这次小编在这里给大家整理了网络存储技术论文,本文共13篇,供大家阅读参考。
篇1:网络存储技术论文
网络存储技术论文
[摘要]网络数据信息爆炸性的增长,使网络存储技术变得越来越重要,已成为Internet及其相关行业进一步发展的关键。本文详细介绍了常见的三种网络存储技术的优缺点及应用范围,并介绍了几种新的网络存储技术,使读者对网络存储技术有一个全面的了解。
[关键词]网络存储直接连接存储网络附加存储存储区域网络
一、引言
信息是一个企业可持续发展的核心动力之一,信息的可靠存储是一个企业得以正常运作和发展壮大的根本所在。随着越来越多的关键信息转化为数字形式并存储在可管理的介质中,用户对存储和管理信息的能力产生了新的需求。为更有效地使用和管理信息,用户对信息系统的搭建、数据中心的建设、数据的管理模式、数据的有效使用、信息存储介质的选择以及信息的安全存储等方面,提出多样化的要求,以达到数据的最佳利用。
网络存储设备提供网络信息系统的信息存取和共享服务,其主要特征体现在:超大存储容量、大数据传输率以及高可用性。要实现存储设备的性能特征,采用RAID作为存储实体是必然选择。传统的网络存储设备都是将RAID硬盘阵列直接连接到网络系统的服务器上,这种形式的网络存储结构称为(DASDirectAttachedStorage),目前,按照信息存储系统的构成,SAN(StorageAreaNet-work)和NAS(NetworkAttachedStorage)是最常见的两种选择。本文将详细介绍这三种存储技术的优缺点和应用范围,并将介绍几种新的网络存储技术。
二、传统网络存储技术
1.DAS存储
直接连接存储(DAS——DirectAttachedStorage)是指将存储设备通过SCSI接口或光纤通道直接连接到服务器上的方式。这种连接方式主要应用于单机或两台主机的集群环境中,主要优点是存储容量扩展的实施简单,投入成本少、见效快。
DAS适用于以下几种情况:(1)服务器在地理分布上很分散,通过SAN或NAS在它们之间进行互连非常困难时;(2)存储系统必须被直接连接到应用服务器,如某些数据库使用的“原始分区”上时;(3)包括许多数据库应用和应用服务器在内的应用,它们需要直接连接到存储器上。
当服务器在地理上比较分散很难通过远程连接进行互连时,或传输速率并不很高的网络系统,直接连接存储是比较好的解决方案,甚至可能是唯一的解决方案,但是由于DAS存储没有网络结构,存在许多缺点:一方面该技术不具备共享性,每种客户机类型都需要一个服务器,从而增加了存储管理和维护的难度;另一方面,当存储容量增加时,扩容变得十分困难,而且当服务器发生故障时,数据也难以获取。因此,难以满足现今的存储要求。
2.NAS存储
网络附加存储(NAS——NetworkAttachedStorage)即将存储设备通过标准的网络拓扑结构例如(以太网),连接到一群计算机上,提供数据和文件服务。NAS服务器一般由存储硬件、操作系统以及其上的文件系统等几个部分组成。简单的说,NAS是通过与网络直接连接的磁盘阵列,它具备了磁盘阵列的所有主要特征:高容量、高效能、高可靠。
NAS由于其较好的可扩展性、可访问性、低价位、安装简单、易于管理等优点,广泛应用于电子出版、CAD、图像、教育、银行、政府、法律环境等那些对数据量有较大需求的应用中。多媒体、Internet下载以及在线数据的增长,特别是那些要求存储器能随着公司文件大小规模而增长的企业、小型公司、大型组织的部门网络,更需要这样一个简单的可扩展的方案。
但在实际应用中,NAS也存在着以下不足:(1)在文件访问的速度方面。NAS采用的是FileI/O方式,这带来巨大的网络协议开销。正是因为这个原因,NAS不适合在对访问速度要求高的应用场合,如数据库应用、在线事务处理。(2)在数据备份方面。需要占用LAN的带宽,浪费宝贵的网络资源,严重时甚至影响客户应用的顺利进行。(3)在资源的整合和NAS的管理方面。NAS只能对单个存储(单个NAS内部)设备之中的磁盘进行资源的整合,目前还无法跨越不同的NAS设备,难以将多个NAS设备整合成一个统一的存储池,因而难以对多个NAS设备进行统一的集中管理,只能进行单独管理。
3.SAN存储
存储区域网络(SAN--StorageAreaNetwork)是指存储设备相互连接且与一台服务器或一个服务器群相连的网络。其中的服务器用SAN的接入点。SAN是一种特殊的高速网络,连接网络服务器和诸如大磁盘阵列或备份磁带库的`存储设备,SAN置于LAN之下,而不涉及LAN。利用SAN,不仅可以提供大容量的存储数据,而且地域上可以分散,并缓解了大量数据传输对于局域网的影响。SAN的结构允许任何服务器连接到任何存储阵列,不管数据置放在哪里,服务器都可直接存取所需的数据。
SAN的应用主要可以归纳为下面集中应用:构造群集环境,利用存储局域网可以很方便地通过光纤通道把各种服务器、存储设备连接在一起构成一个具有高性能、较好的数据可用性、可扩展的群集环境。(1)数据保护,存储局域网可以做到无服务器的数据备份,数据也可以后台的方式在存储局域网上传递,大大减少了主要网络和服务器上的负载,所以存储局域网可以很方便地实现诸如磁盘冗余、关键数据备份、远程群集、远程镜像等许多防止数据丢失的数据保护技术;(2)数据迁移,可以方便地进行两个存储设备之间的数据移动;(3)灾难恢复,特别是远程的灾难恢复;(4)数据仓库,用来构建一个网络系统的存储仓库,使得整个存储系统可以很好地共享。
在实际应用中,SAN也存在着一些不足:(1)设备的互操作性较差。目前采用最早和最多的SAN互连技术还是FibreChannel,对于不同的制造商,光纤通道协议的具体实现是不同的,这在客观上造成不同厂商的产品之间难以互相操作。(2)构建和维护SAN需要有丰富经验的、并接受过专门训练的专业人员,这大大增加了构建和维护费用。(3)在异构环境下的文件共享方面,SAN中存储资源的共享一般指的是不同平台下的存储空间的共享,而非数据文件的共享。(4)连接距离限制在10km左右等。更为重要的是,目前的存储区域网采用的光纤通道的网络互连设备都非常昂贵。这些都阻碍了SAN技术的普及应用和推广。
三、新的网络存储技术
1.NAS网关技术
NAS网关与NAS专用设备不同,它不是直接与安装在专用设备中的存储相连接,而是经由外置的交换设备,连接到存储阵列上——无论是交换设备还是磁盘阵列,通常都是采用光纤通道接口——正因为如此,NAS网关可以访问SAN上连接的多个存储阵列中的存储资源。它使得IP连接的客户机可以以文件的方式访问SAN上的块级存储,并通过标准的文件共享协议(如NFS和CIFS)处理来自客户机的请求。当网关收到客户机请求后,便将该请求转换为向存储阵列发出的块数据请求。存储阵列处理这个请求,并将处理结果发回给网关。然后网关将这个块信息转换为文件数据,再将它发给客户机。对于终端用户而言,整个过程是无缝和透明的。NAS网关技术使得管理人员能够将分散的NASfilers整合在一起,增强了系统的灵活性与可伸缩性,为企业升级文件系统、管理后端的存储阵列提供了方便。
2.IP-SAN技术
网络存储的发展产生了一种新技术IP-SAN。IP-SAN是以IP为基础的SAN存储方案,是一种可共同使用SAN与NAS,并遵循各项标准的纯软件解决方案。IP-SAN可让用户同时使用GigabitEthernetSCSI与FibreChannel,建立以IP为基础的网络存储基本架构,由于IP在局域网和广域网上的应用以及良好的技术支持,在IP网络中也可实现远距离的块级存储,以IP协议替代光纤通道协议,IP协议用于网络中实现用户和服务器连接,随着用于执行IP协议的计算机的速度的提高及G比特的以太网的出现,基于IP协议的存储网络实现方案成为SAN的更佳选择。IP-SAN不仅成本低,而且可以解决FC的传播距离有限、互操作性较差等问题。
四、结束语
数据的重要性越来越得到人们的广泛认同。未来网络的核心将是数据,网络化存储正是数据存储的一个发展方向。这里我们简要的介绍了几种当前比较流行的网络存储技术,当前网络存储技术还在不断的快速发展,SAN和NAS的融合、统一虚拟存储技术是未来发展的两个趋势。
篇2:网络存储技术初探
1 IP技术介绍
IP存储涉及到了一系列的技术,它可以使块级存储的数据存基于IP的网路中传输,这里面有两个技术需要阐明:IP技术的利用和块级存储,网络中块级存储的数据传输不是新技术,今天的存储区域网络SAN即便采用是光纤通道FC技术业仍旧如此。然而,新的IP存储协议则可将多个SAN通过IP如以太网的结构建立起来,并且完全互联。通用互联网文件系统CIFS和网络文件系统NFS是将文件级的请求发送到拥有这些文件系统的服务器上,这些请求得到那些文件服务器或网络存储NAS设备的响应,并发送到网络上的主机。
2 IP存储适应不断增长的网络需求
今天,IP已经成为稳固的且重要的通用网络协议,lP存储自然成为最能适应日益增长的网络存储需求的技术。
2.1日益增长的网络存储
国际数据协会IDC预计在以后,存储容量将每年增长85%,这一增长表明:重要数据在不断增长,而对存储资源的管理越来越难。因此,各个公司都在致力于开发基于SAN的网络存储系统,用于存储、访问、保护和管理关键业务的数据。实事上,IDC预测到,全球92%的存储将实现网络 化。
2.2 IP是早已应用在网络的协议与其他网络协议相比,在全球范伟内关键业务应用中,IP得到了更为广泛的认可,在以太网环境中,lP技术也是较为经济实用的。得益于IP技术的广泛应用以及其低廉的价格,很多信息专家都致力于IP技术的应用,使得IP技术的开发拥有更广更扎实的基础。IP的 这种质量服务体系、链接优先技术和安全机制推动了其技术的快速发展和开发的不断扩大。
2.3 IP存储是IP技术的下一个阶段在早期的IP技术开发中,多是IP构架在所有事情上,像Ethernet、Token Ring、ATM等,而今天的视频、声音,以及块级存储技术则都是基于IP进行传输的,形成了一切构架在IP 上的态势。
3 IP存储的标准过程
目前IETF开发的三种IP存储压缩协议:iSCSl、基于 TCP/IP的光纤通道FCIP和互联网光纤通道协议iFCP。
3.1 iSCSI通过lP方式传输SCSI指令 将来 iSCSI可提供必要的映射,通过IP传输SCSI指令就像今天的光纤通道可以传输SCSI指令一样。iSCSI是为 主机到存储设备的端到端连接而设计的,类似于光纤通道的SAN构架,iSCSI技术包括可使主机到兼容的 存储设备之间通过IP交换机进行通讯,
而驱动器仍可以使用真正的SCSI驱动器,因为iSCSI并不等同于今天的硬盘连接技术。
3.2 FCIP光纤通道SAN环境的互联就像iSCSI协议将SCSI指令压缩为IP包一 样,FCIP协议将光纤通道指令压缩为IP包,FCIP协议允许独立的SAN环境通过IP网络互联在一起。每个 SAN采用标准FC寻址,在FCIP的端点之间建立IP隧道或网关,一旦隧道建立,扩展的FC设备将被视为标准 的FC设备,并予以FC寻址。典型的应用是在一个FCIP端点上连接两个或更多架构在标准IP网络之上的FC 交换机,通过内部交换链路与先前的SAN光纤环路相结合。
