策略管理服務(wù)器分析研究 計算機(jī)專業(yè)

3.3.3策略管理服務(wù)器（PDP）由圖3-3模型總體結(jié)構(gòu)可以看出，策略管理服務(wù)器和傳統(tǒng)網(wǎng)管服務(wù)是核心，管理服務(wù)器的運轉(zhuǎn)效率有著更高的要求，建議使用如圖3-2的組織分布關(guān)聯(lián)性比較弱的服務(wù)組織結(jié)構(gòu)，PDP對各網(wǎng)絡(luò)實體實現(xiàn)基于域的控制和管理，也可對分布式環(huán)境下的PDP進(jìn)行相互冗余備份，在本域PDP出現(xiàn)故障時由備份PDP接收管理權(quán)限。這樣，才能保證策略讀取的高效運轉(zhuǎn)模式。策略管理服務(wù)器的工作過程如下：（1）與PMT的交互策略管理服務(wù)器在接受PMT輸入的無語法和語義錯誤的策略后，首先進(jìn)行策略的靜態(tài)沖突檢測，確保在同一用戶行為事件即相同策略條件下只存在一條適合的策略。符合要求，則存入策略信息庫，否則，PMT向報警；另外，策略管理服務(wù)器要負(fù)責(zé)用戶行為事件處理的全過程，對處理的用戶行為事件和未處理事件進(jìn)行記錄，存入數(shù)據(jù)庫，出現(xiàn)未處理事件時要向PMT進(jìn)行報警提示。如出現(xiàn)需要立即處理的影響較嚴(yán)重的未處理的用戶行為事件，允許管理員編輯策略立即下發(fā)執(zhí)行。（2）與PR的交互對于經(jīng)過靜態(tài)沖突檢測的策略，以合適的形式存入策略信息庫；同時，接受的策略請求，做出策略決策，向策略信息庫提取相應(yīng)策略。（3）與PEP的交互接受PEP的策略信息加工區(qū)，對使用的用戶的行為進(jìn)行相應(yīng)的策略決策的分析，并匹配相應(yīng)的網(wǎng)絡(luò)用戶行為做出策略決策，馬努不同條件的策略決策的要求，跟蹤策略發(fā)展的結(jié)果并進(jìn)行實時的日志式樣記錄，園區(qū)網(wǎng)中，目前存在著大量的傳統(tǒng)網(wǎng)絡(luò)設(shè)備和網(wǎng)管系統(tǒng)，它們是基于SNMP協(xié)議進(jìn)行信息交互的，要實現(xiàn)基于COPS協(xié)議的策略管理，必須得有一個過渡。這就要求策略管理服務(wù)器不僅要能夠與支持COPS協(xié)議的PEP設(shè)備相互通信，還要能夠與傳統(tǒng)網(wǎng)管設(shè)備和系統(tǒng)通信，這就要以增加策略服務(wù)器的工作量為代價來實現(xiàn)，在策略管理服務(wù)器中要增加一個策略信息轉(zhuǎn)換器的功能模塊，如圖3-6所示。通過策略信息轉(zhuǎn)換器，策略服務(wù)器可以向PEP發(fā)送SNMP查詢信息，知道該設(shè)備及版本是否支持COPS協(xié)議。對于支持COPS的設(shè)備，策略信息流沿圖中左側(cè)線路流動；如果設(shè)備不支持COPS協(xié)議，則策略信息轉(zhuǎn)換器作為中間件代PEP向策略管理服務(wù)器提出策略申請并對策略執(zhí)行情況做出信息反饋，同時將下發(fā)的策略信息翻譯為可接收的SNMP信息。一定意義上，策略信息轉(zhuǎn)換對于策略管理發(fā)展有著關(guān)鍵的意義和作用，實現(xiàn)的是多條件和功能時間的完美連接要充分的利用已經(jīng)搜集呃策略基礎(chǔ)信息和傳統(tǒng)的網(wǎng)管技術(shù)實現(xiàn)對用戶的行為的分析和研究，并作出相應(yīng)的策略。如下圖所示以上的內(nèi)容演示，策略管理服務(wù)實現(xiàn)的是策略的數(shù)據(jù)驗證，決策計劃的產(chǎn)生，決策結(jié)果的數(shù)據(jù)分析和策略的解釋和演化過程的主要部分。通過LDAP協(xié)議與策略信息庫進(jìn)行交互，存取策略信息；并通過COPS協(xié)議或SNMP協(xié)議與PEP進(jìn)行交互，交換策略信息和反饋息。