唐 軍， 楊安祺， 張俊明

(陜西科技大學電氣與信息工程學院，陜西西安710021)

0 引 言

隨著社會信息化的發(fā)展，如何在減少網絡監(jiān)測數據流量和為用戶節(jié)省帶寬的情況下及時的監(jiān)測故障數據成為一個越來越重要的問題。另一方面，隨著網絡技術的迅速發(fā)展，規(guī)模的不斷擴大，復雜性的不斷增加，網絡的異構問題也越顯突出，使得對網絡故障監(jiān)測提出了更高的要求。傳統(tǒng)的C/S(client/server)模型和單純的分布式故障監(jiān)測模型已經無法再適應現有的網絡需求[1]。為了更好的適應網絡發(fā)展，需要一種能快速響應網絡故障，解決現有網絡監(jiān)測瓶頸問題，具有更好的擴展性和伸縮性的新型網絡故障監(jiān)測模型?；赑2P的分布式網絡故障監(jiān)測系統(tǒng)就是在這種情況下產生的。目前國外在網絡故障監(jiān)測方面的研究比較成熟，已有一些公司研制開發(fā)出綜合的網絡故障方面的系統(tǒng)，如NAI公司的Sniffer、HP公司的NetMetrix等，這些產品在具有優(yōu)越性能的同時也具有相當昂貴的價格，國內開發(fā)的GNMA綜合故障分析系統(tǒng)具備了監(jiān)測、分析等功能，但是該產品只能對局域網進行故障方面的分析。本文采用P2P技術作為解決傳統(tǒng)網絡故障監(jiān)測模型中服務器瓶頸問題的方法，并以開源的Drools作為系統(tǒng)原型中的告警規(guī)則分析引擎。

1 JXTA簡介

分布式計算發(fā)展非常迅速，新技術不斷出現，現在出現的P2P技術，讓用戶可以直接連接到其它用戶的計算機，進行文件共享與交換，另外P2P在深度搜索、分布計算、協同工作等方面也大有用途。但現有的P2P系統(tǒng)有一些缺陷，大多數P2P系統(tǒng)用來實現一個單一類型的網絡服務(Napster用來音樂文件交換、Gnutella用來普通文件交換)，由于不同的網絡服務的特性和缺少一個共同的底層基礎，每一個供應商都使用不兼容的技術使它的用戶同別的P2P通信相隔離。SUN公司推出的JXTA技術通過提供一個簡單的普遍的P2P平臺來解決這個問題[2]，JXTA具體來說是一種標準組件平臺，它提供了用于開發(fā)分布式服務和應用程序的基本組件。整套技術由一組開放源碼的P2P協議組成，這組協議使網絡上任何連接著的計算設備的協作變?yōu)榭赡?。JXTA支持P2P應用的基本功能來建立一個P2P系統(tǒng)，還將努力證實這些可以成為建立更高層功能的基礎構造模塊。JXTA架構可以分為3個層面：JXTA核心層、JXTA業(yè)務層和JXTA應用層[3]。JXTA使可共同使用的P2P應用程序擁有了許多能力，該技術具有易實施性、標準化和跨平臺等傳統(tǒng)方式不可比擬的優(yōu)勢。故使用基于P2P的分布式網絡監(jiān)測方式將大大減輕網絡通信的負載，當網絡拓撲、組織形式或網絡管理服務發(fā)生變化是，監(jiān)測網絡能隨之動態(tài)變化，充分滿足了分布式網絡監(jiān)測新的需求。

