基于SNMPv3網絡管理中的策略應用

2019-11-04 12:25:49

字體：大中小

來源：轉載

供稿：網友

　　一、前言
　　網絡的發展日新月異，新技術、新業務、新概念層出不窮，無論是規模，還是廣度和深度，對人們生活的影響均非昔日可比。隨著網絡規模的擴大，治理問題日益突出，針對服務質量的保證以及業務治理，人們提出了基于策略的網絡治理PBNM（Policy-Based Network Management）方案?；诓呗缘木W絡治理方案已經成為近幾年迅猛發展的網管技術之一。
　　
　　同時，由于網絡裝置變得愈來愈大、愈來愈復雜、愈來愈富于變化，使得網絡的治理費用隨之增加。為了控制費用，需要使用標準工具，使其能夠應用于更多的產品類型，包括終端系統、網橋、路由器和電信設備以及可用于多供給商環境中的設備。正是為了滿足這種需要，SNMP發展起來，它提供了一種對多供給商、可協同操作的網絡治理工具。
　　
　　本文對基于策略的網絡治理和基于SNMPv3的網絡治理如何融合，從而更好的發揮治理作用作了初步探討。
　　
　　二、基于策略的網絡治理
　　所謂策略，目前對其定義和描述并無統一的標準，根據IETF的定義是指一系列治理規則的集合。每條規則的定義采用if/then結構，由條件（condition）和操作（action）構成，當網絡環境滿足規則的條件時，則執行規則定義的相應操作。也可以把策略看成影響主體（subject）與目標（target）的行為。這里的主體就是引用策略的對象，而目標就是受管對象，它們可以是治理員、用戶或軟硬件部件。
　　
　　有兩種類型的策略：授權策略和義務策略。授權策略定義了答應一個主體在一個對象上實施的操作。通常，一個授權策略可以是肯定的（即答應），可以是否定的（即禁止）。由于決定一個操作是否被答應以及實施操作的引用監控器與目標對象有關，因此稱授權策略是基于目標的。義務策略定義了一個主體必須或不應實施的操作。由于主體負責解釋策略并實施指定的操作，因此義務策略被稱為是基于主體的。
　　
　　隨著網絡規模的不斷擴大，網絡應用的增多，需要將整個網絡劃分成多個治理域，每個域實現各自的治理策略，但域之間存在著對等的或層次的關系。域可以理解為由被管對象構成的集合。域一般是按照地域、組織、治理策略或其它形式來劃分的。各個域實現各自的治理方案，而且域內的治理也大大簡化。
　　
　　所謂基于策略的治理，是指網絡自動根據已確定的策略，去實施信息存取、信息傳輸以及網絡設備的監控與配置，提供優化網絡所必須的各項服務：包括目錄/策略服務、逐級信息流治理、虛擬專網和安全服務。基于策略的治理基本原理如圖1所示。基于策略的治理系統將用戶提出的服務要求或治理目標，經適當的檢查及調整后轉化為一定的策略（這些策略可包括授權代理，防火墻，質量服務治理）并將其存儲在策略庫中。基于策略的治理系統根據網絡設備的策略服務請求，查詢有關策略，通過計算，判定有關策略是否執行，最終將策略轉化為面向具體設備的指令，對網絡設備配置和操作，以滿足有關的治理目標或服務要求；同時基于策略的治理系統通過監測網絡性能變化檢查策略的執行情況，來決定是否對有關策略進行修改。
　　　

　　基于策略的網絡治理由四個核心組件構成：策略控制臺－它是網絡治理人員定義和編輯策略的一種治理工具；策略服務器（又稱策略決策點PDP）－負責通知交換機和路由器該如何處理不同類型的流量；策略數據庫－保存策略的目錄服務器；策略執行點（PEP）－通過訪問列表、隊列治理算法和其它方式執行策略的網絡設備，如被策略激活的交換機或路由器等。
　　
　　三、基于SNMPv3的網絡治理
　　SNMP（簡單網絡治理協議）實際上是指網絡治理的一系列標準，包括協議、數據庫結構定義和數據對象。它提供了最小但功能強大的一套方法，使用簡單的SMI（治理信息結構）、MIB（治理信息庫）和協議來直接監視和控制網絡元素。
　　
　　SNMPv3（SNMP第三版）提出了一個新的SNMP體系結構，這個體系結構為各種基于SNMP的治理系統提供了一個通用的實現模型。在這個體系結構中，提出了SNMP實體、SNMP引擎、分發器、消息處理子系統、安全子系統、訪問控制子系統和SNMP應用等概念。
　　
　　一個SNMP治理系統由若干包含SNMP實體的節點組成。在這些實體中，至少有一個實體包含命令產生者，和/或通告接收者的應用（對應以往的治理者），多個實體包含能夠訪問治理設備的命令執行者和通告產生者應用（對應以往的代理者）。實體間用治理通信協議傳遞治理信息。包含命令生成者和通告接收者應用的SNMP實體監測和控制被管設備。被管設備是指主機、路由器、終端服務器等設備。這些被管設備的監測和控制通過對它們的治理信息的訪問實現。
　　
　　SNMPv3最主要的功能是其安全性，它體現在SNMPv3定義的基于用戶的安全模型（USM）和基于視圖的訪問控制模型（VACM）。VACM MIB包含了下面類別的信息：
　　
　　1、vacmContextTable：按名稱列出了本地可用的上下文。
　　
　　2、vacmSecurityTogroupTable：為給定的securityModel和securityName提供了一個groupName。
　　
　　3、vacm accessTable：定義組的訪問權限。
　　
　　4、vacmViewTreeFamilyTabel：賦給組成一個視圖的行的集合的名稱。
　　
　　訪問控制子系統提供的服務由原語isAccessAllowed來定義。isAccessAllowed原語的定義規定輸入參數為securityModel、securityName、securityLevel、viewType、contextName和variableName。圖2提供了一種有效的方法來查看輸入變量，顯示了VACM MIB中各種表是怎樣作出訪問控制策略的。
　　　

