网络管理的平台设计与开发

1基于Olive架设网管训练平台

1.1控制平面实现网管训练平整架构如图3所示．资源管理模块所负责的就是对下层数量众多的Olive等设备进行管理和分配．资源管理模块通过利用VMWARE提供的命令行工具vmrun．exe，对当前Olive设备采用创建磁盘“快照”的方式来保存原始状态．当系统崩溃或者系统异常时，可以通过恢复到“快照”来返回某个时间点时的系统．场景生成模块负责为训练者提供各种各样的网络场景．比如配置静态动态路由、搭建简单网络、拓扑发现等场景，训练平台将相应的配置用脚本设定好，作为基本训练内容．需要的时候会通过NamedPipeTCPProxy，执行配置脚本，启动所需要的网络设备，自动形成一个完整的训练项目．362东北大学学报(自然科学版)第35卷工具集成模块负责为训练者提供网络工具．训练平台集成了包括telnet，ping，traceroute等基本网络管理工具，还集成了一些流行的软件，比如SolarWinds管理工具、扫描工具、Sniffer嗅探器等等．训练平台安装有VB，VC等开发环境，允许训练者自行开发调试程序，引入外来的网络管理工具．测量监控与结果展示模块主要用于网络故障的处理进度的查看．在网络故障的训练项目中，该模块一方面利用脚本在源路由器或者主机上对目的路由器或者主机检测两点之间是否能够正常通信，另外一方面实时检查路由器中的路由表，通过是否有通向目的地址的路由来判断网络故障的解决与否．1.2视图平面实现管理视图是呈现给管理者的配置界面，前台采用了WEB页面的形式，后台则采用脚本来控制资源管理模块和场景生成模块．训练平台中预置了6种训练内容，涵盖了网络管理员的大部分需要．上面三项网络配置、拓扑发现、故障解决侧重于提高管理员的网络维护能力和状况处理能力．下面的网络实验则是主要帮助网络管理员在虚拟网络环境中测试新服务、新环境、新配置;测量平台允许网络管理员自行搭建网络拓扑，并在其上布置测量点;资格认证则是针对业界JNCIA等热门认证帮助网络管理员实现自身价值的提升．监控视图主要在训练中监测当前的网络拓扑，检查故障的解决与否．该视图控制测量监控模块，实时监测网络连接情况，最终目标是通过分析路由表和ping，traceroute结果来实现对网络状况的实时检测并绘制出拓扑图．