策略服務(wù)器的用戶行為綜測的事件管理流程如下：3.3.4策略管理服務(wù)器（PEP）總體來說，策略執(zhí)行的作用機(jī)制在于策略的解釋和轉(zhuǎn)化，在不同的環(huán)境下對于決策的上層機(jī)制的策略內(nèi)容進(jìn)行轉(zhuǎn)換演示，并根據(jù)已經(jīng)搜集到的綜測的信息進(jìn)行對用戶的網(wǎng)絡(luò)行為的分析，將上層的策略信息進(jìn)行及時有效的翻譯，同時將配置的結(jié)果翻譯成用戶自身所能解釋的配置設(shè)備，從而可以做到的是翻譯與識別信息，將已經(jīng)綜測產(chǎn)生的結(jié)果進(jìn)行數(shù)據(jù)庫呃上報，策略服務(wù)器得到了上報的信息后進(jìn)行反饋的信息處理，并做出相應(yīng)的日志的記錄。在這個過程中，關(guān)鍵的信息的收集需要的是地區(qū)的網(wǎng)元的支持，這需要在傳統(tǒng)的信息收集系統(tǒng)中增加識別自己系統(tǒng)和配置的操作，將策略的信息轉(zhuǎn)化為面向具體網(wǎng)絡(luò)網(wǎng)絡(luò)的配置，因此，實現(xiàn)策劃轉(zhuǎn)化的功能，在傳統(tǒng)的網(wǎng)絡(luò)設(shè)備中，大部分不會支持這樣的定制的策略，如下圖，可以看到的其中的應(yīng)用結(jié)構(gòu)，但是如果不支持這樣的網(wǎng)元策略的調(diào)整，就需要另外的增加網(wǎng)元進(jìn)行策略的抽象意義的信息解釋。網(wǎng)絡(luò)設(shè)備和系統(tǒng)只識別符合自己系統(tǒng)和版本的配置和操作命令，網(wǎng)絡(luò)設(shè)備只有通過策略執(zhí)行點將策略信息轉(zhuǎn)化為相應(yīng)的、面向具體網(wǎng)絡(luò)設(shè)備的配置和操作命令，才能將定制的策略得以實現(xiàn)。因此，PEP必須具有策略轉(zhuǎn)化的功能。但是在傳統(tǒng)網(wǎng)絡(luò)設(shè)備中，大都是不支持PEP的，其結(jié)構(gòu)如圖3-9所示。對于不支持PEP功能的網(wǎng)絡(luò)設(shè)備，則需要增加一個策略代理的抽象層次。3.4本章小結(jié)本章著重的是對策略網(wǎng)絡(luò)運行管理的綜合介紹，主要構(gòu)建的模型是基于策略的網(wǎng)絡(luò)管理系統(tǒng)，對傳統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng)和策略意義上的網(wǎng)絡(luò)管理進(jìn)行高效化和自動化的處理模型，同時也對模型的實施和發(fā)展提出了相關(guān)的問題和解決的措施，也提出了一些的構(gòu)建的難點，著重的發(fā)展接下來的研究關(guān)鍵，在之后的章節(jié)中，對模型的實現(xiàn)又進(jìn)行了技術(shù)性的升級和內(nèi)容的填充。模型實現(xiàn)相關(guān)技術(shù)研究本章主要依據(jù)系統(tǒng)模型的結(jié)構(gòu)設(shè)計和功能設(shè)計，來實現(xiàn)模型相關(guān)技術(shù)的進(jìn)一步歸納和總結(jié)。如今絕大多數(shù)網(wǎng)絡(luò)和現(xiàn)代策略管理不一致，所以現(xiàn)階段要實現(xiàn)完全基于策略的網(wǎng)絡(luò)管理的過渡是不現(xiàn)實的。第4章主要是將策略管理模型和基于用戶行為的網(wǎng)絡(luò)管理系統(tǒng)有機(jī)地結(jié)合在一起，為完成網(wǎng)絡(luò)管理自動化，及時處理網(wǎng)絡(luò)異常提供理論依據(jù)，同時為后續(xù)研究提供一定的理論基礎(chǔ)。4.1策略描述及存儲系統(tǒng)實現(xiàn)的成敗和運行過程中的工作效率主要取決于策略定義和描述的好壞，另外運用合適的策略存儲也是可以為策略的查詢與匹配等存取操作加速的。4.1.1策略定義要說整個模型最重要的概念和元素那應(yīng)該就是策略了，因為整個模型的數(shù)據(jù)流動都是圍繞著策略的。因此，對模型實現(xiàn)的成敗及效率來說策略定義的好壞起了決定性作用，所以一個好的策略定義在整個模型系統(tǒng)中起著十分重要的作用，第三章對策略的定義如下：策略是模型運行中最重要的數(shù)據(jù)流，由策略管理工具編輯輸入，儲存在策略信息庫中，通過策略管理服務(wù)器下發(fā)，通過策略執(zhí)行點執(zhí)行具體的設(shè)備配置命令，此命令是由策略轉(zhuǎn)化的，通過這些操作來實現(xiàn)網(wǎng)絡(luò)管理這一目的。