3.3 IFCP具有不同的寻址模式在最新 的IP存储协议中,iFCP介于前面介绍的两种协议之间,如同FCIP一样,iFCP将FC帧压缩,采用通用FC压 缩格式,通过IP架构进行传输,与前两种协议的主要区别在寻址模式。FCIP协议是在两个SAN之间通过以 太网建立点到点的隧道,构成一个统一的SAN环境。与之相对应的是iFCP在FC和IP之间建立网关到网关的 连接是FC帧可以路由到正确的目的地址。与FCIP协议寻址方式不同的是目前的iFCP寻址模式是它可以允 许每一个互联的SAN都拥有独立的命名空间。
4 IP存储的寻址
IP存储是一个新兴的技术, 尽管其标准早已建立且应用,但将其真正广泛应用到存储环境中还需要解决几个关键技术点。
4 .1 TCP负载空闲由于lP无法确保提交到对方,而将TCP作为底层传输的三种IP存储协议则需要再拥挤的、远距离的IP空间中确保传输的可靠性,由于IP包可以打乱次序传送,因此,TCP层需要重新修正次序,以提交到上一层的协议中,如SCSI。TCP完成这一任务的典型操作是使用重调顺序缓冲器,将数据包的顺序完全整理为正确方式,完成这一操作后,TCP层将数据发送到下一层。
4.2价格性能比尽管IP 技术很有可能得以应用,但如果对性能较为看重的话,不推荐使用标准的以太网卡。如前所述,TOE可以 减少服务器的处理负载,但由于TOE设备较新,其硬件成本及复杂程序都比标准网卡更高。其广泛应用可 能会由于价格性能比过高而受阻。像那些增强的iHBA都需要进一步改进,已达到FC技术的水平。
4.3安全性当存储设备通过IP架构进行远距离连接时,安全性变得愈加重要。生产厂家必须明确 产品的安全级别,并确保其安全性。在IP存储产品广泛应用之前,这一问题时IETF需要解决的。
4.4互联性基于IP的技术并没有被所有厂家共同使用,虽然这个协议的标准早已被公布,但并不 能保证厂家和厂家使用相同的协议或技术。为了保证这些产品能够互相配合得更好,必须保证厂家之间采用相同的协议,使各厂家产品具有良好的互联性。
5 IP存储的应用现状
篇3:网络存储技术比较研究论文
网络存储技术比较研究论文
摘 要:随着信息技术的飞速发展,网络存储已成为信息社会不可或缺的关键技术之一,本文深入分析网络存储技术的现状及存在的问题,重点讨论当前网络存储的两大主流技术NAS和SAN的主要的特点,相对于传统网络存储技术他们的优缺点,最后,提出一些较高可行性的存储解决方案。
关键词:网络存储;NAS;FC SAN;IP SAN
回顾计算机技术的发展历程,不难发现计算机核心技术主要有三次大的迁移,计算机发明初期由于主要用于科学计算,因此中央处理器CPU的计算能力是研究的核心技术;随后计算机网络大面积应用,使计算机通信成为耗费时间最多的事件,因此如何提高网络带宽的技术成为热点;现今,计算机的主要应用模式己转化为数据的存储和访问,存储技术业已成为计算机核心热点技术。
受机械部件自身性能的限制,磁盘存储设备数据访问时间平均每年只提高7%~10%,而数据传输率也只是以每年提高20%的速度发展。根据摩尔定律,计算机中央处理器和内存以平均每18个月增长一倍的速度发展。根据吉尔德定律,网络带宽以每6个月增长一倍的速度发展。很显然处理器、网络带宽和磁盘IO之间的性能差距越来越大,而计算机系统性能的提高受限于系统中最慢的部件。因此,数据的存取速度己经成严重影响计算机系统的性能。传统的存储技术难以解决这一问题,采用新的存储技术,提高数据存储的I/O性能的需求越来越迫切。
1 直接附加存储(Direct Attached Storage,DAS )
直接附加存储,是传统的.存储模式,以服务器为中心的存储结构,将存储设备通过传统的I/O总线、SCSI接口或光纤通道直接接驳到服务器上使用,数据的读写、存储直接发送到存储设备端。DAS不带操作系统,所有的输入输出操作都要通过服务器实现。如果需要访问存储器上的数据,必须先给文件服务器发送请求信息。
DAS的主要优点是特别适合地理上分散分布的服务器环境和存储系统必须直连到应用服务器上的场合。
DAS的不足一是安装、调试比较烦琐 , 也没有独立的存储操作系统,易造成网络瘫痪。二是因DAS采用异地备份 , 所以备份操作复杂。三是虽然DAS依靠双服务器实现双机容错功能 ,但若两台服务器同时出故障 , 则无法进行正常数据存储。
2 网络附加存储(Network Attached Storage,NAS)
网络附加存储是提供文件级服务的存储设备,通过标准的网络拓扑结构连接到一组计算机上,通过网络文件系统(NFS)或者基于I P网络的网络文件协议等标准的协议提供文件级的数据访问。NAS实际是一种带有网络文件瘦服务器的存储设备。
NAS是以存储设备为中心,采用可伸缩的网络拓扑结构,通过具有高传输速率的光通道的直接连接方式,提供SAN内部任意节点之间的多路可选择的数据交换,并且将数据存储管理集中在相对独立的存储区域网内。
NAS 的优点:一是易于安装的即插即用性。NAS内置了网卡,通过交换机直接连接到网络中,基本上不需特别设置就可支持多个计算机平台使用。二是极易部署性。NAS 设备可放置于任何地方,只通过网络连接,用户可直接在网络上存取数据。这既减轻了应用服务器的系统开销,又显著改善了网络性能。三是安全性高。NAS通常将操作系统驻留在主板芯片内,大大提高了整个系统的稳定性和病毒防犯能力。四是扩充方便。NAS 设备本身内置了多个 I/O 接口,使扩充其存储容量极为方便,同时也允许在网络中自由增加 NAS 设备。NAS 为当今异构平台使用统一存储系统提供了解决方案。
NAS 的不足:一是NAS同样采用普通数据网络传输备份和恢复,备份时网络带宽的消耗较大,当网络上有其他大数据流量时会严重影响系统性能。二是由于存储数据通过普通数据网络传输, 因此易产生数据泄漏安全问题。三是NAS存储只能以文件方式访问,而不能直接访问物理数据块,因此对事务处理和数据库等应用无能为力。
3 存储区域网络(Storage Area Network,SAN)
网络存储的主角SAN是一种以数据存储为中心,面向网络的存储结构。目前常见的可使用SAN技术主要有两种,一种是采用的是光通道(FC,Fiber Channel)技术,即FC SAN;另外一种技术是利用基于高速以太网协议(TCP/IP协议)的互联网小型计算机系统接口(iSCSI)技术,即IP SAN。
(1)FC SAN
FC SAN通过一个或多个光纤通道交换机以网络拓扑形式为主机服务器和存储设备提供互联。FC SAN 实际是一种专门为存储建立的独立于TCP/IP 网络之外的专用网络。它的核心是 FC(Fiber Channel) ,其中的服务器和存储系统各自独立,地位平等 ,SAN 的接口通常不是以太网,而是小型计算机系统接口(SCSI)、串行存储结构(SSA)、企业系统连接 (ESCON)、高性能并行接口(HIPPI)或是光纤通道。通过光纤设备进行连接,使用FC通讯协议的SAN网络我们称为FC SAN。
FC SAN的优点:一是允许用户独立增加存储容量,当数据容量增大时,可以随时追加存储空间,相比传统的存储架构SAN有更为出色的可扩展性优势。SAN可不停止系统运行进行应用服务器和存储资源的追加和置换。二是具有更高的带宽。因采用了光纤接口,利用光纤通道技术,SAN传输数据效率更高,特别是在传输大数据块时。三是显著减少备份和恢复的时间,可以灵活地进行时间表/权限管理以及备份/灾难恢复控制,容易通过计划任务使备份数据免除人为干预,同时减少网络上的信息流量。四是管理更为方便。SAN采用的集中式管理软件允许远程配置、监管和无人值守运行。五是SAN使用RAID硬件或软件确保存储的可靠性,从使用方面来讲,在很大程度上提高了系统的可靠性和可用性。
FC SAN 的不足:一是价格昂贵。不论是 SAN 阵列柜还是光纤通道交换机价格都很昂贵,就连服务器上使用的光通道卡的价格也是不易被小型企业所接受;二是由于必须单独建立光纤网络,因此异地扩展比较困难;三是虽然光纤通道技术标准存在,但SAN本身缺乏统一标准,所以多个厂商生产的SAN产品互操作性极差。目前,一些 SAN 厂商试图通过SNIA 等国际组织来制定统一的SAN产品标准,以便逐步解决互操作问题。
(2)IP SAN
随着数据在远程存储需求的扩大,网络存储领域产生了一些新的技术热点,互联网小型计算机系统接口(iSCSI)技术就是其中之一,iSCSI协议利用普通的 TCP/IP网来传输本该用SAN来传输的SCSI数据块,从而达到通过网络进行I/O操作的目的,我们称为基于IP协议的SAN。
IP SAN既有同NAS一样的前端管理部分,又能像SAN一样提供裸设备供主机使用。相对于需要单独建立光纤网络的FC SAN,IP SAN的成本要少很多。同时随着千兆网的普及,万兆网也逐渐的进入主流,使 IP SAN 的速度相对 FC SAN 来说并没有太大的劣势。
IP SAN的优点:一是IP SAN融合了FC SAN和NAS的优势,使网络存储更为高效、同时又大大的降低了成本,提高了系统的灵活性。二是iSCSI协议整合了现有的主流存储协议SCSI和主流网络协议TCP/IP,实现了存储和网络的无缝融合。
IP SAN的不足:一是当前能提供完整的IP SAN解决方案的厂商较少,同时对管理者技术要求也高;二是通过普通网卡存取iSCSI数据时,解码成SCSI需要中央处理器进行运算,无形中增加了系统的性能开销;三是由于使用数据网络存取,存取速度要受网络运行状况的影响。
4 结束语
通过以上比较研究, 四种网络存储技术各有优劣。对于小型且服务较为集中的商业企业,可采用简单的 DAS 技术方案 。对于中小型商业企业,他们服务器数量比较少,有一定的数据集中管理需求,但没有大型数据库需求,NAS具有安装管理方便、价格平民化等优点,自然成为存储的优选方案。特别是对于部门服务器或独立工作组级的客户,更能充分享受NAS性能价格比的好处。
对于大中型商业企业,FC SAN和IP SAN则是较好的选择。如果希望使用存储的服务器相对比较集中, 且对系统性能要求极高,可考虑采用FC SAN技术方案。FC SAN一直以来是构建存储网络的首选,以性能稳定可靠,技术成熟著称,在关键应用领域的高可靠性毋庸置疑。对于希望使用存储的服务器相对比较分散,又对性能要求不是很高的,可以考虑采用IP SAN技术方案。IP SAN在近年有了较快发展,很多厂商的IP SAN产品销路很好,IP SAN的市场份额有了较大的增长,不过总体来说,目前仍然还是FC SAN占据上风,它广泛的用于商业企业级数据存储、服务器集群、远程灾难恢复、Internet数据服务等多个领域。
参考文献:
[1] 李瑛. 常见的网络存储技术研究与比较. 科技创新导报,,(06)
[2] 何丰如. 网络存储主流技术及其发展趋势. 广东广播电视大学学报 , 2009,(02)
[3] 朱晓虹. SAN存储技术在校园网络系统中的应用. 鸡西大学学报, 2009,(05)
[4] 何佳. 数据存储技术的比较及发展趋势. 怀化学院学报 , ,(11)
篇4:网络存储安全技术分析
随着数字信息的爆炸式增长和个人与组织对这些信息的依赖性不断增加,存储系统正逐渐成为整个信 息系统的中心,数据成为最重要的资产,然而,存储系统由本地直连向着网络化和分布式的方向发展,使存储系统变得更易受到攻击。窃取、篡改或破坏重要数据的事件不断发生。因此安全问题是日前存储网研究中急需要解决的重要问题。
一、存储安全的服务
存储系统提供的存储安全服务主要包括认证和授权、可用性、机密性和完整性、密钥共享和密钥管理 施、审计和人侵检测以及可使用性、可管理性和性能等方面。
二、当前存储一系统安全研究
