基于web的网管系统设计开发说明书.doc

第一章 绪论 1 第一章绪论 1.1 课题背景 随着计算机网络的迅速发展，特别是国际互联网的不断地推广，计算机网络的 使用越来越广泛，人们的生产生活学习对计算机网络的依赖也越来越大。同时，随 着计算机网络的网络规模的不断扩大和连入网络的设备越来越多样，网络的复杂性 也越来越高，网络的异构性也越拉越高。于是，网络管理就成为了一个重要的研究 课题。 网络管理是对硬件、软件、人力的综合使用和协调，对网络资源进行监视、测 试、配置、分析、评价和控制，从而以合理的价格满足网络的需求，如实时运行性 能、服务质量等1。从定义中可以看出，网络管理包含了两个重要的任务，一是对 网络运行状态的监测，二是对网络的运行进行控制。通过监测可以了解当前网络运 行的状态是否正常，是否存在潜在的风险；通过控制可以对网络状态进行调节，提 高其性能，保证其服务。随着目前网络系统内部的节点越来越多并且地理上的覆盖 范围也不断的扩大，网络所涉及的通信协议也越来越丰富，组网的产品系列也越来 越多，经常在一个网络内集成有多个计算机和网络厂家的产品，所有的这些都导致 了网络管理的难度越来越大。如此之多的复杂的、大的、异构型设备所构成的计算 机网络，必须要有有效的管理技术是无法保证网络的协调而高效的运行。因此，需 要一个网络管理系统，不仅仅能保证网络不间断地正常运行，并且能够统一管理各 种设备，能够保证网络的信息安全。 与网络技术本身日新月异的发展相比，网络管理技术的进步显得有点步履维艰。 功能单一、缺乏管理、耗资巨大是广大用户普遍不满的主要原因。因此，未来的网 络管理要强调更好的接入控制，即是加强不同用户、多媒体业务功能的管理。同时 人工智能技术将会应用到网络管理中去，未来的网络管理系统还将具有自学能力和 自我规划功能。现在，网络管理越来越受到人们的重视，随着 IT 技术的进步，网 络管理技术将逐渐成熟并日臻完善。基于 Web 的网络管理技术是一种全新的网络 管理模式，具备灵活性、易操作性等特点，出现伊始就表现出强大的生命力。 2 基于 WEB 的网管系统设计开发 1.2 网络管理功能概述 1.2.1 网络管理的功能 网络管理有五大功能，即为故障管理（Fault Management） 、配置管理 （Configuration Management） 、计费管理（Accounting Management） 、性能管理 （Performance Management）和安全管理（Security Management） ，简写为 F- CAPS。在传统意义上，性能管理、故障管理和计费管理可以归为网络监视功能， 而配置管理和安全管理归属为网络控制功能。2 配置管理 配置管理是最基本的网络管理功能，负责网络的建立、业务的展开以及配置 数据的维护。配置管理功能主要包括资源清单管理、资源开通以及业务开通。资 源清单的管理是所有配置管理的基本功能，资源开通是为了满足新业务需求及时 的配置资源，业务开通是为了端点用户分配业务或功能。配置管理建立资源管理 信息库（MIB）和维护资源状态，为其他的网络管理功能利用。配置管理初始化 网络，并配置网络，以使其提供网络服务。配置管理的目的是为了实现某个特定 的功能或使网络性能达到最优。 性能管理 性能管理的目标是维护网络的服务质量（QoS）和网络运营的效率。为此， 性能管理要提供性能监测功能、性能分析功能以及性能管理功能。同时，还要提 供性能数据库的维护以及种子发现性能严重下降是启动故障管理系统的功能。网 络服务质量和网络运营效率有时是相互制约的。较高的服务质量通常需要较多的 网络资源（带宽、CPU 时间等） ，因此在制定性能目标时要在服务质量和运营效 率之间进行权衡。在一般的性能管理中，维护服务质量是第一位的。 故障管理 故障管理是网络管理中最基本的功能之一。用户都希望使用的网络可靠稳定。 当网络中的某个组成部分发生故障是，网络管理器必须迅速的查找到故障并及时 排除。故障管理的主要任务是发现和排除网络故障。故障管理用于保障网络资源 无障碍的无错误的运营状态。包括障碍管理、故障恢复、预防故障。障碍挂你的 内容有告警、测试、诊断、业务恢复、故障设备更换等等。预防故障为网络提供 第一章 绪论 3 自愈能力，在系统可靠性下降，业务经常受到影响的准故障条件下实施。在网络 的监测和测试中，故障管理参考配置管理的资源清单来识别网络元素。如果维护 状态发生变化，或者故障设备被替换，以及通过网络重组迂回故障时，要与资源 MIB 互通。如果维护状态影响了有质量保证承诺的业务时，故障管理管理要与计 费管理互通，以赔偿用户的损失。 计费管理 计费管理记录了网络资源的使用，目的是控制和监测网络操作的费用和代价。 它可以估算出用户使用网络资源可能需要的费用和代价。网络管理员还可以规定 用户可以使用的最大费用，从而控制用户过多占用和使用网络资源。这也从另一 个方面提高了网络的效率。另外，当用户为了一个通信目的需要使用多个网络中 的资源时，计费管理应可计算总费用。 安全管理 安全性一直是网络的薄弱环节之一，而用户对网络安全的要求又相当高，因 此网络安全管理非常重要。