隨著網(wǎng)絡(luò)規(guī)模不斷加大,設(shè)備類型越來(lái)越多,網(wǎng)絡(luò)中各種實(shí)體間的關(guān)系越來(lái)越復(fù)雜,對(duì)網(wǎng)絡(luò)管理系統(tǒng)的要求也越來(lái)越高。在ISO/IEC7498-4文檔中定義了網(wǎng)絡(luò)管理的五大功能:故障管理、配置管理、性能管理、計(jì)費(fèi)管理和安全管理,配置管理是五大功能的基礎(chǔ)。目前大多數(shù)配置管理系統(tǒng)只能獲取網(wǎng)絡(luò)配置信息,監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況,而無(wú)法有效地對(duì)網(wǎng)絡(luò)進(jìn)行配置。基于此,我們?cè)O(shè)計(jì)和實(shí)現(xiàn)了一個(gè)新的網(wǎng)絡(luò)配置管理系統(tǒng),不僅能監(jiān)控網(wǎng)絡(luò),還能配置網(wǎng)絡(luò)。
在本文實(shí)現(xiàn)的網(wǎng)絡(luò)配置管理系統(tǒng)中,主要包括配置信息管理和遠(yuǎn)程配置模塊。配置信息管理獲取路由器、主機(jī)、端口等網(wǎng)絡(luò)設(shè)備以及它們之間的邏輯關(guān)系等配置信息,并維護(hù)這些信息,包括查詢、修改、刪除等。遠(yuǎn)程配置模塊可以把管理員對(duì)系統(tǒng)中配置信息的修改在網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)。兩者互為輔助,真正實(shí)現(xiàn)了ISO對(duì)配置管理的定義和要求。此外,本系統(tǒng)對(duì)外還可以與拓?fù)浒l(fā)現(xiàn)系統(tǒng)銜接,自動(dòng)獲取批量設(shè)備的配置信息;還可以以晴雨表的方式顯示網(wǎng)絡(luò)運(yùn)行狀況,實(shí)現(xiàn)了可視化互動(dòng)式的網(wǎng)絡(luò)配置信息展現(xiàn)。
設(shè)計(jì)思想
為適應(yīng)實(shí)際網(wǎng)絡(luò)管理工作的需求,我們?cè)谠O(shè)計(jì)配置管理系統(tǒng)時(shí),應(yīng)至少考慮以下幾點(diǎn):
第一,應(yīng)該具有自動(dòng)初始化的功能。實(shí)際網(wǎng)絡(luò)中被管設(shè)備數(shù)量巨大,通常能達(dá)到百位量級(jí),如果初始化時(shí)需要管理員手動(dòng)輸入所有被管設(shè)備的基本信息(如IP地址,共同體名等),這是一個(gè)相當(dāng)枯燥漫長(zhǎng)的過(guò)程,會(huì)大大降低系統(tǒng)的實(shí)用性。
第二,在長(zhǎng)時(shí)間的運(yùn)行過(guò)程中,系統(tǒng)數(shù)據(jù)要與實(shí)際設(shè)備配置保持一致。實(shí)際網(wǎng)絡(luò)中變化是經(jīng)常發(fā)生的,包括網(wǎng)絡(luò)的拓?fù)洹⒃O(shè)備的配置等都會(huì)為了運(yùn)行的需求而經(jīng)常變化。那么,最好能讓系統(tǒng)中的數(shù)據(jù)能自動(dòng)更新,而不需要每次改變實(shí)際網(wǎng)絡(luò)配置后,還需要管理員手動(dòng)更新。
第三,操作簡(jiǎn)單直觀,不依賴于太多的專業(yè)知識(shí)。無(wú)論是信息的展示,還是可以進(jìn)行的操作,希望都能以簡(jiǎn)單的頁(yè)面元素來(lái)表達(dá),管理員通過(guò)簡(jiǎn)單的點(diǎn)擊、選擇等操作就能完成大部分管理任務(wù),而不需要對(duì)復(fù)雜的SNMP MIB或者繁瑣的路由器的操作命令等有十分深刻的了解。
系統(tǒng)框架與實(shí)現(xiàn)
基于以上幾點(diǎn)考慮,我們?cè)O(shè)計(jì)的配置管理系統(tǒng)的架構(gòu)。其中,節(jié)點(diǎn)Agent是SNMP協(xié)議中的網(wǎng)絡(luò)管理代理,通常對(duì)應(yīng)于網(wǎng)絡(luò)的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備自身;終端設(shè)備是指網(wǎng)絡(luò)設(shè)備出于遠(yuǎn)程管理目的,對(duì)外提供的命令行訪問(wèn)入口,通常為Telnet或者SSH登錄方式。
