基于Web的网络管理 ──新的网络管理模式
---- 随着应用Intranet的企业的增多,一些主要的网络厂商正试图以一种新的形式去应用MIS,从而进一步管理公司网络。WBM(Web-Based Management)技术允许管理人员通过与WWW同样的能力去监测他们的网络,可以想象,这将使得大量的Intranet成为更加有效的通信工具。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络和她的各个部分。WBM是网管方案的一次革命,她将使网络用户管理网络的方式得以改善。
---- 本文考察了WBM的起源和她的主要特点,并且讲述了实现WBM的两种主要方法。您可以了解到WBM技术是如何工作的,WBM标准的现状以及关于WBM安全性问题的种种措施等内容,在文章最后还对3Com现在和将来的WBM产品进行了探讨。
WBM的产生
---- WBM技术是Intranet网络不断普及的结果。Intranet实际上就是专有的World Wide Web,它主要应用于一个组织内部的信息共享,运行TCP/IP协议并且通过安全防火墙等措施与外部Internet隔离,主要以运行兼容HTML语言的有关应用层协议的Web服务器组建而成。Intranet用户以友好、易用的Web浏览器从任意网络平台或位置与服务器通信,连接简单、便宜而且无间断。(尽管包括3Com在内的一小部分提供商倡导一些新的技术,例如PPTP,但安全的远程Intranet访问目前主要还是通过直接拨号实现的)。 ---- 业界正在寻找Web技术的其他益处。例如,人们正在重新考虑传统的客户机/服务器模式以期进一步在提高网络的实用性和在减少开发、设备、维护费用方面得到更进一步的优化。Web浏览器只需要拥有适量磁盘空间的一般机器,管理人员可以将很多的计算与存储任务转移到Web服务器上,从而可以使客户在简单便宜的客户机平台上访问他们,这种所谓薄客户机/厚服务器模式不但减少了硬件花费而且使用户得到了更大的灵活性。
---- Web技术的迅猛发展源于此项产业中无所不在的竞争。这场“战斗”在许多“前线”展开。例如Netscape公司和Microsoft公司正迅速推出新的浏览器以占领Web浏览器、服务器和组件等软件市场。主机提供商,包括Sun Microsystems和Oracle正雄心勃勃地宣扬“薄客户机/厚服务器模式,以期取代——Microsoft和Intel在这一市场中的主导地位。在Web数据流编码的标准方面同样也存在竞争。
---- 在网管市场中,一些主要厂商包括IBM/Tivoli、Sun和Hewlett-Packard正在加速提供应用Web技术的管理平台。
WBM的益处
---- WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。管理人员应用WBM能够通过任何Web浏览器、在任何站点均可以监测和控制公司网络,所以他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面,浏览器操作和Web页面对WWW用户来讲是非常熟悉的,所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。
---- 另外,WBM是发布网络操作信息的理想方法。例如,通过浏览器连接到一个专门的Intranet Web站点上,用户能够访问网络和服务的更新,这样就免去了用户与组织网管部门的联系。而且,由于WBM仅仅需要基于Web的服务器,所以,使她集成到Intranet之中就成了快速而又无关痛痒的工作了。
WBM实现的两种测略
---- WBM有两种基本的实现方法。她们之间平行地发展而且互不干涉。第一种是代理方案,也就是将一个Web服务器加到一个内部工作站(代理)上,见图1,这个工作站轮流与端设备通信,浏览器用户通过HTTP协议与代理通信,同时代理通过SNMP协议与端设备通信。一种典型的实现方法:提供商将Web服务加到一个已经存在的网管设备上去。例如3Com的Transcendānterprise Manager。这样做可以平衡像数据库访问、SNMP轮询等功能。
图1基于Web管理的典型方案
---- 第二种实现WBM方式——嵌入方式,将Web能力真正地嵌入到网络设备中,每个设备有它自己的Web地址,管理人员可轻松地通过浏览器访问到该设备并且管理她。见图2。
图2基于Web管理的嵌入方案
---- 代理方式保留了现存的基于工作站的网管系统及设备的全部优点,同时还增加了访问灵活的优点。既然代理与所有网络设备通信,那么它当然能提供一个公司的所有物理设备的全体映像,就像一个虚拟的网那样。代理与设备之间的通信沿用SNMP,所以这种方案的实施只需要那些“传统”的设备即可。