整個模型的中心運行是以策略信息流為主的。在管理中，我們通過對策略信息庫中的策略進(jìn)行分類整理來使管理更方便。一般的屬性主要包括策略的標(biāo)識、類型、名稱、條件、內(nèi)容、最新編輯時間、執(zhí)行體以及描述和附加信息。在本文中策略的定義以元組的形式出現(xiàn):其中，系統(tǒng)當(dāng)中的網(wǎng)元便是策略執(zhí)行體。策略的類型、條件、內(nèi)容等也可以有屬于自己的屬性參數(shù)。4.1.2策略描述在不同目標(biāo)的基礎(chǔ)上，多種不同的策略描述規(guī)范已被國內(nèi)外多種研究機(jī)構(gòu)和人員提出，如貝爾實驗室的PDL策略描述語言，英國皇家學(xué)院的PONDER語言和惠普實驗室Rei的策略描述語言。文獻(xiàn)分析策略的組成元素，提出了一種基于策略主要元素ECA（EnforcementObject，ControlledObject，Action）的策略描述語言，語言簡單實用，實現(xiàn)了大規(guī)模的網(wǎng)絡(luò)環(huán)境下不同網(wǎng)絡(luò)安全設(shè)備策略描述的統(tǒng)一，但這其中通用的語言規(guī)范標(biāo)準(zhǔn)依舊是很不足的，它的缺點主要體現(xiàn)在同時統(tǒng)籌策略描述語言的表達(dá)能力和數(shù)據(jù)交互性以及其可擴(kuò)展性和轉(zhuǎn)換性的實現(xiàn)較困難。如今對策略信息的表達(dá)方式有許多，比如KAoS、Ponder、PFDL、XACML、Rei等。它們有一個共同的不足之處，就是都執(zhí)著于解決特定領(lǐng)域的策略信息描述，不具備優(yōu)良的擴(kuò)展性和推廣性。XML語言作為一種數(shù)據(jù)描述語言存在，逐漸成長Internet上數(shù)據(jù)表示和數(shù)據(jù)交換的一個新標(biāo)準(zhǔn)。它的敏捷性和標(biāo)準(zhǔn)性使其具備強(qiáng)大的數(shù)據(jù)表達(dá)能力。本文引入XML作為策略描述語言，是因為它的很多特性與策略描述語言的要求相符合。如下表所示。將XML作為策略描敘的語言，擴(kuò)充了描敘策略的領(lǐng)域同時使得系統(tǒng)使用更為普遍，其中數(shù)據(jù)是運用了目錄服務(wù)器存儲提高了訪問效率，兩者之間的數(shù)據(jù)交換是利用DSML實現(xiàn)的這顯示了簡潔性和易實現(xiàn)性。另外，由于策略管理圖形界面的需求，體制中可以PMT與策略管理服務(wù)器之間加一個中間插件，XML解析器，PMT與XML解析器之間通過HTTP通訊機(jī)制實現(xiàn)通訊。XML解析器作為PMT的一個功能模塊存在，而不加在策略服務(wù)器上，盡量減少策略服務(wù)器的工作負(fù)荷。因此有多少個管理平臺，就有多少個XML解析器，如圖4-1。利用XML文檔很容易構(gòu)造出標(biāo)準(zhǔn)的策略描述，利用自定義的DTD文件或XMLSchema文件和XML文件進(jìn)行對照，可以對XML文檔的有效性進(jìn)行驗證。根據(jù)策略定義，XML語言定義策略的表達(dá)形式如圖4-2所示。下面主要看一下對于一個園區(qū)網(wǎng)常見用戶的網(wǎng)絡(luò)舉動應(yīng)該如何進(jìn)行策略描述。IP地址為59用戶機(jī)器遭遇某孺蟲病毒襲擊，在網(wǎng)關(guān)54對此病毒進(jìn)行控制。配置命令為：aclnumber100ruledenytcpsourceanydestinationanydestination-port390:4200結(jié)合本文策略定義，用語言描述策略為：4.1.3策略存儲IETF定義的策略框架采用策略信息庫（PR）存儲管理員制定的策略規(guī)則信息，PR可以是目錄服務(wù)器或關(guān)系數(shù)據(jù)庫服務(wù)器。