基于s n m p 的多子網(wǎng)物理拓撲發(fā)現(xiàn)方法的研究與實現(xiàn) 摘要 計算機網(wǎng)絡規(guī)模的不斷擴大，網(wǎng)絡異構性和分布性的日趨顯著， 網(wǎng)絡結構的日益復雜，用戶對網(wǎng)絡資源的可靠性要求的不斷提高，使 得網(wǎng)絡管理已經(jīng)成為網(wǎng)絡系統(tǒng)正常運行的關鍵因素。網(wǎng)絡拓撲信息可 以幫助網(wǎng)絡管理員掌握網(wǎng)絡拓撲結構，迅速定位故障發(fā)生地點，確定 故障影響的范圍，還可以成為發(fā)現(xiàn)網(wǎng)絡設備并調用其它管理功能模塊 的共同出發(fā)點。精確的網(wǎng)絡拓撲信息對于現(xiàn)代網(wǎng)絡管理和預測網(wǎng)絡性 能是至關重要的。然而，現(xiàn)代網(wǎng)絡的動態(tài)特性使得想要通過手動的方 式來獲得網(wǎng)絡拓撲信息是難以做到的。因此，近年來在國內外網(wǎng)絡拓 撲發(fā)現(xiàn)新方法和新技術的研究倍受關注和重視，成為計算機領域研究 的熱點問題。 本文深入地分析了國內外拓撲發(fā)現(xiàn)的相關理論、技術和應用，介 紹了常用的可被用來進行網(wǎng)絡拓撲發(fā)現(xiàn)的協(xié)議，并在適用性、網(wǎng)絡負 荷、速度及準確性等方面對各協(xié)議進行對比。在研究單子網(wǎng)和多子網(wǎng) 物理拓撲發(fā)現(xiàn)算法的基礎上，總結了現(xiàn)有的幾種物理拓撲發(fā)現(xiàn)算法， 并對這些算法的優(yōu)缺點進行分析。在對已有算法進行深入分析的基礎 上，并結合運用了a f t 、s t p 等協(xié)議及e t h e r e a l 軟件，本文提出了一 種基于s n m p 的多子網(wǎng)物理拓撲發(fā)現(xiàn)方法，該方法有效地解決了a f t 信息不完整、不支持s n m p 設備及啞設備的發(fā)現(xiàn)等問題。 本文設計并實現(xiàn)了拓撲發(fā)現(xiàn)的原型系統(tǒng)，對系統(tǒng)體系結構中各模 t 塊進行了詳細的介紹，并在所搭建的試驗環(huán)境中進行測試，驗證了拓 撲發(fā)現(xiàn)方法的有效性。 本文的創(chuàng)新之處主要體現(xiàn)于以下四個方面：在所提出的拓撲發(fā)現(xiàn) 方法中結合s n m p 、a f t 及s t p 等協(xié)議，實現(xiàn)了對多子網(wǎng)物理拓撲 的發(fā)現(xiàn)，并實現(xiàn)了簡單的異構；采用產生額外流量、試探法等方法， 解決a f t 的不完整問題；使用e t h e r e a l 軟件對數(shù)據(jù)報偵聽，解決不 支持s n m p 的設備的發(fā)現(xiàn)問題；對設備端口流量的分析，解決啞設 備的發(fā)現(xiàn)問題。 關鍵字：網(wǎng)絡管理；s n m p ；物理拓撲發(fā)現(xiàn)；多子網(wǎng)；異構網(wǎng)絡 r e s e a r c ha n di m p l e m e n t a t i o no fp h y s i c a l t o p o l o g yd i s c o v e r ym e t h o di nm u l 月i s u b n e t b a s e do ns n m p a b s t r a ct n o w a d a y s ，w i t ht h ed e v e l o p m e n to ft h et e c h n o l o g yo fc o m p u t e r n e t w o r k ，s c a l eo fc o m p u t e rn e t w o r ki sg e t t i n gb u l k ya n dc o m p l e x ，t h e n e e do fr e l i a b i l i t yo fc o m p u t e rn e t w o r ki sc o n t i n u a l l yi m p r o v e d ，n e t w o r k m a n a g e m e n t h a sb e e nt h ek e yt on o r m a lo p e r a t i o no ft h en e t w o r ks y s t e m i t sm o r ea n dm o r ei m p o r t a n tt og e tac o m p l e t ea n dc o r r e c tt o p o l o g y , w h i c hc a nb eu s e di nt h e s ef i e l d ss u c ha sn e t w o r km a n a g e m e n t ，n e t w o r k o p t i m i z a t i o na n df a u l tl o c a t i o n a n da c c u r a t en e t w o r kt o p o l o g y i n f o r m a t i o ni sc r u c i a lf o rb o t hn e t w o r km a n a g e m e n ta n dp e r f o r m a n c e p r e d i c t i o n g i v e nt h ed y n a m i c n a t u r eo f t o d a y si pn e t w o r k s ，k e e p i n g t r a c ko ft o p o l o g yi n f o r m a t i o nm a n u a l l yi sad a u n t i n gt a s k i nr e c e n ty e a r s ， i th a sb e e na t t r a c t e dc o n s i