策略管理服務(wù)器分析研究 計(jì)算機(jī)專業(yè)

3.3.3策略管理服務(wù)器（PDP）由圖3-3模型總體結(jié)構(gòu)可以看出，策略管理服務(wù)器和傳統(tǒng)網(wǎng)管服務(wù)是核心，管理服務(wù)器的運(yùn)轉(zhuǎn)效率有著更高的要求，建議使用如圖3-2的組織分布關(guān)聯(lián)性比較弱的服務(wù)組織結(jié)構(gòu)，PDP對(duì)各網(wǎng)絡(luò)實(shí)體實(shí)現(xiàn)基于域的控制和管理，也可對(duì)分布式環(huán)境下的PDP進(jìn)行相互冗余備份，在本域PDP出現(xiàn)故障時(shí)由備份PDP接收管理權(quán)限。這樣，才能保證策略讀取的高效運(yùn)轉(zhuǎn)模式。策略管理服務(wù)器的工作過(guò)程如下：（1）與PMT的交互策略管理服務(wù)器在接受PMT輸入的無(wú)語(yǔ)法和語(yǔ)義錯(cuò)誤的策略后，首先進(jìn)行策略的靜態(tài)沖突檢測(cè)，確保在同一用戶行為事件即相同策略條件下只存在一條適合的策略。符合要求，則存入策略信息庫(kù)，否則，PMT向報(bào)警；另外，策略管理服務(wù)器要負(fù)責(zé)用戶行為事件處理的全過(guò)程，對(duì)處理的用戶行為事件和未處理事件進(jìn)行記錄，存入數(shù)據(jù)庫(kù)，出現(xiàn)未處理事件時(shí)要向PMT進(jìn)行報(bào)警提示。如出現(xiàn)需要立即處理的影響較嚴(yán)重的未處理的用戶行為事件，允許管理員編輯策略立即下發(fā)執(zhí)行。（2）與PR的交互對(duì)于經(jīng)過(guò)靜態(tài)沖突檢測(cè)的策略，以合適的形式存入策略信息庫(kù)；同時(shí)，接受的策略請(qǐng)求，做出策略決策，向策略信息庫(kù)提取相應(yīng)策略。（3）與PEP的交互接受PEP的策略信息加工區(qū)，對(duì)使用的用戶的行為進(jìn)行相應(yīng)的策略決策的分析，并匹配相應(yīng)的網(wǎng)絡(luò)用戶行為做出策略決策，馬努不同條件的策略決策的要求，跟蹤策略發(fā)展的結(jié)果并進(jìn)行實(shí)時(shí)的日志式樣記錄，園區(qū)網(wǎng)中，目前存在著大量的傳統(tǒng)網(wǎng)絡(luò)設(shè)備和網(wǎng)管系統(tǒng)，它們是基于SNMP協(xié)議進(jìn)行信息交互的，要實(shí)現(xiàn)基于COPS協(xié)議的策略管理，必須得有一個(gè)過(guò)渡。這就要求策略管理服務(wù)器不僅要能夠與支持COPS協(xié)議的PEP設(shè)備相互通信，還要能夠與傳統(tǒng)網(wǎng)管設(shè)備和系統(tǒng)通信，這就要以增加策略服務(wù)器的工作量為代價(jià)來(lái)實(shí)現(xiàn)，在策略管理服務(wù)器中要增加一個(gè)策略信息轉(zhuǎn)換器的功能模塊，如圖3-6所示。通過(guò)策略信息轉(zhuǎn)換器，策略服務(wù)器可以向PEP發(fā)送SNMP查詢信息，知道該設(shè)備及版本是否支持COPS協(xié)議。對(duì)于支持COPS的設(shè)備，策略信息流沿圖中左側(cè)線路流動(dòng)；如果設(shè)備不支持COPS協(xié)議，則策略信息轉(zhuǎn)換器作為中間件代PEP向策略管理服務(wù)器提出策略申請(qǐng)并對(duì)策略執(zhí)行情況做出信息反饋，同時(shí)將下發(fā)的策略信息翻譯為可接收的SNMP信息。一定意義上，策略信息轉(zhuǎn)換對(duì)于策略管理發(fā)展有著關(guān)鍵的意義和作用，實(shí)現(xiàn)的是多條件和功能時(shí)間的完美連接要充分的利用已經(jīng)搜集呃策略基礎(chǔ)信息和傳統(tǒng)的網(wǎng)管技術(shù)實(shí)現(xiàn)對(duì)用戶的行為的分析和研究，并作出相應(yīng)的策略。如下圖所示以上的內(nèi)容演示，策略管理服務(wù)實(shí)現(xiàn)的是策略的數(shù)據(jù)驗(yàn)證，決策計(jì)劃的產(chǎn)生，決策結(jié)果的數(shù)據(jù)分析和策略的解釋和演化過(guò)程的主要部分。通過(guò)LDAP協(xié)議與策略信息庫(kù)進(jìn)行交互，存取策略信息；并通過(guò)COPS協(xié)議或SNMP協(xié)議與PEP進(jìn)行交互，交換策略信息和反饋息。策略服務(wù)器的用戶行為綜測(cè)的事件管理流程如下：3.3.4策略管理服務(wù)器（PEP）總體來(lái)說(shuō)，策略執(zhí)行的作用機(jī)制在于策略的解釋和轉(zhuǎn)化，在不同的環(huán)境下對(duì)于決策的上層機(jī)制的策略內(nèi)容進(jìn)行轉(zhuǎn)換演示，并根據(jù)已經(jīng)搜集到的綜測(cè)的信息進(jìn)行對(duì)用戶的網(wǎng)絡(luò)行為的分析，將上層的策略信息進(jìn)行及時(shí)有效的翻譯，同時(shí)將配置的結(jié)果翻譯成用戶自身所能解釋的配置設(shè)備，從而可以做到的是翻譯與識(shí)別信息，將已經(jīng)綜測(cè)產(chǎn)生的結(jié)果進(jìn)行數(shù)據(jù)庫(kù)呃上報(bào)，策略服務(wù)器得到了上報(bào)的信息后進(jìn)行反饋的信息處理，并做出相應(yīng)的日志的記錄。