網路自動化管理系統之研究發展及應用



包元輝 戴元任 曾黎明

國立中央大學電子計算機中心
桃園縣中壢市五權里 3 鄰 38 號
TEL:(03)4227151 EXT:7527
FAX: (03)4252561
EMAIL: center21@cc.ncu.edu.tw




摘 要

  本文針對學校網路管理概念,提出一具體流程及應用面的探討,目的在減輕人工對網路管理的成本浪費,及整體網路使用上的監控能力有一較完善之管理流程。並包含自動化之要件,及網路安全性之考量,以完整的掌握校園網路的動向,並可提供業界控管網路之參考方向。



一、研究動機

(1).人工管制不便及人力浪費

  早期之網路設備及電腦數量有限,屬於專員專案使用,並未像今日之蓬勃發展,所以管理的策略並不明確。隨時間及科技進步,網路使用率快速成長,在既有線路及設備持續使用的原則下,管理辦法必須相對改變以符合效率。在早期,使用廠商所提供的支援設備端網路管理軟體,實施遠程控管(如圖一)[12、5],圖中明白顯示,使用此類軟體並未提供開放式單一使用者介面,且因為各用戶區域之行政及編制方式不同,導致各區域網路管理員必須與該軟體做某種程度的配合,才可同步使用,相對的,這種手動設定的架構就開始突顯人力的浪費。

圖一: 早期人工核准上線流程

  以本校為例,每學期宿舍搬遷便有大筆資料須新增及修改(圖一中至少 2500 人次上線申請),雖然申請人次會隨著時間慢慢減少(如圖二),但仍必須安排一隨時等待使用者申請的機制(即核定及輸入資料的人員)。

圖二: 申請上線之使用者的頻次

(2).網路管理機制的探討

  1. 本校由 FDDI Ring 主環下多層級擴散至各網路區段如圖三,以早期使用經驗來說,應屬有效應用之乙太網路,但非唯一。即便是改採現今大量採用之 Switch、Router 或 Switch Router,亦有管理上的困擾。其因不外乎系所獨自運用,或宿舍大量使用所帶來的響應,更由於品牌,型號的不同,或廠商提供的管理介面迴異(雖然有些產品已統一介面),但必竟造成了管理端須有不同的管理機制[1]。追根究底,仍是網管軟體與管理者之間搭配上的便利性。


    圖三: 環校光纖網路部分架構圖

  2. 各單位使用網路設備隨著廠商不斷地換裝以符合市場的須要,也造成大量區勢的改變演進,使得使用舊傳統設備的單位不得不跟著蛻變,但究竟是新設備的優點較多或是舊傳統設備的優點多呢? 事實上由圖四與圖五可看出經濟效能上的優劣。

    新問世的設備多半以 UTP 線材為主,強迫使用者必須使用所指定的線材。但是不論何種介面,其功能(速度,流量控制)幾乎可由設備端之硬體或軟體的應用得到疏解,並非只有提供 UTP 介面的設備方可達到。由網管角度來看,以同樣數量的工作站所連接上不同的介面設備來說,以星狀連接的設備數量必定也較大,讓管理者管制的元件也無形中增多,基於此點,我們建議不該由使用者端設備上的 PORT 來著手進行管理。





圖四: 設備以 BUS 的使用



圖五: 設備以 STAR 的使用







二、網路設備的安全考量及管制功能

(1)安全考量

  不論何種設備,祇要聲稱具備有網管功能,大致上均具備有 SNMP(simple network management protocol)[2、3、4、6、7、9]的協定支援。其功能不外乎可提供網路管理者查詢各項使用狀況及遠端設定其所提供的特殊功能。然而在正式上線使用時不得不注意硬體線路的連接方式(如圖六及圖七)以做為安全上的考量。由於乙太網路先天以廣播為主,故所有管理者命令均可由同一網段上任何一點監測到,因此銜接所有設備時需先考慮是否處於隱密之網段而確保命令可安全抵達設備端(如圖七之 HUB 就無法防止竊聽的機率發生)。

圖六: 防止竊聽的方法

圖七: 較難防止竊聽的方法

(2)管制功能

  本篇所討論的設備是以 Bridge(橋接器)[2、12]為主,因本校已於早期即大量採用此種類型之設備,故此處均以 Bridge 來詳述其功能特性。 Bridge 之基本特性是它應該據有學習的功能,以決定下次收到相同的網路卡時,向何處送出,或置之不理,減少網路不同區段上的封包複製,也就是說它必須具備有相當容量的記憶體來記錄曾經出現的網路卡。圖八中之下圖即標出了某記憶體上的記錄及其特性,其中每個網路卡擁有各自的屬性,用以決定設備端軟體流程執行時的依據及條件。圖八中之上圖即為利用此特性,所定義出來的兩種功能的記憶體使用率比較表,說明如下:

  1. FILTER:登錄於記憶體表內的網路卡位址於程式執行流程時為不可通過此設備的依據。
  2. FORWARD:登錄於記憶體表內的網路卡位址於程式執行流程時方可通過此設備,其餘不接受通行權。

圖八: Bridge 學習表及其使用次數差異




三、系統架構規劃設計


(1)全自動化的網路上線申請與更新

圖九: 全自動化的網路上線申請與更新

  1. 本系統以 WEB 來當作使用者端輸入的介面程式,因為它提供了 CGI(Common Gateway Interface)的介面以讓管理者可自由對須求加以變化出互動的功能。簡言之,它已經幫你寫好了一些輸出入的介面,您只須撰寫程式內容即可。
  2. 如圖所示,網路使用者透過 WEB 介面向系統預約申請上線,系統認證身份無誤後,隔日自動列印收據清單,等待使用者簽證領回。在這之前系統資料庫均儲存一份各個使用者唯一資料項,直到使用者再透過 WEB 介面填寫註冊時才將原來之資料項刪除,並填入另一正式成員資料庫中,同時系統自動設定網路設備使之通行。系統自動設定之設計曾採用 FILTER 及 FORWARD 之功能,其設定依據及流程如圖十。
  3. 如圖九的流程,在此針對系統的功能及優缺點稍加說明:

      功能:
    1. 可申請多張網路卡號碼登錄。
    2. 可借用它人帳號申請(做為集中控管機密之依據)。
    3. 自動列印,限時完成,不浪費資源。
    4. 可供網管查詢使用者基本資料,及供一般使用者查詢個人資料。
    5. 即時導通。

      優點:
    1. 降低網路管理者的工作到最低的程度。
    2. 模擬使用者申請付費之流程,並且可隨使用者意願更改資料,即時處理。
    3. 管理者不須浪費人力輸入資料,全部資料由程式自行操作,而收據部份則為自動執行列印。

      缺點:
    1. 太過依賴設備之穩定性。
    2. 使用者搬遷至不同網段之複雜性。

圖十:FORWARD 與 FILTER 設定流程



(2)自動列印收據的設計

  1. 由於必須有自動印收據給予使用者簽證的過程,本系統將預約的資料轉錄截取,用以套用於事先做好的列印模版。
  2. 每日以定期處理方式將資料送至列印佇列。

(3)身份認證方法

  認證程序在預約時的考量重點是資料鍵入的正確性及方便性,除允許使用者很方便的輸入資料做處理外,必須考量申報資料的真實性,尤其是申報者的身份確認,若一旦有不正常的事故發生時,至少有一筆記錄存在可供爾後追尋資料源的依據。基本上認證資料源的方法是依賴本校電算中心 SPARC 工作站群的以人工確認方式已經建立的帳號密碼為主,其前題是學生必須有帳號密碼(在中心用),而沒有申請者可以借用它人帳號來申請,此一模式表示就算用別人的帳號登錄時最少還能追查到使用者的去向,所以認證的基礎是以全校性的工作站帳號為本程式模組的身份確認方法,但是亦可尋求一代理人來代為申請。

  接下來談 UNIX 帳號下的確認方法了。若是可將 UNIX 帳號下的密碼表加以轉換成可比對的使用者輸入資料,將立即解決此部份的程式段,且此方法也是最快速也有效的方法,但是對於此部份程式目前尚無法突破,原因在於密碼的轉換方式只尋求到由一般文字碼轉換(encode)成亂碼的部份,而無由亂碼轉換(decode)成文字碼的方法此種單向轉換的特性是帳號密碼檔的基礎。所以程式也只有依尋此單向轉換的方式,故以獲取程式來與轉碼程式的結果相比對。其收送過程為防竊聽及假冒,傳送資訊收送雙方應予以加密或防竊聽,檢查帳號、密碼部份最好與登錄 Server 是同一部機器以防偽冒。

(4)資料庫的結構

  本系統的資料格式採用 PERL 語言[11]所提供的 DBM 函式為主體資料結構,其設計架構如圖十一:

圖十一. 資料結構

  如此一來既可由使用者學號資料獲取 MAC Address 及其餘內容,亦可反向由網路卡號碼來獲取他項資料。但基於管理理念為掌握各 port 或房號資料,如一間寢室或實驗室那些人申請上線,或那個 port 由那間房間使用,於是再加上如圖十一下方之資料項即可達到以上目地。

(5)使用者界面

  使用者必定要有一個可輸入資料的窗口,以供資料的取得,於是此程式即以 WWW HTML 的 Homepage 界面撰寫了輸入的畫面,請參考 http://www.cc.ncu.edu.tw/~center21/dorm/index.html。

(6)自動設定的方法

  1. 稍早提過設備可利用 SNMP 遠程自動設定 Bridge 的方法,只須設定某些值即可達到管制的效果,此種通訊協定透過系統的網路 PORT 來收送。SNMP 不同於一般的 TCP 通訊協定,而是使用 UDP(User Datagram Protocol)來傳送訊息。