系統(tǒng)核心功能部分采用功能強(qiáng)大的腳本語(yǔ)言Perl及其模塊進(jìn)行開(kāi)發(fā),底層數(shù)據(jù)由MySQL數(shù)據(jù)庫(kù)進(jìn)行管理,外部交互由基于Web Service技術(shù)的Web框架實(shí)現(xiàn)。在開(kāi)發(fā)過(guò)程中,我們借鑒了一般Web應(yīng)用開(kāi)發(fā)過(guò)程中的分層思想。其中,Perl程序負(fù)責(zé)完成業(yè)務(wù)邏輯控制,之所以采用Perl進(jìn)行開(kāi)發(fā),主要是因?yàn)镻erl可以很方便地與網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、Web界面、系統(tǒng)shell等進(jìn)行交互,而且Perl具有大量實(shí)用模塊可以很方便地用于網(wǎng)絡(luò)管理開(kāi)發(fā)。
系統(tǒng)中,拓?fù)浒l(fā)現(xiàn)是配置管理系統(tǒng)的一個(gè)輔助模塊,可以發(fā)現(xiàn)并向配置管理系統(tǒng)提供管理域內(nèi)大部分管理對(duì)象的基本信息及其連接關(guān)系;配置信息管理模塊有選擇地從拓?fù)浒l(fā)現(xiàn)模塊獲取管理對(duì)象的基本信息,輔以管理員的人工輸入,就能覆蓋到管理域的全部對(duì)象,再自動(dòng)通過(guò)SNMP協(xié)議獲取監(jiān)控節(jié)點(diǎn)的配置信息并寫入數(shù)據(jù)庫(kù);遠(yuǎn)程配置模塊可以把管理員對(duì)被管對(duì)象的操作轉(zhuǎn)換成對(duì)設(shè)備進(jìn)行配置需要的命令,并通過(guò)Telnet或者SSH方式在設(shè)備上執(zhí)行,達(dá)到遠(yuǎn)程修改配置的目的;此外,晴雨表也能從配置數(shù)據(jù)庫(kù)讀取設(shè)備信息,并以圖形化的方式顯示給用戶。
1.配置信息管理模塊
一個(gè)有效的配置管理系統(tǒng)應(yīng)該存儲(chǔ)管理域內(nèi)所有網(wǎng)絡(luò)配置信息,以便管理員可以快速有效地訪問(wèn)配置數(shù)據(jù)。關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)可以使用戶將各種類型的數(shù)據(jù)關(guān)聯(lián)起來(lái),使得系統(tǒng)服務(wù)器能夠有效、快速地存取、關(guān)聯(lián)、查詢數(shù)據(jù)和建立設(shè)備清單。我們采用MySQL數(shù)據(jù)庫(kù)存儲(chǔ)配置信息,事實(shí)上,我們的系統(tǒng)也能很方便地遷移到其他的數(shù)據(jù)庫(kù)管理系統(tǒng)。
配置信息可以通過(guò)多種方式獲得:一種可以通過(guò)拓?fù)浒l(fā)現(xiàn)的結(jié)果得到,可以從中有選擇地導(dǎo)入配置信息數(shù)據(jù)庫(kù);一種可以通過(guò)SNMP 協(xié)議直接從設(shè)備上取得。我們采用了這兩種方法互補(bǔ)的方案,系統(tǒng)中拓?fù)浒l(fā)現(xiàn)的結(jié)果可以有選擇地導(dǎo)入配置信息數(shù)據(jù)庫(kù),同時(shí)對(duì)于無(wú)法發(fā)現(xiàn)的系統(tǒng),可以調(diào)用snmpRouter程序(這是一個(gè)通過(guò)SNMP協(xié)議獲取路由器等網(wǎng)絡(luò)設(shè)備的配置信息和運(yùn)行狀態(tài)的程序)直接從設(shè)備讀取,這樣保證了配置信息的完整性。
配置信息變化的管理方式有:第一,手動(dòng)更新:當(dāng)某個(gè)設(shè)備配置發(fā)生變化時(shí),可以啟動(dòng)snmpRouter 程序從設(shè)備獲取配置信息,然后與配置數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行比較,經(jīng)過(guò)管理員確認(rèn)后,進(jìn)行配置數(shù)據(jù)庫(kù)更新等操作。第二,自動(dòng)更新:通過(guò)設(shè)置snmpRouter 程序的運(yùn)行周期,系統(tǒng)可以定期讀取設(shè)備當(dāng)前配置信息,然后提供配置變化列表,管理員確認(rèn)后,更新配置數(shù)據(jù)庫(kù);也可以不通過(guò)管理員確認(rèn),系統(tǒng)直接更新,管理員可以通過(guò)日志查看配置更改情況。此外,配置管理工具還可以產(chǎn)生必要的報(bào)告以使管理者及時(shí)了解整個(gè)網(wǎng)絡(luò)的配置情況。