兩者相比目錄服務(wù)器的特點主要是數(shù)據(jù)輸出效率髙、數(shù)據(jù)輸入效率低，由于在策略的網(wǎng)絡(luò)管理的實際應(yīng)用中，通常情況下，來回制定和刪改策略的次數(shù)與從PR中提取策略相比要少得多，更有可能達(dá)到一次制定多處運行的效果。其用目錄服務(wù)器存儲策略更合適的另一原因便是是讀操作多、寫操作少的這一特點，另外用目錄服務(wù)器存儲策略信息也是IETF所建議的標(biāo)準(zhǔn)。XML的可擴(kuò)展性使其成為一種描述數(shù)據(jù)結(jié)構(gòu)的有力工具，尤其適合表述數(shù)據(jù)格式未知的半結(jié)構(gòu)化數(shù)據(jù)，自描述性使得XML所描述的數(shù)據(jù)擁有與以上的獨立性和穩(wěn)定性。XML的適合表現(xiàn)數(shù)據(jù)結(jié)構(gòu)和語義特點使其廣泛流行，也很自然地得到了各方支持。目前，各種數(shù)據(jù)庫系統(tǒng)提供的XML支持主要用來方便XML文檔在數(shù)據(jù)庫中的存儲，數(shù)據(jù)庫中數(shù)據(jù)與XML的相互轉(zhuǎn)化?？紤]到LDAP目錄存儲服務(wù)器實現(xiàn)的復(fù)雜性和原系統(tǒng)的兼容性，以及傳統(tǒng)關(guān)系數(shù)據(jù)庫對XML的支持，本文用傳統(tǒng)關(guān)系數(shù)據(jù)庫來存儲策略信息。XML與數(shù)據(jù)庫的關(guān)系主要是數(shù)據(jù)在兩者之間的轉(zhuǎn)移以及XML文檔結(jié)構(gòu)與數(shù)據(jù)庫結(jié)構(gòu)之間的映射。由于XML從本質(zhì)上講是樹形層次性的，而大多數(shù)現(xiàn)有的數(shù)據(jù)庫系統(tǒng)都是關(guān)系型的，因此兩者之間進(jìn)行映射時要設(shè)計好適當(dāng)?shù)霓D(zhuǎn)換算法。在本文中，對XML語言描述的策略信息進(jìn)行了設(shè)計簡化，將節(jié)點屬性統(tǒng)一轉(zhuǎn)化為次級節(jié)點；策略信息的表示也只進(jìn)行到根節(jié)點、父節(jié)點和子節(jié)點三層，因此轉(zhuǎn)換算法的設(shè)計也較為容易。XML文檔轉(zhuǎn)換為數(shù)據(jù)庫表的基本步驟如下：=1\*GB3①取XML文檔②文檔層次結(jié)構(gòu)分析③映射為數(shù)據(jù)庫表記錄轉(zhuǎn)換模型如圖4-4所示。OpenXML是SQL關(guān)系數(shù)據(jù)庫提供的通過XML文檔提供行集視圖，也可以實現(xiàn)數(shù)據(jù)轉(zhuǎn)換，是一個行集提供程序。若要使用其編寫對XML文檔轉(zhuǎn)換為數(shù)據(jù)庫表表級，首先必須調(diào)用SQL的系統(tǒng)存儲過程sp-xml-preparedocum，以分析XML文檔并返回準(zhǔn)備使用的已分析文檔的句柄。已分析文檔是XML文檔中各種節(jié)點元素、特性、文本、注釋等等的樹形表示法。文檔句柄傳遞到OpenXML，然后OpenXML根據(jù)傳遞給它的參數(shù)提供文檔的行集視圖。OpenXML被用來提取XML文檔的任何一部分，并把它當(dāng)作一個表格，然后可以用SELECT語句和INSERT語句或自定義的存儲過程實現(xiàn)XML文檔數(shù)據(jù)的數(shù)據(jù)庫表結(jié)構(gòu)存儲。根據(jù)本文策略信息的XML結(jié)構(gòu)描述，產(chǎn)生關(guān)系模式的算法：①對每個復(fù)雜元素創(chuàng)建一個表記錄及主鍵列②對于每個簡單子元素在表中建立一個屬性列③對于子元素，如果是可選的，則允許該列為空值④對于每個復(fù)雜子元素，通過主外鍵實現(xiàn)父表與子表的聯(lián)接⑤對于文檔與表記錄，通過表中增加一個列屬性實現(xiàn)文檔與表記錄之間的聯(lián)系XML文檔中的策略信息經(jīng)過算法轉(zhuǎn)換為策略信息表、條件表以及網(wǎng)元表三個表中的記錄。即每一個策略信息文檔都將產(chǎn)生與之一一對應(yīng)的策略信息表、條件表和網(wǎng)元表中的三條記錄。