网络中主要有以下几个安全问题：网络数据的私有性 （保护网络数据不被侵入者非法获取） ；授权（防止侵入者在网络上发送错误信 息） ；访问控制（控制对网络资源的访问） 。安全管理采用信息安全措施保护网络 中系统、数据、以及业务。安全管理与其他管理功能有着密切的关系。安全管理 要调用配置管理中的系统服务对网络中的安全设施进行控制和维护。当网络发现 安全方面的故障时，要向故障管理通报安全故障事件以便进行故障诊断和恢复。 安全管理功能还要接受计费管理发来的与访问权限有关的计费数据和访问事件通 报。 1.2.2 网络管理的方式 现有的网络设备的管理有以下几种方式： 基于终端控制台的网络管理 终端控制台管理采用命令行的方式，通常提供了设备最基本的系统配置和状 态信息，也可以提供最详细和复杂的系统配置。管理员可以使用专门的管理命令 集来管理设备。 基于 Telnet 远程登录控制管理 此种方式也是采用命令行的方式，终端使用者可以在 Telnet 程序中输入命令， 4 基于 WEB 的网管系统设计开发 这些命令就会在服务器上运行，就像直接在服务器的控制台上输入一样，可以在 本地控制服务器。 SNMP 管理和 RMON SNMP 管理是计算机网络比较基本的管理方式，有一套简单的网关协议规范 组成，可以完成基本的网络管理任务，对网络的资源需求较少，主要通过不同类 型的消息，实现网络信息的交换。 基于 Web 的网络管理： 基于 Web 的管理通常把 WEB 服务器集成在被管理的设备上，是被管理的设 备相当于一台 Web 服务器。通过管理者的计算机浏览器来访问该设备，来完成管 理功能。3 各种不同的网管方式各有优缺点，在对设备的网管系统进行设计时，可以根 据实际情况来选择所需的最为合适的管理方式。当然，提供的管理方式越多，意 味着用户可以更加灵活的管理设备，用户可以通过多种方式在不同的场合管理和 配置设备。 1.3 基于 Web 的网络管理简述 基于 Web 的网络管理 WBM（Web-Based Management）主要应用于一个组织 内部的信息共享，以运行兼容 html 语言的相关应用层协议的 Web 服务器组建而 成。技术允许管理人员通过 Web 浏览器来监测他们的网络，WBM 使用户管理网 络的方式得以彻底改善，从而实现了“自己管理网络”和“网络管理自动化”， 使得网络用户管理网络的方式得以改善。4 WBM 技术的一个优点是不需要使用专门的管理软件，通过 internet 使用网络 浏览器就可以实现管理功能，这就使网络管理突破了地理条件的限制。只要能够 连接网络，网络管理人员就可以使用任何一种 Web 浏览器，输入设备的 IP 地址， 就可以在网络中的任一节点上方便迅速地配置、控制、存取网络中设备的各种运 行和配置状态信息。 WBM 有两种实现的方式。第一种是基于代理的方式，也就是将一个 Web 服 务器加到一个内部工作站（代理）上，工作站轮流与端设备通信，浏览器用户通 第一章 绪论 5 过 HTTP 协议与代理通信，同时代理通过 SNMP 协议与端设备通信。第二种是 WBM嵌入式方式，将 Web 功能嵌入到网络设备中，每个设备有它自己的 Web 地址，管理人员可以轻松地通过浏览器访问到该设备并且管理设备。 基于代理的 WBM 方案保留了现存的基于工作站的网管系统及设备的全部优 点，同时还增加了访问灵活的优点。第二种方式，嵌入式方案给各独立被管设备 带来了图形化的管理，它为管理者提供了非常简单易用的接口，因此优于现在的 命令行或基于菜单的远程登录界面。两种方式各有优缺点，可以根据实际需要选 择合适的管理方式，有的网络管理中需要同时利用这两种的网络管理方式。 本文主要讨论了嵌入式方案的基于 Web 网络管理方式。嵌入式的基于 Web 的网络管理完全采用 Web 技术，例如通信协议 HTTP 协议，网络拓扑算法采用高 效的 Web 搜索、查询点索引技术，网络管理层次或域的组织采用灵活的虚拟形式， 不再受限于地理位置等因素。嵌入式的 WBM 方案对于小型的办公室网络来说是 理想的管理方式。小型办公室网络相对来说比较简单，也不需要强大的管理系统 和整个企业的网络视图。由于小型办公室网络经常缺乏网络管理和设备控制人员， 而内嵌 Web 服务器的管理方式则可以把用户从复杂的管理中解脱出来。 6 基于 WEB 的网管系统设计开发 第二章 基于 Web 的网络管理 7 第二章 基于 Web 的网络管理 2.1 网络管理模型 网络管理中，一般采用管理站-代理的管理结构，通过管理进程与一个远程的 系统相互作用来实现对远程资源的控制。这种简单的体系结构中，一个系统中的 管理进程担当管理站的角色，被称为网络管理站，而另一个系统中的对等实体担 当代理者的角色，称之为管理代理。网络管理站将管理要求通过管理操作指令传 送给位于被管理系统中的管理代理，对网络内的各种设备、设施、资源实施监视 和控制，管理代理则负责管理指令的执行，并且以通知的形式向网络管理站报告 被管理对象发生的一些重要事件。 下面介绍一些会经常用到的术语： 网络元素（network element）：网络中一些具体的通信设备或者逻辑实体； 对象（object）：通信和信息范畴里可标识的拥有一定信息特性的资源； 网络管理站（network manager）：一般位于网络系统的主干位置或接近主 干位置的工作站、微机等，负责发出管理操作的指令并接受来自代理的信息。