d e r a b l ea t t e n t i o nf o ram a s so fr e s e a r c h e r so n n e t w o r k si nw o r l d ，a n db e c o m et h e h o tr e s e a c ha r e ao fc o m p u t e r n e t w o r k s b a s e do nc a r e f u la n a l y s i so nr e l a t e dt h e o r y , t e c h n i q u ea n d a p p l i c a t i o no ft h et o p o l o g yd i s c o v e r yi nw o r l d ，t h i st h e s i si n t r o d u c e s s e v e r s a lc o m m o n p r o t o c o l sw h i c hc o u l db eu s e di nt o p o l o g yd i s c o v e r y , a n dw h i c ha r ec o m p a r e dt oe a c ho t h e ra c c o r d i n gt ot h e i rs u i t a b l e a p p l i c a t i o n ，n e t w o r kl o a d ，s p e e da n da c c u r a c y o nt h eb a s eo ft h e p h y s i c a lt o p o l o g yd i s c o v e ra l g o r i t h mf o rs i n g l eo rs u b n e t s ，t h ea u t h o ri s c o n c e r n e dw i t hs u m m a r i z i n gt h e s et o p o l o g yd i s c o v e r y a l g o r i t h m s ，a n d c o m p a r i s o no f a d v a n t a g e sa n dd i s a d v a n t a g e sa m o n g t h e s ea l g o r i t h m si s a l s op r e s e n t e d b a s e do n s t u d y i n gt h em e t h o d so fp h y s i c a lt o p o l o g y d i s c o v e r ya n dc o m p a r e dt h e m ，a n dg a v ean o v e lp h y s i c a lt o p o l o g y d i s c o v e r ym e t h o di nm u l t i s u b n e tb a s e do ns n m p , m a k eu s eo fe t h e r e a l a n dm a n yp r o t o c o l ss u c ha sa f t , s t p , w h i c hc a ns o v l en i c e l yt h e p r o b l e mo fi n c o m p l e t ea f t t h ed e v i c e sw h i c hd o n ts u p p o r ts n m pa n d d u m p o ru n c o o p e r a t i v en e t w o r ke l e m e n t s a c o m p l e t et o p o l o g yd i s c o v e r ys y s t e mh a sb e e nd e s i g n e da n d i m p l e m e n t e d ，a n de v e r ym o d u l e so ft h es y s t e mh a v ea l s oi n t r o d u c e d d e t a i l e d l yi nt h ee n do ft h et h e s i s t h en e wm e t h o dh a sb e e nt e s t e di nt h e r e a ln e t w o r k s i ti sp r o v e dt h a tt h i sm e t h o di se f f i c i e n t t h ei n n o v a t i o no ft h ew o r ki nt h i st h e s i sc a nb es h o w na st h e f o l l o w i n gf o u ra s p e c t s ：t h e r ep r o t o t o c o l ss n m p , s t pa n da f t a r e c o m b i n e di nt h i sn e wt o p o l o g yd i s c o v e r ym e t h o d ，w h i c hc a nd i s c o v e r m u l t is u b n e ta n dh e t e r o g e n e o u sn e t w o r k ；o w i n gt ot h eu s i n go ft h e m e t h o d so f c r e a t i n ge x t r at r a f f i ca n da p p r o x i n m a t i o n s ，w es o l v et h e p r o b l e mo fi n c o m p l e t ea f t ；o w i n gt ot h eu s i n go fe t h e r e a l ，w h i c hc a n w eu s et os o l v