朱江 李方伟
传统的网络管理没有统一的标准和模式,主要依靠管理员的经验或根据某些简单的管理协议来实现,而且各种管理机制间缺乏互操作性;同时,通信技术的飞速发展和广泛应用使得网络规模更加庞大,系统的复杂性和异构性更加突出,传统的网络管理面临着更多的问题。
基于策略的网络管理通过策略(Policy)机制将网络中的管理(Management)和执行(Enforcement)分开,管理员负责定义好策略存放到策略仓库中,网络实体可以根据这些策略自动地执行预设置好的任务。和传统的网络管理相比,基于策略的网络管理具有以下优势:
管理员不必为每一个网络应用或网络的每一次变化制定一套管理方案,而是根据所有的情况进行统一制定,这样能够保持网络状态的一致性,对采用不同网络技术的异构网实现统一管理;
管理员可以从网络的整体出发,用抽象的策略的语言对网络功能进行描述,不必拘泥于具体的网络设备和技术细节;减轻工作负担,提高运营效率;
网管系统能较好地适应网络的动态变化,当网络结构发生变化时,管理员不需要进行复杂的配置,只需对相应的策略进行增、删、改,即可在保证网络继续运行的情况下实现网络功能的重构。
基于策略的网络管理既反映了用户对网络应用的需求,同时也体现了网络管理员制定的管理目标,显示了能反映上述特点的金字塔模型。顶端的策略决策者根据用户的需求和管理者的目标用抽象的策略语言对策略进行描述。从管理层开始,模型被分为两部分:面向网络应用的系统管理和面向策略执行的网络管理。从用户的角度看,网络应用最终通过策略机制被实现,而从管理员的角度看,管理目标最终通过策略机制被相应的网络实体执行。
一、策略信息模型
“策略”是一个抽象的概念,网络管理中的策略代表了管理员既定的管理目标,而实施这些高层次的目标有赖于各种低层次的网络实体的协助,所以必须有某种转换机制将抽象的目标与具体的网络实体结合起来。因特网工程任务组(IETF)和分布式管理任务组(DMTF)提出了策略核心信息模型(PolicyCoreInformationModel),该模型对策略的概念进行了解释,并采用面向对象的“类”(Class)结构对组成策略的各要素进行具体的描述,以便于网络实体对策略的理解。
策略是一套指导和决定如何管理、分配和控制网络资源的业务规则(Rule),这些规则描述了在特定的情况(Condition)下应采取那些行为(Action)。举一个简单的例子,如果企业网内的注册用户想获得网内的高质量视频业务,根据这一需求,相应的策略可定义如下:
Policy:为合法用户提供高质量视频业务;
Rule:IF<用户IN通过认证服务器认证的合法用户>AND<业务 IN 视频业务>AND<资源 IN 高质量视频业务所需带宽> THEN <提供高质量视频业务>。
策略之间不是相互独立的,而是存在着包含、组合等关系,多个策略可以组合成策略组,多个策略组可以组成更大、更复杂的策略组。复杂的策略可以由简单的策略组合而成,这使得策略的制定和管理更加简单。
在策略核心信息模型中利用面向对象的“类”的概念,对各个策略要素进行具体描述。所谓类是指具有某些相同功能和属性的对象(Object)的集合,它是对具体对象的抽象。类都具有自身特定的功能和属性,这是类互相区别的标志也是类的具体含义。类可以有若干子类,子类扩展了父类的功能和属性。
以上这种抽象到具体的构造体系很适合策略核心信息模型中类的构造。策略核心信息模型中,策略、规则、Condition以及Action都可以作为类,而规则可以作为策略的子类,Condition和Action则作为规则的子类。每个类都可以被相应的功能和属性具体描述,同时可以根据情况增加辅助(Auxiliary)子类来对类的描述进行补充。
二、系统结构
IETF和DMTF对基于策略的网络管理系统的结构进行了定义。该系统包含了四种基本功能模块,这些模块的组合就是一个策略管理域。
1.策略管理工具(ManagementTools)是供管理员编辑策略和监控策略的应用系统。它可以为管理员提供一个易于使用的编辑界面(如GUI)来编辑策略,并将编辑好的策略转成一定格式,存于策略仓库中。同时它还可以对策略进行检查和确认,以确保在整合策略的构成时不会发生冲突。
