克服军事网络管理挑战-电子发烧友网

先进的军事网络需要复杂的配置，不能再依赖于手动管理方法。命令行接口（CLI）和简单网络管理协议（SNMP）等方法存在，但它们的限制有些令人望而却步。因此，最近出现了一种解决问题的新方法，称为 NETCONF，这是一种基于 XML 的协议，专门设计用于通过提供自动化配置管理、改进的网络安全性、强大的配置更改和基于策略的网络管理（PBNM）来配置最苛刻的网络情况。

通信网络在现代战争和防御系统中发挥着越来越重要的作用。新兴的以网络为中心的作战理论寻求通过分散部队之间的联网和信息共享，将信息优势转化为竞争性作战优势。美国海军的合作交战能力（CEC）、美国陆军的未来作战系统（FCS）和美国国防部的转型卫星通信系统（TSAT）等项目正在转向日益以网络为中心的战争模式。

从网络管理的角度来看，这种新兴范式带来了重大挑战。军事网络比以往任何时候都更大、更多样化，对任务的成功也更加重要。快速的部队部署和不断变化的操作推动了不断的网络配置变化。

在此环境中，配置错误很容易导致网络中断，并且系统停机有生命危险。监视、配置和控制这些网络的软件必须设计为高性能、连续服务、坚不可摧的安全性，并快速、无差错地适应现代任务快速变化的需求。这最好通过基于标准的架构来实现，该架构提供强大的安全功能、强大的操作和适当的架构支持，以实现快速、无差错的自动化配置。

当前的方法，如命令行界面和SNMP ‘Äì依赖于单个设备的手动配置或大型专有脚本’Äì库，将无法满足未来部队的要求。但是，NETCONF 标准是一种基于 XML 的协议，专门设计用于支持自动配置管理，并提供改进的网络安全性、强大的配置更改和基于策略的网络管理。这些功能使其成为应对下一代军事网络管理挑战的优雅而高效的解决方案。

当前方法的局限性

如前所述，存在不同的方法来管理网络设备，包括 CLI 和 SNMP，但每种方法都有自己的局限性（请参阅表 1）。

表1

传统命令行界面方法

管理网络设备的传统方法是使用手动配置接口，例如 CLI。但是，为每个网络设备使用唯一的管理接口可能会导致设备之间缺乏一致性，以及缺乏与其他应用程序的集成。此外，手动配置单个设备，即使在中央管理控制台的帮助下，由于生产力水平低和人为错误的可能性，也不是可扩展的方法。

自动化网络管理活动的一种方法是为网络中的设备开发 CLI 脚本，向每个单独的设备发送文本命令，并分析其文本输出。随着新设备的添加，将编写和测试新的脚本。脚本库隐含地体现了网络的所有知识。维护脚本成为一个持续的挑战，也是引入人为错误的另一个机会。

要将临时脚本连接到整合的管理服务器（如网络管理系统或运营支持系统），需要一个“中介层”的调整。这开发和维护成本很高。此外，由于缺乏多个供应商设备的标准化脚本模型，以及缺乏确保整个网络更改的一致性和正确性所需的锁定和其他语义，多盒交易变得困难。一种优选的方法是将网络体系结构和网络元素形式化为一个完整且有凝聚力的数据模型，供管理系统和系统管理员使用。

SNMP 不适合配置管理

虽然 SNMP 已经建立起来并且适用于监控网络设备，但它并不是配置管理的良好解决方案。首先，SNMP 通过用户数据报协议（UDP）运行，这是一种不可靠的数据报协议。其次，SNMP 使用特定于协议的安全机制而不是标准方法，这增加了管理员的工作量并使网络架构复杂化。第三，由于 UDP 限制了最大消息大小，因此无法在单个数据报中发送大型配置。最后，尽管一些供应商提供专有机制，但SNMP缺乏标准方法，无法允许网络在发生配置错误时自动恢复到工作配置。由于这些原因，SNMP 在实践中很少用于编写配置。

IETF 和自动化配置管理

IETF已经承认需要改进自动化网络配置的标准。在2006年12月，一个名为NETCONF的基于XML的协议最终确定（RFC 4741-4744）。设备供应商和网络运营商正在利用NETCONF来促进网络的可扩展部署，而不会有中断配置错误的风险。图 1 显示了 NETCONF 协议的结构和层。

图1

NETCONF提供了许多引人注目的功能，这些功能非常适合下一代军事网络对安全，强大，促进高度自动化，基于标准和商业支持的管理解决方案的特殊要求。

提高网络安全性

NETCONF 是一种基于远程过程调用（RPC）的协议，它对管理器和代理之间交换的协议消息和配置数据使用 XML 编码。XML 请求和响应通过安全外壳（SSH）发送，SSH 是一种持久、安全、经过身份验证的传输协议。加密可确保请求和响应是机密且防篡改的。除了安全的通信系统外，NETCONF 还要求设备跟踪客户端身份并强制执行与身份关联的权限。这意味着可以通过不受信任的广域网管理设备，与其他方法相比，这是一个明显的优势。通过WAN进行配置的另一个优势是，网络管理可以通过将所有管理整合到单个站点来集中，但也可以分散，因为多个站点可以共享设备管理工作。

强大的配置更改

NETCONF通过提供内置的保护措施来提高动态网络的鲁棒性，以确保在所有网络设备上以有效和一致的方式进行配置更改。如图 2 所示，配置更改最初将作为候选文件写入，并且只有在没有发生错误时才制定或提交。在配置的时间间隔后，设备会自动恢复到其原始配置，除非更改已由秒确认，确认提交。管理员可以使用此功能来测试可能会降低或禁用连接的配置。如果发生此类错误，确认提交不会到达配置错误的设备，并且在超时后，网络会自动恢复到原始工作配置。

图2

基于策略的网络管理

NETCONF在事务管理方面的优势也有助于基于策略的网络管理，这种方法有望将网络管理科学推向更高的自动化水平和对动态网络条件做出反应的效率，但往往会引发频繁的配置更改和复杂的多步骤事务。例如，NETCONF 提供了用于批量锁定配置和操作配置的协议机制。通过同时锁定和在多个设备上工作，基于 NETCONF 构建的管理系统可以将全网策略作为逻辑管理操作实施。

Tail-f Systems为企业级和运营商级网络设备提供基于XML的网络管理软件，并在IETF网络会议工作组中发挥积极作用。Tail-f的ConfD软件（见图3）使设备供应商能够快速实现关键管理界面，包括CLI，Web UI，SNMP和NETCONF，具有强大的基础架构，以满足对高可用性和安全性的严格要求。ConfD 实现了与 NETCONF 标准相同的事务模型，用于跨所有管理接口的自动配置管理。

图3