网 络管理站要求管理代理定期收集重要的设备信息。 管理代理（network agent）：位于管理的设备内部，通常将主机和网络设 备等所有的被管理的网络设备称为管理代理。管理代理把来自网络管理站的命令 或信息请求转换为本设备的的特有的指令，完成网络管理站的指示，返回他所在 的设备信息。网络代理也可能因为某种原因拒绝网络管理站的指令，另外，管理 代理也可以把自身系统中发生的事件主动通知给网络管理站。 网络管理协议：用于网络管理站和管理代理之间传递信息，并完成信息交 换安全控制的通信规约就称为网络管理协议。网络管理站通过网络管理协议从管 理代理那里获取管理信息或向管理代理发送命令；管理代理也可以通过网络管理 协议主动发送报告紧急信息。 管理信息库 MIB（management information base）：MIB 是一个信息储存库， 是对于通过网络管理协议可以访问信息的精确定义，所有相关的被管对象的网络 8 基于 WEB 的网管系统设计开发 信息都放置在 MIB 上。MIB 库采用了结构化的管理信息定义，称为管理信息结 构（structure of management information，SMI） ，它规定了如何识别管理对象以及 如何组织管理对象的信息结构。MIB 库中的对象按层次进行分类和命名，整体表 示为一种树形结构，所有被管理的对象都位于树的叶子节点，中间节点为该节点 下的对象组合。MIB 是网络管理系统中的重要构件。它是由一个系统内的许多被 管对象及其属性组成。MIB 实际上就是一个虚拟数据库，由管理进程和各个代理 进程共同使用。 2.2 基于 Web 的网络管理 作为一种新出现的网络管理模式，基于 Web 的网络管理模式（简称为 WBM，Web-Based Management） ，以其特有的灵活性和易操作性等优点获得了许 多用户的青睐，被誉为是“将改变用户网络管理方式的革命性网络管理解决方案” 。 Web页面 配置管理性能管理故障管理计费管理安全管理 图 2.1 基于 Web 的网管系统基本结构 2.2.1 WBM 简介 一般的 Intranet 都运行于 TCP/IP 协议之上并且通过防火墙将其与外部的的 Internet 隔离。网络内部都建有 Web 服务器，他们通过与超文本标记语言 （Hypertext Markup Language，HTML）有关的协议与其他的用户通信。Intranet 用户可以在任何的一个网络节点或是网络平台使用有友好的、易于操作的 Web 浏 览器与服务器进行通信。除此之外，Web 技术更有利于优化网络配置和降低网络 扩展和维护的费用。因为 Web 浏览器对于计算机硬件的要求很低，所以管理员可 第二章 基于 Web 的网络管理 9 以把很多的计算和存储的任务转移到 Web 服务器上去完成，而允许用户依靠简单 的、廉价的计算机平台去访问它们。这种 Browser/Server 的计算模式与传统的 Client/Server 计算模式相比，降低了系统对对于硬件的要求并且提供给了管理者 们更大的灵活性。 简单的说，基于 Web 的网络管理模式实际上就是将 Intranet 技术与现用的网 络管理技术相结合，为网络管理人员提供更具有分布型和实时性的服务，操作也 更为方便，管理能力也变得更强的一种网络管理方法。WBM 网络管理模型的主 要优点有： （1）地理上和系统上的可移动性。传统的网络管理方法中，管理员想要查看 网络设备的信息，就必须在网管中心进行网络管理的有关操作。在基于 Web 的网 络管理可以允许网管人员通过 Web 浏览器从内部网络的任何一台工作站上进行网 络管理的有关操作。对于网络管理系统来说，在一个平台上实现的管理系统服务 器，可以从任何一台装有 Web 浏览器的工作站上访问，工作站的硬件系统可以是 专用的工作站，也可以是普通的 PC 机，操作系统的类型也不受限制。 （2）具有统一的网络管理程序界面。网络管理者们不必像以往一样学习和运 用不同的厂商的网络管理系统程序的操作界面，而是通过简单的 Web 浏览器进行 操作，完成网络管理的各项任务。 （3）易于获得帮助信息。因为 Web 浏览器本身可以连接网络，所以只要 WBM 系统只要提供网络管理服务器供应商的联机技术支持中心的链接，用户就 可以得到实时的帮助。 （4）网络管理平台具有独立性。WBM 的应用程序可以在任何的各种环境下 使用，包括不同的操作系统、体系结构和网络协议，无须进行系统移植。 （5）网管系统之间可以实现无缝连接。管理者们可以通过浏览器在不同的管 理系统之间的切换，比如厂商 A 开发的网络性能管理系统和厂商 B 开发的网管故 障管理系统之间切换，使得两个系统能够平滑地相互配合，组合成为一个整体。 （6）较低的成本开销。WBM 的另一个优点是它降低了各个方面的成本。平 台的独立性可以较大的减少开发成本，易于减少设备维护的成本，而且易于使用 和可以提供帮助的特性可以使网管人员的培训费用大大降低。 