基于SNMP的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)

1、基于SNMP的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速開展，網(wǎng)絡(luò)管理變的日趨復(fù)雜，為了進(jìn)步網(wǎng)絡(luò)設(shè)備和效勞管理的智能性和可操作性，對網(wǎng)絡(luò)拓?fù)涓咝Ф鴾?zhǔn)確地發(fā)現(xiàn)成為網(wǎng)絡(luò)管理中重要的環(huán)節(jié)。關(guān)鍵詞網(wǎng)絡(luò)拓?fù)洌缓唵尉W(wǎng)絡(luò)管理協(xié)議；管理信息庫；網(wǎng)絡(luò)管理；三層拓?fù)浒l(fā)現(xiàn)；二層拓?fù)浒l(fā)現(xiàn)1引言現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)迅猛開展，網(wǎng)絡(luò)管理的任務(wù)也日趨復(fù)雜，而保證網(wǎng)絡(luò)管理系統(tǒng)高效運(yùn)行的根底正是網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。網(wǎng)絡(luò)拓?fù)浔憩F(xiàn)為計(jì)算機(jī)網(wǎng)絡(luò)中各設(shè)備之間的連接關(guān)系。網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)更能進(jìn)步網(wǎng)絡(luò)故障管理、計(jì)量管理、配置和名稱管理、性能管理和平安管理的性能，其原理是利用協(xié)議搜集網(wǎng)絡(luò)中各設(shè)備的信息，通過某種算法生成完好的拓?fù)錁?gòu)造顯示出來。本文介紹的就是基于sn

2、p協(xié)議的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。2簡單網(wǎng)絡(luò)管理協(xié)議snp及ib信息庫概述2.1snp概述snp名為“簡單網(wǎng)絡(luò)管理協(xié)議，snp基于tp/ip協(xié)議工作，對網(wǎng)絡(luò)中支持snp協(xié)議的設(shè)備進(jìn)展管理，通過snp協(xié)議，管理員可以與各種類型支持snp協(xié)議的設(shè)備進(jìn)展通信，從而進(jìn)展網(wǎng)絡(luò)管理。在詳細(xì)實(shí)現(xiàn)上，snp為管理員提供了一個網(wǎng)管平臺(ns)，又稱為管理站或管理器，負(fù)責(zé)網(wǎng)管命令發(fā)出，數(shù)據(jù)存儲及數(shù)據(jù)分析等。被監(jiān)管的設(shè)備上那么運(yùn)行一個snp代理(agent)，又稱為代理器，代理實(shí)現(xiàn)設(shè)備與管理站的snp通信，圖1描繪了snp協(xié)議的邏輯構(gòu)造1。圖1snp協(xié)議的邏輯構(gòu)造1990年5月，rf1157定義了snp的第一個版本snpv1。

3、rf1157和另一個關(guān)于管理信息的文件rf1155一起提供了一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)方法。因此，snp得到了廣泛應(yīng)用，并成為網(wǎng)絡(luò)管理的事實(shí)上的標(biāo)準(zhǔn)。90年代初snp得到了迅猛開展，同時也暴露出了明顯的缺乏，例如難以實(shí)現(xiàn)大量的數(shù)據(jù)傳輸，缺少身份驗(yàn)證和加密機(jī)制。因此，1993年發(fā)布了snpv2，進(jìn)步效率和性能，同時還支持分布式網(wǎng)絡(luò)的管理等，但是，snpv2并沒有完全實(shí)現(xiàn)預(yù)期的目的，尤其是平安性能沒有得到進(jìn)步，如：身份驗(yàn)證(如用戶初始接入時的身份驗(yàn)證、信息完好性的分析、重復(fù)操作的預(yù)防)、加密、受權(quán)和訪問控制、適當(dāng)?shù)倪h(yuǎn)程平安配置和管理才能等都沒有實(shí)現(xiàn)。1996年發(fā)布的snpv2是snpv2的修改

4、版本，功能增強(qiáng)了，但是平安性能仍沒有得到改善，繼續(xù)使用snpv1的基于明文密鑰的身份驗(yàn)證方式。ietfsnpv3工作組于1998年1月提出了互聯(lián)網(wǎng)建議rf2271-2275，正式形成snpv3。這一系列文件定義了包含snpv1、snpv2所有功能在內(nèi)的體系框架和包含驗(yàn)證效勞和加密效勞在內(nèi)的全新的平安機(jī)制，同時還規(guī)定了一套專門的網(wǎng)絡(luò)平安和訪問控制規(guī)那么。可以說，snpv3是在snpv2根底之上增加了平安和管理機(jī)制。2.2ib信息庫tp/ip網(wǎng)絡(luò)管理系統(tǒng)的根底是含有被管理元素信息的數(shù)據(jù)庫，其在tp/ip和si環(huán)境下稱為ib。每個被管理資源表示成一個對象，ib是這些對象的構(gòu)造化集合。ib是一個樹型構(gòu)

