《基于策略的网络管理中基本关键技术与问题》由会员分享,可在线阅读,更多相关《基于策略的网络管理中基本关键技术与问题(7页珍藏版)》请在金锄头文库上搜索。
1、基于策略的网络管理中基本关键技术与问题基于策略的网络管理具有以下优势(l)管理员不必为每一个网络应用或网络的每一次变化制定一套管理方案,而是根据所有的情况进行统一制定,这样能够保持网络状态的一致性,对采用不同网络技术的异构网实现统一管理;(2)基于策略的网络管理方法消除了以设备为中心的传统方法常常引发的许多网络配置差错,大大提高了管理效率和可伸缩性,并使网络管理人员把工作的着眼点放在业务需求而不是设备配置的细节上,从而提高了管理效能;(3)网管系统能较好地适应网络的动态变化,当网络结构发生变化时,管理员不需要进行复杂的配置,只需对相应的策略进行增、删、改,即可在保证网络继续运行的情况下实现网络
2、功能的重构。策略研究存在的问题主要包括以下几个方面:(l)缺乏标准,不同厂商提供的策略管理产品可能具有自己独立的一套管理协议,策略语言以及API函数。在这种缺乏标准的状况下,产品之间没有兼容性,不同的系统之间缺乏互操作接口,因此要实现真正意义上的与厂商无关的策略管理,必须首先给出一种各厂商都能接受的统一的策略规范描述,然后使用自动化的软件工具映射成任何底层规范描述。(2)缺少良好的策略管理框架。目前,使用较多的框架是IETF策略管理框架,通过分析可以知道,该框架除了存在不足之外,还没有明确提出如何设计和建立一种与底层策略实现机制无关的策略管理框架的方法。这是构建一体化策略管理系统需要解决的问题
3、之一。而且现有的策略管理框架的自我管理、自我更新能力不够完善。这样会带给管理者比较沉重的负担,也会给策略管理的正确性、及时响应能力带来一定的影响。(3)关键技术的研究需要突破。目前策略冲突检测与冲突消解技术、策略统一描述技术、策略自动分发技术、策略自适应技术等关键技术的研究还不是很理想,这些制约策略管理系统性能和功能的关键技术,必须进一步深入。(4)在策略管理产品的研究和开发方面,大多数产品只适用于对单一厂商的设备进行基于策略的管理,不具有良好的硬件无关性;而且现有的策略管理实施方案和设备技术多数集中在解决网络服务质量管理,还没能为网络管理的其它方面提供更多的支持;但可以预见的是,随着网络技术
4、的不断发展和用户对网络应用需求的日益增长,基于策略的网络管理技术必能充分发挥它简单而集中的管理功能,具有广阔的应用前景。总结传统的网络管理方式是基于简单网络管理协议SNMP(Simple Network Management Protocol)的,从逻辑上分为被管代理、网络管理工作站、网络管理协议和网络管理信息库四个组成部分,在功能上主要包括配置管理,故障管理,性能管理,安全管理和计费管理五个模块。随着网络技术的发展,网络结构的复杂化和网络应用领域的扩大,网络管理技术必须满足这些发展带来的新的要求。传统网络管理技术逐渐暴露出它的弊端和不足,正面临着前所未有的巨大挑战。随着计算机网络新技术的出现
5、,网络正在向智能化、综合化、标准化发展,应用趋势对网络管理也必然提出更多新的要求,网络管理也必然朝向分布、高效、智能化发展,因此从以上分析得出,基于策略的网络管理是未来管理的发展方向之一,值得研究和应用实施。IETF相继发表了很多策略管理的草案,国外很多厂家也推出了自己的产品:(1)HP公司的Openview Policy Xpert是基于策略的网络管理。它使网络管理员能制定策略并将其应用到网络中的各种设备,策略可应用到路由器、交换机、流量整形器、网络接口卡甚至应用软件服务器。借助PolicyXpert实现的配置和控制,IT管理员可以保证关键应用的响应时间,更快、更稳定地控制网络,并建立满足业