在這個(gè)過(guò)程中，關(guān)鍵的信息的收集需要的是地區(qū)的網(wǎng)元的支持，這需要在傳統(tǒng)的信息收集系統(tǒng)中增加識(shí)別自己系統(tǒng)和配置的操作，將策略的信息轉(zhuǎn)化為面向具體網(wǎng)絡(luò)網(wǎng)絡(luò)的配置，因此，實(shí)現(xiàn)策劃轉(zhuǎn)化的功能，在傳統(tǒng)的網(wǎng)絡(luò)設(shè)備中，大部分不會(huì)支持這樣的定制的策略，如下圖，可以看到的其中的應(yīng)用結(jié)構(gòu)，但是如果不支持這樣的網(wǎng)元策略的調(diào)整，就需要另外的增加網(wǎng)元進(jìn)行策略的抽象意義的信息解釋。網(wǎng)絡(luò)設(shè)備和系統(tǒng)只識(shí)別符合自己系統(tǒng)和版本的配置和操作命令，網(wǎng)絡(luò)設(shè)備只有通過(guò)策略執(zhí)行點(diǎn)將策略信息轉(zhuǎn)化為相應(yīng)的、面向具體網(wǎng)絡(luò)設(shè)備的配置和操作命令，才能將定制的策略得以實(shí)現(xiàn)。因此，PEP必須具有策略轉(zhuǎn)化的功能。但是在傳統(tǒng)網(wǎng)絡(luò)設(shè)備中，大都是不支持PEP的，其結(jié)構(gòu)如圖3-9所示。對(duì)于不支持PEP功能的網(wǎng)絡(luò)設(shè)備，則需要增加一個(gè)策略代理的抽象層次。3.4本章小結(jié)本章著重的是對(duì)策略網(wǎng)絡(luò)運(yùn)行管理的綜合介紹，主要構(gòu)建的模型是基于策略的網(wǎng)絡(luò)管理系統(tǒng)，對(duì)傳統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng)和策略意義上的網(wǎng)絡(luò)管理進(jìn)行高效化和自動(dòng)化的處理模型，同時(shí)也對(duì)模型的實(shí)施和發(fā)展提出了相關(guān)的問(wèn)題和解決的措施，也提出了一些的構(gòu)建的難點(diǎn)，著重的發(fā)展接下來(lái)的研究關(guān)鍵，在之后的章節(jié)中，對(duì)模型的實(shí)現(xiàn)又進(jìn)行了技術(shù)性的升級(jí)和內(nèi)容的填充。模型實(shí)現(xiàn)相關(guān)技術(shù)研究本章主要依據(jù)系統(tǒng)模型的結(jié)構(gòu)設(shè)計(jì)和功能設(shè)計(jì)，來(lái)實(shí)現(xiàn)模型相關(guān)技術(shù)的進(jìn)一步歸納和總結(jié)。如今絕大多數(shù)網(wǎng)絡(luò)和現(xiàn)代策略管理不一致，所以現(xiàn)階段要實(shí)現(xiàn)完全基于策略的網(wǎng)絡(luò)管理的過(guò)渡是不現(xiàn)實(shí)的。第4章主要是將策略管理模型和基于用戶行為的網(wǎng)絡(luò)管理系統(tǒng)有機(jī)地結(jié)合在一起，為完成網(wǎng)絡(luò)管理自動(dòng)化，及時(shí)處理網(wǎng)絡(luò)異常提供理論依據(jù)，同時(shí)為后續(xù)研究提供一定的理論基礎(chǔ)。4.1策略描述及存儲(chǔ)系統(tǒng)實(shí)現(xiàn)的成敗和運(yùn)行過(guò)程中的工作效率主要取決于策略定義和描述的好壞，另外運(yùn)用合適的策略存儲(chǔ)也是可以為策略的查詢與匹配等存取操作加速的。4.1.1策略定義要說(shuō)整個(gè)模型最重要的概念和元素那應(yīng)該就是策略了，因?yàn)檎麄€(gè)模型的數(shù)據(jù)流動(dòng)都是圍繞著策略的。因此，對(duì)模型實(shí)現(xiàn)的成敗及效率來(lái)說(shuō)策略定義的好壞起了決定性作用，所以一個(gè)好的策略定義在整個(gè)模型系統(tǒng)中起著十分重要的作用，第三章對(duì)策略的定義如下：策略是模型運(yùn)行中最重要的數(shù)據(jù)流，由策略管理工具編輯輸入，儲(chǔ)存在策略信息庫(kù)中，通過(guò)策略管理服務(wù)器下發(fā)，通過(guò)策略執(zhí)行點(diǎn)執(zhí)行具體的設(shè)備配置命令，此命令是由策略轉(zhuǎn)化的，通過(guò)這些操作來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)管理這一目的。整個(gè)模型的中心運(yùn)行是以策略信息流為主的。