et h ep r o b l e mo f d i s c o v e r y i n gt h ed e v i c e sw h i c hd o n t i v s u p p o r ts n m p ；b e n e f i t e df r o ma n a l y s i s t ot h et r a f f i co ft h ee q u i p m e n t ， w ec a ns o l v et h ep r o b l e mo fd i s c o v e r y i n gd u m po ru n c o o p e r a t i v e n e t w o r ke l e m e n t s k e yw o r d s ：n e t w o r km a n a g e m e n t ；s n m p ；p h y s i c a lt o p o l o g yd i s c o v e r y ； m u l t i s u b n e t ；h e t e r o g e n e o u sn e t w o r k v 獨創(chuàng)性聲明 本人聲明所呈交的學位論文是本人在導師指導下進行的研究工 作及取得的研究成果。盡我所知，除了文中特別加以標注和致謝的地 方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含 本人為獲得浙江工商大學或其它教育機構的學位或證書而使用過的 材料。與我一同工作的同志對本研究所做的任何貢獻均已在論文中作 了明確的說明并表示謝意。 簽名：壘壘糾壟望日期：年月日 關于論文使用授權的說明 本學位論文作者完全了解浙江工商大學有關保留、使用學位論文 的規(guī)定：浙江工商大學有權保留并向國家有關部門或機構送交論文的 復印件和磁盤，允許論文被查閱和借閱，可以將學位論文的全部或部 分內容編入有關數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制 手段保存、匯編學位論文，并且本人電子文檔的內容和紙質論文的內 容相一致。 保密的學位論文在解密后也遵守此規(guī)定。 簽名：巡導師簽名： 日期：年月日 1 1 研究背景及意義 1引言 隨著計算機網(wǎng)絡的飛速發(fā)展，人們對于通信方式、通信效率的要求也越來越 高。計算機網(wǎng)絡已經(jīng)滲透到了社會的各個領域，包括政府、商業(yè)、軍事、教育和 科研等領域，逐漸成為企業(yè)和個人不可缺少的工具。隨著網(wǎng)絡技術的迅速發(fā)展， 網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構越來越復雜，網(wǎng)絡功能越來越強大，網(wǎng)絡管理技術 已經(jīng)成為一個日益重要的課題。 計算機網(wǎng)絡管理是對網(wǎng)絡和網(wǎng)絡資源的規(guī)劃、設計、監(jiān)測和控制等各種活動 的總稱。根據(jù)i s o 的定義，網(wǎng)絡管理主要包括五個功能域【l 】：故障管理、配置管 理、性能管理、安全管理和計費管理。五大功能域之間既相互獨立，又存在著聯(lián) 系。在五大功能域中，配置管理是基礎，它的主要功能包括發(fā)現(xiàn)網(wǎng)絡拓撲結構、 監(jiān)視和管理網(wǎng)絡設備的配置情況。要對網(wǎng)絡性能及流量進行分析，首先必須得到 正確的拓撲結構和相關信息。因此，網(wǎng)絡拓撲發(fā)現(xiàn)成為網(wǎng)絡管理的基礎。 拓撲發(fā)現(xiàn)是指發(fā)現(xiàn)網(wǎng)元并確定網(wǎng)元之問的互連關系，包括互連設備( 如路由 器、網(wǎng)橋、交換機等) 、主機和子網(wǎng)。 網(wǎng)絡拓撲從不同的抽象層次上可分為邏輯網(wǎng)絡拓撲與物理網(wǎng)絡拓撲。邏輯網(wǎng) 絡拓撲指的是網(wǎng)絡層設備及其之間的連接關系，即路由器到路由器、路由器接口 到子網(wǎng)的連接關系。物理網(wǎng)絡拓撲指的是網(wǎng)絡元素之間的實際物理連接，即在原 有網(wǎng)絡層拓撲的基礎上增加交換機到交換機、交換機到路由器、交換機到主機之 間的連接關系。其中，發(fā)現(xiàn)交換機到交換機之間的連接關系是物理網(wǎng)絡拓撲發(fā)現(xiàn) 的關鍵。 網(wǎng)絡拓撲發(fā)現(xiàn)對于網(wǎng)絡管理、網(wǎng)絡當前狀況的研究以及優(yōu)化網(wǎng)絡性能等有著 重要的作用及意義，主要體現(xiàn)于以下幾個方面【2 】： 1 ) 模擬網(wǎng)絡：為了模擬實際網(wǎng)絡，分析網(wǎng)絡性能，合理擴容和優(yōu)化網(wǎng)絡， 必須先得到該網(wǎng)絡的拓撲結構： 2 ) 網(wǎng)絡優(yōu)化：網(wǎng)絡拓撲信息可以幫助網(wǎng)絡管理者確定是否需要增加新的路 由器，當日，j 硬件是否配置正確，并發(fā)現(xiàn)網(wǎng)絡中的瓶頸所作和失敗的鏈路， 進行網(wǎng)絡優(yōu)化； 3 ) 用戶接入方式的選擇：網(wǎng)絡拓撲信息可以幫助用戶確定自身處于網(wǎng)絡中 的位置，從而決定服務器的位置以及選擇哪一個網(wǎng)絡服務提供商可以將 網(wǎng)絡時延最小化，可用帶寬最大化； 4 ) 研究拓撲敏感算法：一些新的協(xié)議和算法可以在得到網(wǎng)絡拓撲信息的基 礎上改善網(wǎng)絡性能。例如：基于拓撲敏感策略和q o s 的路由選擇算法與 基于拓撲敏感進程組選項和組通信算法； 5 ) 確定鏡像服務器的位置：根據(jù)拓撲信息合理配置鏡像服務器的位置以最 大可能減少時延，解決瓶頸問題。 1 2 研究現(xiàn)狀 盡管拓撲信息對現(xiàn)代的i p 網(wǎng)絡管理工作非常重要，但是如今從市場上可得到 的網(wǎng)絡管理平臺中沒有一個提供自動發(fā)現(xiàn)物理i p 網(wǎng)絡連通性的通用目的工具。