---- 另一方面嵌入方式给各独立设备带来了图形化的管理。这一点保障了非常简单易用的接口,她优于现在的命令行或基于菜单的远程登录界面。Web接口可提供更简单的操作而不损失功能。
---- 未来的企业网络中,基于代理和基于嵌入的两种网管方案都将被应用。一个大型的机构可能需要继续通过所谓的代理方式来进行全部网络的网络监测与管理,而且代理方案也能够充分管理大型机构中的纯粹SNMP设备。与此同时嵌入方式也将有着强大的生命力,例如这种方式在不断前进的界面以及在安装新设备配置设备方面就极具优势。
---- 嵌入方式对于小规模的环境也许更为理想,小型网络系统简单并且不需要强有力的管理系统以及公司全面视图。通常组织在网络和设备控制的培训方面比较不足,那么嵌入到每个设备的Web服务器将使用户从复杂的网管中解放出来。另外,基于Web的设备提供真正的即插即用安装,这将减少安装时间、故障排除时间。下面一节的内容是用户会得到的一些强有力的设备级能力。
应用程序的设计
---- 现在有许多技术被用来实现WBM,其中比较常见的是HTML,她是用于生成用户在浏览WWW时所看到的页面的一种语言,HTML用于构建表达信息以及提供到达另外页面的超链接。虽然图形和一些动态的元素(例如Java applet)也能够嵌入到HTML页中,但是HTML页基本上是文本和静态的,对于WBM来讲,HTML用于展示一些信息表还是很理想的,例如网络IP地址、产品清单等。
---- 另一项应用于此的技术是通用网关接口(CGI)。相对于CGI的其它功能,她更是一项基于Web的存取数据库中信息的技术。例如,WBM应用程序可能需要显示一个网络中的3Com系统的清单,这个设备清单已经在代理工作站的数据库中存在了,CGI脚本可以查询数据库并格式化一页HTML再并发布这些信息。
---- 应用于WBM的诸项技术中最为引人注目的就是Java语言了。Java是一种解释性程序语言,也就是在运行时代码才被特殊的处理器程序(例如解释器)解释,而不是先进行编译然后再运行。解释性语言可以移植到其他的处理器上(当然要有针对特定的处理器的解释器)。对于Java,解释器是一个被叫做Java虚拟机(JVM)的强大设备。JVM对于千变万化的不同处理器环境都是可靠的,而且它还被邦定入Web浏览器(Netscape Navigator和Microsoft Internet Explorer)从而使这些浏览器能够执行Java代码。
---- Java能够像C++或其它语言一样生成运行在工作站上的独立应用程序,在生成应用程序时,Java不必像可存取Web一样被写成源程序,传统的应用程序也能够以这种可移植的语言书写。3Com和其它提供商正在选择地应用Java去设计可以在UNIX、Windows或其它环境中的移植应用程序。
---- Java具有固有的Web能力,尤为需要指出的是:一种完备独立的Java程序称作applets,它能够被传送到浏览器并且在浏览器所在的本地机上运行。见图3。Applets和其它应用程序不同,applets具有浏览器强制安全机制,它可以阻止applet访问本地系统资源(例如内存和磁盘等)并且限制访问网络资源。所以,Applets能够以最小的代价安全地通过并被运行,不会破坏网络安全。
图3Java小程序工作示意图
---- Java applets对于WBM技术中所需管理和处理的动态数据不失为一种行之有效的技术。与HTML不同,Java能够用于处理各种任务,诸如显示网络运行画面,打印像集线器的机架或可堆叠集线器的结构这样的复杂图片等。Java applets能实时表示从轮询和陷阱得到的更新信息,他们也能添加图像,包括动图片。Java applets既可以在代理方式中又可以在嵌入方式中应用。
---- Java还有另一种WBM应用:如果JVM被嵌入一个端设备,该设备就可以执行Java代码,这种应用的一个显而易见的好处就是代码的可移植性,最基本的一点:代码能够从管理代理工作站到设备或在设备之间或一个设备的几部分之间被动态地传送。见图4。
图4有Java虚拟机的嵌入式代理示意图
---- 在嵌入方式中的Java动态应用在增加管理能力方面有着极大的优势,特别是一个基于某种策略的管理与安全。作为一个例子,假定一个管理人员只想按部就班地从8.a.m到5.p.m访问远程网络,这个任务需一系列的SNMP指令才能完成,而且此方案还要受到网络流量的冲击(在一个包含数千个设备的大型网络中要保证这一点很困难),通过Java,可以提供不受任何干扰的这种能力,反复设计的方案可以集中生成并且动态地分配到那些需要执行该策略的设备中去。基于这种策略的一系列网管实践将随着一个不断发布产品、产品又提高性能的过程被逐步采纳。
