基于SNMP的IP地址管理系统的设计与实现

文芬*1*|*专著*|*杨家海,任宪坤,王沛瑜.
网络管理原理与实现技术[M].
北京:清华大学出版社,2007.
2*|*技术标准*|*rfc1157,SNMP:SimpleNetworkManagementProtocol[S],May1990.
3*|*学位论文*|*[3]王坤,IP监控与管理系统的研究与实现[D],成都:西南交通大学,2002.
4*|*期刊*|*李贵军,IP地址管理系统的设计与实现[D],北京:北京邮电大学,2004.
5*|*在线文献*|*韩沛沛,基于SNMP的网络管理系统的设计与实现[OL],北京:中国科技论文在线,2010.
6*|*在线文献*|*王玮,基于SNMP统一网管的网元管理系统设计[OL],北京:中国科技论文在线,2010.
作者.

文题[OL].
[日期].
http://……*|1|文芬|WenFen|武汉理工大学信息工程学院,武汉,430070|InstituteofIntelligentInformationSystems,wuhanuniversityoftechnology,Wuhan430070|文芬(1985-),女,硕士研究生,主要研究方向:网络管理|武汉理工大学马房山校区西院研582信箱|430070|hfw1108@126.
com|18221727220|18221727220基于SNMP的IP地址管理系统的设计与实现|TheDesignandImplementationofanIPAddressmanagementSystemBasedOnSNMP|(武汉理工大学信息工程学院,武汉,430070)摘要:随着这些年网络的发展,越来越多的企业都组建了内部局域网,而伴随而来的IP地址冲突,地址盗用,主机移位以及主机非法接入成为网络管理员比较困惑的事情.
传统手工方式管理局域网内部IP地址的方式已经越来越不适应大中型企事业单位的发展.
本文通过对SNMP基本原理的研究,在网络管理系统中设计了IP地址管理模块.
通过IP地址的规划,对网络设备ARP表及交换表的轮询,能有效解决局域网IP地址管理问题.

关键词:SNMP;IP地址;轮询中图分类号:TP315TheDesignandImplementationofanIPAddressmanagementSystemBasedOnSNMPWenFen(InstituteofIntelligentInformationSystems,wuhanuniversityoftechnology,Wuhan430070)Abstract:Asthedevelopmentofnetworksinrecentyears,moreandmoreenterprisesareestablishedtheirownlocalareanetworks,thenthosenetworkproblemsappear,suchasIPaddressconflict,IPaddressembezzle,hostshiftandhostofillegalaccess.
Moreandmorenetworkadministratorsconfusedwithsuchthings.
ThetraditionalwayofmanagementIPaddressbyhandhasbecomeincreasinglyunsuitedtothedevelopmentoflargeenterprises.
BasedonthebasicprinciplesofSNMP,thispaperdesignsanIPaddressmanagementmoduleinnetworkmanagementsystem.
ThroughtheplanningoftheIPaddress,thepollingofswitchARPtableandtheexchangetable,thesystemcaneffectivelysolvetheLANIPaddressmanagementproblems.
Keywords:SNMP;IPAddress;Polling引言网络的不断发展以及网络规模的日益扩大使得用户对网络安全及稳定性方面的要求越来越高.
对于一个基于TCP/IP协议的用户来说,地址是Internet/Intranet上主机通信的逻辑地址,是必须配置的选项,可以手工设置,也可由DHCP服务器自动分配.
IP地址的管理一直是网络管理员比较棘手的问题.
不合理的IP地址分配会造成宝贵的IP地址资源的浪费;当局域网中有两台主机的IP地址相同时,会造成IP地址冲突;未授权用户使用本子网内的另一个合法用户的IP地址或未分配的IP地址,然后利用该IP地址去访问网络,从而影响合法用户的网络的正常使用.
诸如此类的问题一直缺乏比较有效的管理方式,当网络中发生IP地址盗用后往往是由被盗用的合法用户来报告,网络管理员无法主动得知,对IP盗用的管理处于被动状态.