多 數(shù)網(wǎng)絡管理系統(tǒng)提供了3 層拓撲的發(fā)現(xiàn)，由于路由器能明確地知道其3 層鄰居的情 況，因此，發(fā)現(xiàn)3 層拓撲就相對容易。并且3 層拓撲只覆蓋了i p 網(wǎng)絡互連關系的小 部分，因為它不捕捉屬于不同i p 子網(wǎng)的2 層網(wǎng)絡設備( 如，交換機和網(wǎng)橋) 的復 雜連接關系。 網(wǎng)絡層主要是從路由表中提取拓撲發(fā)現(xiàn)信息。1 9 9 0 年i e t f 在r f c l l 5 7 t 3 】中正 式公布了“簡單網(wǎng)絡管理協(xié)議 ( s n m p ) ，1 9 9 1 年k m c c l o g h i i e 和m r o s e 在r f c l 2 1 3 【4 】中提出了基于t c p i p 協(xié)議的因特網(wǎng)管理信息庫m i b i i ，1 9 9 3 年4 月i e t f 又發(fā) 布了s n m p v 2 。國外許多商業(yè)網(wǎng)絡管理系統(tǒng)都已提供了基于s n m p 自動發(fā)現(xiàn)3 層網(wǎng) 絡拓撲的算法，如h p 公司的o p e nv i e w 5 1 、i b m 的t i v o l i 6 1 ，a c t u a l i t 的o p t i m a l s u e y o r 和d a n m o u t h 的i n t e 徹a p p e r i 7 1 。 網(wǎng)絡上的設備十分繁雜，不是所有的設備都支持s n m p ?；趕 n m p 的網(wǎng)絡 層拓撲發(fā)現(xiàn)算法要求網(wǎng)絡內的設備必須支持s n m p 代理，具有其一定的局限性。 因此，人們逐漸開始利用路由協(xié)議來發(fā)現(xiàn)網(wǎng)絡層拓撲。a m a ns h a i k h 等人【8 】提出 了一種通過監(jiān)聽網(wǎng)絡中的o s p f 數(shù)據(jù)包來獲得網(wǎng)絡拓撲的方法。這種方法的優(yōu)點 是可以繞過設備不支持s n m p 帶來的麻煩，同時可以避免向網(wǎng)絡中注入大量數(shù)據(jù) 包，從而減輕了網(wǎng)絡的負擔。 沒有自動捕獲物理拓撲( 即2 層) 信息的解決方案意味著網(wǎng)絡管理員通常被 迫為他們所使用的管理工具手工輸入必要的信息。由于現(xiàn)代i p 網(wǎng)絡具有的動態(tài)特 性與同趨增加的復雜性，要想通過手工方式進行拓撲信息跟蹤是不可想象的。所 以必須為i p 網(wǎng)絡的最新物理拓撲找到有效的、有通用目的的算法，自動生成拓撲 圖。綜上所述，任何發(fā)現(xiàn)物理i p 拓撲的切實可行的解決方案必須應對以下三個難 題【9 】： 1 ) 有限的本地信息。算法只能對設備可給出的有關信息做很少的推理假 設；也就是說，算法只能利用大多數(shù)網(wǎng)絡設備通常給出的本地信息。此 外，由于2 層網(wǎng)絡設備不能明確感知物理上與其連接的鄰居設備，所以2 層的物理互連不是直接可以得到的。 2 ) 設備對協(xié)議層的透明性。算法必須為在i s o 協(xié)議棧不同層次上運行的網(wǎng) 絡設備找到正確的連接關系。這點很重要，因為交換式i p 子網(wǎng)中，2 層 網(wǎng)絡設備對控制進、出子網(wǎng)數(shù)據(jù)傳輸?shù)? 層路由器是完全透明的。 3 ) 網(wǎng)絡設備的異構性。發(fā)現(xiàn)算法應該能從不同種類的網(wǎng)絡設備中搜集拓撲 信息，并且確保從不同廠商設備中搜集到的相關信息被正確地訪問和解 釋。 對于局域網(wǎng)( l a n ) 的物理拓撲發(fā)現(xiàn)的成果還相對較少，對于l a n 拓撲發(fā) 現(xiàn)所感興趣的主要集中在構成該l a n 的二層網(wǎng)絡設備，而實質上，這些2 層設備 對那些只能發(fā)現(xiàn)i p 路由器互連的工具是透明的。對于物理網(wǎng)絡拓撲的發(fā)現(xiàn)，主要 是利用a r p 協(xié)議和i c m p 協(xié)議來發(fā)現(xiàn)局域網(wǎng)中的設備，s n m p 的出現(xiàn)也為物理網(wǎng) 絡拓撲發(fā)現(xiàn)算法提供了有力的工具。在國外，y u r ib r e i t b a r t 等人在參考文獻【9 】中 提出了一種基于b r i d g em i b 的拓撲發(fā)現(xiàn)算法，并給出了嚴格的數(shù)學證明，但是該 方法對網(wǎng)絡環(huán)境要求太高。h w a - c h u nl i n 等人利用b r i d g em i b ( r f c1 4 9 3 ) 來獲取 交換機的連接信息【1 0 】，但是該方法的準確性不高。針對二層拓撲發(fā)現(xiàn)一些廠家 提供了相應的協(xié)議及產品，c i s c o 的發(fā)現(xiàn)協(xié)議c i s c od i s c o v e r yp r o t o c o l 和b a y 的 n e t w o r k so p t i v i t ye n t e r p r i s e ，然而，這些工具通?；谔囟◤S商擴展的s n m p m i b ，不具有通用性。i e t f 在意識到物理拓撲發(fā)現(xiàn)的重要性后，指定了物理拓撲 s n m pm i b 庫【】，但是并沒有定義任何通用的協(xié)議和算法用于獲得物理拓撲信 息。 1 3 研究內容 1 3 1 本文貢獻 本文對已有的物理拓撲發(fā)現(xiàn)算法進行研究和分析，在此基礎上進行改進，提 出新的多子網(wǎng)物理拓撲發(fā)現(xiàn)算法。利用和研究現(xiàn)有的拓撲發(fā)現(xiàn)工具，分析各自的 有點及不足，從而提出新的基于s n m p 的多子網(wǎng)的物理拓撲發(fā)現(xiàn)算法，并完成原 型系統(tǒng)的設計與實現(xiàn)。