在管理中，我們通過(guò)對(duì)策略信息庫(kù)中的策略進(jìn)行分類整理來(lái)使管理更方便。一般的屬性主要包括策略的標(biāo)識(shí)、類型、名稱、條件、內(nèi)容、最新編輯時(shí)間、執(zhí)行體以及描述和附加信息。在本文中策略的定義以元組的形式出現(xiàn):其中，系統(tǒng)當(dāng)中的網(wǎng)元便是策略執(zhí)行體。策略的類型、條件、內(nèi)容等也可以有屬于自己的屬性參數(shù)。4.1.2策略描述在不同目標(biāo)的基礎(chǔ)上，多種不同的策略描述規(guī)范已被國(guó)內(nèi)外多種研究機(jī)構(gòu)和人員提出，如貝爾實(shí)驗(yàn)室的PDL策略描述語(yǔ)言，英國(guó)皇家學(xué)院的PONDER語(yǔ)言和惠普實(shí)驗(yàn)室Rei的策略描述語(yǔ)言。文獻(xiàn)分析策略的組成元素，提出了一種基于策略主要元素ECA（EnforcementObject，ControlledObject，Action）的策略描述語(yǔ)言，語(yǔ)言簡(jiǎn)單實(shí)用，實(shí)現(xiàn)了大規(guī)模的網(wǎng)絡(luò)環(huán)境下不同網(wǎng)絡(luò)安全設(shè)備策略描述的統(tǒng)一，但這其中通用的語(yǔ)言規(guī)范標(biāo)準(zhǔn)依舊是很不足的，它的缺點(diǎn)主要體現(xiàn)在同時(shí)統(tǒng)籌策略描述語(yǔ)言的表達(dá)能力和數(shù)據(jù)交互性以及其可擴(kuò)展性和轉(zhuǎn)換性的實(shí)現(xiàn)較困難。如今對(duì)策略信息的表達(dá)方式有許多，比如KAoS、Ponder、PFDL、XACML、Rei等。它們有一個(gè)共同的不足之處，就是都執(zhí)著于解決特定領(lǐng)域的策略信息描述，不具備優(yōu)良的擴(kuò)展性和推廣性。XML語(yǔ)言作為一種數(shù)據(jù)描述語(yǔ)言存在，逐漸成長(zhǎng)Internet上數(shù)據(jù)表示和數(shù)據(jù)交換的一個(gè)新標(biāo)準(zhǔn)。它的敏捷性和標(biāo)準(zhǔn)性使其具備強(qiáng)大的數(shù)據(jù)表達(dá)能力。本文引入XML作為策略描述語(yǔ)言，是因?yàn)樗暮芏嗵匦耘c策略描述語(yǔ)言的要求相符合。如下表所示。將XML作為策略描敘的語(yǔ)言，擴(kuò)充了描敘策略的領(lǐng)域同時(shí)使得系統(tǒng)使用更為普遍，其中數(shù)據(jù)是運(yùn)用了目錄服務(wù)器存儲(chǔ)提高了訪問(wèn)效率，兩者之間的數(shù)據(jù)交換是利用DSML實(shí)現(xiàn)的這顯示了簡(jiǎn)潔性和易實(shí)現(xiàn)性。另外，由于策略管理圖形界面的需求，體制中可以PMT與策略管理服務(wù)器之間加一個(gè)中間插件，XML解析器，PMT與XML解析器之間通過(guò)HTTP通訊機(jī)制實(shí)現(xiàn)通訊。XML解析器作為PMT的一個(gè)功能模塊存在，而不加在策略服務(wù)器上，盡量減少策略服務(wù)器的工作負(fù)荷。因此有多少個(gè)管理平臺(tái)，就有多少個(gè)XML解析器，如圖4-1。利用XML文檔很容易構(gòu)造出標(biāo)準(zhǔn)的策略描述，利用自定義的DTD文件或XMLSchema文件和XML文件進(jìn)行對(duì)照，可以對(duì)XML文檔的有效性進(jìn)行驗(yàn)證。根據(jù)策略定義，XML語(yǔ)言定義策略的表達(dá)形式如圖4-2所示。下面主要看一下對(duì)于一個(gè)園區(qū)網(wǎng)常見(jiàn)用戶的網(wǎng)絡(luò)舉動(dòng)應(yīng)該如何進(jìn)行策略描述。IP地址為59用戶機(jī)器遭遇某孺蟲病毒襲擊，在網(wǎng)關(guān)54對(duì)此病毒進(jìn)行控制。配置命令為：aclnumber100ruledenytcpsourceanydestinationanydestination-port390:4200結(jié)合本文策略定義，用語(yǔ)言描述策略為：4.1.3策略存儲(chǔ)IETF定義的策略框架采用策略信息庫(kù)（PR）存儲(chǔ)管理員制定的策略規(guī)則信息，PR可以是目錄服務(wù)器或關(guān)系數(shù)據(jù)庫(kù)服務(wù)器。兩者相比目錄服務(wù)器的特點(diǎn)主要是數(shù)據(jù)輸出效率髙、數(shù)據(jù)輸入效率低，由于在策略的網(wǎng)絡(luò)管理的實(shí)際應(yīng)用中，通常情況下，來(lái)回制定和刪改策略的次數(shù)與從PR中提取策略相比要少得多，更有可能達(dá)到一次制定多處運(yùn)行的效果。其用目錄服務(wù)器存儲(chǔ)策略更合適的另一原因便是是讀操作多、寫操作少的這一特點(diǎn)，另外用目錄服務(wù)器存儲(chǔ)策略信息也是IETF所建議的標(biāo)準(zhǔn)。