2.2.2 WBM 的标准5 10 基于 WEB 的网管系统设计开发 开放的标准时候降低网管系统复杂性和降低网络管理费用的必备条件，WBM 管理的开放式标准必不可少，有两个 WBM 的标准目前正在酝酿之中，一个是 WBEM(Web-Based Enterprise Management)标准，另一个是 JMAPI（Java Management Application Program Interface）标准。 （1） WBEM 基于 Web 的企业管理标准 WBEM 是由微软公司于 1996 年 7 月提议的，目前 已经得到了 3Com，Cisco，Intel 等网络厂商的支持。WBEM 是一个面向对象的工 具，各种抽象的管理数据对象通过多种协议从多种的资源中收集。WBEM 能够通 过单一的协议来管理这些对象，被定为成兼容和扩展当前标准，而不是取代他们。 尽管 WBEM 事实上是一个 Web 应用，但是他真正的目标是对所有的网络元素和 系统进行管理，包括网络设备、服务器、工作平台和应用程序。WBEM 的目的是 建立一个工业标准，使得管理者们可以使用任何的浏览器管理分布的网络系统以 及其应用。 图片 2.2 WBEM 的体系结构 WBEM 定义描述了体系结构、协议、管理模式以及对象管理器，管理者们可 以使用 HTML 或者其他的 Internet 数据格式并且使用 HTTP 的传输请求。WBEM 旨在提供一个可以伸缩的异构的网络管理机构，他与网络管理协议如 SNMP、DMI 兼容。WBEM 定义了网络管理体系结构、协议、管理模式和对象管 理器，管理信息采用 HTML 或其他的 Internet 数据格式，使用 HTTP 传输请求。 WBEM 包括以下三个部分：HMMS(Hyper Media Management Schema)、 HMMP(Hyper Media Management Protocol)、HMOM(Hyper Media Object Manager)。 第二章 基于 Web 的网络管理 11 HMMS 是一种可扩展、易于独立于实现的公共数据的描述模式，可以描述、实例 化和访问各种不同类型的数据，是对各种被管理对象的高层抽象。HMMP 是一种 访问和控制模式的部件协议，可以用于在 HMMP 实体之间的传送信息，属于应 用层的协议。HMMP 是关键，这个传输协议处理包括重发的功能、分组速率、消 息拆分以及传送正式等功能。HMMP 客户可能是针对于特定的设备的管理进程， 也是可以一般的交互式的浏览器，他能够管理有 HMMP 管理的任何的对象。 HMOM 的特色功能是用户主要与指定的 HMOM 通信，由它完成请求的管理任务， 减轻 HMMP 客户定位和管理多种设备的负担。 （2）JMAPI Java 管理应用程序接口是 Sun 公司作为他的 Java 标准扩展的 API 结构而提出 的。JMAPI 的目标是解决分布式系统管理的问题。JMAPI 是一种轻型的管理基础 结构，他对被管资源和服务进行抽象，提供了一个基本类集合。出去字面上的意 思之外，JMAPI 更是一个完全的网络管理应用程序开发环境。他提供了一张功能 齐全的特性表，其中包括：创建特性表、图表的用户接口类；基于 SNMP 的网络 API；远程过程调用的结构化数据访问方式和类型向导等。 图片 2.3 JMAPI 的体系结构 开发者可以用 JMAPI 实现具有完整性和一致性的公共管理，并可以通过对 JMAPI 的扩展，满足特定的网络管理应用的需要。JMAPI 不仅仅是一个类库的集 合，它还具有独特的网络管理体系结构。JMAPI 由浏览器用户界面、管理运行模 12 基于 WEB 的网管系统设计开发 块 ARM(Admin Runtime Module)和被管元素三个部件组成。其中浏览器界面是管 理人员进行管理操作的界面，用来管理视图模块、被管对象接口和支持 Java 的浏 览器；管理运行模块对被管对象进行实例化，是整个管理的核心，有 HTTP 服务 器、被管对象工厂、代理对象接口和通报分发器组成；被管元素指被管理的系统 和设备，由代理对象构成。三个部件可以通过 JRMI（Java Remote Method Invocation）进行通信。 2.3 WBM 的实现方式 有两种基本的方案可以实现 WBM。一种是基于代理的解决方案，另一种是 嵌入式解决方案。 2.3.1 基于代理的解决方案 图 2.4 基于代理的解决方案 基于代理的解决方案是在网络管理平台之上叠加一个 Web 服务器，在一个内 部工作站上运行 Web 服务器（代理） ，使其成为浏览器用户的网络管理代理者， 这个工作站与被管理设备之间通信，浏览器用户与 Web 服务器进行通信，网络管 理平台通过 SNMP 或者 CMIP 与被管设备通信，收集、过滤、处理各种管理信息， 维护网络管理平台数据库。WBM 应用通过网络管理平台提供的 API 接口获取网 络管理信息，维护 WBM 专用数据库。管理人员通过浏览器向 Web 服务器发送 HTTP 请求来实现对网络的监视、调整和控制。Web 服务器通过 CGI 调用相应的 WBM 应用，WBM 应用把管理信息转换为 HTML 形式返回给 Web 服务器，由 第二章 基于 Web 的网络管理 13 Web 服务器响应浏览器的 HTTP 请求。 