具體內容如下： ( 1 ) 研究和分析了目前國內外拓撲發(fā)現(xiàn)的研究背景、意義及研究現(xiàn)狀。對s n m p 等網(wǎng)絡拓撲發(fā)現(xiàn)相關工具及協(xié)議進行研究，分析其優(yōu)缺點，并對拓撲發(fā)現(xiàn)性 能進行比較，分析他們各自適用的網(wǎng)絡環(huán)境； ( 2 ) 介紹了單子網(wǎng)和多子網(wǎng)交換域，針對當前對多子網(wǎng)物理拓撲發(fā)現(xiàn)算法的研究 相對較少的情況，分析比較了已有的物理拓撲發(fā)現(xiàn)算法( 基于s n m p 、i c m p 、 a f t 及s t p 等物理網(wǎng)絡拓撲算法) ，指出其各自存在的問題與不足，在此基礎 上提出了一種運算速率高、實用性好的改進的多子網(wǎng)物理拓撲發(fā)現(xiàn)算法； ( 3 ) 該算法支持簡單的異構，結合相關研究，對多子網(wǎng)內“啞”設備的發(fā)現(xiàn)、a f t 不完整及不支持s n m p 設備的發(fā)現(xiàn)的問題上也提出相應的創(chuàng)新； ( 4 ) 詳細介紹實驗設計的各個模塊，基于v c + + 6 0 、m i c r o s o t ta c c e s s 、c i s c o 路 由器及華為交換機搭建實驗平臺，驗證了算法的有效性。 1 3 2 本文的創(chuàng)新點 本文的創(chuàng)新之處主要體現(xiàn)于以下四個方面： ( 1 ) 在所提出的拓撲發(fā)現(xiàn)方法中結合s n m p 、a f t 及s t p 等協(xié)議，實現(xiàn)了對多子 網(wǎng)物理拓撲的發(fā)現(xiàn)，并實現(xiàn)了簡單的異構； ( 2 ) 采用產生額外流量、試探法等方法，解決a f t 的不完整問題； ( 3 ) 使用e t h e r e a l 軟件對數(shù)據(jù)報偵聽，解決不支持s n m p 的設備的發(fā)現(xiàn)問題； ( 4 ) 對設備端1 2 流量的分析，解決啞設備的發(fā)現(xiàn)問題。 1 4 本文的組織結構 本文共分為六個章節(jié)，內容安排如下： 第一章緒論。闡述了論文的選題背景及研究意義，分析了網(wǎng)絡拓撲發(fā)現(xiàn)的重 4 要性及當前國內外拓撲發(fā)現(xiàn)技術的研究現(xiàn)狀，并闡述了本文的主要工作。 第二章介紹了相關的網(wǎng)絡拓撲發(fā)現(xiàn)工具及協(xié)議。詳細介紹了s n m p ( 簡單網(wǎng) 絡管理協(xié)議) ，再分別介紹了i c m p ( 網(wǎng)際控制報文協(xié)議) 、p i n g 程序、t r a c e r o u t e 程序、d n s 及a r p 等其他拓撲發(fā)現(xiàn)工具及協(xié)議。 第三章是物理網(wǎng)絡拓撲發(fā)現(xiàn)算法分析。詳細介紹了單子網(wǎng)和多子網(wǎng)交換域， 并且介紹了基于s n m p 、i c m p 、a f t 及s t p 等物理網(wǎng)絡拓撲算法。 第四章介紹改進的多子網(wǎng)物理拓撲發(fā)現(xiàn)算法。內容包括算法的可行性分析、 算法提出及實現(xiàn)所面臨的問題的解決、理論基礎、算法的具體描述以及流程圖。 第五章介紹拓撲發(fā)現(xiàn)的具體實現(xiàn)，介紹了系統(tǒng)體系結構及具體模塊的實現(xiàn)， 并詳細描述了實驗設計及實驗結果。 第六章總結并展望下一步研究工作。 2網(wǎng)絡拓撲發(fā)現(xiàn)相關工具及協(xié)議 2 1s n m p 協(xié)議概述 s n m p ，即s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ，簡單網(wǎng)絡管理協(xié)議。它是 一個標準的用于管理i p 網(wǎng)絡上設備的協(xié)議。首先是由i n t e m e t 工程任務組織 ( i n t e m e te n g i n e e r i n gt a s kf o r c e ) ( i e t f ) 的研究小組為了解決i n t e m e t 上的路由器 管理問題而提出的。它可以在i p 、i p x 、a p p l e t a l k 、o s i 以及其他用到的傳輸協(xié) 議上被使用。s n m p 是最早提出的網(wǎng)絡管理協(xié)議之一，它一推出就得到了廣泛的 應用和支持，特別是很快得到了數(shù)百家廠商的支持，其中包括i b m 、h p 、s u n 等大公司和廠商。目前s n m p 已成為網(wǎng)絡管理領域中事實上的工業(yè)標準，并被 廣泛支持和應用，大多數(shù)網(wǎng)絡管理系統(tǒng)和平臺都是基于s n m p 的。 s n m p 的前身是簡單網(wǎng)關監(jiān)控協(xié)議( s g m p ) ，用來對通信線路進行管理。隨 后，人們對s g m p 進行了很大的修改，特別是加入了符合i n t e m e t 定義的s m i 和m i b ：體系結構，改進后的協(xié)議就是著名的s n m p 。s n m p 的目標是管理互聯(lián) 網(wǎng)i n t e m e t 上眾多廠家生產的軟硬件平臺，因此s n m p 受i n t e m e t 標準網(wǎng)絡管理 框架的影響也很大?，F(xiàn)在s n m p 已經(jīng)出到第三個版本的協(xié)議，其功能較以前已 經(jīng)大大地加強和改進了。 s n m p 被設計成與協(xié)議無關，所以它可以在i p ，i p x ，a p p l e t a l k ，o s i 以及 其他用到的傳輸協(xié)議上被使用。 