XML的可擴(kuò)展性使其成為一種描述數(shù)據(jù)結(jié)構(gòu)的有力工具，尤其適合表述數(shù)據(jù)格式未知的半結(jié)構(gòu)化數(shù)據(jù)，自描述性使得XML所描述的數(shù)據(jù)擁有與以上的獨(dú)立性和穩(wěn)定性。XML的適合表現(xiàn)數(shù)據(jù)結(jié)構(gòu)和語(yǔ)義特點(diǎn)使其廣泛流行，也很自然地得到了各方支持。目前，各種數(shù)據(jù)庫(kù)系統(tǒng)提供的XML支持主要用來(lái)方便XML文檔在數(shù)據(jù)庫(kù)中的存儲(chǔ)，數(shù)據(jù)庫(kù)中數(shù)據(jù)與XML的相互轉(zhuǎn)化?？紤]到LDAP目錄存儲(chǔ)服務(wù)器實(shí)現(xiàn)的復(fù)雜性和原系統(tǒng)的兼容性，以及傳統(tǒng)關(guān)系數(shù)據(jù)庫(kù)對(duì)XML的支持，本文用傳統(tǒng)關(guān)系數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)策略信息。XML與數(shù)據(jù)庫(kù)的關(guān)系主要是數(shù)據(jù)在兩者之間的轉(zhuǎn)移以及XML文檔結(jié)構(gòu)與數(shù)據(jù)庫(kù)結(jié)構(gòu)之間的映射。由于XML從本質(zhì)上講是樹形層次性的，而大多數(shù)現(xiàn)有的數(shù)據(jù)庫(kù)系統(tǒng)都是關(guān)系型的，因此兩者之間進(jìn)行映射時(shí)要設(shè)計(jì)好適當(dāng)?shù)霓D(zhuǎn)換算法。在本文中，對(duì)XML語(yǔ)言描述的策略信息進(jìn)行了設(shè)計(jì)簡(jiǎn)化，將節(jié)點(diǎn)屬性統(tǒng)一轉(zhuǎn)化為次級(jí)節(jié)點(diǎn)；策略信息的表示也只進(jìn)行到根節(jié)點(diǎn)、父節(jié)點(diǎn)和子節(jié)點(diǎn)三層，因此轉(zhuǎn)換算法的設(shè)計(jì)也較為容易。XML文檔轉(zhuǎn)換為數(shù)據(jù)庫(kù)表的基本步驟如下：=1\*GB3①取XML文檔②文檔層次結(jié)構(gòu)分析③映射為數(shù)據(jù)庫(kù)表記錄轉(zhuǎn)換模型如圖4-4所示。OpenXML是SQL關(guān)系數(shù)據(jù)庫(kù)提供的通過(guò)XML文檔提供行集視圖，也可以實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)換，是一個(gè)行集提供程序。若要使用其編寫對(duì)XML文檔轉(zhuǎn)換為數(shù)據(jù)庫(kù)表表級(jí)，首先必須調(diào)用SQL的系統(tǒng)存儲(chǔ)過(guò)程sp-xml-preparedocum，以分析XML文檔并返回準(zhǔn)備使用的已分析文檔的句柄。已分析文檔是XML文檔中各種節(jié)點(diǎn)元素、特性、文本、注釋等等的樹形表示法。文檔句柄傳遞到OpenXML，然后OpenXML根據(jù)傳遞給它的參數(shù)提供文檔的行集視圖。OpenXML被用來(lái)提取XML文檔的任何一部分，并把它當(dāng)作一個(gè)表格，然后可以用SELECT語(yǔ)句和INSERT語(yǔ)句或自定義的存儲(chǔ)過(guò)程實(shí)現(xiàn)XML文檔數(shù)據(jù)的數(shù)據(jù)庫(kù)表結(jié)構(gòu)存儲(chǔ)。根據(jù)本文策略信息的XML結(jié)構(gòu)描述，產(chǎn)生關(guān)系模式的算法：①對(duì)每個(gè)復(fù)雜元素創(chuàng)建一個(gè)表記錄及主鍵列②對(duì)于每個(gè)簡(jiǎn)單子元素在表中建立一個(gè)屬性列③對(duì)于子元素，如果是可選的，則允許該列為空值④對(duì)于每個(gè)復(fù)雜子元素，通過(guò)主外鍵實(shí)現(xiàn)父表與子表的聯(lián)接⑤對(duì)于文檔與表記錄，通過(guò)表中增加一個(gè)列屬性實(shí)現(xiàn)文檔與表記錄之間的聯(lián)系XML文檔中的策略信息經(jīng)過(guò)算法轉(zhuǎn)換為策略信息表、條件表以及網(wǎng)元表三個(gè)表中的記錄。即每一個(gè)策略信息文檔都將產(chǎn)生與之一一對(duì)應(yīng)的策略信息表、條件表和網(wǎng)元表中的三條記錄。表結(jié)構(gòu)在下一章的策略信息庫(kù)的實(shí)現(xiàn)中會(huì)進(jìn)行系統(tǒng)的講解。本文是利用SQL對(duì)XML的支持實(shí)現(xiàn)XML文檔的存取。