2 系統(tǒng)分析與設計

網絡故障監(jiān)測系統(tǒng)建立在JXTA標準P2P平臺上，通過對被監(jiān)測設備底層抽樣獲取的數據進行告警分析后，上報域監(jiān)測工作站或服務器，從而實現整個分布式網絡故障進行監(jiān)測。系統(tǒng)主要分為3個獨立的功能模塊：數據抽樣模塊、告警相關性分析模塊以及拓撲發(fā)現和故障檢測管理模塊。各模塊獨立封裝，根據模塊特點采用不同編程技術，以實現各個模塊之間的高內聚、低耦合。整個系統(tǒng)的核心部分是對底層驅動程序數據包的采樣讀取，對數據的實時性要求高，數據抽樣模塊利用NDIS(network driver interface specification)協議[4]提供的接口和Win32的重疊I/O操作以及多線程特性極大的提高了采樣數據的實時性，對于采樣到的數據的存儲采用了直接文件方式，提高了此模塊的實時處理能力。告警相關性模塊、拓撲發(fā)現以及故障檢測管理模塊采用Eclipse+Java開發(fā)，實現與JXTA與開源規(guī)則引擎[5]Drools以及JXTA提供的接口之間的無縫連接。單域故障監(jiān)測業(yè)務示意圖如圖1所示。

圖1 單域故障監(jiān)測業(yè)務流程

2.1 網絡故障監(jiān)測方法

網絡故障[6]通常有以下幾種可能：物理層中物理設備相互連接失敗或者硬件及線路本身的問題；數據鏈路層的網絡設備的接口配置問題；網絡層網絡協議配置或操作錯誤；傳輸層的設備性能或通信擁塞問題。

現有的網絡故障監(jiān)視算法有前攝性算法，交互式監(jiān)視算法。前攝性監(jiān)視要求用原始數據來預測未來趨勢如可能發(fā)生的情況等工作，所以前攝性監(jiān)視系統(tǒng)需要結合自適應學習系統(tǒng)，此系統(tǒng)學習掌握每個測量變量的正常行為，并檢測出測量變量對正常值的偏離，可以推演未知網絡故障，同時關聯時間和空間的信息，對于可能由于網絡故障引起的網絡擁塞問題進行預測，并考慮可以施加一定的調度算法，使得管理人員采取一定的措施在網絡故障發(fā)生前阻止故障的發(fā)生。交互式監(jiān)視算法針對的是硬網絡故障，管理者與代理之間采用輪詢和事件通知的交互方式獲得網絡中被管對象變量的狀態(tài)信息，提供了這些變量結構的定義以及通信機制。但這些變量自身不能檢測網絡故障，需要進一步處理，以獲得對網絡故障根源狀態(tài)的分析。這種算法主要考慮如何合理的選擇輪詢頻率以及輪詢步長，從而減少通信資源的消耗。

監(jiān)測網絡故障的過程應該沿著OSI七層模型從物理層開始向上進行，首先檢查物理層，然后依次檢查數據鏈路層、網絡層和傳輸層，設法從采集到的故障信息中確定通信失敗的故障點和故障原因，并結合歷史數據和專家知識庫給出相應的排除故障的方法。

2.2 系統(tǒng)功能模塊

系統(tǒng)將整個網絡劃分成若干個故障監(jiān)測域，每個域中存在1到2個故障信息監(jiān)測節(jié)點，負責本域的故障監(jiān)測，所有分布在各處的故障監(jiān)測節(jié)點動態(tài)的組成P2P故障監(jiān)測網絡，節(jié)點間采用P2P消息機制傳輸監(jiān)測到的故障信息，協同完成對整個網絡的故障監(jiān)測，并在網絡中配置多個特殊的節(jié)點，這些節(jié)點在P2P監(jiān)測網絡中通過監(jiān)測節(jié)點對整個網絡進行監(jiān)測。故障域的通信模式示意圖如圖2所示。