　　1、誰：securityModel和securityName的組合定義了該操作是誰；它識別一種給定的要素，該要素的通信由給定的securityNodel保護。在該SNMP引擎中，這種組合最多屬于一個組。VacmSecurityToGroupTable提供groupName、securityModel和securityName。
　　
　　2、哪兒：contextName規定了在哪兒能找到想要的治理對象。VacmContextTable包含了一個被識別的contextName的列表。
　　
　　3、怎樣：securityNodel和securityLevel的組合定義了怎樣保護流入的request或Inform PDU。誰、哪兒以及怎樣的組合用來識別vacmAccessTable中的零或一個條目。
　　
　　4、為什么：viewType規定了為什么要請求訪問：讀、寫或通告操作。vacmAccessTable中選定的條目為這三種操作中每一種都包含了一個MIB viewName，viewType用于選擇特定的viewName。viewName從vacmViewTreeFamilyTable中選擇合適的MIB視圖。
　　
　　5、什么：variableName是一個對象標識符，其前綴識別具體的對象類型，其后綴識別具體的對象實例。對象類型指示了請求什么樣的治理信息類型。
　　
　　6、哪一個：對象實例指出請求的信息是哪一個具體的項。
　　
　　最后，variableName與檢索到的MIB視圖進行比較。假如variableName與MIB視圖中包含的一個元素相匹配，則授予訪問權限。
　　
　　四、策略執行應用程序：實現結構
　　授權策略向VACM表的映射是一個向VACM MIB表翻譯策略模板的過程。表1總結了策略映射過程中受影響的變量。
　　　

　　表1 向VACM MIB映射策略屬性
　　
　　作為ModularSNMPv3的一部分，策略映射在SNMPv3體系結構中已經得到實現。ModularSNMPv3本質上是實現SNMPv3框架的一系列可配置的模塊。其結構如圖3所示。
　　　

　　實現結構由一系列的模塊和相關的MIB組成，同時這些模塊是由引擎和應用程序組成。包含在這些模塊中的引擎有：
　　
　　1、分發器：答應在SNMP引擎中同時支持多個版本的SNMP消息。分發器負責：接收PDU并把接收到的PDU遞交給應用程序；傳遞流出PDU，為消息處理子系統作一個消息預備，并且傳遞流入消息給消息處理子系統來提供流入PDU；發送和接收網絡上的SNMP消息。
　　
　　2、消息處理子系統：負責預備消息用于發送，并從接收到的消息中提取數據。
　　
　　3、安全子系統：提供安全服務，例如消息的鑒別和保密，這個子系統潛在的包含了多個安全模型。
　　
　　4、訪問控制子系統：提供一系列授權的服務，應用程序可以用它來檢查訪問權限、檢索或修改請求操作以及通告產生操作，可以調用訪問控制。
　　
　　在SNMPv3實體的應用程序中有一些用于特定目的，比如PRoxy。策略執行功能就融合在SNMPv3實體的應用程序中。策略可以定義為影響主體與目標的行為、描述二者之間關系的對象。將策略顯式地表示為對象有很多好處。首先，易于查找策略和個性策略，便于策略治理。其次，便于定義具有某特定策略性的類。在為一個特定應用定義策略時，該策略的實例即被創建，并保存為特定實例而定義的策略屬性。授權策略就是顯式地表示為存儲在SNMP代理LCD（本地配置數據庫）中的對象，可以被授權用戶修改。運行在代理側的策略執行應用程序把授權策略映射到相關的訪問控制模塊，比如VACM。治理者的請求，也就是一系列有序操作，被封裝成合適的SNMP PDU。當收到SNMP PDU時，代理根據封裝的策略修改相關的VACM MIB表，采用SNMP-SET原語?；诓呗缘木W絡治理和基于SNMPv3的網絡治理相融合的實現框架如圖4所示。
　　

　　PEP（策略執行點）將策略信息轉化為相應的、面向網絡設備的配置和操作命令。PEP接收來自設備的策略服務請求，例如PEP接收到RSVP的數據包，其中有資源預留請求，PEP將策略服務請求發往與其對應的策略服務器，策略服務器根據請求中的相應參數查詢相關的策略，通過推理，決定是否執行相關的策略，并把決定發往PEP，PEP依據策略服務器的決定來執行相關的操作。策略代理起到了網絡設備與策略服務器之間橋梁的作用。策略代理檢測網絡設備中的策略服務請求，并將請求發往策略服務器，在策略服務器作出判決之后，將策略指令轉化為現有設備支持的網絡操作命令。策略代理與網絡設備之間的治理就可以使用現有的網管設備和SNMPv3協議。
　　
　　五、結論
　　將策略應用在基于SNMPv3的網絡治理中，顯著改進了網絡治理人員過去所遵循的傳統方法，它使業務和網絡治理人員能夠采用業務規則，并使這些業務規則自動轉換成設備特有的指令，從而模擬和定義其網絡。它消除了以設備為中心的傳統方法經常引發的許多網絡配置差錯，大大提高了治理效率和可伸縮性，并使網絡治理人員把工作的著眼點放在業務需求而不是設備配置的細節上，從而提高了治理效能。

上一篇：談傳統接入網絡邊緣設備的管理問題

下一篇：推薦書籍：《網絡管理維護大師》