  2. 網路上提供有 PUBLIC DOMAIN 的有關 SNMP 的軟體,透過 SNMP Manager 與有支援 SNMP 的設備之間,可互通某些程度的資訊。當然可支援 SNMP 的設備,並未局限在通訊設備上,一般家電,UPS,Modem 任何一種電子產品均可適用,但前提是裝置本身支援 SNMP PROTOCOL 的通訊協定,如此一來那些產品便能透過網路而受到有效的控制。

  3. 取得 snmp.910517.tar.gz[13、14]公用網管設定程式,解開編譯後,將它暫放某一路徑下,供 PERL 程式將來呼叫外部程式之用,而於此處必須說明的是因使用的 Bridge 有兩種型號但是作法雷同,只是參數的值不同,只要將預設定的值先行定義後,爾後根據此值加上使用者所在位置所換算得來的(Bridge)IP Address 及使用者之 MAC address 即可完成以下動作,及圖十二:

    snmpset -h hostname -p 161 -c public 1.3.6.1.*** value

    圖十二.設定 Bridge 的流程

      以上之 hostname 為某單位的 Bridge 之 IP Address,161 為 SNMP 特定的網路輸出入埠,public 為 SNMP 的認證方式,1.3.6.1.** 為 MIBS[8、10] 的特定值 ( 以設備本身所提供為準 ),而最後 value 為設定 MIBS 值之參數,例如 MAC Address。如此一來便可於程式上定義好欲替換的參數加上使用者自行給定的資料做成一自動且遠程設定的效果。

      由於 SNMP 網管軟體容易獲取,必須考慮不肖者仿冒機器進行非法設定,對 SNMP Agent 的接取控制 (Access Control) 就應考量設定全校性的 SNMP 認證方式。

  4. 由 SNMP 設定軟體的功能,我們再做了流量分析的流程,利用 crontab 的定期抓取 Bridge 設備本身提供的 (MIBS) 相對映的數據,收錄於記錄中,並可由 WWW 來視察報表的狀態以利管理上的分析之用,如 Broadcast 及正常的流量 (packet & bytes)的數據,皆是可有效的提供管理階層審核並可為改善網路環境的依據。



四、結論與未來發展方向

  在本篇文章中,介紹了中央大學網路管理架構,使用者可自行由網路上申請登錄,自行繳費簽證後,就可獲取服務通行證號,再依據通行證號由網路隨時更新自己使用的設備資訊,管理系統根據使用者資訊再自動由網路監測設定相關的網路連接設備,達到自動申請服務的目的。該管理系統利用帳號密碼為基礎的身份認證來鑑別使用者身份,自行產生其通行帳號,配合管理用的資訊資料庫以 SNMP 通訊協定設定網路設備,完成了一個接近全自動化的網路申請,模擬收費與監管系統,並已在中央大學使用中。

  一般大專院校甚或業界皆可能深感管理網路的不易,且多半以人工的模式來做控制,事實上透過網路的通訊往來,基本上就是一個可以讓使用者自行登錄並分散方式處理,以減輕管理者的負擔,只是機密的要求仍是管裡者手段上最大的致命傷。使用者的身份認證,惡意破壞的防止與追查,容錯的管理方式,皆是可進一步探討的方向。

  本文所探討的各種方法與技術,對於電腦網路的大量普及與商業服務應具有自動化管理的參考效果,並可進一步延伸至各種網路的登錄與管理領域。



五、參考文獻

[1]Kerchenbaum, A.;Malek, M.;and Wall, M.eds(1990).Network Management and Control.New York:Plenum。

[2]Mier, E (1991a)." Network World, Bell Labs Evaluate SNMP on Bridges." Network World, April 22。

[3]Mier, E (1991a)." Network World, Bell Labs Test Touters's SNMP Agent." Network World, April 22。

[4]Taldbusser, S.(1992)." Applications Stand to Benifit from SNMP." The Simple Times, September/October 1992。

[5]Wilkinson, S., and Capen, T.(1992)." Remote Control." Corporate Computing, October。

[6]莊琮琪, 透視 SNMP & SNMP v2。

[7]RFC 1089 - SNMP over Ethernet。

[8]RFC 1156 (H)- Management Information Base Network Management of TCP/IP based internet。

[9]RFC 1157 - A Simple Network Managment Protocol。

[10]RFC 1158 - Management Information Base Network Management of TCP/IP based internets: MIB-II。

[11]ftp://ftp.ncu.edu.tw/Unix/gnu/perl-5.003.tar.gz。

[12]" Management Using D-View for DI-1100I User Guide" , D-Link。

[13]ftp://ftp.fcu.edu.tw/pub3/UNIX/networking/snmp/cmu-snmp/cmu-snmp2.1.2.tar.gz。

[14]ftp://pds.nchu.edu.tw/pub2/snmp/src.doc.ic.ac.uk/mit-snmp/snmp.910517.tar.gz。