表結(jié)構(gòu)在下一章的策略信息庫的實現(xiàn)中會進(jìn)行系統(tǒng)的講解。本文是利用SQL對XML的支持實現(xiàn)XML文檔的存取。使用SQL自帶存儲過程分析文檔層次結(jié)構(gòu)，再通過OpenXML實現(xiàn)對XML文檔中數(shù)據(jù)的數(shù)據(jù)庫表級轉(zhuǎn)換，并存儲到SQL關(guān)系數(shù)據(jù)庫中。從策略信息的數(shù)據(jù)輸入到數(shù)據(jù)庫信息的存儲具體流程如圖4-5所示，管理者登錄界面，輸入數(shù)據(jù)經(jīng)XML解析器模塊轉(zhuǎn)換成.xml文件，經(jīng).xsd文件驗證通過后，再轉(zhuǎn)換為數(shù)據(jù)庫中表級數(shù)據(jù)，再經(jīng)策略信息查詢與驗證，存儲于SQL數(shù)據(jù)庫，此過程完成策略的描敘、轉(zhuǎn)換與存儲，并在實現(xiàn)安全性檢查等其他功能。此后，一條策略信息對應(yīng)一個XML文檔和三條表記錄。在策略信息存儲后，也可以對策略信息進(jìn)行查詢、修改和刪除。對策略信息進(jìn)行修改的過程大致如圖4-6所示：在整改策略時，管理員通過策略搜索的條件來查詢與之相關(guān)的表的記錄，為實現(xiàn)各表記錄與策略信息的XML文檔兩者之間的聯(lián)系可以在表中設(shè)置一列屬性?？梢酝ㄟ^先搜索此列屬性同時查看原策略信息再決定是否需要修改。4.2策略層次及翻譯策略的表現(xiàn)形式在不同的抽象級別下是不同的，但其最終所要轉(zhuǎn)換的網(wǎng)絡(luò)配置及操作命令都要是網(wǎng)絡(luò)管理設(shè)備可以識別的。這也是策略翻譯的功能所在，策略翻譯的功能便是將策略信息庫中儲存的策略信息轉(zhuǎn)換為具體的網(wǎng)絡(luò)配置及操作命令信息。4.2.1策略分層的必要性園區(qū)網(wǎng)的典型代表是大學(xué)校園網(wǎng)。校園網(wǎng)的結(jié)構(gòu)較復(fù)雜，使用人群眾多，特點十分鮮明：第一，設(shè)備大量不同，比如交換機(jī)、路由器、防火墻、服務(wù)器、電源系統(tǒng)等一系列設(shè)備，而且這些設(shè)備的原理功能都不盡相同、設(shè)備的管理系統(tǒng)和指令系統(tǒng)也存在差異。第二，設(shè)備供應(yīng)商較復(fù)雜，校園網(wǎng)使用人群各異，需求也不一樣，園區(qū)網(wǎng)里的廠商常常使用了不同的實現(xiàn)方法、數(shù)據(jù)格式、系統(tǒng)管理軟件和不同的命令系統(tǒng)版本的同類型設(shè)備。對于這種種類不同、廠商各異、軟件系統(tǒng)也不一樣的設(shè)備，只有通過策略的抽象與分層才可能實現(xiàn)統(tǒng)一制定策略，多處運行?；诓呗缘木W(wǎng)絡(luò)管理致力于實現(xiàn)網(wǎng)絡(luò)管理的簡單化和自動化，把網(wǎng)管人員從繁瑣的管理工作中解放出來。其核心思想是提供相應(yīng)的方法和技術(shù)能夠?qū)⒐芾韱T的管理思想和意志在網(wǎng)絡(luò)管理中得以表達(dá)，實現(xiàn)從“管理策略的提出”到“網(wǎng)絡(luò)設(shè)備規(guī)則的執(zhí)行”，以此提高管理效率，減輕網(wǎng)絡(luò)管理工作的負(fù)擔(dān)。從網(wǎng)絡(luò)分析與設(shè)計角度來看，管理策略實際上體現(xiàn)了網(wǎng)絡(luò)管理者對網(wǎng)絡(luò)設(shè)備的控制要求，但這種要求往往是與具體設(shè)備的實現(xiàn)是不直接關(guān)聯(lián)的，這就需要管理策略到具體網(wǎng)管命令的一系列轉(zhuǎn)化。4.2.2策略分層優(yōu)化網(wǎng)絡(luò)帶寬，有效資源分配，確保網(wǎng)絡(luò)正常穩(wěn)定運行是策略的網(wǎng)絡(luò)管理的總目標(biāo)和任務(wù)。具體而言，策略是一套準(zhǔn)則，一系列的條件和動作組成了一條條策略，經(jīng)過系統(tǒng)的網(wǎng)絡(luò)設(shè)備的命令配置來實現(xiàn)網(wǎng)絡(luò)管理的目的。