5、造的數(shù)據(jù)庫。網(wǎng)絡(luò)中的每個系統(tǒng)，比方工作站，效勞器，路由器等，都維護(hù)一個可以反映被管理資源在系統(tǒng)中狀態(tài)的信息庫，通過讀取信息庫中對象的值，管理站可以監(jiān)視系統(tǒng)中的資源，也可以通過修改某些值來控制系統(tǒng)中的資源。信息庫中對象的類型，意義由ib定義，管理站和代理端按同一個ib作為接口通信，可以互相理解數(shù)據(jù)的意義，實(shí)現(xiàn)管理。ib樹的頂級對象有三個，即itt，is和這兩個組織的結(jié)合體jint-is-itt(見圖2)。在is的下面有一個美國國防部dd(departentfdefense)的子樹(標(biāo)號是6)，再下面就是internet(標(biāo)號是1)。在只討論internet中的對象時，可只畫出internet以下

6、的子樹(圖中的虛線方框)，并在internet結(jié)點(diǎn)旁邊標(biāo)注上1.3.6.1即可。在internet結(jié)點(diǎn)下面的第二個結(jié)點(diǎn)是gt(管理)，標(biāo)號是2。再下面是管理信息庫，原先的結(jié)點(diǎn)名是ib。1991年定義了新的版本ib-ii，故結(jié)點(diǎn)名現(xiàn)改為ib-2，其標(biāo)識為1.3.6.1.2.1，或internet(1).2.1。這種標(biāo)識為對象標(biāo)識符。最初的結(jié)點(diǎn)ib將其所管理的信息分為8個類別，如今ib-2所包含的信息類別已超過40個。應(yīng)當(dāng)指出，ib的定義與詳細(xì)的網(wǎng)絡(luò)管理協(xié)議無關(guān)，這對于廠商和用戶都有利。廠商可以在產(chǎn)品(如路由器)中包含snp代理軟件，并保證在定義新的ib工程后該軟件仍遵守標(biāo)準(zhǔn)。用戶可以使用同一網(wǎng)絡(luò)

7、管理客戶軟件來管理具有不同版本的ib的多個路由器。當(dāng)然，一個沒有新的ib工程的路由器不能提供這些工程的信息。圖22.3snp支持的操作snp共有5種操作：(1)getrequest讀對象值操作，使管理站可以從被管理設(shè)備的代理中檢索對象的值。(2)getnextrequest讀取當(dāng)前對象的下一個可讀取的對象的實(shí)例值。(3)setrequest管理站更新代理中對象的值。(4)getrespnse代理對getrequest/getnextrequest/setrequest3種操作的應(yīng)答。(5)trap代理向管理站發(fā)送對象值。3基于snp協(xié)議的拓?fù)浒l(fā)現(xiàn)利用snp進(jìn)展拓?fù)浒l(fā)現(xiàn)本質(zhì)上就是扮演管理者角色的

8、工作站讀取被管理設(shè)備的ib庫中相關(guān)信息來實(shí)現(xiàn)的。每個設(shè)備維護(hù)一個ib庫，里面由此設(shè)備相關(guān)信息，使用snp管理網(wǎng)絡(luò)最大的優(yōu)點(diǎn)就是可以實(shí)時發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞淖兏?，但也有其局限性，即被管理的設(shè)備都要支持snp2。在網(wǎng)絡(luò)拓?fù)錁?gòu)造中，最主要的是路由器之間的連接關(guān)系和子網(wǎng)劃分情況，所以網(wǎng)絡(luò)拓?fù)潢P(guān)系構(gòu)建的要點(diǎn)如下：(1)在網(wǎng)絡(luò)拓?fù)潢P(guān)系中，主要的組成元素包括網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備，如路由器、交換機(jī)以及子網(wǎng)、網(wǎng)橋、網(wǎng)絡(luò)中的主機(jī)等。(2)路由器、交換機(jī)及其端口配置是構(gòu)建拓?fù)潢P(guān)系的關(guān)鍵。網(wǎng)絡(luò)構(gòu)造是分層次管理的，所以拓?fù)浒l(fā)現(xiàn)也應(yīng)以分層方式來發(fā)現(xiàn)。路由器工作在網(wǎng)絡(luò)層并且通常我們稱網(wǎng)絡(luò)層為第三層，所以以發(fā)現(xiàn)路由器和子網(wǎng)連接構(gòu)造的拓?fù)浒l(fā)