使用SQL自帶存儲(chǔ)過(guò)程分析文檔層次結(jié)構(gòu)，再通過(guò)OpenXML實(shí)現(xiàn)對(duì)XML文檔中數(shù)據(jù)的數(shù)據(jù)庫(kù)表級(jí)轉(zhuǎn)換，并存儲(chǔ)到SQL關(guān)系數(shù)據(jù)庫(kù)中。從策略信息的數(shù)據(jù)輸入到數(shù)據(jù)庫(kù)信息的存儲(chǔ)具體流程如圖4-5所示，管理者登錄界面，輸入數(shù)據(jù)經(jīng)XML解析器模塊轉(zhuǎn)換成.xml文件，經(jīng).xsd文件驗(yàn)證通過(guò)后，再轉(zhuǎn)換為數(shù)據(jù)庫(kù)中表級(jí)數(shù)據(jù)，再經(jīng)策略信息查詢與驗(yàn)證，存儲(chǔ)于SQL數(shù)據(jù)庫(kù)，此過(guò)程完成策略的描敘、轉(zhuǎn)換與存儲(chǔ)，并在實(shí)現(xiàn)安全性檢查等其他功能。此后，一條策略信息對(duì)應(yīng)一個(gè)XML文檔和三條表記錄。在策略信息存儲(chǔ)后，也可以對(duì)策略信息進(jìn)行查詢、修改和刪除。對(duì)策略信息進(jìn)行修改的過(guò)程大致如圖4-6所示：在整改策略時(shí)，管理員通過(guò)策略搜索的條件來(lái)查詢與之相關(guān)的表的記錄，為實(shí)現(xiàn)各表記錄與策略信息的XML文檔兩者之間的聯(lián)系可以在表中設(shè)置一列屬性。可以通過(guò)先搜索此列屬性同時(shí)查看原策略信息再?zèng)Q定是否需要修改。4.2策略層次及翻譯策略的表現(xiàn)形式在不同的抽象級(jí)別下是不同的，但其最終所要轉(zhuǎn)換的網(wǎng)絡(luò)配置及操作命令都要是網(wǎng)絡(luò)管理設(shè)備可以識(shí)別的。這也是策略翻譯的功能所在，策略翻譯的功能便是將策略信息庫(kù)中儲(chǔ)存的策略信息轉(zhuǎn)換為具體的網(wǎng)絡(luò)配置及操作命令信息。4.2.1策略分層的必要性園區(qū)網(wǎng)的典型代表是大學(xué)校園網(wǎng)。校園網(wǎng)的結(jié)構(gòu)較復(fù)雜，使用人群眾多，特點(diǎn)十分鮮明：第一，設(shè)備大量不同，比如交換機(jī)、路由器、防火墻、服務(wù)器、電源系統(tǒng)等一系列設(shè)備，而且這些設(shè)備的原理功能都不盡相同、設(shè)備的管理系統(tǒng)和指令系統(tǒng)也存在差異。第二，設(shè)備供應(yīng)商較復(fù)雜，校園網(wǎng)使用人群各異，需求也不一樣，園區(qū)網(wǎng)里的廠商常常使用了不同的實(shí)現(xiàn)方法、數(shù)據(jù)格式、系統(tǒng)管理軟件和不同的命令系統(tǒng)版本的同類型設(shè)備。對(duì)于這種種類不同、廠商各異、軟件系統(tǒng)也不一樣的設(shè)備，只有通過(guò)策略的抽象與分層才可能實(shí)現(xiàn)統(tǒng)一制定策略，多處運(yùn)行。基于策略的網(wǎng)絡(luò)管理致力于實(shí)現(xiàn)網(wǎng)絡(luò)管理的簡(jiǎn)單化和自動(dòng)化，把網(wǎng)管人員從繁瑣的管理工作中解放出來(lái)。其核心思想是提供相應(yīng)的方法和技術(shù)能夠?qū)⒐芾韱T的管理思想和意志在網(wǎng)絡(luò)管理中得以表達(dá)，實(shí)現(xiàn)從“管理策略的提出”到“網(wǎng)絡(luò)設(shè)備規(guī)則的執(zhí)行”，以此提高管理效率，減輕網(wǎng)絡(luò)管理工作的負(fù)擔(dān)。從網(wǎng)絡(luò)分析與設(shè)計(jì)角度來(lái)看，管理策略實(shí)際上體現(xiàn)了網(wǎng)絡(luò)管理者對(duì)網(wǎng)絡(luò)設(shè)備的控制要求，但這種要求往往是與具體設(shè)備的實(shí)現(xiàn)是不直接關(guān)聯(lián)的，這就需要管理策略到具體網(wǎng)管命令的一系列轉(zhuǎn)化。4.2.2策略分層優(yōu)化網(wǎng)絡(luò)帶寬，有效資源分配，確保網(wǎng)絡(luò)正常穩(wěn)定運(yùn)行是策略的網(wǎng)絡(luò)管理的總目標(biāo)和任務(wù)。具體而言，策略是一套準(zhǔn)則，一系列的條件和動(dòng)作組成了一條條策略，經(jīng)過(guò)系統(tǒng)的網(wǎng)絡(luò)設(shè)備的命令配置來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)管理的目的。但站在不同的角度，策略的形態(tài)也會(huì)有變化。普遍運(yùn)用于電信領(lǐng)域網(wǎng)絡(luò)管理的TMN分層體系結(jié)構(gòu)主要分為四個(gè)層次，這四個(gè)層次都有其各自所側(cè)重的方向同時(shí)它們又是互相關(guān)聯(lián)的其由底至上依次是：網(wǎng)元管理層（EML）、網(wǎng)絡(luò)管理層（NML）、業(yè)務(wù)管理層（SML）和商務(wù)管理層（BML）。