基于代理的解决方案保留了现存的网络管理系统的特性的基础上，提供了操 作网络管理系统的灵活性。代理者能与所有被管设备通信，Web 用户也就可以通 过代理者实现对所有被管设备的访问。代理者与被管对象之间通过 SNMP 通信， 因此可以利用传统的网络管理设备实现这种方案。 2.3.2 嵌入式解决方案 图 2.5 嵌入式解决方案 嵌入式的解决方案将 Web 能力嵌入到被管设备之中。Web 服务器事实上已 经嵌入到了终端网络设备之中。每一个设备都有自己的 Web 地址，这样的网络管 理员就可以通过 Web 浏览器与 HTTP 协议直接访问设备的地址来管理这些设备。 代理的解决方案集成了基于工作站的管理系统和产品的所有优点，此外它还具有 访问灵活的优点。因为代理服务器和所有的网络终端设备通信仍然他那个过 SNMP 协议，因而这种解决方法可以和只支持 SNMP 协议的设备协同工作。从另 一方面看，内嵌服务器的方法带来了单独设备的图形化管理。他提供了比命令行 和基于菜单的 Telnet 接口更加简单易用的接口，能够在不牺牲功能的前提下简化 操作。 嵌入式的解决方案给各个被管设备带来了图形化的管理，提供了简单的管理 接口。网络管理系统完全采用 Web 技术，例如通信协议 HTTP 协议，管理信息库 利用 HTML 语言来描述，网络拓扑算法采用高效的 Web 搜索、查询点索引技术， 网络管理层次或域的组织采用灵活的虚拟形式，不再受限于地理位置等因素。嵌 入式的 WBM 方案对于小型的办公室网络来说是理想的管理方式。小型办公室网 络相对来说比较简单，也不需要强大的管理系统和整个企业的网络视图。由于小 型办公室网络经常缺乏网络管理和设备控制人员，而内嵌 Web 服务器的管理方式 则可以把用户从复杂的管理中解脱出来。另外，基于 Web 的设备真正实现了即插 14 基于 WEB 的网管系统设计开发 即用，减少了安装时间和故障排除时间。6 嵌入式的解决方案可以带给各个独立被管理对象提供一个图形化的界面管理。 它给管理者提供了很简单易用的接口，比现在的命令行和基于菜单的远程登录界 面更加简单实用。基于代理的解决方案留存了现存的基于工作站的网络管理系统 的全部的优点，而且还增加了访问设备的灵活性的优点。代理能与所有的被管理 设备进行通信，所以它可以提供一个公司所有被管理物理设备的全体影响。代理 与设备之间是通过 SNMP 通信，所有这些方案的实施只需要那些传统的解决方法 就可以实现。未来的应用中，两种方案可能会被综合使用，一个大型机工可能需 要通过代理的方案来进行全网的管理，而嵌入式方案可以应用于小规模的环境之 中。小型网络不需要强大的管理系统，因此嵌入式方案更具备有优势。 2.3.3 实现 WBM 的关键技术 实现 WBM 的技术有多种，最为常用的就是描述 WWW 页面的语言 HTML。HTML 用于生成用户在浏览互联网时看到的网页的语言，可以构建页面 的现实和播放信息，并可以提供到达其他的页面的超级链接，图形和动态元素也 可以嵌入到 HTML 页面中。因此可以用 HTML 页面提供 WBM 的用户信息接口 是很理想的。HTML 还可以展示例如网络 IP 地址和产品清单等的信息表。 WBM 的另一个关键技术是通过 Web 浏览器访问数据库。构成 WBM 用户界 面的 HTML 文档是 Web 浏览器和服务器之间交流的重要中介，Web 文档使用 HTML 标准格式，HTML 语言本身只用来定义超文本文档的外观，不能实现交流 的动态性和交互性。传统的 Web 不能直接访问数据库，但似乎随着数据库发布技 术的进步，这个问题已经得到了解决。现在已经有多种的 Web 访问数据库技术， 其中公共网关接口（Common Gateway Interface，CGI）技术得到了较多的应用。 CGI 提供了基于 Web 的数据库访问能力。当 WBM 应用程序需要访问 MIB 时， 可以利用 CGI 对数据库进行查询，并格式化 HTML 页面。CGI 程序可以在多种 的平台上实现一定的功能，而不需要进行太大的更改就可以完成移植，CGI 程序 可以在任何凭他、用任何的语言编写，只要满足 CGI 规范就可以了。 另外还有一个重要的技术，就是 Java 语言。它是一种解释性的程序语言，也 就是在程序运行时，代码才被处理器程序解释。解释器语言易于移植到其他的处 理器上。Java 的解释是一种被称为 Java 虚拟机（JVM）的设备，它可以应用于千 第二章 基于 Web 的网络管理 15 变万化的其他处理器上，而且可以被绑定在 Web 浏览器上，使得浏览器能够执行 Java 代码。Java 提供了一套独立而完备的程序 applets 专用于 Web。Applets 能够 被传送到浏览器，并且在浏览器的本地机上运行。Applet 具有浏览器强制安全机 制，可以对本地系统资源和网络资源的访问进行安全控制。 2.4 WBM 中的安全性考虑 WBM 的安全问题在众多网络安全问题中是首要的。一个安全的 WBM 系统 要能够保证网络管理信息的保密性、完整性和真实性。保密性不仅涉及网管信息 的存放，更重要的是在于网络的管理信息的传输。信息的完整性是指通过网络对 信息进行增删改，以及对信息进行及时的传递时，要保证相关信息不能残缺不全 或被人有意篡改。