网络存储是网络时代最佳的存储解决方案。NAS(Network AttachedStorage)和SAN(Storage Area Network)是常用的2种网络存储技术,不同于直接连接存储DAS(Direct Attached Storage)的是网络存储 直接与网络连接,为整个网络提供集中、共享的存储服务。
网络连接存储,简称NAS是一种可以提供文件级服务的存储设备。其特点是可以直接挂到网络上向用 户提供文件级服务。此外。它有自己简化的实时操作系统,并将硬件和软件有效地集合在一起,用以提 供文件服务NAS存储系统的特点是通过基于IP网络的网络文件协议向多种客户端提供文件级I/O服务,客户端可以在NAS存储设备提供的目录或设备中进行文件级操作当用户或应用程序试图访问文件时,经过解 释的I/O请求被重定向到网络传输路径这螳经过解释的I/O请求经过IP网络传输到NAS服务器端,由NAS服务器端的网络文件协议接收,之后,进行解包,同时处理客户端和块设备的映射关系,最后,将正常的 I/O操作请求交给服务器上的文件系统处理。
SAN是一种以数据存储为中心且面向网络的存储结构。SAN技术采用可扩展的网络拓扑结构连接存储设 备和服务器,是一种面向服务器提供数据存储服务,并将数据的存储和管理集中在相对独立的专用网络中的存储技术.在SAN技术中,由于服务器和存储设备之间的多路可选择的数据交换,因此,以往存储结 构中存在的可扩展性和数据共享方面的局限性被消除了,SAN中通过协议映射,存储设备的磁盘或磁带表 现为服务器节点上的“网络磁盘”在服务器操作系统看来,网络盘与本地盘相同,服务器节点操作网络盘就像操作本地硬盘一样对其发送命令,命令通过相关协议的封装后,由服务器发送到SAN网络,并由存储设备接收并执行服务器节点可以对“网络磁盘”进行各种块操作和文件操作,
三、网络存储系统安全技术分析所需解决的问题
(一)SAN安全机制
SAN交换机、HBA(Host—Bus Adapters)和存储阵列等SAN设备层的配置都与其安全特性有关。 SAN的安全机制包括交换机端口类型配置、分区和LUN(Logical Unit Number)屏蔽。WWN(World Wide Name)是光纤通道中用于标识节点和端口的64位惟一注册标识符。分区的作用类似于VLAN,基于WWN的软 分区由于存在WWN的盗用,因此安全性较低。硬件分区根据交换机端口WWN的组合划分,分区的访问限制 不能突破,因而具有更高的安全性。应是首选的分区方法。逻辑单元号LUN是一种对存储设备的划分。LUN屏蔽是一种比分区粒度更细的访问控制方法,它可以控制服务器对不同逻辑单元的访问。
(二)NAS文件系统安全机制
NAS使用CIFS和NFS来实现网络文件共享,其安全机制建立在CIFS和NFS的基础上。CIFS提供认证和授 权这2种安全机制,其中认证又包括共享级认证和用户级认证。在共享级认证方式下,整个共享点只有一 个单一的口令用于共享访问,提供的安全保障有限,只能用于对安全性要求不高的公共资源共享或临时资源共享等场合。用户级认证方式为不同用户提供不同的用户名,因此能提供高于共享级认证的安全性,但用户名和口令是以明文方式传送,因此也存在被监听的威胁。
四、总结
作为全新的网络存储技术,NAS和SAN尚处于成长期,其国际标准尚未形成因此,对于网络存储安全体系结构的研究,只能是根据目前的体系结构进行一些探讨,给出一个相对安全的对策方案,以保证能获 得最高水平的数据与系统安全随着与的结合与广泛应用,关于加强网络存储的安全性研究有待进一步的改进和扩展。
篇5:存储技术
DLT(DigitalLinearTape,数字线性磁带)源于1/2英寸磁带机,它出现很早,主要用于数据的实时采集,DLT每盒容量高达40GB以上,成本较低,主要定位于中、高级的服务器市场与磁带库系统。LTO(LinearTapeOpen,线性磁带开放协议)是一种结合了线性多通道双向磁带格式的磁带存储技术,其优点主要是将服务系统、硬件数据压缩、优化磁道面、高效纠错技术和提高磁带容量性能等结合于一体,
LTO是一种开放格式技术,用户可拥有多项产品和多规格存储介质,还可提高产品的兼容性和延续性。DAT(DigitalAudioTape)使用影像磁带式技术D旋转磁头和按对角方式穿越4mm磁带宽度的螺旋式扫描磁道来达到快速访问数据的目的,即使是很小的磁带盒也可达到很高的容量。这种技术后来也使用8mm磁带盒。使用特殊的磁带涂层可将容量扩大为20GB或40GB。AIT(先进的智能型磁带)是SONY公司在快速访问高密度磁带录制技术方面的最新创新,现已成为磁带机工业标准。AIT使用一种磁带盒上含有记忆体晶片的磁带,通过在微型晶片上记录磁带上文件的位置,大大减少了存取时间。
篇6:探析网络存储技术研究论文
探析网络存储技术研究论文
0引言
云计算浪潮席卷全球,推动着社会信息基础设施的重大变革。以虚拟化为代表的新技术已经成为数据中心的基本组织方式,商业产品如VMware和开源产品如KVM、Xen已得到普及使用。统计数据显示,至底已有超过一半的x86服务器使用了虚拟化,至这一比例将扩大到700%。
虽然虚拟化技术获得快速发展,但在面向云计算数据中心的存储系统设计仍然而临诸多挑战和困惑。人们目前对虚拟机环境下的文件系统I/O特征还缺乏深入认识和理解,在虚拟机环境下存储技术路线的选择方而缺乏理论与实验数据支撑的有效指导。在云计算数据中心中,一类重要的存储需求是为每个虚拟机提供一个虚拟磁盘映像。该应用需要存储系统具有良好的可扩展性,支持为任意数量的虚拟机提供磁盘映像,并支持高性能访问;可以支持磁盘映像的快照与克隆、迁移、动态扩展等高级特性。
NAS和SAN是目前数据中心所使用的主要存储设备形式,NAS存储可以支持数据共享,具有更好的可扩展性、可管理性和可用性;SAN在大多数传统应用场景中具有更好的性能,但配置和管理较为复杂。在功能上,NAS和SAN都可以作为虚拟机的磁盘映像存储设备,虚拟磁盘映像既可以对应到SAN设备的一个逻辑卷,也可以映射到NAS的一个或多个文件。
本文将简要分析NAS和SAN的工作原理,探讨虚拟化环境下的存储系统架构和I/O访问路径,然后模拟数据中心的虚拟化环境对NAS和SAN的性能进行测试,对测试的结果进行分析探讨,在此基础上提出而向数据中心的存储方案实施建议。
1网络存储系统的类型
NAS和SAN是目前云计算数据中心所使用的两类主要存储设备,本节简要分析其工作原理并比较其差异。
1.1 NAS
NAS(Network Attachment Storage)存储系统上运行有文件系统,对外部提供文件和目录、元数据的数据视图。其中目录和文件的内容称为文件系统的'数据,而把用于描述和实现文件系统所用到的数据称为元数据(Metadata),如文件大小、修改日期、以及访问控制等。目前使用比较广泛的NAS访问协议有NFSv3, NFSv4和CIFS。其中UNIX/Linux环境使用NFS协议,而windows系统使用CIFS协议。
NAS可以支持多个程序对文件的共享和并发访问,并采取较为严格的一致性语义。如NFSv3规定对元数据的访问使用同步操作;客户端在打开文件时根据文件的最后修改时间对已缓冲文件数据的有效性进行检查;对写入的文件数据的缓存也有时间限制。
1.2 SAN
SAN (Storage Area Network)提供的数据视图和磁盘完全相同。根据通信网络的不同,SAN分为光纤通道( FC-SAN)和基于TCP/IP网络的IP-SAN(通信协议为iSCSI)。总体来看,FC-SAN性能表现更加稳定,但iSCSI具有显著性价比优势,iSCSI在应用普及程度方而已经远远超过FC-SAN;随着万兆以太网的普及,有理由相信iSCSI将会在性能方而追赶上FC-SAN。
需要指出的是,在功能上SAN设备只提供了最基本的块存储功能,只能被动的接受读写命令;由于SAN设备上无文件系统,因此,不具有存储空间和数据管理能力;其配置和管理也更加复杂。
2虚拟机环境下的存储架构
虚拟机上运行有文件系统,当应用程序访问文件时,文件系统将其转换为对磁盘设备的请求,这些请求以模拟磁盘方式或准虚拟化方式发送到虚拟机监视器(Hypervisor)。虚拟机监视器判断后端存储设备的类型,如果为NAS,则将对磁盘的请求转换为文件操作,发送请求给NAS服务器;如果后端存储设备为SAN,则将磁盘块访问请求发送给SAN设备。
如果后端存储设备为NAS, VM所访问的虚拟磁盘实际为NAS存储系统中的文件。这种模式下Hypervisor访问存储设备的I/O模式与传统应用自接访问NAS设备有很大不同。在传统应用中,元数据操作高达I/O操作总数的70%,而在虚拟化环境下,所有元数据操作都转换为对文件数据的操作,因此,元数据操作数量将显著减少,与此同时,文件数据访问呈现出更多的随机访问特征。
3虚拟机环境下NAS与SAN的性能测试
本节将测试虚拟机环境下NAS和SAN的性能。使用一个计算机作为存储服务器,其CPU为Pentium(R) Dual-CoreE5300 2.60GHz,配置有8GB内存和2块2TB SATA硬盘,配置有1块千兆以太网卡,操作系统为CentOS6.4;在其上运行有NFS服务器和ISCSI软件,可同时作为NAS和SAN存储设备;另有一台计算机作为虚拟机服务器,CPU为Pentium(R) Dual-Core E5300 2.60GHz,内存为8GB ,配置有1个千兆以太网卡,操作系统均为Ubuntu 12.04;创建2个虚拟机,每个虚拟机内存大小限制为2GB,虚拟机磁盘大小为30GB 。
测试文件设定为4GB,为虚拟机内存大小的2倍,以尽量消除虚拟机内存cache对读写性能的影响。
从测试结果可以看出,NAS的read. reread性能稍高于SAN,其原因在于NAS端的文件系统执行了预读策略;而在random-read测试中,NAS的性能要低于SAN,则是由于在随机读情况下,NAS的预读策略失效;在虚拟机环境下NAS和SAN的write . rewrite性能基本持平,而在randrom-write测试中,NAS的性能要稍高于SAN,这是由于NAS端的文件系统具有缓冲功能,可以将随机写入的数据进行缓冲,并在此基础上进行I/O的优化。
虚拟机数量对测试性能有显著影响。虚拟机数量增加时,性能有明显下降。这是由于当只有一个虚拟机访问存储设备时,读写操作均为顺序访问;而当多个虚拟机并发访问存储系统时,不同虚拟机的请求交替到达,总体上在存储设备端表现为随机访问,造成额外的磁头移动,从而导致性能下降。
上述测试显示了与传统非虚拟化环境完全不同的结果。在传统非虚拟化环境中,SAN的性能要显著高于NAS,尤其在元数据密集型操作中SAN的性能高达NAS的3倍,究其原因,在于SAN的客户端可以采取有效的缓冲策略,减少与存储设备端的交互;而NAS由于数据一致性的要求客户端需要及时将新的数据提交到存储服务器,从而导致大量通信开销。在虚拟机应用环境中,虚拟机上运行有文件系统,可以对数据采取有效的缓存策略,有效减少了和后端存储设备的通信开销;与此同时,所有在虚拟机上的文件系统中产生的元数据操作,都被转换为针对NAS存储系统中文件数据的操作,因此可以采用异步方式写入NAS存储设备,也进一步有效减少了通信开销。
4总结
现代云计算数据中心需要为虚拟机提供可扩展、易于管理、支持快照和克隆等高级特性、并具有高性能的虚拟机映像存储方案。本文的研究结果揭示出,虽然在传统应用场景中SAN和NAS的性能有显著差异,但这一性能差异已在虚拟机应用环境中得以消除。由于NAS存储具有更好的可扩展性和易管理性,我们有理由相信NAS存储是数据中心虚拟机映象存储的更好选择。