這個(gè)體系結(jié)構(gòu)把管理功能需求分解為不同的層次，每層相對(duì)獨(dú)立，通過(guò)分層實(shí)施的管理功能、由下至上的信息綜合來(lái)實(shí)現(xiàn)對(duì)電信網(wǎng)的管理。在新的電信運(yùn)營(yíng)環(huán)境下，TMF提出了一種以TMN的分層結(jié)構(gòu)為指導(dǎo)、結(jié)合自上而向下逐層剖析的商務(wù)設(shè)計(jì)準(zhǔn)則，將客戶管理、業(yè)務(wù)運(yùn)作和網(wǎng)絡(luò)管理融合為一體的電信企業(yè)運(yùn)營(yíng)管理處理方式。它提出了NGOSS（下一代運(yùn)營(yíng)軟件和系統(tǒng)）體系結(jié)構(gòu)，該系統(tǒng)結(jié)構(gòu)的四個(gè)視點(diǎn)：（1）商務(wù)視點(diǎn)：分解商務(wù)管理目標(biāo)和流程、定義需求模型；（2）系統(tǒng)視點(diǎn)：設(shè)計(jì)邏輯系統(tǒng)構(gòu)架、定義上下層通信接口、建立數(shù)據(jù)模型；（3）實(shí)現(xiàn)視點(diǎn)：對(duì)特定技術(shù)進(jìn)行實(shí)現(xiàn)、驗(yàn)證過(guò)程；（4）運(yùn)行視點(diǎn)：對(duì)系統(tǒng)進(jìn)行部署和運(yùn)行各個(gè)系統(tǒng)發(fā)展之間存在必然的聯(lián)系和關(guān)系，且每個(gè)環(huán)節(jié)是對(duì)應(yīng)發(fā)展的。TMF認(rèn)為，網(wǎng)絡(luò)管理系統(tǒng)中的策略實(shí)際上是一個(gè)“統(tǒng)一體”。各層策略并不沖突，而是相輔相成的，只是具有不同層次的抽象，各層之間通過(guò)建立數(shù)據(jù)通信接口實(shí)現(xiàn)從一個(gè)抽象層次的策略到另一個(gè)抽象層次的策略的映射。在產(chǎn)品中，已經(jīng)實(shí)現(xiàn)基于策略的網(wǎng)管系統(tǒng)從全局策略到具體設(shè)備相關(guān)配置的策略翻譯機(jī)制。這個(gè)策略“統(tǒng)一體”具有個(gè)抽象層次，如圖4-7右側(cè)所示。從圖4-7可以看出，TMF策略“統(tǒng)一體”的分層思想，把策略分為五層，在不同層次策略有不同的表現(xiàn)形式，每一底層策略都為上層策略的提供支撐，每一上層策略都通過(guò)下層策略得以實(shí)現(xiàn)。策略在商務(wù)視點(diǎn)下表現(xiàn)為網(wǎng)絡(luò)管理需求即一個(gè)自然語(yǔ)言的子集；系統(tǒng)視點(diǎn)所得到的語(yǔ)言包含的對(duì)應(yīng)信息是通過(guò)接受自然語(yǔ)言形式的下的商務(wù)策略同時(shí)進(jìn)行分解而得到的；網(wǎng)絡(luò)視點(diǎn)是比較關(guān)鍵的，其管理設(shè)備的方式是要把具體信息準(zhǔn)確的翻譯成一組與設(shè)備無(wú)關(guān)的規(guī)則集合從而進(jìn)行管理；并運(yùn)用這些規(guī)則集合，提取相應(yīng)的管理設(shè)備類型、版本等參數(shù)，將網(wǎng)絡(luò)視點(diǎn)下的策略規(guī)則轉(zhuǎn)換成與特定的管理設(shè)備相對(duì)應(yīng)的策略規(guī)則這便是設(shè)備視點(diǎn)；實(shí)例視點(diǎn)則是設(shè)備視點(diǎn)的某個(gè)具體實(shí)現(xiàn)，產(chǎn)生一些自動(dòng)執(zhí)行的程序同時(shí)將這些規(guī)則安置到需要管理的網(wǎng)絡(luò)設(shè)備。商務(wù)視點(diǎn)和系統(tǒng)視點(diǎn)的實(shí)現(xiàn)主要是通過(guò)策略服務(wù)器上的網(wǎng)絡(luò)視點(diǎn)和設(shè)備視點(diǎn)。雖然各層都是獨(dú)立的，但對(duì)于園區(qū)網(wǎng)的網(wǎng)絡(luò)管理來(lái)說(shuō)只要對(duì)策略轉(zhuǎn)換的層次清楚各層功能相對(duì)獨(dú)立，也便于修改和移植，那么最終是能夠轉(zhuǎn)化為對(duì)網(wǎng)絡(luò)設(shè)備的管理的，各視點(diǎn)下的策略的表現(xiàn)形式。由于商務(wù)視點(diǎn)的表達(dá)形式是自然語(yǔ)言的子集，因此這個(gè)子集應(yīng)該要能夠充分傳達(dá)網(wǎng)絡(luò)管理者的控制需求，同時(shí)使普通用戶可以理解，即從商務(wù)視點(diǎn)來(lái)看，管理要求被策略明確的描述了。從系統(tǒng)視點(diǎn)來(lái)看，商務(wù)視點(diǎn)與網(wǎng)絡(luò)視點(diǎn)的銜接便是它，同時(shí)這也是對(duì)商務(wù)視點(diǎn)的進(jìn)一步轉(zhuǎn)化，是對(duì)商務(wù)策略的分解消化，具體對(duì)應(yīng)的信息通過(guò)文字描述的形式獲得。