基于策略的网络管理系统

　1 前言

　　Internet/Intranet 的迅速发展，促使网络日趋复杂，规模不断扩大，应用服务数量剧增，网络管理的重要性日益提高。用户为了更好的得到服务提供者网络提供的服务，愿意在承担合理费用的前提下和服务提供者约定服务水平协议（SLA），服务提供者网络必须为用户提供相应的服务，而且服务质量不能受到网络负载变化的影响。因此网络管理人员必须寻求管理网络资源的有效办法。众所周知，现有的网络管理框架和工具主要着眼于网元级设备的管理，管理员需要了解各种被管设备的管理接口，熟悉设备MIB(管理信息库)变量的精确含义，以非常复杂的方式监视、控制网络运行的状态以及修改网络的配置参数。这种管理方式的有效性完全依赖于网络管理人员的专业熟练程度，在当前网络日趋大型、复杂、异构的形式下，无疑将加重网络管理人员的负担和网络的管理维护成本，并较终成为网络管理的瓶颈。如何在复杂的网络环境下向授权的用户提供方便快捷的资源访问的同时满足安全性能的要求，已成为迫在眉睫的问题。

　　基于策略的网络管理强调的是一个系统化的网络管理系统，而非单纯的网络设备组态设定与管理。希望藉由策略的网络管理架构，直接将企业领导者所制定的政策目标以网络管理政策方式来表现，进而透过基于策略的网络管理系统的运作，将网络管理政策分配至整个网络系统执行。相对应TMN体系中的业务管理层。

　　策略是定义网络应该如何运作才能支持一个机构目标的规则。具体到网络管理范畴，策略是一套指导和确定如何管理、分配和控制网络资源的业务规则。策略的执行确保业务规则总是得到遵循。业务规则构成指导行动的条件。

　　其中，策略是一组规则,每条规则由一组条件和动作组成。条件定义规则使用的参数 ,当一条规则投入使用时 ,规则中的动作能够被触发 ,并且可能与规则中设定的条件相遇 ;动作本质上就是定义当所需条件满足时所执行的动作。策略的角色是定义一个设备或接口在特殊条件被满足时如何实现一个动作。

　　2基于策略的网络管理的研究现状

　　目前，基于策略的管理系统使用的协议较多，甚至各家厂商都使用自己的协议来支持策略服务器和网络硬件之间的通信。鉴于这种情况，IETF成立了多个工程组来进行标准的制定和推广。

　　Policy Framework WG，致力于Policy Information Model的建立，主要参与成员隶属于CISCO、IBM、Lucent等通讯设备大厂，目前已制定了《Policy Core Information Model - Version 1 Specification (RFC 3060) 》一份标准文件，与Qos、LDAP相关的标准尚在拟订中。　　Resource Allocation Protocol (rap) WG，致力于Policy Distribution中所使用的协议的制定，包括COPS、COPS-RSVP、COPS-PR、COPS over TLS等网管协议。主要参与成员隶属于CISCO、IBM、Intel、Nortel等通讯设备大厂，已有多份标准文件产出。发展较早，目前已开发之Policy-based技术多以RAP WG与Policy Framework WG所发展出的标准为依据。

　　Configuration Management with SNMP (snmpconf) WG，致力于在SNMP Configuration Model下提供具有基于策略的管理信息库，包括Policy Based Management MIB 、The Differentiated Services Configuration MIB 等，snmpconf WG虽然发展较晚，但是基于MIB已广泛运用于网络管理领域上的优势，已制定了《Management Information Base for the Differentiated Services Architecture (RFC3289)》；《Configuring Networksand Devices with SNMP（RFC3512）》。

　　Differentiated Services (diffserv) WG ，致力于differentiated services技术上的相关标准，该WG也同时制定differentiated services的Policy Information Base。

　　IP Security Policy (ipsp) WG，致力于IP layer上与security相关的Policy管理机制，包括IPsecConfiguration Policy Model 、Security Policy Protocol 及制定IPsec的Policy Information Base，相关标准尚在草拟阶段。

　　3 UniviewDA 的功能和特点

　　在网络日趋大型、复杂、异构的形势下，传统的网络管理系统已经不能满足需求。基于策略的网络管理系统可以使网络管理人员从业务的角度在一个整体上管理一个复杂的网络，而不必关心网络设备的具体细节，而且在不中断网络服务的情况下自动的调整网络资源。但是要完全实现整个网络的基于策略的管理还有许多问题要解决。如：从高级一般的抽象的策略到低级的具体的策略的自动生成；策略冲突的检测和消除。