篇7:网络存储技术:HyperSCSI vs iSCSI
数据传输协议iSCSI虽然已经成为业内认可的低成本存储网络解决方案之一,但是它不是唯一的方案 ,另外一种传输协议:HyperSCSI也可以提供低成本的基于以太网的SAN解决方案,
HyperSCSI协议,最早是于由新加坡数据存储研究所(DSI)所开发,被设计用来通过RAW以太网来传输SCSI数据及指令。它允许用户通过网络远程使用SCSI或者基于SCSI的设备,就像在本地使用那 样方便。DSI是新加坡国立科技研究所(A*STAR)和新加坡国立大学(NUS)共同出资组建的研究机构。
与HyperSCSI协议不同的是,iSCSI协议是在英特网工程任务小组(IETF)的赞助下开发的,它使用 TCP/IP来发送SCSI指令。
HyperSCSI的支持者声称,它不仅在价格上跟光纤通道及iSCSI相比有很大优势,而且在性能上也比其它基于IP的存储解决方案优秀。
由于通过使用RAW以太网发送数据块,HyperSCSI协议彻底摒除了导致iSCSI速度偏慢的TCP/IP协议。事实上,HyperSCSI的开发者声称,它的性能可以和光纤通道相媲美,而只增加21%的CPU资源占用率以 及3.4倍的中断请求(IRQs:外围设备启动或者停止时向CPU发送的信号)。他们同时指出,如果要达到同光纤通道相同的性能,iSCSI需要增加33%的CPU资源占用率,以及增加6倍的IRQs。
“这是很吸引人的方案”,惠普公司企业级Unix部门的资深I/O项目经理Graham Smith 评 论说:“这完全解决了TCP/IP协议所带来的问题”。但是惠普到目前为止还没有在其产品上使用HyperSCSI协议的计划,
不仅仅如此,由于HyperSCSI去年是作为开发源代码软件发布的,它是免费的而且受到GNU公共授权 (GPL)的保护。试验过HyperSCSI的Linux桌面系统提供商Pogo Linux的系统工程师Jesse Keating说到:“你可以不受限制地任意更改源代码”。
有了这些优势,你应该预期业内人士都将看好这种协议,然而事实却是,许多人被问及这个协议的时候,回答是:“Hyper是什么?”。
过去很多年中厂商一直谈论的是iSCSI,惠普公司的Smith表示很难预料推广HyperSCSI的难度,因为它主要是由数据存储研究所开发的,看上去有点像某个大学的项目。当然,不得不承认的是,许多好的技术都是通过这种途径研究出来的。
除了“出生低贱”之外,HyperSCSI 还受到共享关系的不利影响,将SCSI放到raw以太网 上可以提高性能,但是放弃TCP/IP 也有其不利的方面,Smith表示,没有TCP/IP ,就没有真正的错误恢 复机制,不能保证数据包被正确发送,同时看上去在扩展性方面也有限制。
当然,也有业内人士持不同的看法,iSCSI软件供应商PyX科技公司的总裁兼CTO Andre Hedrick表示 :“我认为它就像是一个装上马达的啤酒罐,它可以跑得很快,但是希望不会碰上什么障碍,因为 没有任何保护措施”,他确信如果iSCSI没有内部支持,它也不会有今天的热度。
另外Hedrick 指出,HyperSCSI不是基于行业标准的,这会造成被困于单一供应商中而无法自拔的情况,他还指出,现在HyperSCSI只在Linux上有应用。
SUN的CTO Balint Fleischer表示:对于这种基于raw以太网的协议,虽然有很多有利的和不利的因素 ,但是这些都无关紧要,因为客户不会去追求技术。对于HyperSCSI他不置可否,表示将静观其变。
篇8:智能网络存储
摘要:网络存储为我们解决了数据存储与共享的问题,它在结构上清晰、简洁,可扩展性强,不仅提高了带宽,又增加了安全保障。
它可广泛应用于大规模视频处理、INTERNET信息发布、数字资料库等海量数据存储领域。
关键词:网络存储 SAN MAS NAS服务器
计算机网络无疑是当今世界最为激动人心的高新技术之一。
它的出现和快速的发展,尤其是Intenet(国际互联网,简称因特网)的日益推进和迅猛发展,为全人类建构起一个快捷、便利的虚拟世界。
一、概述
目前,数字视音频网络的数据网络的大量应用成为电视行业发展的必然趋势,这就要求提供更大、更快、更有力的网络数据存储和共享途径。
网络存储技术无疑为我们提供了一个很好的选择。
二、网络存储技术的分类
目前的网络存储技术大致分为三类:1.直接依附存储系统(Di-reect Attached Storage)DAS)DAS又称为以服务器为中心的存储体系,如图一所示,其特征为存储设备为通用服务器的一部分,该服务器同时提供应用程序的运行,即数据访问操作系统、文件系统和服务有程序紧密相关。
当用户数据增加或服务器正在提供服务时,其响应速度会变慢。
在网络带宽足够的情况下,服务器本身成数据输入输出的瓶颈。
现在已渐渐不能满足用户的需求,不再为大家所采用。
2网络依附存储系统(Network Attached Storage,NAS)NAS的结构是以网络为中心,面向文件服务的。
在这种存储系统中,应用和数据存储部分不在同一服务器上,即有专用的应用服务器和专用的数据服务器。
其中专用数据服务器不再承担应用服务,称之为“瘦服务器”(Thin Server)。
数据服务器通过局域网的接口与应用服务器连接,应用服务器将数据服务器视做网络文件系统,通过标准LAN进行访问。
由于采用局域网上通用数据传输协议,如NFS、C1FS等,所以NAS能够在异构的服务器之间共享数据,如Win-dows NT和UNIX混合系统。
NAS系统的关键是文件服务器,一个经过优化的专用文件服务和存储服务的服务器是文件系统所在地和NAS设备的控制中心,该服务器一般可以支持多个I/O节点和网络接口,每个I/O节点都有自己的存储设备。
3存储区域网络(storage Area Network,SAN)SAN是一种以光纤通道(Fiber Channel,FC)实现服务器和存储设备之间通讯网络结构,如图三所示。
SAN的核心是FC,其中的服务器的存储系统各自独立,地位平等,通过高带宽(传输速率为800Mb/S,全双工时可达1.6Gb/S)FC集线器或FC交换机相连,可避免大流量数据传输时发生阻塞和冲突。
各应用工作站通过局域网访问服务器,在各存储设备之间交换数据时可以不通过服务器,这样就大大减轻了服务承受的压力。
三、NAS和SAN的比较
NAS、SAN与传统网络存储技术相比而言,无论是从网络传输带宽、数据共享性还是从存储容量的可扩充性、数据的一体化和安全性等各方面来说,其优越性是不言而喻的。
所以,现在众多的用户在对其存储方案进行选择时,实际上也就成为对NAS和SAN的选择了。
NAS和SAN有许多共同的特点。
它们都提供集中化的数据存储和整合优化,都能有效的存取文件,都允许在众多的主机间共享并支持多种操作系统,都允许从应用服务器上分离存储。
而且。
它们都提供数据的高可用性,都能通过冗余部件和RAID保证数据的完整性。
NAS和SAN也有着一些不同点。
首先,实施和维护的难易程度不同。
上面曾提到,NAS的存储设备与众多访问客户的连接是通过标准的LAN进行的,也就是说,直接将NAS存储设备接入LAN中就可以使用了,管理者所要做的只是来定义网络寸取权限或为每个用户定义磁盘限额。
而且由于NAS采用了热插拔和即插即用技术,所以在新设备接入时无需关闭数据服务器或进行重新配置,新增的存储空间可以立即为众多的应用服务和客户机所共享。
而SAN的存储设备与客户之间的联系是通过专用FC集线器和交换机来进行的,如果客户端增加,就要对交换机进行级连,这就大大增大了安装与设备难度。
其次,二者的设备管理难易程序不同。
由于NAS中每一个I/O节点都有自己的存储设备,而这些设备又没有一个统一的管理的界面,所以管理人员就必须逐一管理每个NAS设备,从使管理成本随网络上的NAS设备的增多而线性增加。
而SAN对整个网络中的存储设备的管理。
是采用SAN专用管理软件来进行集中式管理的,用户可以通过简单的图形界面来管理不同平台和介质上的数据,也就是说,在SAN中,其整个存储网络成为一个集中化的存储池,这样,管理人员管理起来也就非常简单了。
再者,NAS和SAN的管理对象也不相同。
SAN管理的是磁盘空间,而NAS管理的是文件,也就是说,SAN是个磁盘工厂,而NAS只是一个文件服务器。
最后,也是最重要的一点,那就是二者在性能上有所不同。
NAS是基于传统以太网络的存取设备。
虽然减轻了服务器所承担的压力,但势必严重增加网络的负荷。
而且无论存储磁盘的速度有多快,存储速度只可能与网络带宽所允许的速度一样快。
即NAS达到高性能的前提条件是网络带宽足够。
否则其性能将急剧下降。
而如果为了解决带宽问题而增设宽带网段,就势必丧失NAS价格较低、安装设备容易的优势。
与NAS不同,SAN构建于基于光纤的专用数据网络,可以提供极高的带宽(新的FC标准可使带宽达到4GB),不必担心由于带宽不足而引起的性能下降。
可以说,NAS和SAN各有其长短之处,在实际应用中也各有不同之处。
对于经济实力不足,有传统以太网络,且急需扩充存储空间的用户,NAS无疑是一种便宜、快速的方案。
而对于拥有强大经济后盾,对网络性能要求较高及未来发展势头强劲的用户,则应该选择sAN。
四、SAN的现状和发展
1 现状
由于自身所具有的高速、集中化存储管理及几近无限的扩充能力这些特点,特别适合对海量数据的视音频数据进行存储、传输和实时处理,所以采用FC技术的SAN目前在很多电视台得到了推广,甚至已成为电视台运做的核心。
在视频处理领域里,SAN就像数字视频网络中的大本营,不但承担着视频数据的存贮、迁移、交换、共享,而且掌管着网络设备的登记、删除、查询、维护。
可以这么理解,SAN是电视台视频网络的主干,在SAN网上可以挂接诸如新闻生产系统、非线性编辑系统、广告非线性插播系统、数字化节目库系统等。
SAN在日益广泛的应用中也暴露了一些缺点和不足。
SAN网络仍然采用传统网络结构进行存储操作,网络结构主要由交换机与集线器构成。
将这些传统规范的硬件应用于新的存储结构中,并应用传统的网络管理技术进行存储管理。
最终导致了系统的匹配问题。
SAN系统出现之初,的确为我们解决了企业数据存储与共享的问题。
篇9:存储区域网络SAN技术完全详解
存储区域网络SAN技术完全详解
存储区域网络(SAN)是一种高速网络或子网络,提供在计算机与存储系统之间的数据传输,存储设备是指一张或多张用以存储计算机数据的磁盘设备。一个 SAN 网络由负责网络连接的通信结构、负责组织连接的管理层、存储部件以及计算机系统构成,从而保证数据传输的安全性和力度。
典型的 SAN 是一个企业整个计算机网络资源的一部分,
通常 SAN 与其它计算资源紧密集群来实现远程备份和档案存储过程。SAN 支持磁盘镜像技术(disk mirroring)、备份与恢复(backup and restore)、档案数据的存档和检索、存储设备间的数据迁移以及网络中不同服务器间的数据共享等功能。此外 SAN 还可以用于合并子网和网络附接存储(NAS:network-attached storage)系统。
当前常见的可使用 SAN 技术,诸如 IBM 的光纤 SCON,它是 FICON 的增强结构,或者说是一种更新的光纤信道技术。另外存储区域网络中也运用到高速以太网协议。SCSI 和 iSCSI 是目前使用较为广泛的两种存储区域网络协议。
作者 萧天