s n m p 是一系列協(xié)議組和規(guī)范( 見表2 一1 ) ，它們提供了一種從網(wǎng)絡上的設備 中收集網(wǎng)絡管理信息的方法。s n m p 也為設備向網(wǎng)絡管理工作站報告問題和錯誤 提供了一種方法?！? 2 】 表2 1s n m p 的組成 名字 說明 m i b 管理信息庫 s m i管理信息的結構和標識 s n m p簡單網(wǎng)絡管理協(xié)議 s n m p 的體系結構是圍繞著以下四個概念和目標進行設計的：保持管理代理 6 ( a g e n t ) 的軟件成本盡可能低；最大限度地保持遠程管理的功能，以便充分利用 i n t e r a c t 的網(wǎng)絡資源；體系結構必須有擴充的余地；保持s n m p 的獨立性，不依 賴于具體的計算機、網(wǎng)關和網(wǎng)絡傳輸協(xié)議。在最近的改進中，又加入了保證s n m p 體系本身安全性的目標。 2 1 1s n m p 協(xié)議的發(fā)展 簡單網(wǎng)絡管理協(xié)議是建立在t c p i p 網(wǎng)絡上的公共網(wǎng)絡管理協(xié)議，它定義了 用于交換管理信息的協(xié)議、管理信息的表示格式、分布式的組織框架和一種特定 的儲存管理信息的數(shù)據(jù)庫( m i b ) 。它的發(fā)展經(jīng)過了幾個階段?！? 3 】 目前使用到的s n m p 共有3 個版本和兩個擴展。目前s n m p 共有v 1 ，v 2 ， v 3 共3 個版本：【1 4 】 v l 和v 2 都具有基本的讀、寫m i b 功能； v 2 增加了警報、批量數(shù)據(jù)獲取、管理站和管理站的通信能力； v 3 在v 2 的基礎上增加了u s m ，使用加密的數(shù)據(jù)和用戶驗證技術，提高 了安全性。 另外，r m o n 是s n m p 的一個重要擴展，為s n m p 增加了子網(wǎng)流量、統(tǒng)計、 分析能力，現(xiàn)有兩個版本： r m o n 提供了o s i 七層網(wǎng)絡結構中網(wǎng)絡層和數(shù)據(jù)鏈路層監(jiān)視能力； r m o n 2 提供了o s i 七層網(wǎng)絡結構中網(wǎng)絡層之上各層的監(jiān)視能力。 2 1 1 1s n m pv l 1 9 9 0 年i e t f ( 互聯(lián)網(wǎng)工程任務組) 在r f c l l 5 7 中正式公布了s n m p ，又稱 為s n m p v l 。 s n m p 的設計原則是簡單、可靠、有效，這樣做有以下幾個好處： 1 開發(fā)簡單，周期短； 2 開發(fā)費用低； 3 易掌握、易普及； 4 帶寬利用率高； 5 使用方便。 s n m p 協(xié)議定義了使用到的傳輸層協(xié)議、支持的操作、操作相關的p d u 結 構、操作的時序、角色、實例取值、共同體等。 7 根據(jù)網(wǎng)絡管理的需求，s n m p 設計了5 個基本操作，其支持的操作僅僅是對 變量的修改和檢查： g e t r e q u e s t 讀對象值操作，使n m s 能夠從被管理a g e n t 中檢索對象的值； g e t n e x t r e q u e s t 讀取當前對象的下一個可讀取的對象實例值； s e t r e q u e s tn m s 更新a g e n t 中對象的值； g e t r e s p o n s ea g e n t 對g e t r e q u e s t g e t n e x t r e q u e s t s e t r e q u e s t3 種操作的 應答； t r a p a g e n t 向n m s 發(fā)送對象值。 2 1 1 2s n m pv 2 s n m p v l 公布之后得到了廣泛的應用，廣泛的使用也使使用者發(fā)現(xiàn)了 s n m p v l 的很多缺陷和不足。s n m p v l 一個主要的缺陷是沒有提供安全功能，特 別是不能對管理消息進行鑒別，也不能防止監(jiān)聽。另一方面，s n m p 缺少管理站 到管理站的通信機能，使管理站之問不能有效協(xié)作。為了彌補s n m p v l 的缺陷， 對它進行了重大改進，因此，1 9 9 3 年發(fā)布了s n m p v 2 ，具有以下特點【1 5 】： 1 支持分布式網(wǎng)絡管理： 2 擴展了數(shù)據(jù)類型； 3 可以實現(xiàn)大量數(shù)據(jù)的同時傳輸，提高了效率和性能； 4 豐富了故障處理能力； 5 增加了集合處理功能。 s n m p v 2 能支持高度集中的網(wǎng)絡管理策略，也能支持分布式的管理策略。在 分布式的管理策略下，一些系統(tǒng)在運行時既有管理站的功能也有代理的功能。 s n m p v 2 對s n m p v l 的主要增強可以分為以下幾類： s m i 管理站到管理站功能 協(xié)議控制 s n m p v 2s m i 在幾個方面擴展了s n m p s m i 。s m iv 2 中增加了用于定義對象 的擴展宏，增加了幾個新的數(shù)據(jù)類型。另一個非常顯著的變化就是對創(chuàng)建和刪 除表中的概念行提供了新的規(guī)范。 協(xié)議操作中最顯著的變化就是包含兩種新的p d u ，以下是s n m p v 2 提供的 7 種操作： g e t r e q u e s t 管理站向代理讀取對象實例值； g e t n e x t r e q u e s t 管理站向代理讀取給定對象的下一個可用實例值； s e t r e q u e s t 管理站向代理發(fā)出的設置操作； s n m p v 2 t r a p 代理向管理站主動發(fā)起的通告消息； r e s p o n s e 代理響應管理站請求的應答包； i n f o r m r e q u e s t 管理站向另一個管理站報告通報的消息； g e t b u l k r e q u e s t 管理站向代理讀取表中的若干行的操作。 