9、現(xiàn)我們稱作三層拓?fù)浒l(fā)現(xiàn)，子網(wǎng)中主機(jī)發(fā)現(xiàn)也屬于三層拓?fù)浒l(fā)現(xiàn)，因?yàn)椴捎玫姆椒ㄖ饕€是根據(jù)ip地址操作來發(fā)現(xiàn)的；而處于數(shù)據(jù)鏈路層的交換機(jī)，網(wǎng)橋獲取我們可以稱作二層拓?fù)浒l(fā)現(xiàn)。3.1三層拓?fù)浒l(fā)現(xiàn)三層拓?fù)浒l(fā)現(xiàn)主要是通過對路由表的讀取來獲取相關(guān)ip信息來實(shí)現(xiàn)，圖3是一個路由表信息圖。圖3路由表信息圖destinatin表示路由的目的地址網(wǎng)絡(luò)號。gateay表示下一跳的路由器或網(wǎng)關(guān)地址。genask表示子網(wǎng)掩碼。ifae表示此路由的出口。數(shù)據(jù)包在路由過程中，先將它的目的ip依次和路由表中的子網(wǎng)掩碼按位與操作，然后分別和每行的目的地址網(wǎng)絡(luò)號比擬，假如一樣，那么發(fā)到gateay標(biāo)示的下一跳，假如沒有匹配的那么發(fā)送

10、至默認(rèn)網(wǎng)關(guān)，上圖最后一行表示了此路由表的默認(rèn)網(wǎng)關(guān)為192.168.1.1。網(wǎng)絡(luò)拓?fù)錁?gòu)造在其模型上本質(zhì)是一個圖構(gòu)造，路由器可以看作圖的頂點(diǎn)，網(wǎng)絡(luò)的連接狀況由圖的邊來表示，所以說網(wǎng)絡(luò)拓?fù)錁?gòu)造的發(fā)現(xiàn)是對圖的遍歷過程。圖的遍歷主要有兩種方法，即深度優(yōu)先搜索(dfs)和廣度優(yōu)先搜索(bfs)。由于拓?fù)浒l(fā)現(xiàn)采用分層的方式，所以采用廣度優(yōu)先搜索。獲取管理工作站所在網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān)地址(通過本地路由表獲得)。默認(rèn)網(wǎng)關(guān)的代理進(jìn)程返回默認(rèn)網(wǎng)關(guān)的iprutetable，可以獲得網(wǎng)絡(luò)中更多的路由器信息，將其放入隊(duì)列(實(shí)現(xiàn)bfs的數(shù)據(jù)構(gòu)造)中，利用先進(jìn)先出的特性依次訪問各個路由，重復(fù)這兩步。訪問過程中根據(jù)路由器各接口的連

11、接類型來判斷是否直連的是局域網(wǎng)(diret類型)，記錄其子網(wǎng)號和掩碼。實(shí)際中會對拓?fù)浒l(fā)現(xiàn)的范圍進(jìn)展限制，我們可以利用ipruteetri(路由器的跳數(shù))來進(jìn)展限制，獲取相應(yīng)子網(wǎng)類型的信息可以通過ib-ii中的iftable中的iftype字段來獲取，iftype定義如下：iftypebjet-typesyntaxintegerther(1)，regular1822(2)，hdh1822(3)，ddn-x25(4)，rf877-x25(5)，ethernet-sad(6)，is88023-sad(7)，is88024-tkenbus(8)，is88025-tkenring(9)，is88026-

12、an(10)，starlan(11)，prten-10bit(12)，prten-80bit(13)，hyperhannel(14)，fddi(15)，lapb(16)，sdl(17)，ds1(18)，e1(19)，basiisdn(20)，priaryisdn(21)，prppinttpintserial(22)，ppp(23)，sftarelpbak(24)，en(25)，-lnpverip11ethernet-3bit(26)，nsip(27)，-xnsveripslip(28)，-generislipultra(29)，-ultratehnlgiesds3(30)，-t-3sip(31

13、)，-sdsfrae-relay(32)aessread-nlystatusandatrydesriptinthetypefinterfae，distinguishedardingtthephysial/linkprtl(s)iediatelybelthenetrklayerintheprtlstak.：=ifentry3因?yàn)閕prutetable中的ipruteifindex和iftable中的ifindex是一一對應(yīng)的，所以可以通過ifindex獲得它對應(yīng)的iftype，從而獲取子網(wǎng)類型。子網(wǎng)內(nèi)主機(jī)的發(fā)現(xiàn)，我們最常用的方法就是ping命令了，檢查目的主機(jī)是否是活動的3。ping命令依靠ip