但站在不同的角度，策略的形態(tài)也會有變化。普遍運用于電信領(lǐng)域網(wǎng)絡(luò)管理的TMN分層體系結(jié)構(gòu)主要分為四個層次，這四個層次都有其各自所側(cè)重的方向同時它們又是互相關(guān)聯(lián)的其由底至上依次是：網(wǎng)元管理層（EML）、網(wǎng)絡(luò)管理層（NML）、業(yè)務(wù)管理層（SML）和商務(wù)管理層（BML）。這個體系結(jié)構(gòu)把管理功能需求分解為不同的層次，每層相對獨立，通過分層實施的管理功能、由下至上的信息綜合來實現(xiàn)對電信網(wǎng)的管理。在新的電信運營環(huán)境下，TMF提出了一種以TMN的分層結(jié)構(gòu)為指導(dǎo)、結(jié)合自上而向下逐層剖析的商務(wù)設(shè)計準(zhǔn)則，將客戶管理、業(yè)務(wù)運作和網(wǎng)絡(luò)管理融合為一體的電信企業(yè)運營管理處理方式。它提出了NGOSS（下一代運營軟件和系統(tǒng)）體系結(jié)構(gòu)，該系統(tǒng)結(jié)構(gòu)的四個視點：（1）商務(wù)視點：分解商務(wù)管理目標(biāo)和流程、定義需求模型；（2）系統(tǒng)視點：設(shè)計邏輯系統(tǒng)構(gòu)架、定義上下層通信接口、建立數(shù)據(jù)模型；（3）實現(xiàn)視點：對特定技術(shù)進(jìn)行實現(xiàn)、驗證過程；（4）運行視點：對系統(tǒng)進(jìn)行部署和運行各個系統(tǒng)發(fā)展之間存在必然的聯(lián)系和關(guān)系，且每個環(huán)節(jié)是對應(yīng)發(fā)展的。TMF認(rèn)為，網(wǎng)絡(luò)管理系統(tǒng)中的策略實際上是一個“統(tǒng)一體”。各層策略并不沖突，而是相輔相成的，只是具有不同層次的抽象，各層之間通過建立數(shù)據(jù)通信接口實現(xiàn)從一個抽象層次的策略到另一個抽象層次的策略的映射。在產(chǎn)品中，已經(jīng)實現(xiàn)基于策略的網(wǎng)管系統(tǒng)從全局策略到具體設(shè)備相關(guān)配置的策略翻譯機(jī)制。這個策略“統(tǒng)一體”具有個抽象層次，如圖4-7右側(cè)所示。從圖4-7可以看出，TMF策略“統(tǒng)一體”的分層思想，把策略分為五層，在不同層次策略有不同的表現(xiàn)形式，每一底層策略都為上層策略的提供支撐，每一上層策略都通過下層策略得以實現(xiàn)。策略在商務(wù)視點下表現(xiàn)為網(wǎng)絡(luò)管理需求即一個自然語言的子集；系統(tǒng)視點所得到的語言包含的對應(yīng)信息是通過接受自然語言形式的下的商務(wù)策略同時進(jìn)行分解而得到的；網(wǎng)絡(luò)視點是比較關(guān)鍵的，其管理設(shè)備的方式是要把具體信息準(zhǔn)確的翻譯成一組與設(shè)備無關(guān)的規(guī)則集合從而進(jìn)行管理；并運用這些規(guī)則集合，提取相應(yīng)的管理設(shè)備類型、版本等參數(shù)，將網(wǎng)絡(luò)視點下的策略規(guī)則轉(zhuǎn)換成與特定的管理設(shè)備相對應(yīng)的策略規(guī)則這便是設(shè)備視點；實例視點則是設(shè)備視點的某個具體實現(xiàn)，產(chǎn)生一些自動執(zhí)行的程序同時將這些規(guī)則安置到需要管理的網(wǎng)絡(luò)設(shè)備。商務(wù)視點和系統(tǒng)視點的實現(xiàn)主要是通過策略服務(wù)器上的網(wǎng)絡(luò)視點和設(shè)備視點。雖然各層都是獨立的，但對于園區(qū)網(wǎng)的網(wǎng)絡(luò)管理來說只要對策略轉(zhuǎn)換的層次清楚各層功能相對獨立，也便于修改和移植，那么最終是能夠轉(zhuǎn)化為對網(wǎng)絡(luò)設(shè)備的管理的，各視點下的策略的表現(xiàn)形式。由于商務(wù)視點的表達(dá)形式是自然語言的子集，因此這個子集應(yīng)該要能夠充分傳達(dá)網(wǎng)絡(luò)管理者的控制需求，同時使普通用戶可以理解，即從商務(wù)視點來看，管理要求被策略明確的描述了。