與s n m p v l 一樣，g e t r e q u e s t 、g e t n e x t r e q u e s t 和s e t r e q u e s t 操作由管理站 發(fā)出，代理受到請求都要一個r e s p o n s e 消息應答，不管處理成功與否。 s b n p v 2 t r a p 由代理主動發(fā)出，管理站沒有相應的應答。與v 1 不同， s n m p v 2 - t r a p 的p d u 結構與g e t r e q u e s t 、g e t n e x t r e q u e s t 、s e t r e q u e s t 、 i n f o r m r e q u e s t 相同，不像在v l 中擁有自己特殊的模式。 i n f o r m r e q u e s t 是s n m p v 2 引入的新的操作，由管理站發(fā)起，向另一個管理 站報告狀態(tài)和數(shù)據(jù)。 2 1 1 3s n m pv 3 s n m p v 2 因為項目時間緊迫，而在安全性發(fā)面沒有達成一致的意見，所以在 最終形式中沒有包括安全性。安全性要求在s n m p v 2 中就被迫切地提出來，這 是因為s n m p 的消息在網(wǎng)絡上傳輸面臨著以下的安全性問題【1 4 】： 修改信息一個實體可以修改另一個授權實體產生的傳輸中的消息，從 而以這樣的一種方式實現(xiàn)非授權的管理操作，包括設置對象的取值； 偽裝通過偽裝成另一個授權實體，該授權實體試圖進行某些沒有授權 的操作； 修改信息流s n m p 被設計成在無連接的傳輸層協(xié)議上傳輸，這樣便存 在s n m p 消息被重新排序、顯示或重播來影響授權的管理操作的威脅； 泄密一個實體可能觀測管理站和代理之間的交換，從而得知被管理對 象的取值以及一些應用通告的事件。 因為這些原因，提出了s n m p 的安全性要求。1 9 9 7 年4 月i e t f 成立了 9 s n t m p v 3 i 作組，于1 9 9 8 年1 月提出了互聯(lián)網(wǎng)建議r f c2 2 7 1 2 2 7 5 ，正式形成 s n m p v 3 。s n m p v 3 的r f c 描述了s n m p v 3 的整體框架和具體的消息結構及安全特 性，沒有定義新的s n m pp d u 格式，因此在新的結構中必須使用已有的s n m p v l 和s n m p v 2p d u 、s m i 及主要m i b 。所以，可以有這樣一個公式： s n m p v 3 = s n m p v 2 + 安全+ 管理。 上面所寫的s n m p 面臨的安全性問題相應的解決方法，就是對數(shù)據(jù)進行加密 和鑒別，借助于密碼學相關的加密和摘要算法實現(xiàn)： 鑒別數(shù)據(jù)整體性和數(shù)據(jù)發(fā)送源鑒別，保證消息是由該發(fā)送源發(fā)送的， 不是別人偽造的數(shù)據(jù)包、傳輸過程中沒有被篡改過。使用h m a c 、m d 5 散列函數(shù)或s h a 1 這些算法對數(shù)據(jù)進行摘要，從而鑒別數(shù)據(jù)有沒有哦被 篡改； 加密對數(shù)據(jù)進行加密，保證不能使用網(wǎng)絡數(shù)據(jù)包截獲技術將包偵聽而 直接解讀。使用d e s 的c b c ( c i p h e r b l o c k c h a i n i n g ) 模式來加密數(shù)據(jù)， 即保證了加解密的效率，又保證了足夠的強度。 2 1 1 4r m o n 與r m o n 2 r m o n 是適應對子網(wǎng)流量監(jiān)視的需求而產生的。r m o n 發(fā)布在s n m p v l 之 后，在s n m p v 2 之前。r m o n 最初的設計是用來解決從一個中心點管理各局域分 網(wǎng)和遠程站點的問題。r m o n 規(guī)范是由s n m pm i b 擴展而來。r m o n 中，網(wǎng)絡 監(jiān)視數(shù)據(jù)包含了一組統(tǒng)計數(shù)據(jù)和性能指標，它們在不同的監(jiān)視器( 或稱探測器) 和控制臺系統(tǒng)之間相互交換。結果數(shù)據(jù)可用來監(jiān)控網(wǎng)絡利用率，以用于網(wǎng)絡規(guī)劃， 性能優(yōu)化和協(xié)助網(wǎng)絡錯誤診吲1 6 1 。r m o n 的設計是為了實現(xiàn)如下目標： 離線操作 前攝監(jiān)視 問題探測和報告 有效的附加數(shù)據(jù) 多管理站 r m o n 2 在s n m p v 2 之后發(fā)布，主要對r m o n 進行了擴充。r m o n 2 對r m o n 的擴充主要表現(xiàn)在新的類型和m i b 的擴展上。另一方面，r m o n 2 擴大了對i s 0 網(wǎng)絡模型的監(jiān)控深度，可以監(jiān)視更多的層次。 1 0 r m o n 2 是r m o n 的升級版本。r m o n 對i s o 網(wǎng)絡模型的第2 層( 數(shù)據(jù)鏈路層) 和第3 層( 網(wǎng)絡層) 進行分析。r m o n 2 除了對這兩層進行監(jiān)視外，還對傳輸層、 會話層、表示層、應用層進行監(jiān)視。圖2 1 描述了r m o n 和r m o n 2 適用的網(wǎng)絡層 次。0 4 1 7 應用層 6 表示層 5 會話層 4 傳輸層 3 n 絡層 2 數(shù)據(jù)鏈路層 1 物理層 ) 回 r m o n 2 圖2 1r m o n 和r m o n 2 適用的網(wǎng)絡層次 r m o n 可以監(jiān)聽m a c 地址，并分析上面的i p ，r m o n 在這兩個層面上進行 分析、統(tǒng)計。