计算机工程
COMPUTER ENGINEERING
1999年 第25卷 第12期 vol.25 No.12 1999



大型网络信息中心(NIC)管理的关键技术与实现
朱　爽　李　星　吴建平
　　随着互连网络的迅猛发展，Internet资源管理分配问题，包括IP地址分配、域名问题等成为全球关注的热点。对网络资源实行有效的、合理的管理成为大型网络管理系统中非常重要的组成部分。
　　我国现有4个全国性的互连计算机网络: CHINANET、 CHINAGBN、CERNET、CSTNET，如何做好中国的Internet资源分配注册管理以及信息资源管理，将是保证我国互连网络正常运行、良好发展以及优质服务的基础。对于这些大型国家级网络来说, 需要建立一套规范化、标准化的NIC管理系统来进行互连网络资源的注册、分配和管理。
　　作为采用TCP/IP网络体系结构的国家级教育和科研网络CERNET，1994年底设立面向全国教育科研单位的Internet资源注册管理部门CERNIC，负责全网的IP地址分配和域名注册，提供网络资源信息服务等。
　　在"九五"国家重点科技攻关计划项目"大型网络管理系统"的资助下，CERNIC研究开发了一个面向大型TCP/IP网络的、基于Web的NIC管理系统，实现了服务的资源注册管理、资源目录管理、DNS配置管理、安全管理和服务性能管理。
1 网络信息中心(NIC)及其服务
　　网络信息中心(NIC)是指为一定范围内的网络用户提供Internet资源注册服务，资源目录数据库服务和相关的信息服务的管理组织。Internet网络资源，主要包括：网络地址、网络域名及域名服务器、联系人数据库、自治系统号、路由数据库等。Internet资源全球唯一，在资源管理注册时应附有必要的资源用户信息。另外，可以通过目录数据库服务在网上检索 。大型网络信息中心负责为大型网络范围内的用户提供服务和管理。
　　网络信息中心(NIC)服务包括：注册服务、目录数据库服务、信息服务等。其中大型网络的Internet网络资源注册服务是大型NIC提供最基本也是最重要的服务。主要包括：
　　(1) IP网络地址分配管理[1]：获取、分配及管理IP网络地址；
　　(2) 所管辖的高层域名注册管理[2]：定义、注册及管理高层网络域名；
　　(3) 域名系统配置管理：管理配置DNS域名系统及其数据库。
　　网络信息数据库是注册服务的基础和核心，注册服务将分配的网络地址记录、注册的网络域名记录存储到管理数据库；提供在线的网络资源检索等信息服务。Internet资源是分级管理的。
2 NIC管理系统结构及功能
　　NIC管理系统包括资源注册管理、目录数据库管理、DNS配置管理、用户管理、安全管理、服务性能管理等子系统模块。总体结构如图1所示。








图1 NIC管理系统结构用户
　　管理员通过标准的Web浏览器通过HTTP超文本传输协议[3]和SSL安全加密协议[4]与Web服务器通信, 访问NIC管理系统，从而管理NIC全部服务。系统在每个管理页面上为管理员提供资源(地址空间、最高域名结构)信息查询和设置工具、资源注册分配工具、服务相关的历史数据图文并茂的分析统计等。每个管理对象的页面内包含相关管理工具和档案查询。系统各相关服务之间通过SMTP内部邮件机制传递控制信息，通过网络信息数据库交换数据。
　　服务性能管理：采用先进的、实用的网络技术，对服务系统的主机运行状态和服务情况进行实时监测。系统通过ICMP、TCP、HTTP、DNS协议获取服务子网、服务主机、服务系统等的运行状态和服务有效性，所有显示服务失效的记录将存储到管理核查日志，并根据不同的运行状态，向管理员发送相应级别的邮件报告，这样便于管理员准确了解服务系统的运行状况，及时排除故障，并为服务系统的优化配置提供参考。
　　(管理员)管理：NIC管理系统管理维护一个CA(Certification Authority-权威认证机构), 签发和维护用户(管理员)证书，进行用户分组管理即将管理员按所管理的服务类型分组，从而灵活地定义管理员的职责和权限。
　　安全管理：系统安全管理着重服务子网级、主机级和应用级的安全。通过设置防火墙控制对NIC子网的访问；通过建立主机级防火墙和入侵检测维护主机安全；对于本系统更为重要的是，系统提供访问控制、用户认证、数据传输安全保密机制，以保证NIC管理系统本身的安全。
　　管理核查日志：NIC管理系统建立所有服务管理的运行报告，即记录服务每一个管理对象、管理动作、动作执行者、执行时间、执行者所在机器。这为管理员统计分析、检查服务的运行状况以及追踪异常事件提供了可靠的依据。
3 系统关键技术
　　NIC管理系统的基于Web的管理、数据一致性维护、系统安全机制、系统监测和自动恢复机制等保证了NIC服务的高可靠性、可用性、可伸缩性和安全性。
3.1 数据一致性的维护
　　注册服务、网络信息数据库是网络信息中心DNS配置管理的核心和基础。网络信息中心注册服务将所分配的网络地址记录，注册的网络域名记录以及相关的网络用户信息等存储在目录数据库。为了保持DNS数据库与网络信息数据库的一致性，注册服务并不直接操作DNS数据库，而是只操作网络信息数据库。然后通过SMTP内部邮件机制触发DNS配置管理模块，由配置管理模块读取网络信息数据库中的注册记录，再生成DNS配置命令，直至最终完成DNS数据库更新。
　　一般在NIC系统实际运行过程中，可能会引起数据不一致性的因素，主要是管理员不经NIC管理系统而直接修改DNS数据库配置。系统定期检查资源的DNS配置信息(域名和地址反向域)，并与网络信息数据库记录进行比较，如果发现不一致之处便通知管理员，由管理员决定更新网络信息数据库还是修改DNS配置。
3.2 系统安全机制
　　NIC服务管理安全性有3个层次：子网级、主机级、应用级。见图2。