從網(wǎng)絡(luò)視點(diǎn)來(lái)看，策略是，用來(lái)管理、控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，改變網(wǎng)絡(luò)的運(yùn)行狀態(tài)，消除或減弱異常網(wǎng)絡(luò)行為的一組規(guī)則的集合。策略操作所使用的方法和技術(shù)不僅要在設(shè)備的具體實(shí)現(xiàn)上獨(dú)立，而且要在各種聯(lián)網(wǎng)設(shè)備中能得到支持，使得在設(shè)備視點(diǎn)上可以做進(jìn)一步的轉(zhuǎn)換。其主要包括使用控制使用的端口、對(duì)端口速度進(jìn)行限制、或?qū)?shù)據(jù)包進(jìn)行過(guò)濾等方法和技術(shù)。上圖4-8和4-9給出了不同視點(diǎn)下的策略表達(dá)形式。從圖4-7和圖4-8、4-9中可以看出，結(jié)合策略描述，在進(jìn)行基于策略的實(shí)現(xiàn)時(shí)，比如策略編輯、存儲(chǔ)、轉(zhuǎn)化和執(zhí)行，策略抽象與實(shí)現(xiàn)是從網(wǎng)絡(luò)視點(diǎn)至實(shí)例視點(diǎn)的一系列操作和轉(zhuǎn)換。，商務(wù)視點(diǎn)和系統(tǒng)視點(diǎn)下的策略表示形式在園區(qū)網(wǎng)網(wǎng)絡(luò)管理中是在網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃書的紙面策略，經(jīng)過(guò)網(wǎng)絡(luò)視點(diǎn)、設(shè)備視點(diǎn)和實(shí)例視點(diǎn)下的策略使這兩層抽象策略得以體現(xiàn)和實(shí)現(xiàn)。底層三種視點(diǎn)下的策略表示形式才是真正能在網(wǎng)絡(luò)管理系統(tǒng)中得以表示、存儲(chǔ)和執(zhí)行的。經(jīng)過(guò)策略轉(zhuǎn)化和翻譯之后，能在具體的網(wǎng)絡(luò)設(shè)備上形成具體配置指令并加以實(shí)行使儲(chǔ)存到策略庫(kù)中的策略是類似網(wǎng)絡(luò)視點(diǎn)的宏策略，是統(tǒng)一的策略。4.2.3策略翻譯的實(shí)現(xiàn)怎么實(shí)現(xiàn)策略的進(jìn)一步變革和發(fā)展，怎么樣才能在不同的網(wǎng)絡(luò)設(shè)備上執(zhí)行一樣的任務(wù)，這就是其發(fā)展主要面對(duì)的問(wèn)題。在進(jìn)行總體設(shè)計(jì)之前，抓喲按照文本的設(shè)置類型和形式進(jìn)行分析和研究主要的含義是；定義4-1策略翻譯：將統(tǒng)一描述的策略轉(zhuǎn)換為具體網(wǎng)絡(luò)管理設(shè)備上可識(shí)別的操作配置的過(guò)程。定義4-2詞法庫(kù)：存儲(chǔ)關(guān)鍵字與策略屬性轉(zhuǎn)換表的數(shù)據(jù)庫(kù)。定義4-3語(yǔ)法庫(kù)：存儲(chǔ)不同設(shè)備類型中策略的語(yǔ)法規(guī)范的數(shù)據(jù)庫(kù)。其實(shí)這些技術(shù)在許多的軟件和系統(tǒng)中都有釆用，比如iptables防火墻的關(guān)鍵字縮寫，SQL數(shù)據(jù)庫(kù)中各中創(chuàng)建對(duì)象的語(yǔ)法規(guī)范等等。參照iptables防火墻為例，設(shè)計(jì)如表4-2所示。語(yǔ)法庫(kù)主要適用于不同版本的系統(tǒng)和語(yǔ)法發(fā)展程序之中，并且為每個(gè)系統(tǒng)版本的執(zhí)行系提供某些方面的支持和幫助，主要的設(shè)計(jì)圖是如表4-3所示。所以，在系統(tǒng)發(fā)展之中必須增添必要的語(yǔ)法庫(kù)和信息庫(kù)，執(zhí)行點(diǎn)通過(guò)策略發(fā)展和代理發(fā)展的種種程序，在統(tǒng)一服務(wù)器的管理和設(shè)計(jì)之下，融合了服務(wù)器的種種優(yōu)點(diǎn)和長(zhǎng)處，進(jìn)行各種語(yǔ)法的進(jìn)一步分析和研究，最終形成了一個(gè)統(tǒng)一操作的程序額命令。融合了各種行為和方式，最后的工作原理就是如圖表所示。4.3策略沖突檢測(cè)策略檢測(cè)涉及到形式化發(fā)展和沖突發(fā)檢測(cè)等等化解之中。而且表現(xiàn)形式多種多樣，這也是我們長(zhǎng)期工作的中心和主導(dǎo)。4.3.1策略沖突定義IETF在RFC3198對(duì)于策略沖突進(jìn)行了詳細(xì)的歸納和只能歸結(jié)，采用多種方式對(duì)于策略進(jìn)行分析但是最終的動(dòng)作無(wú)法得以滿足，這就促使執(zhí)行動(dòng)作不明確具體的工作流程，粗我是多個(gè)流程在發(fā)展之中出現(xiàn)較多的問(wèn)題。