本文针对这些情况提出一种基于SNMP的IP地址管理方式,能有效的管理局域网中的IP地址资源,从IP地址的规划,IP-MAC,MAC-PORT绑定到IP-MAC、MAC-PORT的轮询,一旦发现网络中的IP-MAC、MAC-PORT与实际绑定的IP-MAC、MAC-PORT记录不一致时即产生告警,网络管理员从而能根据相关信息得到IP盗用者的具体资料.

SNMP基本原理SNMP是应用层协议,它要求两端的协议实体交换各种报文,而低层则要求用户数据都是BYTE序列,SNMP协议实体如何从接受到的一个BYTE序列中识别出报文又如何把一个用内部数据结构表示的报文转换成一个可供发送的BYTE序列,也就是编解码问题.
ASN.
1就是用来描述抽象标记的语言,在它的基础上,通过规定编码规则,就可以确定数据在传送中的八比特组的值.
SNMP采用管理者(即NMS)与代理的模式,NMS能够发出3个含有不同协议数据单元(PDU)的报文.
这3个PDU是提取请求GetRequest一PDU,提取下一个请求GetNextRequest一PDU和设置请求SetRequest一PDU.
代理则只能发出两个不同的报文:一个是对来自NMS请求做出应答的GetResponse一PDU报文,另一个是陷阱Trap一PDU报文,是代理发现预定义的异常事件发生时主动发出的【1】.

SMI(StructureofManagementInformation),通过定义一个宏OBJECT-TYPE,规定了管理对象的表示方法,另外它还定义了几个SNMP常用的基本类型和值.

MIB(ManagementInformationBase),是所有代理进程包含的、并且能够被管理进程进行查询和设置的信息的集合,可理解为代理进程的数据库.

SNMP参考模型说明了SNMP网络管理框架的一般化总体结构,包括系统中各个组成部分及其相互关系.
如图1所示:图1SNMP管理模型Fig.
1ModelofSNMPManagement图2系统架构Fig.
2SystemArchitecture2系统架构系统采用B/S模式,SSH(Struts、Spring、Hibernate)开源框架和Mysql数据库,表现层使用Struts;业务处理层使用Spring;数据持久化层使用Hibernate.
使得每一层以一种松耦合的方式向其它层暴露自己的功能,提高了应用的可扩展性,不仅能缩短开发周期,而且能提高系统的稳定性,系统基本架构如图2所示.

3系统设计3.
1IP地址规划在IP地址规划模块中设立部门管理模块,可为每一个部门分配子网、IP地址段,进而将每一个IP分配给指定的某个人,并记录此人使用的PC机的MAC地址.

部门管理部分可以增加、删除部门,为部门再分配子部门,并给某一部门分配子网或者IP地址段,再将子网内的IP地址分配给使用人,使用详情里记录使用者的基本信息,如:姓名、联系方式等.

图3IP地址规划Fig.
3PlanningofIPAddress3.
2IP-MAC、MAC-PORT绑定在IP-MAC、MAC-PORT绑定界面中,可将指定的IP-MAC、MAC-PORT绑定,即将其存入数据库.

3.
3轮询该模块采用AdventNet开发包,AdventNetSNMPAPI包是基于Java的简单网络管理协议SNMP)的实现,支持SNMPvl,SNMPv2c和SNMPv3.
它包括JavaBeans部件、MIB浏览器、SNMPTABLEBeans、RMI和CORBA支持.
AdventNetSNMPAPI是一个事实上的工业标准,现已被全世界数以千计的开发者所使用【3】.