篇10:网络管理技术论文
过去有一些简单的工具用来帮助网管人员管理网络资源,但随着网络规模的扩大和复杂度的增加,对强大易用的管理工具的需求也日益显得迫切,管理人员需要依赖强大的工具完成各种各样的网络管理任务,而网络管理系统就是能够实现上述目的系统。
1WBM技术介绍
随着应用Intranet的企业的增多,同时Internet技术逐渐向Intranet的迁移,一些主要的网络厂商正试图以一种新的形式去应用MIS。因此就促使了Web(Web-BasedManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式,从出现伊始就表现出强大的生命力,以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐,被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。
WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此,他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面,浏览器操作和Web页面对WWW用户来讲是非常熟悉的,所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说,WBM是网络管理方案的一次革命。
2基于WBM技术的网管系统设计
2.1系统的设计目标
在本系统设计阶段,就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标,采用先进的WBM技术和高效的算法,力求在性能上可以达到国外同类产品的水平。
本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理,使用户可以从任何地方通过WEB浏览器对网络和设备,以及相关系统和服务实施应变式管理和控制,从而保证网络上的资源处于最佳运行状态,并保持网络的可用性和可靠性。
2.2系统的体系结构
在系统设计的时候,以国外同类的先进产品作为参照物,同时考虑到技术发展的趋势,在当前的技术条件下进行设计。我们采用三层结构的设计,融合了先进的WBM技术,使系统能够提供给管理员灵活简便的管理途径。
三层结构的特点[2]:1)完成管理任务的软件作为中间层以后台进程方式实现,实施网络设备的轮询和故障信息的收集;2)管理中间件驻留在网络设备和浏览器之间,用户仅需通过管理中间层的主页存取被管设备;3)管理中间件中继转发管理信息并进行SNMP和HTTP之间的协议转换三层结构无需对设备作任何改变。
3网络拓扑发现算法的设计
为了实施对网络的管理,网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前,即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的,拓扑的速度也非常快。但它存在一个缺陷[3]。那就是,在一个特定的域中,所有的子网的信息都依赖于设备具有SNMP的特性,如果系统不支持SNMP,则这种方法就无能为力了。还有对网络管理的不重视,或者考虑到安全方面的原因,人们往往把网络设备的SNMP功能关闭,这样就难于取得设备的MIB值,就出现了拓扑的不完整性,严重影响了网络管理系统的功能。针对这一的问题,下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。
.1PING和路由建立
PING的主要操作是发送报文,并简单地等待回答。PING之所以如此命名,是因为它是一个简单的回显协议,使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是:首先向目的机器发送一个响应请求的ICMP报文,然后等待目的机器的应答,直到超时。如收到应答报文,则报告目的机器运行正常,程序退出。
路由建立的功能就是利用IP头中的TTL域。开始时信源设置IP头的TTL值为0,发送报文给信宿,第一个网关收到此报文后,发现TTL值为0,它丢弃此报文,并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析,这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿,第一个网关把它的TTL值减为0后转发给第二个网关,第二个网关发现报文TTL值为0,丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去,直到报文正确到达信宿,这样就得到了通往信宿的路由。
3.2网络拓扑的发现算法具体实现的步骤:
(1)于给定的IP区间,利用PING依次检测每个IP地址,将检测到的IP地址记录到IP地址表中。
(2)对第一步中查到的每个IP地址进行traceroute操作,记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。(3)对IP地址表中的每个IP地址,通过发送掩码请求报文与接收掩码应答报文,找到这些IP地址的子网掩码。
(4)根据子网掩码,确定对应每个IP地址的子网地址,并确定各个子网的网络类型。把查到的各个子网加入地址表中。
(5)试图得到与IP地址表中每个IP地址对应的域名(DomainName),如具有相同域名,则说明同一个网络设备具有多个IP地址,即具有多个网络接口。
(6)根据第二步中的路由与第四步中得到的子网,产生连接情况表。
4结语
本文提出的ICMP协议的拓扑发现方法能够较好的发现网络拓扑,但是它需要占用大量的带宽资源。本系统进行设计时,主要考虑的是对园区网络的网络管理,所有的被管理设备和网管系统处于同一段网络上,也就是说,系统可以直接到达被管理的网络,所以对远程的局域网就无能为力了。在做下一步工作的时候,可以添加系统对远程局域网络的管理功能。
参考文献
[1]晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究.,03.
[2]周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社..
[3]李佳石,冰心著.网络管理系统中的自动拓扑算法[J].华中科技大学学报.,06.
篇11:网络管理技术论文
1应用局域网络管理软件平台
(1)面向业务操作者的业务工具。工作人员可以借助、使用应用局域网络管理软件平台进行器具收集、器具发放、证书制作、证书审核、证书打印、财务收费和证书领取等操作。(2)面向客户的器具送检工具。应用局域网络管理软件平台实现了局域网上送检业务受理功能,可以及时了解送检客户计量仪器检定情况。(3)高效的证书制作流程。应用局域网络管理软件平台充分考虑了制作证书环节各要素间的逻辑关系,通过关联匹配关系的设置,最大化减少了人为操作,提高了检定员制作证书的工作效率,同时可根据用户的要求合并多个器具到一张证书。(4)完整的财务管理。应用局域网络管理软件平台有到账确认、证书领取、发票关联等财务模块,成功地解决了证书领取不规范、到账确认不严谨、收费统计不准确等问题,实现了规范和灵活的高度统一。(5)方便的内检委托单生成功能。对于内检计量器具,应用局域网络管理软件平台可以自动生成相关的单据,规范和简化了工作流程。(6)有效的监管功能。通过建立和计量监督机构的数据共享,应用局域网络管理软件平台可以实现监督、检定(校准)的联动,提高了监督部门的工作效率,降低了工作强度,加强了计量技术机构的工作针对性。(7)资料的规范化管理。通过对计量标准、计量仪器信息及时补充,实现了业务管理部门对各种考核、认证资料电子化管理和自动生成、更新,从而降低了业务人员的工作强度。(8)高效方便的操作体验。批量录入送检仪器、检定任务自动分配、鼠标滚轮滚动加减数字输入,系统尽最大可能减少了用户操作键盘的输入强度。
2应用局域网络管理软件功能
应用局域网络管理软件由九大模块构成,分别为:基础信息、计量标准、标准器、仪器收发、检定业务、证书制作、统计查询、系统管理和消息平台。
2.1基础信息
基础信息模块包括专业类别信息、人员管理信息、格式模板管理信息、数据模板管理信息、规程规范管理、开展项目信息、授权签字人权限、客户管理、个性化设置等,为系统的运营提供了基本的数据支持。(1)专业类别信息。对检定专业以及对应的证书序号进行管理。(2)人员管理信息。对工作人员进行管理,对人员所使用的规程、设备、模板、开展项目和专业类别进行管理,并且可以设置人员是否为登录用户。(3)格式模板管理、数据模板管理信息。对证书的首页模板和续页模板文件进行管理。其中首页模板文件根据国家对检定证书的统一要求来管理。续页模板是指输出检定数据的模板,是采用Word文件形式制作的模板,方便用户自己设置模板文件。(4)规程规范管理。对计量标准考核规范信息进行管理,可以保证使用的是现行有效规程规范。(5)开展项目信息。对机构可以开展的检定项目进行管理,并对其相关联的规范、设备和模板进行维护。(6)授权签字人权限。对科室中规定时间段内具有审核权限的人员进行管理。
2.2计量标准
计量标准模块包括计量标准名称分类、计量器具名称与分类代码、计量标准三个部分,主要是为制作证书提供必要的计量标准数据。根据JJF1022—1991《计量标准命名技术规范》,JJF1051—《计量器具命名与分类编码》对命名进行规范。计量标准主要对所建的考核标准进行管理,并对标准的重复性、稳定性和考核复查信息进行记录。建标时对其中所规定的标准器、配套设备、配套设施和规程都建立了对应关系。
2.3标准器
标准器模块包括标准器分类、标准器管理、标准器维护、上级溯源单位和制造厂商五个部分。(1)标准器分类。对标准器分类信息进行管理。(2)标准器管理。对标准器的基本信息、标准器对应的参数、附件和附件的参数信息进行管理。(3)标准器维护。对标准器的动态信息,包括对过期或报废的标准器进行更换、修理记录、量值溯源信息、期间考核计划、使用记录进行管理。
2.4仪器收发
仪器收发包括委托单管理、器具分发、退检管理、器具返回、证书打印、发放证书和报价单管理等。(1)委托单管理是指对客户送检器具所填写的委托协议书相关信息进行管理,主要包括客户器具信息的管理、客户单位的添加、送检器具的信息一览表,实现了对送检过的器具的.管理,方便快速录入和查询相关信息。委托单中的“流水号管理”指的是仪器收发室的手写单上的流水号;信息“是否连续”指的是手写单上的流水号是否连续没有断号。在手写单多页的情况下能自动生成相应的流水号,不需要录入人员输入每个流水号。用户可以通过流水号对送检器具信息进行查询。委托单中,将计量器具分到相应科室的一系列信息,如“检定科室”、“到样日期”、“客户要求”,“附件”、“备注”自动变为可编辑状态。系统可以对多条信息的列(如“检定科室”、“客户要求”、“备注”等)设置相同内容,方便用户录入。根据客户实际要求在“客户要求”中选择相应的选项,“附件”用于记录客户送检器具的附带物品。(2)器具分发是指对客户的送检器具指定相应的检定科室,系统会根据委托单的信息进行自动分发。(3)证书打印、发放证书是指证书的打印以及给用户发放的记录。(4)报价单管理是指打印用户送检器具的报价单信息。
2.5检定业务