2. 遠(yuǎn)程配置模塊
IP網(wǎng)絡(luò)中設(shè)備的配置信息以配置文件的形式存在于網(wǎng)絡(luò)設(shè)備中,對(duì)配置文件進(jìn)行修改就能實(shí)現(xiàn)對(duì)設(shè)備的配置,有多種方式可以達(dá)到這一目的。有些廠商通過(guò)特定的命令行接口(CLI,Command Line Interface)讀取配置文件或?qū)ζ溥M(jìn)行修改,管理員通過(guò)Telnet或者SSH方式登錄到遠(yuǎn)程設(shè)備上,通過(guò)CLI輸入一系列命令對(duì)配置文件的模塊進(jìn)行增加、刪除和修改操作以次實(shí)現(xiàn)對(duì)路由器的不同功能模塊進(jìn)行配置;有些廠商使用FTP來(lái)下載或者上傳配置文件,達(dá)到管理設(shè)備的目的;其他一些廠商使用SNMP協(xié)議,但是一方面因?yàn)閰f(xié)議在安全方面存在缺陷,大多數(shù)設(shè)備都禁止了SNMP SET的功能,另一方面MIB也沒(méi)有完全實(shí)現(xiàn)(例如不允許創(chuàng)建和刪除行)。
因此,在實(shí)際網(wǎng)管工作中,SNMP協(xié)議更適合于獲取配置信息和監(jiān)視網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況,對(duì)設(shè)備的配置管理一般都是手動(dòng)對(duì)路由器配置文件進(jìn)行修改。
我們的配置管理系統(tǒng)作為基于Web的網(wǎng)絡(luò)管理系統(tǒng),采用Perl的Net::Telnet::Cisco模塊實(shí)現(xiàn)Telnet登錄遠(yuǎn)程Cisco路由器或交換機(jī),執(zhí)行配置命令,解析設(shè)備應(yīng)答等功能。Net::Telnet::Cisco是Perl的一個(gè)擴(kuò)展模塊,它把對(duì)Cisco路由器或交換機(jī)的操作包裝成方法,十分便利于編寫與設(shè)備交互的程序。
管理員可以從設(shè)備的管理頁(yè)面上選擇要對(duì)設(shè)備進(jìn)行的配置操作,這些操作都是比較簡(jiǎn)單的,或者是對(duì)所有設(shè)備都可用的命令;而對(duì)于某些較復(fù)雜或者定制性較強(qiáng)的管理操作,則需要管理員輸入想要在遠(yuǎn)端設(shè)備上執(zhí)行的命令。
命令生成器根據(jù)這兩類輸入生成遠(yuǎn)端設(shè)備可執(zhí)行的配置命令。例如,管理員選擇了修改路由器本地標(biāo)識(shí)的操作,則會(huì)產(chǎn)生一條“hostname thurouter\n”的命令;選擇了修改MOTD(登錄上路由器之后看到的信息)的操作則會(huì)生成一條“banner motd #\nhello, welcome!\n#\n”命令;系統(tǒng)也提供了配置接口的操作,比如設(shè)置接口本地描述的命令就是“int e0\ndesc toMainBuilding”。隨后,系統(tǒng)會(huì)把由操作生成的命令和直接輸入的命令組合在一起。
另外,如果管理員只是執(zhí)行幾條命令獲取一些運(yùn)行狀態(tài)信息,那么這時(shí)候生成的命令就是最終的了。而如果管理員想對(duì)配置進(jìn)行修改,那么還需要在所有命令之前加上“conf t\n”,在所有命令最后加上“end\nwrite mem\n”語(yǔ)句,這樣才是設(shè)備可執(zhí)行的命令。
命令全部產(chǎn)生后并不是立刻發(fā)送到設(shè)備上執(zhí)行,管理員可以對(duì)其進(jìn)行檢查,如果不符合自己的意圖就重新在頁(yè)面上進(jìn)行修改,再次檢查并確認(rèn)之后才通過(guò)Telnet協(xié)議發(fā)送到設(shè)備上執(zhí)行。
出于對(duì)安全的考慮,對(duì)是否具有配置權(quán)限的判斷方式和實(shí)際網(wǎng)管中一致,采用設(shè)備登錄密碼和特權(quán)密碼相結(jié)合的二級(jí)認(rèn)證方式,只有事先配置了正確的兩個(gè)密碼,才能執(zhí)行遠(yuǎn)程配置功能。但是,為了實(shí)現(xiàn)的方便,我們采用Telnet協(xié)議來(lái)登錄并執(zhí)行命令,這樣數(shù)據(jù)包可能被監(jiān)聽(tīng)甚至篡改,這不能不說(shuō)是一個(gè)安全隱患。我們考慮在今后的版本中,使用SSH協(xié)議來(lái)進(jìn)行通信,可以杜絕這一安全問(wèn)題。