信息的真实性是指主要通信双方的身份进行验证，以防止对系 统的非法访问、对信息的破坏记忆通信双方对信息的真实性发生争议。通常一个 安全网络需要使用防火墙这样的设备与 Internet 隔离开，以保护资源防止外部 Internet 中的非授权的访问。为了提高 Intranet 的安全性，服务器访问必须通过口 令控制和访问地址过滤等手段加强来控制。 - 在一个网络中 WBM 控制着关键资源，所以它被严格要求只有 Internet 上的 授权用户才能够访问。幸运的是，基于 Web 设备控制访问的能力与其向用户提供 方便访问的能力同样值得信赖。管理人员能够设置 Web 服务器从而使用户必须通 过口令登录。WBM 的安全技术与现存的安全方法并不冲突，如目录系统、文件 名结构以及其它由 Windows NT 或 UNIX 所创建的东西。而且，管理人员能够轻 而易举地对它们的 WBM 系统应用更复杂的权限技术。 - 网络管理人员的网络数据非常敏感，需要加密。WBM 得益于在 WWW 上进 行数据传输的安全性方面的长久努力。保护 Internet 上的敏感数据是电子贸易所 必须面对的严肃问题，所以很多公司正致力于加密工作以使它们的网络传输能够 免受干扰，例如在金融机构中，使用加密以保护客户的电子储蓄信息。WBM 能 够将这些方案更安全地应用于保护公司内部网数据。用户通过简单的在服务器中 施加安全加密措施能够加密所有从浏览器到服务器的通信，服务器和浏览器一起 16 基于 WEB 的网管系统设计开发 进行加密并解密所有数据。请注意，这对于 SNMP 或 Telnet 在安全性方面是一次 进步，SNMP 和 Telnet 是从不加密的。 - 这里有一些涉及 Java Applet 安全概念的讨论。既然 Java Applet 不是二进制代 码并且将字符串和其它的数据“暴露于光天化日之下”，那么在理论上就完全可 能被改变替代或被中断。在 Java Applets 中有一些固有的安全性保障，Applets 被 定义成不能写磁盘、破坏系统内存或生成到非法站点的超连接。像显示图像或添 加动画制作等这类无危害的 Java 作业是基本的初级的。从长远上讲，随着 Java 的嵌入将执行更为广泛的作业，Java 代码的完整性当然需要保护。为了实现这些， 已经出现了一些技术去加密（或加入其他“电子标志”）Applets 的技术。这些技 术将保证收到的 Applets 与原作完全相同，因此使用户不会受到被 Applet 串改破 坏的影响。 第三章 网管系统的设计开发 17 第三章 网管系统的设计开发 3.1 网管系统的软件架构 在网管系统的客户端，网络设备管理者可以通过 Web 浏览器、Telnet 终端或 SNMP 网管平台对网络设备进行访问和管理。网络管理软件集成在被管理的网络 设备中，构成网络管理系统的服务器端。网络设备一旦加电启动，网管软件运行 后就会启动守候进程。守候进程在服务器端循环守候，直到接收到来自客户端管 理者的管理请求，然后就对请求进行分析处理响应。 网管应用程序就是服务器端对于接收到的请求进行处理的程序。对于基于 Web 的网络管理，网管应用程序就是一些对网页上表单元素处理的 CGI（公共网 关接口）程序。当对请求进行解析处理后，解析出该请求要操作的管理对象，在 管理信息库中查找被管对象，从而找到与被管对象相关联的管理例程，调用设备 的 Glue Code（胶合代码） ，对被管对象进行管理操作。 TelnetRS-232SNMPHTTP Web Server 守守候候进进程程 Telnet Server 守守候候进进程程 Console Server 守守候候进进程程 SNMP Server 守守候候进进程程 Web ServerTelnet ServerConsole ServerSNMP Server 网网管管应应用用程程序序 管管理理信信息息库库MIB 设设备备专专用用的的驱驱动动代代码码 被被管管对对象象 管管理理例例程程 客户端 Web浏览器、Telnet终 端、串口终端或SNMP 网管平台 设设 备备 端端 图 3.1 网管系统的软件结构 设备管理者可以通过任意一个连接到网络的客户端中使用 Web 浏览器对被管 18 基于 WEB 的网管系统设计开发 设备进行访问和管理。客户端向被管理设备发送 TCP 连接请求，被管设备端的 Web Server 守护进程接收到客户端的连接请求后，然后经过三次握手，双方建立 可靠的连接，此时客户端向被管设备发出 HTTP 请求，Web Server 守护进程将收 到的 HTTP 请求传递给 Web Server，Web Server 通过对 HTTP 请求进行分析，调 用网管应用程序中相应的模块和设备专用的驱动代码，最后将结果通过 HTTP 数 据包传回给客户端，从而完成对被管设备的访问和管理。7 3.2 管理信息库的构建 管理信息库（MIB）是网络管理系统中的重要的组成部分，是网管软件的设 计主要内容，管理信息库是根据被管理设备的软硬件所能提供的网络管理能力， 将设备的可管理元素抽象成为能够进行访问和管理的数据的集合。