從系統(tǒng)視點來看，商務(wù)視點與網(wǎng)絡(luò)視點的銜接便是它，同時這也是對商務(wù)視點的進(jìn)一步轉(zhuǎn)化，是對商務(wù)策略的分解消化，具體對應(yīng)的信息通過文字描述的形式獲得。從網(wǎng)絡(luò)視點來看，策略是，用來管理、控制對網(wǎng)絡(luò)資源的訪問，改變網(wǎng)絡(luò)的運行狀態(tài)，消除或減弱異常網(wǎng)絡(luò)行為的一組規(guī)則的集合。策略操作所使用的方法和技術(shù)不僅要在設(shè)備的具體實現(xiàn)上獨立，而且要在各種聯(lián)網(wǎng)設(shè)備中能得到支持，使得在設(shè)備視點上可以做進(jìn)一步的轉(zhuǎn)換。其主要包括使用控制使用的端口、對端口速度進(jìn)行限制、或?qū)?shù)據(jù)包進(jìn)行過濾等方法和技術(shù)。上圖4-8和4-9給出了不同視點下的策略表達(dá)形式。從圖4-7和圖4-8、4-9中可以看出，結(jié)合策略描述，在進(jìn)行基于策略的實現(xiàn)時，比如策略編輯、存儲、轉(zhuǎn)化和執(zhí)行，策略抽象與實現(xiàn)是從網(wǎng)絡(luò)視點至實例視點的一系列操作和轉(zhuǎn)換。，商務(wù)視點和系統(tǒng)視點下的策略表示形式在園區(qū)網(wǎng)網(wǎng)絡(luò)管理中是在網(wǎng)絡(luò)設(shè)計規(guī)劃書的紙面策略，經(jīng)過網(wǎng)絡(luò)視點、設(shè)備視點和實例視點下的策略使這兩層抽象策略得以體現(xiàn)和實現(xiàn)。底層三種視點下的策略表示形式才是真正能在網(wǎng)絡(luò)管理系統(tǒng)中得以表示、存儲和執(zhí)行的。經(jīng)過策略轉(zhuǎn)化和翻譯之后，能在具體的網(wǎng)絡(luò)設(shè)備上形成具體配置指令并加以實行使儲存到策略庫中的策略是類似網(wǎng)絡(luò)視點的宏策略，是統(tǒng)一的策略。4.2.3策略翻譯的實現(xiàn)怎么實現(xiàn)策略的進(jìn)一步變革和發(fā)展，怎么樣才能在不同的網(wǎng)絡(luò)設(shè)備上執(zhí)行一樣的任務(wù)，這就是其發(fā)展主要面對的問題。在進(jìn)行總體設(shè)計之前，抓喲按照文本的設(shè)置類型和形式進(jìn)行分析和研究主要的含義是；定義4-1策略翻譯：將統(tǒng)一描述的策略轉(zhuǎn)換為具體網(wǎng)絡(luò)管理設(shè)備上可識別的操作配置的過程。定義4-2詞法庫：存儲關(guān)鍵字與策略屬性轉(zhuǎn)換表的數(shù)據(jù)庫。定義4-3語法庫：存儲不同設(shè)備類型中策略的語法規(guī)范的數(shù)據(jù)庫。其實這些技術(shù)在許多的軟件和系統(tǒng)中都有釆用，比如iptables防火墻的關(guān)鍵字縮寫，SQL數(shù)據(jù)庫中各中創(chuàng)建對象的語法規(guī)范等等。參照iptables防火墻為例，設(shè)計如表4-2所示。語法庫主要適用于不同版本的系統(tǒng)和語法發(fā)展程序之中，并且為每個系統(tǒng)版本的執(zhí)行系提供某些方面的支持和幫助，主要的設(shè)計圖是如表4-3所示。所以，在系統(tǒng)發(fā)展之中必須增添必要的語法庫和信息庫，執(zhí)行點通過策略發(fā)展和代理發(fā)展的種種程序，在統(tǒng)一服務(wù)器的管理和設(shè)計之下，融合了服務(wù)器的種種優(yōu)點和長處，進(jìn)行各種語法的進(jìn)一步分析和研究，最終形成了一個統(tǒng)一操作的程序額命令。融合了各種行為和方式，最后的工作原理就是如圖表所示。4.3策略沖突檢測策略檢測涉及到形式化發(fā)展和沖突發(fā)檢測等等化解之中。而且表現(xiàn)形式多種多樣，這也是我們長期工作的中心和主導(dǎo)。4.3.1策略沖突定義IETF在RFC3198對于策略沖突進(jìn)行了詳細(xì)的歸納和只能歸結(jié)，采用多種方式對于策略進(jìn)行分析但是最終的動作無法得以滿足，這就促使執(zhí)行動作不明確具體的工作流程，粗我是多個流程在發(fā)展之中出現(xiàn)較多的問題。