圖2 P2P故障域通信模式

3 各模塊的設計實現

3.1 數據采集模塊

數據采集模塊是用來對被監(jiān)測設備上的故障信息進行采集和基本的過濾，并負責將過濾后的數據發(fā)往所在的域服務器上，由它進行更高一級的告警相關性分析。NDIS協議為傳輸層提供標準的網絡接口，所有的傳輸層驅動程序都需要調用NDIS接口訪問網絡，NDIS把網絡驅動程序從網絡硬件中抽象出來，制定了網絡驅動層與層之間的規(guī)范。采用NDIS可以方便高效的獲得被監(jiān)測設備的數據。獲取被檢測設備的故障信息通常的可靠方法是不斷的對被檢測對象周期性的輪詢，這樣將導致網絡流量特別是監(jiān)測工作站和監(jiān)測服務器端的流量增大，有可能造成以監(jiān)測端為節(jié)點的鏈路擁塞，因此，數據的采樣算法十分重要，目前比較常用抽樣方法是周期抽樣、隨機附加抽樣和泊松抽樣。泊松抽樣的時間間隔符合泊松分布，能夠實現對測量結果的無偏估計、測量結果不可預測、不會產生同步現象，限定一個最大間隔值的泊松抽樣，可以避免產生較長的抽樣間隔，加速抽樣過程的收斂，并結合C語言實現關鍵算法以實時的獲取被測設備的數據。由于泊松抽樣具有很多好處，所以被系統(tǒng)數據抽樣算法采用泊松分布[7]。Poisson分布的概率函數如公式(1)所示

公式(1)中表示單位時間(單位人群、單位空間內，單位容積)內，某罕見事件發(fā)生次數的概率分布式中 =n為Poisson分布的總體均數，總體中沒單位中的平均陽性數，X為單位時間或單位空間內某事件的發(fā)生數(陽性數)，e為自然對數的底，約等于2.71828。

通過簡單的設置4種基本過濾條件：幀屬性條件、網絡地址條件、數據模式條件和協議類型條件，實時地分析采樣的協議包，將滿足條件的幀傳輸到所在域的故障服務器上。被監(jiān)測設備與域監(jiān)測節(jié)點之間采用簡單網絡管理協議SNMP進行通信[8]，SNMP建立在無連接方式的UDP和IP協議之上，省去了應答信息，執(zhí)行起來非常高效。SNMP規(guī)定了5種協議數據單元PDU，用來在管理進程和代理之間的交換，只有兩種基本的管理功能：“讀”操作，用get報文來檢測各被管對象的狀況；“寫”操作：用set報文來控制各被管對象的狀況。每個被檢測設備都作為一個MIB庫中的對象，針對故障信息的嚴重程度分別采用實時傳輸和定時輪詢兩種傳輸方式。

3.2 告警相關性模塊

3.2.1 網絡告警信息分析

網絡告警信息包含大量的不確定性信息，同時告警信息的不完備以及數據傳播的動力特性都加大了故障監(jiān)測的難度，需要對告警信息進行相關性分析，優(yōu)化網絡故障監(jiān)測。告警相關性分析模塊位于故障監(jiān)測節(jié)點上，目的是將有關聯性的多個告警信息通過過濾識別等技術整合成為一條具有更多告警信息量的告警記錄，以準確快速地識別故障的根源并減少通信所占的帶寬。由于網絡設備的多樣化，需要對采集來的信息進行統(tǒng)一的格式化處理，用來屏蔽網絡設備告警信息的差異。以下為統(tǒng)一后的告警信息類代碼：

3.2.2 告警事件類型及處理方式

告警事件的相關性及處理方法通常分為3類：

(1)相同事件：來自同一告警源的相同故障描述的持續(xù)的告警信息。對于這種情況，只顯示一條故障信息和

改變告警頻度；

(2)相反事件：兩個來自同一告警源的信息，故障告警和故障恢復告警。對于這種情況，自動將告警事件清

除，并存入已清除的歷史告警日志中；

(3)同源事件：來自同一告警源但類型不同的多個告警信息。對于這種情況，通過分析告警信息對其進行根

源性的識別，挑選出一條根源性的告警記錄，其它同源信息標記為抑制信息；

對于以上3種情況，根據網絡拓撲關系庫，從中按照相關規(guī)則的規(guī)定，選出最具根源性的告警記錄(如果不存在的話，依照規(guī)則生成一條告警)，其它的事件標記為抑制告警信息。