其中，管理信 息库可以分为两部分：一是第三方公共网管软件所提供的标准管理信息库，包括 接口组、系统信息组等等；二是设备专用的管理信息库，如设备的寄存器信息等。 因此，论文的主要开发工作的内容是开发基于 Web 的管理所需要的专用的管理信 息库。 设备的网管软件的管理信息库主要由以下几个部分组成：用户管理组、远程 网络管理信息组（RMON） 、系统信息组、系统配置组、端口配置信息组、VLAN 配置信息组、端口流量组、MAC 配置信息组等。系统信息组描述设备全局只读 的系统信息；端口配置信息组和端口流量组主要描述设备的每个交换模块和交换 端口的寄存器信息；系统配置组主要描述设备的全局的可读写的系统信息；用户 管理组主要描述访问用户的管理信息；VLAN 配置信息组主要描述虚拟局域网的 设置信息；MAC 配置信息组主要描述了设备系统中 MAC 地址表信息。其中的系 统配置组、系统信息组和端口流量组中的管理对象是标准管理信息库中的内容， 第三方的公共网管软件就有提供，是已开发的公共管理信息库，是可以利用的开 发成果。需要做的是用 Web 浏览器或 Telnet 方式直接去访问这一些标准管理信 息库对象。而构建的专用管理信息库对象，可以开发其相对于的读写例程。 3.2.1 用户管理 用户分为普通用户、管理员和超级管理员三个等级，不同的等级有不同的管 第三章 网管系统的设计开发 19 理级别和权限。普通用户只可以对系统配置和运行状态等信息进行查看；管理员 可以除了查看设备信息还可以对设备的配置进行修改等操作；超级管理员除了就 有管理员的权限外，还可以对管理账户进行管理，是设备管理的最高级别。对应 于这三个级别，不同的管理功能要设置不同的访问权限，只有当登录者账户权限 大于或者等于一个功能的权限级别才可以使用此管理的功能。 表 3.1 登录账户表 登录名登录口令权限级别 Useruser_password5(普通用户) Adminadmin_password10(管理员) Supersuper_password15(超级管理员) 账户管理内容有：添加新用户、删除用户、修改用户管理权限以及修改用户 密码。用户只有在 Web 页面上正确输入用户名以及用户密码才可以进入管理系统 比且使用相应的管理功能。为此，在此模块代码的设计为一个数据结构，并且定 义了一个全局变量来描述账户表，定义如下： typedef struct UserEntry sbyte userNamekMaxLoginLen； sbyte passWordkMaxPasswordLen； Access accessLevel； UserEntry； 3.2.2 接口的性能管理以及计费管理 除了控制寄存器，对应于每个以太网端口还有一个计数器(一个专门的寄存器)， 记录流经端口的数据流量的统计信息。通过对各端口计数器的数据流量的记录和 对各端口性能参数的统计，实现以太网端口的性能管理。端口的性能参数是 MIB-II 中用于性能管理的 Interface 组对象的值。网管软件依据这些对象的值计算 20 基于 WEB 的网管系统设计开发 设备的性能特性。表 3.2 中给出了这些对象的列表。这些对象的值是通过读取以 太网交换控制器的 MIB 计数器的数值来得到的。 表 3.2 性能管理对象 对象说明 IfInOctets接口收到的字节数 IfOutOctets接口发送的字节数 IfInDiscards接口丢弃的输入包数 IfOutDiscards接口丢弃的输出包数 IfInErrors错误的输入包数 IfOutErrors错误而不能传输的输出包数 接口利用率的计算方法如下： （1） 首先取得两个不同时刻(x 时刻和 Y 时刻)之间传输的总字节数： 总字节数=(iflnOctetsyiflnOctetsx，)+(ifOutOctetsyifOutOctetsx)。 （2）然后计算每秒的总字节数： 每秒总字节数=总字节数/(yx)。 （3）则接口的利用率为： 利用率=f 每秒总字节数8)/接口速率。 （4）接口错误率的计算方法如下： 输入错误率=iflnErrors/(iflnUcastPkts+iflnNUcastPkts)； 输出错误率=ifOutErrors/(ifOutUcastPkts+ifOutNUcastPkts)。 （5）接口的丢包率的计算方法如下： 输入丢包率=iflnDiscards/(iflnUcastPkts+iflnNUcastPkts)； 输出丢包率=ifOutDiscards/(ifOutUcastPkts+ifOutNUcastPkts)。 通过对以太网交换芯片的端口计数器的管理，网管软件可以对各端口的数据 流量进行统计和分析，并可以完成对计数器清零的操作，从而实现对设备的性能 第三章 网管系统的设计开发 21 管理和计费管理。 3.2.3 MAC 地址管理 以太网交换工作在 OSI 的第二层，在这里，交换控制芯片可以理解为一个多 端口网桥。在每个交换芯片中维护着一张能够容纳 4K 个地址的 MAC 地址表， 这张 MAC 地址表记录着设备学习到的 MAC 地址表项的内容包括 MAC 地址、 属于哪个端口、是否静态地址、是否锁定的地址以及是否老化等。交换控制芯片 通过对 MAC 地址的学习和过滤，进行各个端口间数据的交换。