策略沖突具備多種表現(xiàn)方式，可以進(jìn)行明確的分類和總結(jié)。在很多運(yùn)用方面主要是利用研究的意義進(jìn)行分析和實(shí)驗(yàn)，通過(guò)這種方式來(lái)決定整個(gè)沖突的方法額方式。通常而言，策略沖突具備多種表現(xiàn)方式，扎喲可以將其劃分為動(dòng)態(tài)模式和靜態(tài)模式兩種。（1）靜態(tài)沖突：靜態(tài)沖突也稱模態(tài)沖突或語(yǔ)義沖突。靜態(tài)沖突就是策略在制定以后，向策略信息庫(kù)存儲(chǔ)時(shí)，就與庫(kù)中存在的策略發(fā)生沖突。靜態(tài)沖突是一種顯示沖突，在靜態(tài)時(shí)就應(yīng)予解決。（2）動(dòng)態(tài)沖突：動(dòng)態(tài)沖突蘊(yùn)藏著巨大風(fēng)險(xiǎn)，在策略執(zhí)行和發(fā)展過(guò)程種出現(xiàn)的所有程序之中都是這樣的，這就促使網(wǎng)絡(luò)設(shè)備在一定的條件之下和其他的程序發(fā)生矛盾。發(fā)生這種情況就需要我們對(duì)其進(jìn)行監(jiān)督和管理，這種沖突規(guī)范在本質(zhì)上并不存在矛盾和分歧，而是經(jīng)過(guò)必要的處理程序之后才出現(xiàn)這種情況。4.3.2策略沖突檢測(cè)分類策略沖突涉及到策略生命發(fā)展的每個(gè)階段，包括其編輯和側(cè)漏等等方面。策略沖突形態(tài)可以將其劃分為；（1）策略有效性檢測(cè)有效性檢測(cè)也可以叫做語(yǔ)法監(jiān)督和管理，按照另一種層面而言，也不能將其作為策略沖突檢測(cè)，但是有效的測(cè)量檢測(cè)方式可以促使整個(gè)項(xiàng)目順利發(fā)展，比姑且給予適當(dāng)?shù)谋Ｕ虾途S護(hù)。在進(jìn)行策略編輯時(shí)，策略編輯子模塊必須對(duì)于整個(gè)模塊發(fā)展的效益進(jìn)行衡量和檢檢查，這就是所謂的檢查所定義策略。主要涉及內(nèi)容有各條件參數(shù)的取值區(qū)間是否超過(guò)管理員的限制、策略中各字節(jié)關(guān)于ID的賦值是否為數(shù)字序列的字符串、IP地址如源地址或目標(biāo)地址的取值及其它的網(wǎng)絡(luò)地址每個(gè)字節(jié)是否都是之間的數(shù)字和端口號(hào)是否為符合要求的整數(shù)等。（2）策略靜態(tài)沖突語(yǔ)義沖突檢測(cè)也可以將其較為靜態(tài)發(fā)展策略，經(jīng)過(guò)一定的檢測(cè)程序?qū)τ诟鞣N信息庫(kù)資料進(jìn)行主權(quán)虐的檢查和核對(duì)，一個(gè)用戶僅僅只能對(duì)于一個(gè)網(wǎng)絡(luò)行為進(jìn)行定義和檢測(cè)，簡(jiǎn)單地說(shuō)就是一樣的策略條件僅僅和之后的序列一致。語(yǔ)義沖突和之前的信息困之間存在著某些必然的聯(lián)系。利用語(yǔ)義沖突檢測(cè)，針對(duì)用戶不一樣的行為進(jìn)行檢測(cè)。（3）策略動(dòng)態(tài)沖突動(dòng)態(tài)沖突主要是指同一種策略之發(fā)生的種種矛盾。動(dòng)態(tài)沖突是蘊(yùn)藏著巨大的危險(xiǎn)，和策略編輯具備不一樣的表現(xiàn)形式。動(dòng)態(tài)沖突，主要是指在不同的環(huán)境之下獲取的滿足感，兒且這種滿足感之間存在著某些必然的聯(lián)系和差別。動(dòng)態(tài)沖突主要指策略之間相互交叉產(chǎn)生的各種沖突和矛盾。策略交叉沖突：當(dāng)多種以上的條件得到滿足和發(fā)展的時(shí)候，策略就很有可能激發(fā)，那么策略的整個(gè)動(dòng)作之間存在某些方面的作用和沖突，就會(huì)促使策略交叉沖突。這樣就會(huì)增加策略的實(shí)際時(shí)常，從而促使整個(gè)設(shè)備發(fā)展處于混亂的局面，而且這種矛盾只有在特定的程序之中不會(huì)被揭示。策略覆蓋沖突：就是因?yàn)椴呗灾懈鞣N數(shù)據(jù)材料不具備一定的完整性和全面性，出現(xiàn)這種情況的同時(shí)就必須明確該種策略之間存在著某些必然的聯(lián)系和區(qū)別。這就會(huì)促使出現(xiàn)這種局面而且不一樣的策略條件之間存在某些必然的關(guān)系和區(qū)別，很有可能會(huì)存再聯(lián)系。策略有效性沖突主要利用語(yǔ)法策略進(jìn)行解決和判斷；策略語(yǔ)義沖突主要是利用原有的策略進(jìn)行設(shè)計(jì)和安排，促使整個(gè)策略發(fā)展比統(tǒng)一和全面，這就是其發(fā)展面對(duì)的主要問(wèn)題和難題。但是策略動(dòng)態(tài)沖突到時(shí)候會(huì)存在某些必然的關(guān)系，也會(huì)存較大的沖突和矛盾，這也是其不可避免的，本文接下來(lái)主要對(duì)于這一方面進(jìn)行了分析和研究。