基于Web管理的安全
---- WBM的安全问题在众多网络安全问题中是首要的。通常一个安全网络需要使用防火墙这样的设备与Internet隔离开,以保护资源防止外部Internet中的非授权的访问。为了提高intranet的安全性,服务器访问必须通过password和访问地址过滤等手段加强来控制。
---- 在一个网络中WBM控制着关键资源,所以它被严格要求只有Internet上的授权用户才能够访问。幸运的是,基于Web设备控制访问的能力与其向用户提供方便访问的能力同样值得信赖。管理人员能够设置Web服务器从而使用户必须通过password登录。WBM的安全技术与现存的安全方法并不冲突,如目录系
统、文件名结构以及其它由Windows NT或UNIX所创建的东西。而且,管理人员能够轻而易举地对它们的WBM系统应用更复杂的权限技术。
---- 网络管理人员的网络数据非常敏感,需要加密。WBM得益于在WWW上进行数据传输的安全性方面的长久努力。保护Internet上的敏感数据是电子贸易所必须面对的严肃问题,所以很多公司正致力于加密工作以使它们的网络传输能够免受干扰,例如在金融机构中,使用加密以保护客户的电子储蓄信息。WBM能够将这些方案更安全地应用于保护公司内部网数据。用户通过简单的在服务器中施加安全加密措施能够加密所有从浏览器到服务器的通信,服务器和浏览器一起进行加密并解密所有数据。请注意:这对于SNMP或telnet在安全性方面是一次进步,SNMP和telnet是从不加密的。
---- 这里有一些涉及Java applet安全概念的讨论。既然Java applet不是二进制代码并且将字符串和其它的数据“暴露于光天化日之下”,那么在理论上就完全可能被改变替代或被中断。在Java applets中有一些固有的安全性保障,applets被定义成不能写磁盘、破坏系统内存或生成到非法站点的超连接。像显示图像或添加动画制作等这类无危害的Java作业是基本的初级的。从长远上讲,随着Java的嵌入将执行更为广泛的作业,Java代码的完整性当然需要保护。为了实现这些,已经出现了一些技术去加密(或加入其他“电子标志”)applets的技术。这些技术将保证收到的applets与原作完全相同,因此使用户不会受到被applet串改破坏的影响。
出现的标准
---- 开放标准是减轻网管复杂性和降低网络管理费用的必要条件,现在有两项WBM标准正处于考虑之中。一个是WBEM(Web-Based Enterprise Management)标准,于1996年7月推出。WBEM是Microsoft最先提出的,包括3Com在内的60多个提供商都支持此项标准,此项标准是面向对象的,能够将从多来源(设备、系统、应用程序)以多协议(例如SNMP,DMI)获得的数据抽象化,她加强了管理能力并且使她们通过单一的协议出现。WBEM被认为是“兼容和扩展”了当前的标准,如SNMP、DMI和CMIP,而并不是取而代之。WBEM实际上更强调“公司管理”胜于“基于Web”,虽然WBEM使自己以Web工具的形式出现,但它的真正目标是强化对于网络元素和系统的管理,这包括网络设备、服务器、桌面和应用程序。WBEM的关键是一个新的协议HMMP(Hypermedia Management Protocel),这个传输协议处理包括重发功能、分组速率、传送证实以及允许一个消息拆成一个或几个分组等功能。
---- 另一个WBM标准是(Java-Management Application Program Interface),她被作为Sun的Java标准扩展API结构的一部分。超过JMAPI本身的含义,JMAPI其实是一个完整的网络管理应用程序开发环境,它提供了一个厂商当今不得不收集到的完全的特性清单,包括生成资源清单表格、图像的用户接口;SNMP的网络API;远程过程调用主机;数据库访问方法以及式样向导。在理论上,JMAPI的应用程序在整个Web上将以同样的界面和功能灵活地实现互操作。
---- 3Com坚信开放标准会给用户提供更多的价值和益处,并且公司正积极参加WBM标准的研究。WBEM和JMAPI这样的技术应面对今后十年产品的发展方向,这些产品将更具复杂和分布式的特性,这些努力有可能为管理人员到管理人员之间的通信提供一个解决方案,在这一领域SNMP并没有做到。
---- 如今这些标准距离被采纳还比较远。WBEM现在还需要更为显著、有效的证明实例。这一过程非常依赖于Microsoft NT。
---- 像3Com这样的网络提供商已经在考虑WBEM和HMMP对网络环境的冲击以及实现它们对网络设备费用的影响。JMAPI没有“野心”但有漏洞,例如缺乏怎样与SNMP接口的专门技术。JMAPI开始成为已经