2网管训练平台场景实现与验证

作者基于Olive网络管理训练平台从行业应用、科研实验床两个领域完成两个非常关键的场景实验．首先通过一个网络故障场景的实验验证了本文所设计实现的训练平台的可行性．其次，通过IPv6NDP中间人攻击的实验，证明了基于Olive的网络管理训练平台可以作为一个实验床，提供给网络管理员根据自己的需求设计网络环境．2.1网络故障场景实现与分析本场景由3台路由器R1，R2，R3，1台PC机，1台WEB服务器构成．其中，3台路由器之间使用OSPF协议交换路由信息，PC机则提供给训练者使用，连接到路由器R1上，WEB服务器连接到路由器R2上，具体的网络拓扑如图4所示．场景描述:据PC机用户反映，之前访问WEB服务器一切正常，但是最近网络管理员增加了1台路由器R3之后，访问WEB服务器经常断掉．2.2故障场景搭建根据前文的Olive的配置规则，路由器的端口和IP配置如表1所示．训练过程如下:1)训练者收到故障场景的相关拓扑和问题报告，首先访问WEB服务器失败，然后对WEB服务器的地址做traceroute测试，发现数据包被发送到了路由器R3上．结合最近网络管理员对网络的改动，可以判断出是由于接入了新的路由器R3导致原PC用户访问WEB服务器失败．2)暂时对路由器R3进行关闭处理，检查此时的网络连接情况．登陆路由器R1，查看路由表．如图5所示，在正常情况，路由器R1与路由器R2交换OSPF连接信息，将WEB服务器所在的10.0.2.0/24网络正确地路由到了与R2路由器192.168.1.21连接的端口上．3)打开路由器R3的登陆界面，仔细检查此时路由器R1的OSPF路由表．如图6所示，WEB服务器所在的10.0.2.0/24网络被路由到了与R3路由器192.168.2.31连接的端口上．此时，训练者对WEB服务器进行traceroute探测，反馈结果是无法到达目的地，至此得出结论，路由器R3的加入使得网络出现故障．2.3IPv6中间人攻击场景实现与分析作者在对实验过程进行数据包嗅探、协议分析之后，找到了一种新的IPv6中间人攻击思路，首先考虑如图7所示场景．利用训练平台分配A，B两个IPv6节点，再配置1台Olive路由器作为网关将两个节点接入网络，其中B作为攻击节点，A作为受害者.1)节点B向Olive网关发送伪造的路由器请求(routersolicitation)报文，将受害者A在网关中的IPAMACA表项修改为IPAMACB，网关就会将发往受害者A的数据包发送到了节点B．2)节点B伪造路由器通告报文，冒充网关发送给受害者A，报文中将Olive网关路由器的生存时间置零，表示该路由已失效．A收到B的报文后，会认为默认路由已失效，随即将其从本地路由表中删除．节点B随即向局域网中广播路由器通告报文，宣称自己为网关路由，受害者A收到后，会自动将B作为默认网关添加到本机路由表中．受害者A与真实Olive网关的通信中断，网络数据都流向了节点B，中间人攻击取得成功．2.4RouterAdvertisement报文的分析在对中间人攻击中起重要作用的路由器通告报文进行分析后，作者发现了一个有价值的信息．RFC4191［8］文档在2005年定义了一个Prf(preferencevalues)标志位．这个Prf标志位注明了默认路由器的优先属性，两个位分别定义了表2所示的4个级别．2.5新的IPv6NDP攻击方法的提出作者提出了一种全新的IPv6NDP中间人攻击方法:通过改动路由器通告报文中的默认路由器优先属性标志位，发送伪造数据包来控制目标机器的数据流向，以达到中间人攻击的目的．修改后的数据包如图9所示．真实网关路由器所发出的路由器通告报文中标志位的二进制代码为00000000，其中Prf标志位占据第四和第五位，默认设置为00，经过作者修改为01后，二进制代码变成了00001000，在图片中标注的位置显示成了08．将这个虚假报文广播，受害者节点收到该路由器通告报文，会自动在其路由表中插入一个具有高优先级的伪造默认路由，而系统中存在的真实路由优先级为中等．受害者节点在网络通信时，发现有两个默认路由，一个是中等优先级，一个是高优先级，节点自然会选择优先级高的虚假路由进行通信，中间人攻击得到成功实施．在训练平台上对新的IPv6攻击方法进行了成功的实验之后，作者选择了真实的网络环境进行测试［9－10］，地点就选在了清华大学图书馆．清华大学图书馆的网络为IPv6环境，利用2台真实PC机，1台为攻击者，1台为被害者，发送篡改后的路由器通告信息之后，被害者主机的路由表里出现了攻击者的虚假网关路由，并且排在第一位．如图10所示，第1条横线标注的便是攻击者提供的虚假网关路由，第2条横线标注的才是真实的网关．插入的这条伪造路由具有high优先级，它与真实路由共存．系统在选择路由时，首先选择了高优先级的伪造路由，在真实网络环境下的测试与训练平台上的结果完全相同，中间人攻击成功．图10被害者主机路由表Fig.10Routingtableofvictim

3结论

本文采用分层原则对网络管理训练平台进行了架构设计，基于Olive搭建成虚拟网络，从而实现了一个原型系统．该系统根据网络管理员培训的需要，设计了包括故障场景、配置场景、安全场景在内的众多不同难度的网络管理场景．最后通过两个关键的场景实验:其一，路由震荡实验演示了该平台如何进行场景搭建与管理员培训;其二，通过IPv6NDP实验证明了该平台还可以作为一个实验床，提供给网络管理员从事技术研究工作.

作者：林海卓 王继龙 张程亮 单位：清华大学 网络科学与网络空间研究院