3.2.3 告警相關性模塊分析

告警相關性分析模塊由以下3個子模塊組成：

(1)規(guī)則提取模塊：通過對歷史告警信息的分析和故障知識庫的學習來獲取和創(chuàng)建規(guī)則，并將新的規(guī)則添加到規(guī)則集中。

(2)規(guī)則管理模塊：通過ADD、DEL、MODIFY等操作維護告警相關性模塊。

(3)告警相關性分析引擎：通過規(guī)則引擎算法對大量告警信息進行相關性分析，給出根源告警信息，能大量的減少冗余告警事件，降低告警信息的網絡帶寬占有率并提高故障定位準確率。

每個故障監(jiān)測系統(tǒng)都不能保證它能提供完備的故障處理策略，因此需要引入高效的利于對多變的業(yè)務規(guī)則進行修改和管理的規(guī)則引擎技術。

Drools[9]是基于Java的優(yōu)秀開源規(guī)則引擎，封裝了Rete算法，Drools的規(guī)則提取方法有兩種：基于網絡專家系統(tǒng)知識和通過數據挖掘技術發(fā)現告警序列中的關聯規(guī)則。其中專家系統(tǒng)通過模擬人的推理方式，使用試探性的方法進行那個推理，而規(guī)則引擎則采用目前效率最高的一個 Forward-Chaining推理算法——Rete。本系統(tǒng)采用關聯規(guī)則挖掘方法獲取告警相關性規(guī)則，將挖掘結果輔以專家知識加以分析，最終確定相關性規(guī)則集。

3.3 拓撲發(fā)現和網絡故障監(jiān)測管理模塊簡介

拓撲發(fā)現模塊利用SNMP、ARP、ICMP實現對本域的IP網絡的三層拓撲發(fā)現，這3種協議具有負載低、速度快和準確性高的優(yōu)點，適合中型網絡的拓撲發(fā)現。實現方法是從默認的路由器開始，進行指定拓撲搜索深度的廣度優(yōu)先搜索，利用SNMP路由表發(fā)現路由器之間的連接關系，根據接口表找到相連路由器的互聯接口，用互聯接口所在的子網描述路由器間的連接關系，同時利用MIB的地址表得到與路由器直接相連的子網地址及子網掩碼。用路由器接口IP地址中的最小值標識路由器，同時利用MIB中的ipAddrTable表進行多IP的同一路由器的判定。拓撲發(fā)現由主拓撲發(fā)現和子拓撲發(fā)現兩部分組成：

(1)主拓撲發(fā)現：通過計算取出冗余的路由器相關拓撲信息，形成已訪問的路由器鏈表，并通過分析已訪問路由器鏈表，按照拓撲數據庫定義的格式形成子網鏈表和節(jié)點鏈表。

(2)子拓撲發(fā)現：遍歷已訪問路由器鏈表，從獲得的ARP表中取得與路由器直連的網絡設備的IP地址；遍歷子網鏈表，通過將獲得的IP地址與已經取得的子網地址進行模式匹配來確定該IP對應的主機是否為相應子網的成員，如果是，則將得到的主機節(jié)點信息寫入拓撲數據庫。

網絡故障檢測管理模塊將告警相關性分析模塊傳輸上來的數據進行解碼，并與庫中的數據進行匹配，快速的進行故障的定位，并提出相關的修復建議，采用關聯數據挖掘的方式已進行實時的響應。

4 實驗結果與分析

在模型的性能發(fā)面，將基于傳統(tǒng)的故障監(jiān)測模型與本文所提出的基于P2P的分布式網絡故障監(jiān)測模型進行了簡單的對比試驗，試驗結果如圖3和圖4所示。