检定业务包括分配任务、个人任务管理、领取器具、规程规范领用记录、报价管理和证书费用修改。(1)分配任务是指科室负责人把科室任务分配给相应的检定人员。(2)个人任务管理是指检定员对分配给自己的任务进行查看和管理。(3)领取器具是指检定人员从仪器收发室领取个人任务中的客户送检器具。(4)证书费用修改是指对没有生成缴费单的证书,检定员自己修改证书的费用。
2.6证书制作
证书制作包括证书管理信息,制作证书信息,证书的核验、审核和审批,证书废弃审核,这些均应符合质量管理体系要求。
3结束语
应用局域网络管理软件在很大程度上满足了计量技术机构对日益增长的业务管理的需求,满足了JJF1069—《法定计量检定机构考核规范》中对计量技术机构管理体系的要求,完全实现了检定、校准各个环节工作的信息化、统一化、规范化,保证了机构内部建立适宜的沟通机制,提高了工作效率,将计量机构业务管理推向一个新的高度。
篇12:网络管理技术论文
摘 要:网络管理已经成为计算机网络和电信网研究中最重要的内容之一。本文首先介绍当前几种网络管理技术和TMN基本概念,然后讨论了TMN开发中的关键技术及TMN开发工具引入的必要性,并结合自己的开发实践讨论了TMN管理者和代理的开发,最后对电信管理网的未来发展趋势进行了展望。
一、网络管理技术概述
网络管理已经成为计算机网络和电信网研究中最重要的内容之一。网络中采用的先进技术越多,规模越大,网络的维护和管理工作也就越复杂。计算机网络和电信网的管理技术是分别形成的,但到后来渐趋同化,差不多具有相同的管理功能和管理原理,只是在网络管理上的具体对象上有些差异。
通常,一个网络由许多不同厂家的产品构成,要有效地管理这样一个网络系统,就要求各个网络产品提供统一的管理接口,即遵循标准的网络管理协议。这样,一个厂家的网络管理产品就能方便地管理其他厂家的产品,不同厂家的网络管理产品之间还能交换管理信息。
在简单网络管理协议SNMP(Simple Network Management Protocol)设计时,就定位在是一种易于实施的基本网络管理工具。在网管领域中,它扮演了先锋的角色,因OSI的CMIP发展缓慢同时在Internet的迅猛发展和多厂商环境下的网络管理解决方案的驱动下,而很快成为了事实上的标准。
SNMP的管理结构如图1所示。它的核心思想是在每个网络节点上存放一个管理信息库MIB(Management Information Base),由节点上60代理(agent)负责维护,管理者通过应用层协议对这些代理进行轮询进而对管理信息库进行管理。SNMP最大的特点就是其简单性。它的设计原则是尽量减少网络管理所带来的对系统资源的需求,尽量减少agent的复杂性。它的整个管理策略和体系结构的设计都体现了这一原则。
SNMP的主要优点是:
·易于实施;
·成熟的标准;
· C/S模式对资源要求较低;
·广泛适用,代价低廉。
简单性是SNMP标准取得成功的主要原因。因为在大型的、多厂商产品构成的复杂网络中,管理协议的明晰是至关重要的;但同时这又是SNMP的缺陷所在——为了使协议简单易行,SNMP简化了不少功能,如:
·没有提供成批存取机制,对大块数据进行存取效率很低;
·没有提供足够的安全机制,安全性很差;
·只在TCP/IP协议上运行,不支持别的网络协议;
·没有提供管理者与管理者之间通信的机制,只适中式管理,而不利于进行分布式管理;
·只适于监测网络设备,不适于监测网络本身。
针对这些问题,对它的改进工作一直在进行。如1991年11月,推出了RMON(Rernote Network Monitor)MIB,加强SNMP对网络本身的管理能力。它使得SNMP不仅可管理网络设备,还能监测局域网和互联网上的数据流量等信息,1992年7月,针对SNMP缺乏安全性的弱点,又公布了S-SNMP(Secure SNMP)草案。到1993年初,又推出了SNMP Version 2即SNMPv2(推出了SNMPv2以后,SNMP就被称为SNMPv1)。SNM-Pv2包容了以前对SNMP的各项改进工作,并在保持了SNMP清晰性和易于实现的特点以外,吸取了CMIP的部分优点,功能更强,安全性更好,具体表现为:
·提供了验证机制,加密机制,时间同步机制等,安全性大大提高;
·提供了一次取回大量数据的能力,效率大大提高;
·增加了管理者和管理者之间的信息交换机制,从而支持分布式管理结构,由位于中间层次(intermediate)的管理者来分担主管理者的任务,增加了远地站点的局部自主性。
·可在多种网络协议上运行,如OSI、AppleTalk和IPX等,适用多协议网络环境(但它的缺省网络协议仍是UDP)。
·扩展了管理信息结构的很多方面。特别是对象类型的定义引入了几种新的类型。另外还规范了一种新的约定用来创建和删除管理表(management tables)中的“行”(rows)。
·定义了两种新的协议数据单元PDU(Protocol Data Unit)。Get-Bulk-Request协议数据单元允许检索大数据块(large data blocks),不必象SNMP那样逐项(item by item)检索; Inform-Request协议数据单元允许在管理者之间交换陷阱(tran)信息。
CMIP协议是在OSI制订的网络管理框架中提出的网络管理协议。CMIP与SNMP一样,也是由管理者、代理、管理协议与管理信息库组成。
CMIP是基于面向对象的管理模型的。这个管理模型表示了封装的资源并标准化了它们所提供的接口。如图2所示了四个主要的元素:
·系统管理应用进程是在担负管理功能的设备(服务器或路由器等〕中运行的软件:
·管理信息库MIB是一组从各个接点收集来的与网络管理有关的数据;
·系统管理应用实体(system management application entities)负责网络管理工作站间的管理信息的交换,以及与网络中其它接点之间的信息交换;
·层管理实体(layer management entities)表示在OSI体系结构设计中必要的逻辑。
CMIP模型也是基于C/S结构的。客户端是管理系统,也称管理者,发起操作并接收通知;服务器是被管系统,也称代理,接收管理指令,执行命令并上报事件通知。一个CMIP操作台(console)可以和一个设备建立一个会话,并用一个命令就可以下载许多不同的信息。例如,可以得到一个设备在一段特定时间内所有差错统计信息。
CMIP采用基于事件而不是基于轮询的方法来获得网络组件的相关数据。
CMIP已经得到主要厂商,包括IBM、HP及AT&T的支持。用户和厂商已经认识到CMIP在企业级网络管理领域是一个比较好的选择。它能够满足企业级网管对横跨多个管理域的对等相互作用(peer to peer interactions)的要求。CMIP特别适合对要求提供集中式管理的树状系统,尤其是对电信网(telecommunications network)的管理。这就是下面提到的电信管理网。
二、电信管理网TMN
电信管理网TMN是国际电联ITU-T借鉴0SI中有关系统管理的思想及技术,为管理电信业务而定义的结构化网络体系结构,TMN基于OSI系统管理(ITU-U X.700/ISO 7498-4)的概念,并在电信领域的应用中有所发展.它使得网络管理系统与电信网在标准的体系结构下,按照标准的接口和标准的信息格式交换管理信息,从而实现网络管理功能。TMN的基本原理之一就是使管理功能与电信功能分离。网络管理者可以从有限的几个管理节点管理电信网络中分布的电信设备。
国际电信联盟(ITU)在M.3010建议中指出,电信管理网的基本概念是提供一个有组织的网络结构,以取得各种类型的操作系统(OSs)之间、操作系统与电信设备之间的互连。它采用商定的具有标准协议和信息的接口进行管理信息交换的体系结构。提出TMN体系结构的目的是支撑电信网和电信业务的规划、配置、安装、操作及组织。
电信管理网TMN的目的是提供一组标准接口,使得对网络的操作、管理和维护及对网络单元的管理变得容易实现,所以,TMN的提出很大程度上是为了满足网管各部分之间的互连性的要求。集中式的管理和分布式的处理是TMN的突出特点。
ITU-T从三个方面定义了TMN的体系结构(Architecture),即功能体系结构(Functional Architecture),信息体系结构(Information Architecture)和物理体系结构(Physical Architecture)。它们分别体现在管理功能块的划分、信息交互的方式和网管的物理实现。我们按TMN的标准从这三个方面出发,对TMN系统的结构进行设计。
功能体系结构是从逻辑上描述TMN内部的功能分布。引入了一组标准的功能块(Functional block)和可能发生信息交换的参考点(reference points)。整个TMN系统即是各种功能块的组合。
信息体系结构包括两个方面:管理信息模型和管理信息交换。管理信息模型是对网络资源及其所支持的管理活动的抽象表示,网络管理功能即是在信息模型的基础上实现的。管理信息交换主要涉及到TMN的数据通信功能和消息传递功能,即各物理实体和功能实体之间的通信。
物理体系结构是为实现TMN的功能所需的各种物理实体的组织结构。TMN功能的实现依赖于具体的物理体系结构,从功能体系结构到物理体系结构存在着映射关系。物理体系结构随具体情况的不同而千差万别。在物理体系结构和功能体系结构之间有一定的映射关系。物理体系结构中的一个物理块实现了功能体系结构中的一个或多个功能块,一个接口实现了功能体系结构中的一组参考点。
仿照OSI网络分层模型,ITU-T进一步在TMN中引入了逻辑分层。如图3所示:
TMN的逻辑分层是将管理功能针对不同的管理对象映射到事务管理层BML(Business Management Layer),业务管理层SML(Service Management Layer),网络管理层NML(Network Management Layer)和网元管理层EML(Element Management Layer)。再加上物理存在的网元层NEL(Network Element Layer),就构成了TMN的逻辑分层体系结构。从图2-6可以看到,TMN定义的五大管理功能在每一层上都存在,但各层的侧重点不同。这与各层定义的管理范围和对象有关。
三、TMN开发平台和开发工具
1.利用TMN的开发工具开发TMN的必要性
TMN的信息体系结构应用OSI系统管理的原则,引入了管理者和代理的概念,强调在面向事物处理的信息交换中采用面向对象的技术。如前所述,TMN是高度强调标准化的网络,故基于TMN标准的产品开发,其标准规范要求严格复杂,使得TMN的实施成为一项具有难度和挑战性的工作;再加上OSI系统管理专业人员的相对缺乏,因此,工具的引入有助于简化TMN的开发,提高开发效率。目前比较流行的基于TMN标准的开发平台有HPOV DM、SUN SEM、IBM TMN平台和DSET的DSG及其系列工具。这些平台可以用于开发全方位的TMN管理者和代理应用,大大降低TMN/Q3应用系统的编程复杂性,并且使之符合开放系统互连(OSI)网络管理标准,这些标准包括高级信息模型定义语言GDM0,OSI标准信息传输协议CMIP,以及抽象数据类型定义语言ASN.1。其中DSET的DSG及工具系列除了具备以上功能外,还具有独立于硬件平台的优点。下面将比较详细论述DSET的TMN开发工具及其在TMN开发中的作用。
2.DSET的TMN开发工具的基本组成