下面以 GT 48350 为例，详细说明 MAC 地址的自学习过程。 GT 48350 通过检查从端口输入的所有以太帧的源 MAC 地址，来自学习与之 相连的网络设备上的端口信息。如果在自己的 MAC 地址表中没有找到这个源地 址，GT 48350 就自动在 MAC 地址表中添加此源地址和此源地址所在的端口信息 和 VLAN 等信息，并借助于 New Address 消息通知系统中其他的 Galnet 设备，更 新其他的 Galnet 设备的 MAC 地址表。也就是说，系统中所有的 Galnet 设备上的 MAC 地址表是同时维护，保持一致的。 在自学习的过程中，MAC 地址表的内容不断的更新，GT48350 每隔一段时间 就会对 MAC 地址表进行扫描，如果某个动态 MAC 地址项在这段时间间隔内并 未传输任何帧，则该地址会自动从表中被删除。这个 MAC 地址表更新的时间门 限称为地址老化时间。地址老化时间不能太长，否则 MAC 地址表会溢出；也不 能太短，否则设备会频繁进行删除和建立地址表项的工作，影响设备性能。因此， 必须允许依据管理员的需求通过网管软件来设置和修改地址老化时间。 静态地址，是 MAC 地址表中不随时间老化的地址，它一直存在于 MAC 地址 表中，不会因为老化(aging)机制而被删除。静态地址的设定和删除，都必须由网 管软件通过 CPU 直接在 MAC 地址表里建立或删除，再由 CPU 利用标准 New Address 消息更新系统中所有 Galnet 设备的 MAC 地址表。在学习过程中，静态 地址所属的条目不会自动更新，交换设备也不会向 CPU 发送 New Address 消息。 地址表的结构完全由 GT 48350 控制并初始化。MAC 地址表的内容通过交换 控制器的地址自学习逻辑自动完成，这个过程一般不需要软件干预。对地址表的 修改通常在自学习过程中完成。或者 CPU 利用标准 New Address 消息更新，或者 利用询问寄存器来询问表项的内容。 22 基于 WEB 的网管系统设计开发 实际上，对以太网接口的 MAC 地址的管理就是对各交换控制芯片中 MAC 表 的读写操作。还是由于前面提过的原因，我们并不是直接对芯片中的 MAC 表进 行管理，而是在内存中建立一份 MAC 地址表的镜像，MAC 表镜像在每次系统初 始化过程中建立。 但与端口状态镜像不同的是，MAC 地址表是会自动更新的。为了使镜像 MAC 表与交换芯片中真正的 MAC 表保持一致，这里用到了消息机制：即当 MAC 表自动更新时，交换控制器会向 CPU 发一个新地址消息，控制器的驱动程 序会处理这个消息，根据它更新镜像地址表。 综上所述，通过对以太网交换芯片中的 MAC 地址表的读写操作，网管软件 实现的对 MAC 地址的管理内容如下： 静态 MAC 地址表项的建立与删除； 老化时间的设置； 地址询问操作(包括对某个指定 MAC 地址的询问，指定端口的询问，指定 VLAN 的询问)。 3.3 开发工具 Rapid Control 简介 3.3.1 Rapid Control SDK 的介绍8 Rapid Control SDK 是 Rapid Logic 公司开发的用于开发设备管理应用程序的软 件开发包，是针对基于实时操作系统的网络设备上的管理系统的开发。利用 Rapid Control SDK 开发包，我们可以开发出一个支持多种管理方式和多种技术的 综合网络管理系统，使管理人员可以通过 Web 浏览器，Telnet 远程登录，Java 应 用平台以及企业应用平台来管理设备。由于 Rapid Control SDK 本身已有一整套 的网管系统实现方案，并提供很多关键技术的实现，这使得设备开发人员可以集 中精力于管理系统中与具体设备相关的功能实现，从而大大加快了开发进度。 Rapid Control SDK 支持基于 Web、基于命令行等的多种管理方式，并使它们 以统一的方式访问被管对象，这其中最为关键技术就是 Rapid Control Backplane（RCB） ，它就是整个软件开发包的核心技术。关于 RCB 的介绍将会在 下面做详细说明。 第三章 网管系统的设计开发 23 Rapid Control Backplane 是描述被管对象的数据库，在这个数据库中包含了所 有被管对象的相关信息，通过这个数据库，可以将管理方式与对设备的具体操作 相分隔开，统一了被管对象描述以及对它们的操作。 命令行方式企业应用 SNMP Agent RapidControl for Applets RapidControl for Web RapidControl for CLI RapidControl for Enterprise Embedded Library Product Application ASIC Library Web 浏览器Java应用 接入 方式 控制层 应用层 系统层文件系统 MIBway RapidControl Backplane 实时操作系统 图 3.2 Rapid Control 软件框架图 为了能够调用已有 SNMP 管理例程，Rapid Control 还提供了 MIBway