圖3 帶寬占有率/時間結果

圖4 故障數/時間結果

通過試驗發(fā)現，傳統(tǒng)的故障監(jiān)測系統(tǒng)容易造成監(jiān)測端數據鏈路阻塞，降低了有效帶寬，在網絡規(guī)模不大的情況下，基于P2P的分布式網絡故障監(jiān)測模型和傳統(tǒng)的故障監(jiān)測模型相比，在規(guī)模越小的情況下，P2P模型的分布式故障監(jiān)測模型有需要消耗在對等點發(fā)現的額外帶寬比傳統(tǒng)監(jiān)測模型的不需要在方面消耗帶寬來比較，在性能上優(yōu)勢不明顯。從故障的監(jiān)測響應時間上看，由于P2P故障監(jiān)測模型消耗對等點發(fā)現的時間，所以此模型的優(yōu)勢不明顯，當故障數目增加時，基于P2P分布式網絡故障監(jiān)測模型的優(yōu)勢也就明顯了。

在故障監(jiān)測方面，由于采用了Drools相關性分析引擎和柏松采樣收斂算法，在監(jiān)測故障方面同傳統(tǒng)式故障監(jiān)測模型在正確監(jiān)測、誤判和漏檢的性能對比如表1所示。

表1 傳統(tǒng)模型與P2P模型性能對比表

試驗表明，本文提出的基于P2P的分布式故障監(jiān)測模型的可行性，基于此模型設計實現的系統(tǒng)能提高網絡故障監(jiān)測方面性能，有助于增加故障監(jiān)測系統(tǒng)故障診斷的有效性，在大型網絡環(huán)境中，能提高故障監(jiān)測系統(tǒng)的實時性。

5 結束語

本文提出了新型的基于P2P的分布式網絡故障監(jiān)測方法，將P2P體制引入故障監(jiān)測當中，給出了系統(tǒng)的模塊劃分和實現手段。通過系統(tǒng)簡單原型的實現，證明了該方法的可實施性，通過實驗數據與傳統(tǒng)的故障監(jiān)測系統(tǒng)進行比較，證實了新系統(tǒng)較傳統(tǒng)集中式監(jiān)測系統(tǒng)具有更好的實時性，傳統(tǒng)系統(tǒng)中的帶寬瓶頸問題得到了較好的解決。當然，P2P網絡故障監(jiān)測系統(tǒng)是非常復雜的，還有許多問題需要進一步的研究，比如移動環(huán)境下P2P覆蓋網絡與物理網絡匹配問題以及抽樣算法以及規(guī)則引擎算法等問題。

[1] 郭健,吳偉明,張愛霞.面向業(yè)務的NGN綜合網管系統(tǒng)的研究[J].數據通信,2005(3):9-12.

[2] 姜兆華,楊斌.基于JXTA和P2P的資源發(fā)布系統(tǒng)研究[J].計算機與信息技術,2008(z1):60-62.

[3] 務實.JXTA技術應用與發(fā)展[EB/OL].http://www.builder.com.cn/2003/1009/98421.shtml/,2003-10-09.

[4] 楊智君,田地,周斌.基于NDIS中間層驅動程序的網絡監(jiān)測器[J].吉林大學學報(工學版),2006,36(2):224-226.

[5] 繳明洋,譚慶平.Java規(guī)則引擎技術研究[J].計算機與信息技術,2006(3):41-43.

[6] 張新,常義林,沈中,等.分層多管理者網絡故障監(jiān)控策略[J].西安電子科技大學學報,2005,32(6):873-876.

[7] 王恒,劉振宇.一種基于訪問約束的數據同步技術[J].微計算機應用,2007,28(12):2-3.

[8] 魯建邦.網絡服務性能監(jiān)測方案的探討[J].計算機應用,2004,24(9):1-2.

[9] 馬秀麗,王紅霞,張凌云.Drools在網絡故障管理系統(tǒng)中的應用[J].計算機工程與設計,2009,30(8):1-3.