2.策略仓库(Repository)用于存储策略信息,能对系统中的策略进行汇总。它可以是目录服务器或数据库服务器,除了储存管理员已经编辑好的策略信息,还可以存储其它的网络信息和系统参数。
3.策略决策点(PolicyDecisionPoint,PDP)通常也被称为策略服务器,是整个系统的决策中心。它负责存取策略仓库中的策略,并根据策略信息做出决策,然后将相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突,从而采取应对措施。
4.策略执行点(PolicyEnforcementPoint,PEP)是接受策略管理的网络实体,通常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备,负责执行由策略决策点分配来的策略。同时它还向策略决策点发送信息,使策略决策点知道网络的变化以及策略的执行情况。
以上各个模块都是一个独立的子系统,为了实现模块间的策略信息交换,IETF定义了一些协议来实现模块间的通信。图2中,LDAP(LightweightDirectoryAccessProtocol)协议用于策略仓库和其它子系统之间策略信息的传输;COPS(Common Open Policy Service)协议用于PDP、PEP和策略管理工具之间策略信息的传输。
三、应用
基于策略的网络管理作为一种新的管理理念和管理技术得到了业界广泛关注。为了将该技术扩展到不同的应用领域,IETF和DMTF制定了相关的扩展标准,一些知名通信设备生产商也纷纷推出了自己的产品和解决方案。目前这些标准和产品主要集中在QoS管理和安全管理领域。
1.QoS管理
IETF定义了策略QoS信息模型(PolicyQoSInformationModel),将策略核心信息模型扩展到QoS管理,同时还定义了两个基本QoS管理模型:外包(Outsourcing)模型和预备(Providing)模型,相关的草案有COPS-RSVP和COPS-PR。
外包模型适用于动态的、基于信令的QoS架构,例如使用了RSVP信令的基于IntServ的网络,该模型中的PEP每次收到RSVP信令时都要向管理它的PDP询问接纳策略,并根据PDP的接纳策略对信令作处理。
预备模型适合于静态的预配置架构,例如基于DiffServ的网络,PDP对流的区分服务码点(DiffServCodePoint,DSCP)值和每一跳行为(Per Hop Behavior,PHB)作集中控制,并将控制策略配置于PEP中,PEP根据配置好的策略对每个流进行处理。
外包模型和预备模型分别适合于IntServ和DiffServ。IntServ能为网络流规定带宽,可靠性较高,一般适合于接入网;DiffServ的实现相对简单,可扩展性好,一般适合于骨干网络,为此可以将IntServ和DiffServ结合起来实现一种端到端的QoS管理方案。
它通过主机之间的RSVP信令机制实现端到端的QoS保障。RSVP消息通过IntServ接入网时的处理过程与外包模型中的处理过程相同,区别在于二者通过DiffServ骨干网时的处理过程不同。假设骨干网内除了每个策略域的边缘路由器(ER)外,其它路由器对RSVP消息不作处理,RSVP的控制代理由边缘路由器充当。当RESV消息到达骨干网内策略域的边缘路由器时,它会让PDP根据域内的网络资源状况判断是否接纳该资源预留请求,若资源预留请求被接纳,边缘路由器会将资源预留所需的QoS信息映射到DiffServ的DSCP,然后发往另一端边缘路由器。而在另一端,边缘路由器又把DSCP复原为RESV消息并将其发送至下一个策略域的边缘路由器。经过相同的处理,RESV消息最终被发往目的主机。
DiffServ骨干网内每个策略域的PDP由域内的带宽代理(BandwidthBroke,BB)充当。策略域之间的策略信息交换也通过带宽代理进行,不同域内的带宽代理通过对服务等级协定(ServiceLevelAgreement,SLA)的协商来实现网络资源信息的交换,并据此为PEP分配相应的策略。
2.安全管理