6、务需求的服务等级。为保证网络中的QoS,Policy Xpertl.O支持三种方法:制定服务等级优先级、保证带宽和RSVP。(2)IBM公司Tivoli管理框架的Access Manager,是关于访问控制配置的。它允许系统管理员配置映射到系统中访问控制列表的授权策略,被管对象以层次结构管理,定义在某层次的策略可以传播到其低层的设备上。(3)Ciso的Qos Policy Manager(QPM)从1.0发展到3.0一直作为公司的Cisco Assure基于策略的网络创新的一个组成部分。策略采用condition/action形式存储在文件数据库中,策略动作使用支持思科硬件的命令行接口语言施加
7、到路由器上,通过实现应用性能需求到QoS策略的转换过程的自动化,QPM可以确保关键商业应用、语音和多媒体通信流的可靠性能,它们都在争夺非关键性通信流。QPM提供的关键益处包括能够支持整个网络范围内的基于内容的差别服务,自动化的QoS配置和部署,以及确保园区网到WAN的策略控制。(4)Nortel的Optivity Policy Services 1.0(OPS)实现了许多IETF草案里提到的概念,例如COPS和LDAP;用于提供流量优先级服务,2.0版支持RSVP(Resource reservationp Protocol)。(5)Allot communications产品的功能主要是让网
8、络和服务器资源能够得到最大程度的利用,Allot NetEnforcer与Net-Policy软件相结合,可以提供一套完整的基于策略的解决方案,以确保网络带宽的质量和可用性。通过使用Allot的先进技术,NetEnforcer通过完整的应用层和基于策略的带宽管理系统,就可以解决网络性能和SLA(Service Level Agreement)管理方面的问题。(6)3Com公司的Transcend ware软件增强了一个叫做虚拟局域网策略服务(VLAN Policy Services)的最新功能,可以极大减少网络管理时间和成本,提高网络的安全性和最终用户的工作效率。用Transcend ware
9、软件和新的VLAN Policy Services,信息技术管理人员可以集中设置VLAN策略,强制各个网络交换机执行VLAN策略,监督和报告VLAN性能。目前这些标准和产品主要集中在QOS管理和安全管理领域。在国内商用开发PBNM的系统较少,主要是研究所和高校进行研究与试验。目前,国内的天融信TopsecManager、方正方通ESM、绿盟的Esp等采用了基于策略的网络管理模式,但在功能上各有侧重。如:天融信公司推出了VPN安全集中管理系统SCM122,可以对整个VPN网络进行集中策略管理,由SCM执行统一的安全策略,并监控整个网络的运行状态,使得VPN系统能够自动统一管理,同时自动保持策略的
10、一致性,大大简化了管理,提高了效率。策略描述语言解放军理工大学李拥新等人提出了一种用于网络管理的基于逻辑的Policy定义语言。上海交通大学的施军等人提出了类似一阶谓词逻辑的安全策略定义语言。英国皇家学院的Ponder语言,是一种面向对象的描述语言,有着严格的文法和语义。基于策略的网络管理的相关研究工作大致可以分为四个部分:(l)体系结构及其实现的研究主要包括策略管理工具PMT(Poliey Management Tool)、策略决定点PDP(Poliey Decision Point)、策略实施点PEP(Policy Enforcement Point)、策略存储库(Policy Repos
11、itory)。(2)信息模型的研究,主要包括策略信息模型、被管环境信息模型及信息模型到数据模型的映射。(3)管理协议的研究。(4)具体应用的研究,主要包括在不同功能域、不同技术的网络中的应用的研究。IETF和DMTF对基于策略的网络管理系统的体系结构进行了定义,包含四种基本功能模块。(1)策略管理工具(Policy Management Tools)是供管理员编辑策略和监控策略的应用系统。它可以为管理员提供一个易于使用的编辑界面(如GUI)来编辑策略,并将编辑好的策略转成一定格式,存于策略存储器中。同时它还可以对策略进行检查和确认,以确保在整合策略的构成时不会发生冲突。(2)策略存储器(Pol