DSET的TMN开发工具从功能上来讲可以构成一个平台和两大工具箱。一个平台:分布式系统生成器DSG(Distributed System Generator);两个工具箱:管理者工具箱和代理工具箱。
分布式系统生成器DSG
DSG是用于顶层TCP/IP、OSI和其它协议上构筑分布式并发系统的高级对象请求代理0RB。 DSG将复杂的通信基础设施和面向对象技术相结合,提供构筑分布式计算的软件平台。通信基础设施支持分布式计算中通信域的通信要求。如图4所示,它提供了四种主要的服务:透明远程操作、远程过程调用和消息传递、抽象数据服务及命名服务。借助于并发的面向对象框架,一个复杂的应用可以分解成一组相互通信的并发对象worker,除了支持例如类和多重继承等重要的传统面向对象特征外,为了构筑新的worker类,DSG也支持分布式对象。在一个开放系统中,一个worker可以和其它worker进行通信,而不必去关心它们所处的物理位置。
DSG提供给用户用以开发应用的构造块(building block)称为worker。一个worker可以有自己的控制线程,也可以和别的线程共享一个控制线程,每个Worker都有自己的服务访问点SAP(Service Access Point),通过SAP与其它worker通信。Worker是事件驱动的。在Worker内部,由有限状态机FSM(Finite State Machine〕定义各种动作及处理例程,DSG接受外部事件并分发到相应的动作处理例程进行处理。如图5所示,独占线程的此worker有三个状态,两个SAPs,并且每个SAP的消息队列中都有两个事件。DSG环境通过将这些事件送到相应的事件处理程序中来驱动worker的有限状态机。
Worker是分布式的并发对象,DSG用它来支持面向对象的特点,如:类,继承等等。Worker由worker class定义。Worker可以根据需要由应用程序动态创建。在一个UNIX进程中可以创建的Worker个数仅受内存的限制。
管理者工具箱由ASN.C/C++编译器、CMIP/ROSE协议和管理者代码生成器MCG构成,如图6所示。
其中的CMIP/ROSE协议提供全套符合Q3接口选用的OSI七层协议栈实施。由于TMN在典型的电信环境中以面向对象的信息模型控制和管理物理资源,所有被管理的资源均被抽象为被管对象(M0),被管理系统中的代理帮助管理者通过MO访问被管理资源,又根据ITU-T M.3010建议:管理者与代理之间通过Q3接口通信。为此管理者必须产生与代理通信的CMIP请求。管理者代码生成器读取信息模型(GDMO文件和ASN.1文件),创立代码模板来为每个被定义的MO类产生CMIP请求和CMIP响应。由于所有CMIP数据均由ASN.1符号定义,而上层管理应用可能采用C/C++,故管理者应用需要包含ASN.1数据处理代码,管理者工具箱中的ASN C/ C++编译器提供ASN.1数据到C/C++语言的映射,并采用“预处理技术“生成ASN.1数据的低级代码,可见利用DSET工具用户只需编写网管系统的信息模型和相关的抽象数据类型定义文件,然后利用DSET的ASN C/C++编译器,管理者代码生成器即可生成管理者部分代码框架。
代理工具箱包括可砚化代理生成器VAB、CMIP翻译器、ASN.C/C++ Toolkit,其结构见图7。用来开发符合管理目标定义指南GDMO和通用管理信息协议CMIP规定的代理应用.使用DSET独具特色的代理工具箱的最大的好处就是更快、更容易地进行代理应用的开发。DSET在代理应用的开发上为用户做了大量的工作。
一个典型的GDMO/CM1P代理应用包括三个代码模块:
·代理、MIT、MIB的实施
·被管理资源的接口代码
·后端被管理资源代码
第一个模块用于处理代理与MO实施。代理工具箱通过对过滤、特性处理、MO实例的通用支持,自动构作这一个模块。DSET的这一部分做得相当完善,用户只需作少量工作即可完成本模块的创建。对于mcreate、m-、m-get、m-cancel-get、m-set、m-set-confirmed、m-action、m-action-confirmed这些CMIP请求,第一个模块中包含有缺省的处理代码框架。这些缺省代码都假定管理者的CMIP请求只与MO打交道。为了适应不同用户的需求,DSET代理工具箱又提供在缺省处理前后调用用户程序的接入点(称为User hooks)。当某CMIP请求需与实际被管资源或数据库打交道时,用户可在相应的PRE-或POST-函数中加入自己的处理代码。例如,当你需要在二层管理应用中发CMIP请求,需望获取实际被管资源的某属性,而该属性又不在相应MO中时你只需在GDMO预定义模板中为此属性定义一PRE-GET函数,并在你自己的定制文件中为此函数编写从实际被管设备取到该属性值的代码即可。DSET的Agent代码在执行每个CMIP请求前都要先检查用户是否在GDMO预定义文件中为此清求定义了PRE-函数,若是,则光执行PRE-函数,并根据返回值决定是否执行缺省处理(PRE-函数返回D-OK则需执行缺省处理,否则Agent向管理者返回正确或错误响应)。同样当Agent执行完缺省处理函数时,也会检查用户是否为该请求定义了POST-函数,若是则继续执行POST-函数。至于Agent与MO之间具体是如何实现通信的,用户不必关心,因为DSET已为我们实现了。用户只需关心需要与设备交互的那一部分CMIP请求,为其定制PRE-/POST函数即可。
第二个模块实现MO与实际被管资源的通信。它的实现依赖于分布式系统生成器DSG所提供“网关处理单元”(gateway)、远程过程调用(RPC)与消息传递机制及MSL语言编译器。通信双方的接口定义由用户在简化的ROSE应用中定义,在DSG中也叫环境,该环境定义了双方的所有操作和相关参数。DSG的CTX编译器编译CTX格式的接口定义并生成接口表。DSG的MSL语言编译器用以编译分布式对象类的定义并生成事件调度表。采用DSG的网关作为MO与实际被管资源间的通信桥梁,网关与MO之间通过定义接口定义文件及各自的MSL文件即可实现通信,网关与被管设备之间采用设备所支持的通信协议来进行通信,例如采用TCP/IP协议及Socket机制实现通信。
第三个模块对被管理资源进行实际处理。这一模块根据第二个模块中定义的网关与被管设备间的通信机制来实现,与工具没有多大联系。
四、TMN开发的关键技术
电信管理网技术蕴含了当今电信、计算机、网络通信和软件开发的最新技术,如OSI开放系统互连技术、OSI系统管理技术、计算机网络技术及分布式处理、面向对象的软件工程方法以及高速数据通信技术等。电信管理网应用系统的开发具有巨大的挑战性。
工具的引入很大程度上减轻了TMN的开发难度。留给开发人员的最艰巨工作就是接口(interface)的信息建模。尤其是Q3接日的信息建模问题。
Q3接口是TMN接口的“旗舰”,Q3接口包括通信模型和信息模型两个部分,通信模型(0SI系统管理)的规范制定的十分完善,并且工具在这方面所作的工作较多,因此,当我们设计和开发各种不同管理业务的TMN系统时,主要是采用一定的方法学,遵循一定的指导原则,针对不同电信领域的信息建模问题。
为什么说建模是TMN开发中的关键技术呢?从管理的角度而言,在那些先有国际标准(或事实上的标准),后有设备的情况下,是有可能存在一致性的信息模型的,例如目前SDH和七号信令网的TMN系统存在这样的信息模型标准。但即使这样,在这些TMN系统的实施过程,有可能由于管理需求的不同而对这些模型进行进一步的细化。在那些先有设备而后才有国际标准(或事实上的标准)的设备,而且有的电信设备就无标准而言,由于不同厂家的设备千差万别,这种一致性的信息模型的制定是非常困难的。
例如,近年来标准化组织国际电信联盟(ITU-T)、欧洲电信标准组织(ETSI)、网络管理论坛(NMF)和ATM论坛等相继颁布了一些Q3信息模型。但至今没有一个完整的稳定的交换机网元层的Q3信息模型。交换机的Q3信息模型提供了交换机网元的一个抽象的、一般的视图,它应当包含交换机的管理的各个方面。但这是不可能的。因为随着电信技术的不断发展,交换机技术也在不断的发展,交换机的类型不断增加,电信业务不断的引入。我们很难设计一个能够兼容未来交换机的信息模型。如今的交换机已不再是仅仅提供电话的窄带业务,而且也提供象ISDN这样的宽带业务。交换机趋向宽带窄带一体化发展,因此交换机的Q3信息模型是很复杂的,交换机Q3信息建模任务是很艰巨的。
五、TMN管理者和代理的开发
下面结合我们的开发工作,探讨一下TMN管理者和代理的开发。
1.管理者的开发
基于OSI管理框架的管理者的实施通常被认为是很困难的事,通常,管理者可以划分为三个部分。第一部分是位于人机之间的图形用户接口GUI(Graphical User Interfaces),接收操作人员的命令和输入并按照一种统一的格式传送到第二部分——管理功能。管理功能提供管理功能服务,例如故障管理,性能管理、配置管理、记费管理,安全管理及其它特定的管理功能。接收到来GUI的操作命令,管理功能必须调用第三部分——CMSI API来发送CMIP请求到代理。CMIS API为管理者提供公共管理信息服务支持。
大多数的网管应用是基于UNIX平台的,如Solaris,AIX and HP-UX。若GUI是用X-Window来开发的,那么GUI和管理功能之间的接口就不存在了,从实际编程的的角度看,GUI和管理功能都在同一个进程中。
上面的管理者实施方案尽管有许多优点,但也存在着不足。首先是费用昂贵。所有的管理工作站都必须是X终端,服务器必须是小型机或大型机。这种方案比采用PC机作客户端加上UNIX服务器的方案要昂贵得多。其次,扩展性不是很好,不同的管理系统的范围是不同的,用户的要求也是不一样的,不是所有的用户都希望在X终端上来行使管理职责。因此,PC机和调终端都应该向用户提供。最后由于X-Window的开发工具比在PC机上的开发工具要少得多。因此最终在我们的开发中,选择了PC机作为管理工作站,SUN Ultral作为服务器。
在实际工作中我们将管理者划分为两个部分——管理应用(management application)和管理者网关(manager gateway)。如图8所示。
管理应用向用户提供图形用户接口GUI并接受用户的命令和输入,按照定义好的消息格式送往管理者网关,由其封装成CMIP请求,调用CMIS API发往代理。同时,管理者网关还要接收来自代理的响应消息和事件报告并按照一定的消息格式送往管理应用模块。
但是这种方案也有缺点。由于管理应用和管理者网关的分离,前者位于PC机上,后者位于Ultral工作站上。它们之间的相互作用须通过网络通信来完成。它们之间的接口不再是一个参考点(Reference Point),而是一个物理上的接口,在电信管理网TMN中称为F接口。迄今为止ITU-T一直没能制定出有关F接口的标准,这一部分工作留给了TMN的开发者。鉴于此,我们制定了管理应用和管理者网关之间通信的协议。
在开发中,我们选择了PC机作为管理工作站,SUN Ultral作为我们的管理者网关。所有的管理应用都在PC机上。开发人员可以根据各自的喜好来选择不同开发工具,如Java,VC++,VB,PB等。管理者网关执行部分的管理功能并调用CMIS API来发送CMIP请求,接收来自代理的响应消息和事件报告并送往相应的管理应用。
管理者网关的数据结构是通过编译信息模型(GDMO文件和ASN.1文件)获得的。它基于DSG环境的。管理者网关必须完成下列转换:
数据类型转换:GUI中的数据类型与ASN.1描述的数据类型之间的相互转换;
消息格式转换:GUI和管理者网关之间的消息格式与CMIP格式之间的相互转换;
协议转换:TCP/IP协议与OSI协议之间的相互转换。
这意味着管理者网关接收来自管理应用的消息。将其转换为ASN.1的数据格式,并构造出CMIS的参数,调用CMIS API发送CMIP请求。反过来,管理者收到来自代理的消息,解读CMIS参数,构造消息格式,然后送往GUI。GUI和管理者网关之间的消息格式是由我们自己定义的。由于管理应用的复杂性,消息格式的制定参考了CMIS的参数定义和ASN.1的数据类型。
管理者网关是采用多线程(multi-thread)编程来实现的。
2.代理的开发
代理的结构如图9所示。
为了使代理部分的设计和实现模块化、系统化和简单化,将agent分成两大模块——通用代理模块和MO模块——进行设计和实现。如图所示,通用agent向下只与MO部分直接通信,而不能与被管资源MR直接进行通信及操作,即通用agent将manager发来的CMIP请求解析后投递给相应的M0,并从MO接收相应的应答信息及其它的事件报告消息。
代理的作用是代表管理者管理MO。利用工具的支持,采用面向对象的技术,分为八个步骤进行agent的设计和实现,这八个步骤是:
第一步:对信息模型既GDMO文件和ASN.1文件的理解,信息模型是TMN系统开发的基础和关键。特别是对信息模型中对象类和其中各种属性清晰的认识和理解,对于实际的TMN系统来说,其信息模型可能很复杂,其中对象类在数量上可能很多。也就是说,在设计和实现agent之前,必须作到对MO心中有数。
第二步:被管对象MO的定制。这一部分是agent设计和实现中的关键部分,工具对这方面的支持也不是很多,特别是涉及到MO与MR之间的通信,更为复杂,故将MO专门作为一个模块进行设计和实现MO和MR之间的通信以及数据和消息格式的转换问题,利用网关原理设计一个网关来解决。
第三步:创建内置的M0。所谓内置MO就是指在系统运行时,已经存在的物理实体的抽象。为了保证能对这些物理实体进行管理,必须将这些被管对象的各种固有的属性值和操作预先加以定义。
第四步:创建外部服务访问点SAP。如前所述,TMN系统中各个基于分布式处理的worker之间通过SAP进行通信,所以要为agent与管理者manager之间、agent与网关之间创建SAP。
第五步:SAP同内置MO的捆绑注册。由于在TMN系统中,agent的所有操作是针对MO的,即所有的CMIP请求经解析后必须送到相应的M0,而基于DSG平台的worker之间的通信是通过SAP来实现的。因而,在系统处理过程中,当进行信息的传输时,必须知道相应MO的SAP,所以,在agent的设计过程中,必须为内置MO注册某一个SAP。
第六步:agent配置。对agent中有些参数必须加以配置和说明。如队列长度、流量控制门限值、agent处理单元组中worker的最大/最小数目。报告的处理方式、同步通信方式中超时门限等。
第七步:agent用户函数的编写,如agent worker初始化函数、子代理函数等的编写。
第八步:将所有函数编译,连接生成可运行的agent。
MO模块是agent设计中的一个重要而又复杂的部分。这是由于,一方面工具对该部分的支持不是很多:另一方面,用户的大部分处理函数位于这一部分;最主要的还在于它与被管资源要跨平台,在不同的环境下进行通信。MO模块的设计思想是在MO和MR之间设计一个网关(gateway),来实现两者之间的消息、数据、协议等转换。
MO部分的主要功能是解析,执行来自管理者的CMIP请求,维持各MO的属性值同被管资源的一致性,生成CMIP请求结果,并上报通用agent模块,同时与MR通信,接收和处理来自MR的事件报告信息,并转发给通用agent。
MO部分有大量的用户定制工作。工具只能完成其中一半的工作,而另一半工作都需要用户自己去定制。用户定制分为两大类;
第一类是PRE-/POST-函数。PRE-/POST-函数的主要功能是在agent正式处理CMIP请求之前/之后与被管资源打交道,传送数据到MR或从MR获取数据并做一些简单的处理。通过对这些PRE-/POST-函数的执行,可以确保代理能够真实地反映出被管资源的运行状态。PRE-/POST-函数分为两个层次:MO级别和属性级别。MO级别层次较高,所有对该对象类的CMIP操作都会调用MO级别的PRE-/POST-函数。属性级别层次低,只有对该属性的CMIP操作才会调用这些函数。DSET工具只提供了PRE-/POST-函数的人口参数和返回值,具体的代码需要完全由用户自己编写。由于agent与被管资源有两种不同的通信方式,不同的方式会导致不同的编程结构和运行效率,如果是同步方式,编程较为简单,但会阻塞被管资源,适合于由大量数据返回的情况。异步方式不会阻塞被管资源,但编程需要作特殊处理,根据不同的返回值做不同的处理,适合于数据不多的情况,在选择通信方式时还要根据MO的实现方式来确定。比如,MO若采用Doer来实现,则只能用同步方式。
第二类是动作、事件报告和通知的处理,动作的处理相对比较容易,只需考虑其通信方式采用同步还是异步方式。对事件报告和通知的处理比较复杂。首先,需要对事件进行分类,对不同类别的事件采用不同的处理方法,由哪一个事件前向鉴别器EFD(Event Forwarding Discriminator)来处理等等。比如,告警事件的处理就可以单独成为一类。其次,对每一类事件需要确定相应的EFD的条件是什么,哪些需要上报管理应用,哪些不需要。是否需要记入日志,这些日志记录的维护策略等等。
除了这两类定制外,MO也存在着优化问题。比如MO用worker还是Doer来实现,通信方式采用同步还是异步,面向连接还是无连接等等,都会影响整个代理的性能。
如果MO要永久存储,我们采用文件方式。因为目前DSET的工具只支持Versant、ODI这两种面向对象数据库管理系统OODBMS,对于0racle,Sybase等数据库的接口还需要用户自己实现。MO定制的工作量完全由信息模型的规模和复杂程度决定,一个信息模型的对象类越多,对象之间的关系越复杂(比如一个对象类中的属性改变会影响别的类),会导致定制工作的工作量和复杂程度大大增加。
代理者agent在执行管理者发来的CMIP请求时必须保持与被管资源MR进行通信,将manager传送来的消息和数据转发给MR,并要从MR获取必要的数据来完成其操作,同时,它还要接收来自MR的事件报告,并将这些事件上报给manager。
由上述可知,代理与被管资源MR之间的通信接口实际上是指MO与MR之间的通信接口。大部分MO是对实际被管资源的模拟,这些MO要与被管资源通信。若让这些MO直接与被管资源通信,则存在以下几个方面的弊端:
·由于MO模块本身不具备错误信息检测功能(当然也可在此设计该项功能,但增加了MO模块的复杂性),如果将上向发来的所有信息(包括某些不恰当的信息)全部转发给MR,不仅无此必要,而且增加了数据通信量;同理MR上发的信息也无必要全部发送给MO。
·当被管资源向MO发消息时,由于MIT对于被管资源来说是不可知的,被管资源不能确定其相应MO在MIT中所处的具体位置,从而也就无法将其信息直接送到相应的MO,因而只能采用广播方式发送信息。这样一来,每当有消息进入MO模块时,每个MO都要先接收它,然后对此消息加以判断,看是否是发给自己的。这样一方面使编程复杂化,使软件系统繁杂化,不易控制,调试困难;另一方面也使通信开销增大。
·MO直接与被管资源通信,使得系统在安全性方面得不到保障,在性能方面也有所下降,为此,采用计算机网络中中网关(gateway)的思想,在MO与被管资源建立一个网关,即用一个gateway worker作为MO与被管资源通信的媒介。网关在代理的进程处理中起到联系被管资源与MO之间的“桥梁”作用。
六、总结与展望
Q3接口信息建模是TMN开发中的关键技术。目前,各标准化组织针对不同的管理业务制定和发布了许多信息模型。这些模型大部分是针对网元层和网络层,业务层和事务层的模型几乎没有,还有相当的标准化工作正在继续研究。业务层和事务层的模型是将来研究的重点。
除了Q3接口外,TMN的接口还包括X,F,Qx接口。它们的Q3接口相同也包括通信模型和信息模型两个部分。各标准化组织几乎没有发布针对这些接口的规范。F接口和具体的一个TMN系统的实施密切相关,没有必要对其的通信模型和信息模型进行规范化。Qx是不完善的Q3接口,它是非标准的厂家专用的Q接口,虽然在管理系统的实施中,很多产品采用Qx接口作为Q3接口的过渡,但是随着标准化进程的推进,Qx接口将逐步被抛弃。电信工业的变化日新月异,宽带网络使得分布系统互连成为可能,使得不同的电信服务公司和运营公司相互竞争、相互合作来向用户提供服务。在这种环境下,整个电信网络管理将涉及到不同的组织以及它们的管理系统。基于TMN的多域管理(TMN-Based Multi-Domain Management)将成为未来电信网管的重要研究方向。X接口位于两个TMN系统之间,对它研究是基于TMN的多域管理系统的重点。
TMN有技术上的先进、强调公认的标准和接口等优点。但它也有目标太大、抽象化要求太高、信息模型的标准化进程太慢、OSI满协议栈的效率不高等问题。TMN自身需要进一步发展。在网络管理技术方面,除了TMN一种体系结构以外,还有ITU & ISO的开放分布处理(ODP),OSF的分布处理和管理环境(DCE/DME),NMF的OMNIPoint,OMG的公共对象请求代理体系结构(CORBA)以及TINA-C的电信信息网络体系结构(TINA)。目前,CORBA技术越来越被电信、网络部门接受和采用。CORBA体系结构是对象管理组织OMG为解决分布式处理环境中,硬件和软件系统的互连而提出的一种解决方案。CORBA适用于业务层和事务层的管理应用。对于下几层(网元层、网元管理层和网络管理层)而言,还没有比TMN更好的体系结构。TINA体系结构是基于分布式计算,面向对象以及电信和计算机业界的其它和标准,如ODP,IN,TMN和CORBA;它将电信业务和管理业务综合到同一种体系结构中,是电信业务与电信网络技术无关,从而使电信业务的开放与管理不受多厂商设备的影响。虽然TINA处于发展中,还不很成熟,但它是未来电信体系结构的最终方向。
篇13:网络防火墙技术论文
[论文关键词]
防火墙 网络安全
[论文摘要]
在当今的计算机世界,因特网无孔不入。为应付“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:防火墙。
随着网络技术的发展,因特网已经走进千家万户,网络的安全成为人们最为关注的问题。目前,保护内部网免遭外部入侵比较有效的方法为防火墙技术。
一、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
三、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
四、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的.基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
五、防火墙的局限性
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。
★网络论文
文档为doc格式