遠(yuǎn)端設(shè)備接收到我們發(fā)送過(guò)去的命令之后,執(zhí)行命令更新配置文件。配置過(guò)程中,遠(yuǎn)端設(shè)備的應(yīng)答也會(huì)被記錄下來(lái)并進(jìn)行分析,供管理員查看結(jié)果和日后回溯處理。
以上就是一次對(duì)設(shè)備配置操作的過(guò)程,事實(shí)上,我們的系統(tǒng)也具有對(duì)批量設(shè)備執(zhí)行相同操作的功能。管理員只需在以上所有操作之前設(shè)置好要操作的所有設(shè)備的選擇條件,系統(tǒng)會(huì)自動(dòng)對(duì)所有滿足條件的設(shè)備執(zhí)行相同的配置命令,并把結(jié)果全部展示出來(lái)。在大規(guī)模網(wǎng)絡(luò)的管理工作中,這是一個(gè)非常實(shí)用的功能。
本小節(jié)是我們?cè)O(shè)計(jì)的遠(yuǎn)程配置模塊的技術(shù)方案和實(shí)現(xiàn)細(xì)節(jié)。總的來(lái)說(shuō),是基于基本的Telnet協(xié)議實(shí)現(xiàn),對(duì)被管設(shè)備和系統(tǒng)運(yùn)行環(huán)境都沒(méi)有特殊的要求。另外,核心功能全部由Perl編寫,而且功能獨(dú)立,與被管設(shè)備和界面都沒(méi)有很深的耦合關(guān)系,因此,具有良好的可擴(kuò)展性和可二次開(kāi)發(fā)性,既可以被其他網(wǎng)管功能模塊調(diào)用,豐富各自的功能;還能用于桌面程序開(kāi)發(fā),實(shí)現(xiàn)Web上難以展現(xiàn)的功能。
相關(guān)工作比較
與現(xiàn)有其他網(wǎng)絡(luò)管理系統(tǒng)中的配置管理相比,我們的系統(tǒng)具有以下優(yōu)點(diǎn):
第一,不僅能監(jiān)控網(wǎng)絡(luò)中的設(shè)備,還能對(duì)被管設(shè)備進(jìn)行遠(yuǎn)程配置,是一個(gè)功能完整的配置管理系統(tǒng);第二,對(duì)設(shè)備的遠(yuǎn)程配置不依賴于SNMP協(xié)議,而基本上所有的網(wǎng)絡(luò)設(shè)備都提供了基于Telnet或者SSH協(xié)議的管理接口,因此遠(yuǎn)程配置功能對(duì)目前幾乎所有網(wǎng)絡(luò)設(shè)備都適用;第三,支持Cisco幾乎全系列的設(shè)備,包括較老的Catalyst 1900系統(tǒng),使用較少的CatOS以及目前大部分設(shè)備使用的IOS等網(wǎng)絡(luò)操作系統(tǒng)。同時(shí),對(duì)其他廠商的設(shè)備也能很方便地加上。
但是,這只是一個(gè)原型系統(tǒng),雖然證明了這種遠(yuǎn)程配置技術(shù)方案的可行性,但是在適用性和完整性方面還有一些欠缺:
第一, 目前只適用于Cisco網(wǎng)絡(luò)設(shè)備,對(duì)其他廠商的設(shè)備用Net::Telnet模塊同樣能實(shí)現(xiàn);
第二, 系統(tǒng)使用的是Telnet協(xié)議登錄到遠(yuǎn)程網(wǎng)絡(luò)設(shè)備,安全性方面存在不足,不過(guò)使用Net::SSH模塊來(lái)實(shí)現(xiàn)SSH協(xié)議登錄能夠很好地改善這一點(diǎn)。
本文詳細(xì)介紹了我們?cè)O(shè)計(jì)并實(shí)現(xiàn)的一個(gè)不僅能監(jiān)控網(wǎng)絡(luò),還能配置網(wǎng)絡(luò)的配置管理系統(tǒng),貼近大規(guī)模網(wǎng)絡(luò)管理的實(shí)際需求。目前該系統(tǒng)已經(jīng)應(yīng)用在CERNET2主干網(wǎng)和一些其他大規(guī)模網(wǎng)絡(luò)的實(shí)際網(wǎng)絡(luò)管理中,效果良好。
不過(guò),目前系統(tǒng)的配置信息管理只能采集基于SNMP協(xié)議設(shè)備的配置信息,而遠(yuǎn)程配置也只能對(duì)Cisco設(shè)備進(jìn)行,因此,對(duì)不支持SNMP協(xié)議,或者其他廠家設(shè)備的管理還需要做進(jìn)一步工作。