传统的安全管理关注具体的安全功能和网络实体,管理员先要对防火墙、虚拟专用网(VirtualPrivateNetwork,VPN)服务器等设备进行配置,相应的安全功能由这些设备来实现。而这些设备只具备某一部分安全功能,整个网络的安全机制需要所有设备共同协作来实现。因此,如何保护数据在网络中安全传输,维护服务器的安全,确保用户的合法性都需要一个从整体到部分的安全策略来管理。基于策略的安全管理主要体现在通过策略实现资源的访问控制和信息的加密。
访问控制策略是指在安全策略层次上,利用策略规则对用户进行授权、认证、角色分配,使得只有合法用户才能享用网络提供的服务和资源。访问控制策略有以下几种:
自主访问控制(DiscretionaryAccessControl,DAC)策略是指访问客体(资源所有者)设置系统参数以决定哪些访问主体(用户、进程)有权访问其资源,访问主体可以把被赋予的权限转交给其它主体。
强制访问控制(MandatoryAccessControl,MAC)策略是指由管理员统一制定资源的访问权限,当访问主体和访问客体的安全属性相匹配时才能进行资源访问。它基于能自动实施的策略规则,并将访问主体和访问客体分为不同的级别。
基于角色的访问控制(RoleBasedAccess Control,RBAC)策略是指通过分配和取消角色来完成访问主体权限的授予和取消。管理人员为每种角色配置合适的访问权限,然后根据访问主体的不同特点为其赋予不同的角色。整个访问控制过程就被分成两个关联部分:访问权限与角色相关联,角色再与访问主体关联,这样就实现了访问主体与访问权限的逻辑分离。
信息加密策略的目的是保护网络中传输的各类数据,网络加密常用的方法有链路加密、端到端加密。信息的加密可以通过具体的协议来实现,例如网络层的IPSec协议,它在网络层对数据包进行安全处理,能实现端到端的安全加密,常被用作VPN的隧道协议。IETF制定了一组IPSec和安全策略的草案,这组草案定义了基于IPSec的策略信息模型、基于IPSec的策略信息库、基于IPSec和因特网密钥协议的管理信息库、安全策略描述语言、安全策略协议、安全策略数据库模型、安全策略系统框架。
一种混合式安全策略管理方案,它能够实现两个不同策略域之间VPN的建立,该方案使用IPSec协议保障数据在公共IP网中的传输,通过访问控制实现对远端用户的认证。在该方案中,安全策略信息的存储被分为两个部分:域内的策略信息由本地策略仓库存储,域间的策略信息则由策略仓库存储;安全策略的决策也被分为两部分:域内的决策由策略服务器完成,域间的决策由安全策略管理器完成。方案的实现过程如下所述。
VPN管理员利用管理工具对两个策略域间的VPN进行配置,配置参数通过相应的接口传送到安全策略管理器;管理器中的策略解相关器将配置参数转换为策略信息存储于策略仓库中;若策略客户端A想访问策略客户端B,它会向策略服务器A发送认证请求消息;策略服务器A收到请求消息后在本地策略仓库中查询相应的策略信息,显然无法得到结果,因此它通过安全网关将客户端的请求消息转给安全策略管理器;安全策略管理器对请求消息进行认证,并根据请求在策略仓库中查询相应的策略信息,然后据此做出策略决策,最后按反向路径将策略决策信息发送到策略服务器A;策略服务器A根据收到的策略决策信息对客户端A的请求做出是否通过认证的应答;如果通过认证,策略管理器同时还向策略服务器B发送策略决策信息,通知它让策略域B内的VPN服务器接纳客户端A的访问。值得注意的是,策略信息的传送使用了安全策略协议(SecurityPolicyProtocol,SPP),为了确保传输的安全,公共IP网中的SPP可以用IPSec协议加密。
四、结束语
到目前为止,基于策略的网络管理技术在国内外都还处于研发阶段,统一的标准尚未最终形成。许多研究机构、设备生产商的标准或产品都还存在一定的局限性,更有待于大规模商业应用的检验。根据《NetworkingComputing》杂志在《TheSurvivor'sGuide to 2002》一文中的预测,最快要到2006年,基于策略的网络管理技术才能被广泛应用,而且基于策略的网络管理系统是否能够在未来取代传统的网络管理系统将取决于设备生产商是否支持统一的协议或标准。但可以预见的是,随着网络技术的不断发展和用户对网络应用需求的日益增长,基于策略的网络管理技术必能充份发挥它简单而集中的管理功能,具有广阔的应用前景。
----《通信世界》
|
