本文針對學校網路管理概念,提出一具體流程及應用面的探討,目的在減輕人工對網路管理的成本浪費,及整體網路使用上的監控能力有一較完善之管理流程。並包含自動化之要件,及網路安全性之考量,以完整的掌握校園網路的動向,並可提供業界控管網路之參考方向。
以本校為例,每學期宿舍搬遷便有大筆資料須新增及修改(圖一中至少 2500 人次上線申請),雖然申請人次會隨著時間慢慢減少(如圖二),但仍必須安排一隨時等待使用者申請的機制(即核定及輸入資料的人員)。
新問世的設備多半以 UTP 線材為主,強迫使用者必須使用所指定的線材。但是不論何種介面,其功能(速度,流量控制)幾乎可由設備端之硬體或軟體的應用得到疏解,並非只有提供 UTP 介面的設備方可達到。由網管角度來看,以同樣數量的工作站所連接上不同的介面設備來說,以星狀連接的設備數量必定也較大,讓管理者管制的元件也無形中增多,基於此點,我們建議不該由使用者端設備上的 PORT 來著手進行管理。
認證程序在預約時的考量重點是資料鍵入的正確性及方便性,除允許使用者很方便的輸入資料做處理外,必須考量申報資料的真實性,尤其是申報者的身份確認,若一旦有不正常的事故發生時,至少有一筆記錄存在可供爾後追尋資料源的依據。基本上認證資料源的方法是依賴本校電算中心 SPARC 工作站群的以人工確認方式已經建立的帳號密碼為主,其前題是學生必須有帳號密碼(在中心用),而沒有申請者可以借用它人帳號來申請,此一模式表示就算用別人的帳號登錄時最少還能追查到使用者的去向,所以認證的基礎是以全校性的工作站帳號為本程式模組的身份確認方法,但是亦可尋求一代理人來代為申請。
接下來談 UNIX 帳號下的確認方法了。若是可將 UNIX 帳號下的密碼表加以轉換成可比對的使用者輸入資料,將立即解決此部份的程式段,且此方法也是最快速也有效的方法,但是對於此部份程式目前尚無法突破,原因在於密碼的轉換方式只尋求到由一般文字碼轉換(encode)成亂碼的部份,而無由亂碼轉換(decode)成文字碼的方法此種單向轉換的特性是帳號密碼檔的基礎。所以程式也只有依尋此單向轉換的方式,故以獲取程式來與轉碼程式的結果相比對。其收送過程為防竊聽及假冒,傳送資訊收送雙方應予以加密或防竊聽,檢查帳號、密碼部份最好與登錄 Server 是同一部機器以防偽冒。
本系統的資料格式採用 PERL 語言[11]所提供的 DBM 函式為主體資料結構,其設計架構如圖十一:
如此一來既可由使用者學號資料獲取 MAC Address 及其餘內容,亦可反向由網路卡號碼來獲取他項資料。但基於管理理念為掌握各 port 或房號資料,如一間寢室或實驗室那些人申請上線,或那個 port 由那間房間使用,於是再加上如圖十一下方之資料項即可達到以上目地。
使用者必定要有一個可輸入資料的窗口,以供資料的取得,於是此程式即以 WWW
HTML 的 Homepage 界面撰寫了輸入的畫面,請參考 http://www.cc.ncu.edu.tw/~center21/dorm/index.html。
snmpset -h hostname -p 161 -c public 1.3.6.1.***
value
以上之 hostname 為某單位的 Bridge 之 IP Address,161 為 SNMP 特定的網路輸出入埠,public 為 SNMP 的認證方式,1.3.6.1.** 為 MIBS[8、10] 的特定值 ( 以設備本身所提供為準 ),而最後 value 為設定 MIBS 值之參數,例如 MAC Address。如此一來便可於程式上定義好欲替換的參數加上使用者自行給定的資料做成一自動且遠程設定的效果。
由於 SNMP 網管軟體容易獲取,必須考慮不肖者仿冒機器進行非法設定,對 SNMP Agent 的接取控制 (Access Control) 就應考量設定全校性的 SNMP 認證方式。
在本篇文章中,介紹了中央大學網路管理架構,使用者可自行由網路上申請登錄,自行繳費簽證後,就可獲取服務通行證號,再依據通行證號由網路隨時更新自己使用的設備資訊,管理系統根據使用者資訊再自動由網路監測設定相關的網路連接設備,達到自動申請服務的目的。該管理系統利用帳號密碼為基礎的身份認證來鑑別使用者身份,自行產生其通行帳號,配合管理用的資訊資料庫以 SNMP 通訊協定設定網路設備,完成了一個接近全自動化的網路申請,模擬收費與監管系統,並已在中央大學使用中。
一般大專院校甚或業界皆可能深感管理網路的不易,且多半以人工的模式來做控制,事實上透過網路的通訊往來,基本上就是一個可以讓使用者自行登錄並分散方式處理,以減輕管理者的負擔,只是機密的要求仍是管裡者手段上最大的致命傷。使用者的身份認證,惡意破壞的防止與追查,容錯的管理方式,皆是可進一步探討的方向。
本文所探討的各種方法與技術,對於電腦網路的大量普及與商業服務應具有自動化管理的參考效果,並可進一步延伸至各種網路的登錄與管理領域。
[1]Kerchenbaum, A.;Malek, M.;and Wall, M.eds(1990).Network Management and Control.New York:Plenum。
[2]Mier, E (1991a)." Network World, Bell Labs Evaluate SNMP on Bridges." Network World, April 22。
[3]Mier, E (1991a)." Network World, Bell Labs Test Touters's SNMP Agent." Network World, April 22。
[4]Taldbusser, S.(1992)." Applications Stand to Benifit from SNMP." The Simple Times, September/October 1992。
[5]Wilkinson, S., and Capen, T.(1992)." Remote Control." Corporate Computing, October。
[6]莊琮琪, 透視 SNMP & SNMP v2。
[7]RFC 1089 - SNMP over Ethernet。
[8]RFC 1156 (H)- Management Information Base Network Management of TCP/IP based internet。
[9]RFC 1157 - A Simple Network Managment Protocol。
[10]RFC 1158 - Management Information Base Network Management of TCP/IP based internets: MIB-II。
[11]ftp://ftp.ncu.edu.tw/Unix/gnu/perl-5.003.tar.gz。
[12]" Management Using D-View for DI-1100I User Guide" , D-Link。
[13]ftp://ftp.fcu.edu.tw/pub3/UNIX/networking/snmp/cmu-snmp/cmu-snmp2.1.2.tar.gz。
[14]ftp://pds.nchu.edu.tw/pub2/snmp/src.doc.ic.ac.uk/mit-snmp/snmp.910517.tar.gz。