12、icy Repository)用于存储策略信息,能对系统中的策略进行汇总。它可以是目录服务器或数据库服务器,除了储存管理员已经编辑好的策略信息,还可以存储其它的网络信息和系统参数。(3)策略决策点(Policy Decision Point,PDP)通常也被称为策略服务器,是整个系统的决策中心它负责存取策略存储器中的策略,并根据策略信息做出决策,然后将相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突,从而采取应对措施。(4)策略执行点(Policy Enforcement Point,PEP)是接受策略管理的网络实体,通常也被称作策略客户端,它可以是路由器、交换机、防火墙等网络设
13、备,负责执行由策略决策点分配来的策略。同时它还向策略决策点发送信息,使策略决策点知道网络的变化以及策略的执行情况。IETF定义了一些协议来实现模块间的通信,LDAP(Light weight Directory Access Protocol)协议用于策略仓库和其它子系统之间策略信息的传输;COPS(Common open policy service)协议用于PDP、PEP和策略管理工具之间策略信息的传输。基于策略的网络管理系统使用的协议基于策略的网络管理系统使用的协议较多,甚至各家厂商都使用自己的协议来支持策略服务器和网络硬件之间的通信,鉴于这种情况,IETF已制定或正在制定几个协议和标准
14、。LDAP,轻量目录访问协议:定义了目录访问和共享方式的客户/服务器式协议。COPS,公共开放式策略服务:定义了策略服务器和它的客户程序交换信息的方式。Diffserv,区分服务:在分组头重定义了IP服务类型以扩展可能的服务数。RSVP,资源预留协议:用于请求特定数量的带宽以分配给跨越多个设备的业务。COPS协议具有以下主要特点:(l)协议使用了客户/服务器模型,在这个模型中PEP发出策略请求、策略更新、策略删除的信息给远端PDP,PDP将其决定返回给PEP。(2)协议使用TCP作为传输层协议,可以提供可靠的报文交换。(3)协议被设计成可扩展的,不需要修改COPS协议本身就能支持不同的客户特定
15、信息。(4)协议提供了消息级的安全,可以进行认证、重发保护和维护消息的完整性。它也能使用像IPSecurityIPSEC或者Transport Layer SeCurityTLS等已有的安全机制来保证PEP和PDP间的认证和信道安全。(5)策略请求/策略决定(request/decision)的状态被PEP和PDP共享。PEP发出的策略请求被远端PDP存储或者记忆直到被PEP删除,同时,对于已经在PDP存储的请求声明,PDP可以在任何时候异步的产生策略决定。(6)PDP可以对PEP进行策略配置,当此配置不再可用时还可以将其从PEP中删除。LDAP具有如下三个最大的优点:(1)直接运行于TCP之
16、上,省去了OSI对话层与表示层连接建立与包处理的开销。TCP、IP实现的近乎全球可用性意味着LDAP可在大多数系统上运行。(2)LDAP在两个方面简化了X.5OO的功能模型;它省去了read和list操作,用Search操作仿真它们,省去了X.500的一些深奥的及极少使用的服务控制与安全特性(比如Sign操作,不过在v3中留有扩展接口),这使得LDAP易于实现。(3)尽管X.500和LDAP都使用ASN.1编码协议元素,但LDAP使用的是ASN.l中的BER(Basic Encoding Rules),其特异名与数据元素直接编码成原始OCTETSTRING,X.500甚至对简单的数据元素都使用复杂的、高度结构化的编码,因此LDAP降低了编码与解码的难度。LDAP将一个值的语法知识提交给应用程序而不是低层协议子程序。基于LDAP的网络管理除了弥补传统数据库存储方式的不足以外