　　GW UniView ?DA网络管理系统基于JAVA和CORBA技术的通用网络管理系统。本文主要介绍其配置管理配置的设计实现。

　　GW UniView ?DA网络管理系统具有以下特点：

　　1. 提供对SLA的实现手段

　　基于策略的管理可以根据SLA来制定相应的策略，控制网络对用户应用要求的处理 ，从而提供一定的服务质量保证。基于策略的管理向管理者提供了对网络资源分配效果的量化工具，从而避免了因对网络资源需求无法估计而对网络资源过度分配造成的资源浪费，同时也避免了为保证网络资源而对用户使用权的过度限制。基于策略的管理根据用户的不同级别和需求，有效、合理的管理网络资源，,既能保证网络保持较高的使用效率，同时对不同的用户提供不同级别的服务质量。

　　2. 具有较好的可扩展性

　　基于策略的网络管理框架具有良好的可扩展性，可根据网络设备变化，而灵活的调整框架规模的大小，因此基于策略的网络管理既适用于大型的多用户的企业网，也适用于拥有较少用户的局域网，为网管部门提供了经济、有效的管理手段。

　　3. 简化管理过程

　　基于策略的管理使网络管理人员由传统的以网络和设备为中心的管理模式转化为以业务为中心的管理模式，简化管理过程，减轻对网管人员网管专业知识和管理经验的要求，同时也减少企业对网管人员技术培训的开销。

　　在GW UniView ?DA网络管理系统中配置管理功能以配置任务为主要的核心。配置任务定义要进行配置的设备，应用的管理协议，要配置的内容等。系统用XML来描述配置任务。系统对执行过的配置任务进行存储，以便再次执行同样的配置任务。这样有经验的网络管理人员制定好任务后，其他的网络管理人员就可直接执行这些任务，达到知识共享的目的。

　　GW UniView ?DA还提供任务模板的机制，任务模板是一种特殊的任务，它的可复用性更好，任何模板配置的属性值是可配置的。网络管理人员可为每个要配置的属性指定一个数据源。数据源可是网络中的某台设备，也可是LDAP目录服务器，也可指定由网络管理人员运行时手动输入要配置的值。

　　在配置任务和模板任务的机制基础上，我们在设计实现格林威尔公司的GW UniView ?DA网络管理系统时部分实现了基于策略的网络管理功能。

　　GW UniView ?DA的策略包括两类：根据网络运行状态自动执行指定的配置任务（如指定路由、用户禁止等）；有关网络管理系统自身的管理与优化（如备份策略、静态表的定期删除等）。本文主要介绍较早类策略。

　　GW UniView ?DA系统中的策略根据其触发条件又可分为静态和动态两种方式。静态策略根据预先定义的参数，以一种预定义的方式应用一个固定的动作集合。例如在每天固定的时间段才允许某些IP地址的用户访问网络。动态策略是根据网络状态的变化，在需要的时候执行。如：当网络发生拥塞时，禁止某些用户的视频服务或根据SLA保障高级的用户优先获得网络资源。

　　GW UniView ?DA系统提供基于JAVA的GUI供用户制定、编辑管理策略。后台应用服务程序将管理策略保存在数据库服务器和配置文件中。管理服务程序从数据库或配置文件中获取策略规则和执行计划并将其转换为网络设备所接收的格式，发送给相应的网络设备，完成对网络的配置调整。

　　GW UniView ?DA系统不仅是一个网络管理系统，还具有开发平台的功能。它不仅提供了GUI供用户定义管理策略，还提供了编程接口为用户开发扩展新的管理策略。

　　4 结束语

　　在IP网络管理领域中，未来的网络管理必将从网元层和网络层转移到业务层和事务层，也可以说从保证网络的可用性转移到保证网络所提供业务的服务质量。因此，未来的网络管理面临着对被管理问题的认识、如何制定相应的MIB和选择较佳的管理协议和框架等问题。基于策略的网络管理系统，可以实现业务层与网络层管理的综合，使网络管理人员将日复一日的业务需求链接动态地配置在网络上，高效地管理全球的IP业务。并且实现了从用户的业务规则到网络设备的特有指令的映射，简化了网络管理人员繁复的操作，使网络管理从基于设备的管理向基于业务的管理跨出了可喜的一步。