14、來獲取目的主機(jī)的活動狀態(tài)信息，前提是我們知道目的主機(jī)的ip地址，但是它的效率很低，只能通過“窮舉法來猜想，例如一個子網(wǎng)172.21.13.0/24，它可以有254臺主機(jī)，假如使用ping的話我們只能一個一個的猜想，可能實(shí)際中主機(jī)的數(shù)目要遠(yuǎn)遠(yuǎn)小于254(針對本例來說)，所以這種方法不可齲ib-ii中存在一個ipnettediatable對象，它記錄了網(wǎng)絡(luò)地址到物理地址的映射信息，子網(wǎng)中活動主機(jī)必然要在其網(wǎng)關(guān)的ipnettediatable中注冊自己的信息，ipnettediatable定義如下：ipnettediatablebjet-typesyntaxsequenefipnettediaent

15、ryaessnt-aessiblestatusandatrydesriptintheipaddresstranslatintableusedfrappingfripaddressestphysialaddresses.：=ip22ipnettediaentrybjet-typesyntaxipnettediaentryaessnt-aessiblestatusandatrydesriptineahentryntainsneipaddresstphysialaddressequivalene.indexipnettediaifindex，ipnettedianetaddress：=ipnette

16、diatable1ipnettediaentry：=sequeneipnettediaifindex-對應(yīng)路由表的ifaeinteger，ipnettediaphysaddress-主機(jī)物理地址physaddress，ipnettedianetaddress-主機(jī)網(wǎng)絡(luò)地址ipaddress，ipnettediatypeinteger我們可以通過ipnettedianetaddress獲取和此路由器或網(wǎng)關(guān)連接的子網(wǎng)內(nèi)所有主機(jī)的ip，然后分別和路由表中的子網(wǎng)掩碼按位與就得到了它是屬于哪個子網(wǎng)了，當(dāng)然我們也可以用ipnettediaifindex來關(guān)聯(lián)主機(jī)所屬的子網(wǎng)號。3.2二層拓?fù)浒l(fā)現(xiàn)子網(wǎng)中的交換

17、機(jī)和網(wǎng)橋其工作方式是基于設(shè)備的物理地址進(jìn)展的，對于三層拓?fù)浒l(fā)現(xiàn)是透明的，所以處于數(shù)據(jù)鏈路層的網(wǎng)絡(luò)設(shè)備的發(fā)現(xiàn)原理是根據(jù)地址轉(zhuǎn)發(fā)表來搜集拓?fù)湫畔⒌?。目前的商業(yè)系統(tǒng)如hp的penvie不支持二層拓?fù)浒l(fā)現(xiàn)，僅僅依靠網(wǎng)絡(luò)層的拓?fù)錁?gòu)造已不能滿足如今網(wǎng)絡(luò)管理的要求，對于二層拓?fù)浒l(fā)現(xiàn)的研究應(yīng)早日提上日程。支持snp的交換機(jī)應(yīng)該實(shí)現(xiàn)bridge-ib(rf1493)，當(dāng)子網(wǎng)有交換機(jī)互聯(lián)網(wǎng)絡(luò)時，我們應(yīng)先獲取交換機(jī)各個端口的狀態(tài)然后才能高效地進(jìn)展拓?fù)浒l(fā)現(xiàn)，au-ib(rf2239)中的ifautable對象的ifaustatus記錄了交換機(jī)各端口的工作狀態(tài)，一共有六種狀態(tài)，我們可以根據(jù)狀態(tài)值判斷來決定搜集有用端口的

18、地址轉(zhuǎn)發(fā)信息。確定交換機(jī)的可用端口后，就可以搜集端口地址轉(zhuǎn)發(fā)信息了，通過讀取交換機(jī)bridge-ib中的dt1dtpfdbtable表，定義如下：dt1dtpfdbtablebjet-typesyntaxsequenefdt1dtpfdbentryaessnt-aessiblestatusandatrydesriptinatablethatntainsinfratinabutuniastentriesfrhihthebridgehasfrardingand/rfilteringinfratin.thisinfratinisusedbythetransparentbridgingfuntinin

19、deterininghtprpagateareeivedfrae.：=dt1dtp3dt1dtpfdbentrybjet-typesyntaxdt1dtpfdbentryaessnt-aessiblestatusandatrydesriptininfratinabutaspeifiuniastaaddressfrhihthebridgehassefrardingand/rfilteringinfratin.indexdt1dtpfdbaddress：=dt1dtpfdbtable1dt1dtpfdbentry：=sequenedt1dtpfdbaddressaaddress，dt1dtpfdbprtinteger，dt1dtpfdbstatusinteger.dt1dtpfdbad