3.
3.
1IP-MAC轮询通过轮询网络设备(三层交换机、路由器)的ARP表来得到网络中的IP、MAC之间的对应关系,将轮询得到的数据入库,基本流程如下图:图4IP-MAC轮询流程Fig.
4PollingofIP-MAC详细描述如下:(1)前台界面提供设置轮询时间的入口,可按需要选择轮询的时间,将时间存入数据库;(2)设置SNMP参数,包括SNMP版本、读共同体、写共同体、SNMP端口号等;(3)将轮询任务加入到轮询队列中;(4)定时时间到则开始轮询任务;(5)记录轮询开始时间并更新下次执行时间;(6)从设备资源表DevResource中根据displayType为ROUTER或者L3_SWITCH得到所有路由设备;(7)获得路由设备对应的SNMP参数;(8)创建数据采集模块probe实例,构建一个SnmpTarget类变量,并初始化当前要进行采集的交换机的IP地址、读写共同体名及重传次数;获取的arp表即mib中的ipNetToMediaTable表,指定ipNetToMediaTable表的对象标识号oid,即SnmpOID为:.
1.
3.
6.
1.
2.
1.
4.
22.
1;(9)将得到的MAC-IPS交给结果处理类来处理;(10)结束.
在步骤(9)中,轮询到的一个MAC可能对应多个IP,即一台主机有多个IP地址;在结果处理类中将mac-ips转换为以ip为key的ip-mac对并与上一次的快照比较,若是新的ARP记录,则存入数据库,若IP在数据库中存在,而对应的MAC发生了变化,则更新IP对应的MAC;接着将轮询到的IP-MAC与绑定的IP-MAC对比,若对同一个IP轮询得到的MAC与绑定的MAC不一致,则发生了IP盗用,若对同一个MAC,轮询得到的IP与绑定的IP不一致则发生了IP变更.
这样就产生消息给告警模块,于是查询告警模块的告警记录,就可以得到该异常信息.

3.
3.
2MAC-PORT轮询MAC-PORT轮询流程与IP-MAC轮询流程基本一致,只是MAC-PORT轮询是得到交换机的SwitchTable表得到转发表信息,对应的oid为:.
1.
3.
6.
1.
2.
1.
17.
4.
3.
1.
在MAC-PORT结果处理类中,若轮询上来的MAC所对应的PORT与绑定的PORT不一致,则发生了主机移位;若对同一个PORT,轮询上来的MAC与绑定的MAC不一致,则发生了主机非法接入.

在地址簿模块中,结合轮询得到的IP-MAC与MAC-PORT记录,可得到IP-MAC-PORT关系,这样当发生IP违规记录时,可清晰的查看到主机的位置,便于网络管理员对对应情况的处理.

4系统的简单实现在前台界面中,有IP-MAC和MAC-PORT绑定界面,分别提供添加和删除操作,如下图所示:图5IP-MAC绑定Fig.
5BindingofIP-MAC图6MAC-PORT绑定Fig.
6BindingofIP-MAC这里我们将192.
168.
0.
89与主机001D60B46757绑定,如果主机001D60B46756在使用192.
168.
0.
89这个IP地址,这样经过IP-MAC的轮询,从交换机的ARP表中得到的IP-MAC记录就与绑定的IP-MAC不一致,则会产生IP盗用的告警,在告警界面中查询查询告警信息,就能得到该条告警,如图6所示:再通过地址簿可以清晰看到001D60B46756设备是连在192.
168.
0.
8交换机的Fa/16端口上,这样可以对该端口进行关闭,阻止主机001D60B46756对网络的访问.
另外,还可以在IP规划模块中查看MAC地址为001D60B46756的主机其使用者的信息,可以对该使用者进行通知等等.
地址簿如图7所示.

图7IP盗用的告警Fig.
7AlarmingofIPEmbezzle图8地址簿Fig.
8AddressBook5结论本文提出一种有效管理局域网IP地址的方式,将IP-MAC,MAC-PORT绑定并入库,通过SNMP协议轮询网络设备的ARP信息以及SwitchTable,并将取到的信息与数据库中的绑定关系进行对比,由此可对网络中发生的IP地址变更,IP地址盗用,主机移位等网络问题迅速定位,很方便的找到产生这些问题的主机,为网络管理员提供一种有效方便的方式.
本模块已在实际系统中实现,并进行了相应的测试,可取得理想效果.

[参考文献](References)[1]杨家海,任宪坤,王沛瑜.
网络管理原理与实现技术[M].
北京:清华大学出版社,2007.
[2]rfc1157,SNMP:SimpleNetworkManagementProtocol[S],May1990.
[3][3]王坤,IP监控与管理系统的研究与实现[D],成都:西南交通大学,2002.
[4]李贵军,IP地址管理系统的设计与实现[D],北京:北京邮电大学,2004.
[5]韩沛沛,基于SNMP的网络管理系统的设计与实现[OL],北京:中国科技论文在线,2010.

[6]王玮,基于SNMP统一网管的网元管理系统设计[OL],北京:中国科技论文在线,2010.