策略沖突具備多種表現(xiàn)方式，可以進(jìn)行明確的分類和總結(jié)。在很多運用方面主要是利用研究的意義進(jìn)行分析和實驗，通過這種方式來決定整個沖突的方法額方式。通常而言，策略沖突具備多種表現(xiàn)方式，扎喲可以將其劃分為動態(tài)模式和靜態(tài)模式兩種。（1）靜態(tài)沖突：靜態(tài)沖突也稱模態(tài)沖突或語義沖突。靜態(tài)沖突就是策略在制定以后，向策略信息庫存儲時，就與庫中存在的策略發(fā)生沖突。靜態(tài)沖突是一種顯示沖突，在靜態(tài)時就應(yīng)予解決。（2）動態(tài)沖突：動態(tài)沖突蘊(yùn)藏著巨大風(fēng)險，在策略執(zhí)行和發(fā)展過程種出現(xiàn)的所有程序之中都是這樣的，這就促使網(wǎng)絡(luò)設(shè)備在一定的條件之下和其他的程序發(fā)生矛盾。發(fā)生這種情況就需要我們對其進(jìn)行監(jiān)督和管理，這種沖突規(guī)范在本質(zhì)上并不存在矛盾和分歧，而是經(jīng)過必要的處理程序之后才出現(xiàn)這種情況。4.3.2策略沖突檢測分類策略沖突涉及到策略生命發(fā)展的每個階段，包括其編輯和側(cè)漏等等方面。策略沖突形態(tài)可以將其劃分為；（1）策略有效性檢測有效性檢測也可以叫做語法監(jiān)督和管理，按照另一種層面而言，也不能將其作為策略沖突檢測，但是有效的測量檢測方式可以促使整個項目順利發(fā)展，比姑且給予適當(dāng)?shù)谋Ｕ虾途S護(hù)。在進(jìn)行策略編輯時，策略編輯子模塊必須對于整個模塊發(fā)展的效益進(jìn)行衡量和檢檢查，這就是所謂的檢查所定義策略。主要涉及內(nèi)容有各條件參數(shù)的取值區(qū)間是否超過管理員的限制、策略中各字節(jié)關(guān)于ID的賦值是否為數(shù)字序列的字符串、IP地址如源地址或目標(biāo)地址的取值及其它的網(wǎng)絡(luò)地址每個字節(jié)是否都是之間的數(shù)字和端口號是否為符合要求的整數(shù)等。（2）策略靜態(tài)沖突語義沖突檢測也可以將其較為靜態(tài)發(fā)展策略，經(jīng)過一定的檢測程序?qū)τ诟鞣N信息庫資料進(jìn)行主權(quán)虐的檢查和核對，一個用戶僅僅只能對于一個網(wǎng)絡(luò)行為進(jìn)行定義和檢測，簡單地說就是一樣的策略條件僅僅和之后的序列一致。語義沖突和之前的信息困之間存在著某些必然的聯(lián)系。利用語義沖突檢測，針對用戶不一樣的行為進(jìn)行檢測。（3）策略動態(tài)沖突動態(tài)沖突主要是指同一種策略之發(fā)生的種種矛盾。動態(tài)沖突是蘊(yùn)藏著巨大的危險，和策略編輯具備不一樣的表現(xiàn)形式。動態(tài)沖突，主要是指在不同的環(huán)境之下獲取的滿足感，兒且這種滿足感之間存在著某些必然的聯(lián)系和差別。動態(tài)沖突主要指策略之間相互交叉產(chǎn)生的各種沖突和矛盾。策略交叉沖突：當(dāng)多種以上的條件得到滿足和發(fā)展的時候，策略就很有可能激發(fā)，那么策略的整個動作之間存在某些方面的作用和沖突，就會促使策略交叉沖突。這樣就會增加策略的實際時常，從而促使整個設(shè)備發(fā)展處于混亂的局面，而且這種矛盾只有在特定的程序之中不會被揭示。策略覆蓋沖突：就是因為策略之中各種數(shù)據(jù)材料不具備一定的完整性和全面性，出現(xiàn)這種情況的同時就必須明確該種策略之間存在著某些必然的聯(lián)系和區(qū)別。這就會促使出現(xiàn)這種局面而且不一樣的策略條件之間存在某些必然的關(guān)系和區(qū)別，很有可能會存再聯(lián)系。策略有效性沖突主要利用語法策略進(jìn)行解決和判斷；策略語義沖突主要是利用原有的策略進(jìn)行設(shè)計和安排，促使整個策略發(fā)展比統(tǒng)一和全面，這就是其發(fā)展面對的主要問題和難題。但是策略動態(tài)沖突到時候會存在某些必然的關(guān)系，也會存較大的沖突和矛盾，這也是其不可避免的，本文接下來主要對于這一方面進(jìn)行了分析和研究。