网管中心可以封闭这些计算机所在的交换机端口,使其不能连入网络。难点在于有些交换机不支持关闭端口的功能，还有的交换机端口通过集线器连接了不止一个设备。

解决方法：① 首先通过物理拓扑发现工具找到非法用户接入网络的位置，然后通过修改交换机 MIB 变量的方式尝试关闭相应交换机的端口。② 对于不支持关闭端口功能的交换机或者交换机的端口通过集线器连接了多个设备，关闭端口会影响其他正常设备的情况，通过定期发送干扰 ARP 报文，使得非法用户不断收到 IP 地址冲突的消息，没法进行网络操作。

[1]张沪寅等著.计算机网络管理实用教程.武汉大学出版社,2005

[2]周晓芬.基于 SNMP 的管理信息库(MIB)的研究.科技广场.20075

[3]陈桂汉等著.综合电信管理解决方案.电子工业出版社,2002