图2 NIC管理系统安全机制
3.2.1 服务子网安全
　　一个安全NIC网络需要有防火墙将其与外部Internet隔离开以保护NIC内部网络的资源，比如防止未经许可的外部访问NIC服务系统。防火墙及其规则设置，实时监测网络可能遭攻击和入侵的各种特征是子网安全的重要部分。
3.2.2 服务主机安全
　　主机安全是确保安全有效地提供服务必不可少的方面。需要及时了解系统最新的安全修正补丁，跟踪安全讨论组，保证系统的完整性。建立主机级防火墙和入侵检测系统，检测主机的各种入侵企图，并积极作出反应 。
3.2.3 NIC管理系统安全
　　基于Web的NIC管理系统的安全性对于整个NIC的安全至关重要。因为管理服务器存储着核心数据库和服务管理工具，只有经过授权才能予以访问相应权限内的服务和数据，而在缺省的不加任何控制的情况下，基于Web应用的系统独立性和地理无关性使得任何人、从任何地方，都可以对服务系统进行几乎无所不能的操作。本系统利用了多种安全技术来保证NIC管理系统本身的安全，例如基于主机的访问控制、用户分组分级访问控制、基于证书的用户认证以及SSL协议数据保密传输等。
3.3 系统监测和自动恢复机制
　　通过服务性能管理，可以保障NIC服务的可靠性和可用性及有效性，包括对NIC服务和主机运行状况以及有效性进行实时监测和常见故障自动有效恢复。系统采用定时轮询(pool)方式，获取服务运行状态，检验服务的可用性和有效性。即系统以一定的周期利用ICMP ping子网连通性检查、RPC ping主机连接检测、Hostwatch获取主机的系统状态、Portmon服务端口监测等工具采集服务子网、主机、服务的状态参数；分析采集来的数据参数，生成性能图表，以不同的颜色来表示不同的状态，用彩色线条的长度表示系统利用百分比。
　　系统同时采用先进的MD5消息摘要算法定时验证系统数据和服务关键数据的完整性，确保数据(如WWW页面的HTML文字和图形)不被非法修改。这在很大程度上保证了服务的可靠性。 在发现异常情况之时，故障恢复会立刻被监测系统激活，进行相应的恢复工作。这种24x7的服务运行监测机制，可以快速解决出现的故障。服务监测所发现的异常以及故障恢复的每一次动作都将存储到管理核查日志，并以电子邮件的方式通知系统管理员。
4 CERNIC的管理情况分析与讨论
　　NIC管理系统在CERNIC安全运行已两年。图3为CERNIC管理情况的统计示例。包括：域名注册统计(月累计，行政区划统计)；地址分配统计(月累计，地区统计)；DNS服务曲线图等。资源注册整体呈增长趋势，其中，域名注册列前三位的省份：北京、江苏、广东，地址分配列前三位的地区：华北地区(北京)、华东南地区(南京)、华南地区(广州)。DNS服务曲线图是以dns.edu.cn服务器为例，记录了服务器的每秒服务请求数量以及重新启动的情况。总之，从这些图表不难推断CERNET网络发展的各个阶段和趋势。
　　
　　

图3 CERNIC管理情况统计示例
5 结束语
　　本文阐述了一个基于TCP/IP大型网络信息中心NIC管理系统及其关键技术。作为"九五"国家重点科技攻关计划专题的"先进网络管理与运行技术"S-Domain的子系统，现已通过国家验收鉴定。该系统下一步的工作，基于产品需求，进一步加强和完善系统功能，兼容未来新的Internet标准，如资源注册的IPv6地址分配[5]和iDNS域名注册[6]，安全传输标准TLS[7][8]等，使之成为全国性大型网络先进高效的网络资源管理的技术支撑。
作者单位：中国教育和科研计算机网络中心，清华大学网络中心，北京100084
参考文献
1 Hubbard K,Kosters M,Conrad D et al.Internet Registry IP Allocation Guidelines.RFC 2050, 1996-11
2 中国互联网络域名注册暂行管理办法.http:// www.cnnic.net.cn/policy.html
3 Fielding R,Gettys J,Mogul J.Hypertext Transfer Protocol -- HTTP /1.1.RFC 2068,1997-01
4 Freier A O,Karlton P,Kocher P C.The SSL Protocol Version 3.0. Internet-draft<draft-freier-ssl-version3-02.txt>,1996-11-18
5 Deering S,Hinden B.IP Version 
6 Addressing Architecture.RFC 2373,1998-07-206 Durst M.Internationalization of Domain Names.Internet-draft< draft-duerst-dns-i18n-01.txt>,1997-07
7 Dierks T,Allen C.The TLS Protocol v1.0.Internet-draft<draft-ietf- tls-protocol-06.txt>,1998-11-12
8 Rescorla E.HTTP over TLS.Internet-draft<draft-ietf-tls-https-01. txt>,1998-03