r m o n 2 還可以分析再上面的各層數(shù)據(jù)，比如應用層的e m a i l 、r t p 、 w w w 等，可以分析的范圍加大了，更方便進行網(wǎng)絡性能分析。 2 1 2 管理信息結構( s ) 管理信息結構( s m i ) 是s n m p 的描述方法。有眾多的供應商提供支持s n m p 協(xié)議的設備和服務。如果沒有一種約束機制，可能各個企業(yè)寫出來的m i b 都各不 相同，這樣的網(wǎng)絡設備在s n m p 層上的協(xié)同會出現(xiàn)大麻煩。所以，需要一種機制 限制和規(guī)范m i b 的定義，這就是s m i 。它規(guī)定了使用到的抽象語法記法l ( a s n 1 ) 子類型、宏、符號等，是a s n 1 的一個子集和超集，定義了s n m p 自定義類型， 用于描述s n m p 協(xié)議數(shù)據(jù)包和管理信息庫( m i b ) ，是s n m p 的基礎之一。 s m i 定義在r f c l l 5 5 中。該規(guī)范定義了一個基本框架，使用框架內的規(guī)范可 以定義m i b 。s m i 定義了基本的數(shù)據(jù)類型、宏結構及命令規(guī)則。s n m p 的主要目 標之一是簡化網(wǎng)絡管理，所以，s m i 也將a s n 1 進行限制和簡化，只用到其中很 小的一部分。因此，m i b 只能存儲簡單的數(shù)據(jù)類型，分別是標量和標量的二維數(shù) 組。s n m p 只能檢索標量，包括表中的單個條目。s m i 不支持復雜數(shù)據(jù)結構的創(chuàng) 建和檢索。 s m i 的內容包括： m i b 結構定義語句 單個對象定義語句( 包括語法和每個對象的值) 數(shù)據(jù)編碼格式 管理對象以虛擬信息存儲方式存儲和訪問，m i b d ? 的對象以a s n 1 語言定 義?？匆粋€例子： a t l f l n d e x a t e n t r y1 ) s y n t a x ： i n t e g e r d e f i n i t i o n ： t h ei n t e r f a c en u m b e rf o rt h ep h y s i c a la d d r e s s a c c e s s ： r e a d w r i t e s t a t u s ： m a n d a t o r y 例子中定義了一個管理對象，其名字為a t i f l n d e x ，語法為i n t e g e r 。編碼方 法由i n t e g e r 的b e r 編碼方法指定。s m i 規(guī)定，s n m p 使用b e r 對管理信息進行 編碼。 每個管理對象有自己的名字、類型( s y n t a x ) 和編碼。以下主要介紹這3 種 屬性。 2 1 2 1 名字 對象名字與對象標識一樣是唯一的。名字用于表示對象，對象標識則可以更 準確地標識對象。 標識是一個樹形結構，根結點不進行標記，但它至少有三個結點： 一個由c c i t t 管理，標記為c c i t t ( 0 ) 另一個子結點由國際標準化組織管理，標記為i s o ( 1 ) 第三個由兩者共同管理，標記為j o i n t i s o c c i t t ( 2 ) 2 1 2 2 語法 每一個s n m pm i b i 為部對象都要j 下式定義。定義規(guī)定了對象的數(shù)據(jù)類型、允 許的形式、取值范圍以及與其他m i b 內部對象之間的關系。定義時使用a s n 1 定 義每一個對象，也用來定義整個m i b 的結構。 s m i 中使用三種語法：原始類型、s m i 預定義類型、自定義類型： 1 原始類型 s n m p 中使用到如下a s n 1 原始類型： i n t e g e r 、o c t e ts t r i n g 、o b j e c ti d e n t i f i e r 、n u l l 其中，整數(shù)類型可以作為枚舉類型使用 2 構造類型 s n m p 使用a s n 1 中的s e q u e n c e 建立行或表。 3 定義的類型 s n m p 允許在一個新產品的范圍內定義新類型，新類型必需能夠分解為基本 類型、行、表或其他新類型。這些類型是s n m p 使用a s n 1 語言自定義的類型， 在s n m p 中使用，與其他a s n 1 基本類型和結構類型一起構成了s n m p 中使用 的類型。 s m i 中定義了用于s n m p 的一些自定義類型： n e t w o r k a d d r e s s 描述多個可能的協(xié)議族中的地址格式； i p a d d r e s s 描述3 2 位的i p 地址，它表示為長度為4 的字符竄； c o u n t e r 描述一個非負整數(shù)，它只能增加，直到最大值； g a u g e 描述一個非負整數(shù)，它可以增加或減少，但在最大值時停止； t i m e t i c k s 此類型為非負整數(shù)，用于記錄一個時間點起經(jīng)過了多少個百 分之一秒的時間； o p a q u e 支持對a s n 1 語法進行擴充的能力。 2 1 2 3 編碼 使用a s n 1 的b e r 編碼規(guī)則將數(shù)據(jù)從a s n 1 編碼為字節(jié)流以在網(wǎng)絡上傳 輸。 2 1 3 管理信息庫( b ) 所謂管理信息庫，或者m i b ，就是所有代理進程包含的、并且能夠被管理 進程進行查詢和設置的信息的集合。s n m p v l 中有兩個版本的管理信息庫：r f c 1 1 5 6 定義了s n m p 第一個版本的管理信息，稱為m i b i ；r f c1 2 1 3 定義了第二 個版本的管理信息，稱為m i b i i 。m i b i i 對m i b i 進行了擴展和修改，現(xiàn)在的 s n m p 都以m m i i 為基準。 m i b 變量使用的名字取自i s o 和i t u 管理的對象標