先進的軍事網絡需要復雜的配置，不能再依賴于手動管理方法。命令行接口 （CLI） 和簡單網絡管理協議 （SNMP） 等方法存在，但它們的限制有些令人望而卻步。因此，最近出現了一種解決問題的新方法，稱為 NETCONF，這是一種基于 XML 的協議，專門設計用于通過提供自動化配置管理、改進的網絡安全性、強大的配置更改和基于策略的網絡管理 （PBNM） 來配置最苛刻的網絡情況。

通信網絡在現代戰爭和防御系統中發揮著越來越重要的作用。新興的以網絡為中心的作戰理論尋求通過分散部隊之間的聯網和信息共享，將信息優勢轉化為競爭性作戰優勢。美國海軍的合作交戰能力（CEC）、美國陸軍的未來作戰系統（FCS）和美國國防部的轉型衛星通信系統（TSAT）等項目正在轉向日益以網絡為中心的戰爭模式。

從網絡管理的角度來看，這種新興范式帶來了重大挑戰。軍事網絡比以往任何時候都更大、更多樣化，對任務的成功也更加重要。快速的部隊部署和不斷變化的操作推動了不斷的網絡配置變化。

在此環境中，配置錯誤很容易導致網絡中斷，并且系統停機有生命危險。監視、配置和控制這些網絡的軟件必須設計為高性能、連續服務、堅不可摧的安全性，并快速、無差錯地適應現代任務快速變化的需求。這最好通過基于標準的架構來實現，該架構提供強大的安全功能、強大的操作和適當的架構支持，以實現快速、無差錯的自動化配置。

當前的方法，如命令行界面和SNMP ‘?ì依賴于單個設備的手動配置或大型專有腳本’?ì庫，將無法滿足未來部隊的要求。但是，NETCONF 標準是一種基于 XML 的協議，專門設計用于支持自動配置管理，并提供改進的網絡安全性、強大的配置更改和基于策略的網絡管理。這些功能使其成為應對下一代軍事網絡管理挑戰的優雅而高效的解決方案。

當前方法的局限性

如前所述，存在不同的方法來管理網絡設備，包括 CLI 和 SNMP，但每種方法都有自己的局限性（請參閱表 1）。

表1

傳統命令行界面方法

管理網絡設備的傳統方法是使用手動配置接口，例如 CLI。但是，為每個網絡設備使用唯一的管理接口可能會導致設備之間缺乏一致性，以及缺乏與其他應用程序的集成。此外，手動配置單個設備，即使在中央管理控制臺的幫助下，由于生產力水平低和人為錯誤的可能性，也不是可擴展的方法。

自動化網絡管理活動的一種方法是為網絡中的設備開發 CLI 腳本，向每個單獨的設備發送文本命令，并分析其文本輸出。隨著新設備的添加，將編寫和測試新的腳本。腳本庫隱含地體現了網絡的所有知識。維護腳本成為一個持續的挑戰，也是引入人為錯誤的另一個機會。

要將臨時腳本連接到整合的管理服務器（如網絡管理系統或運營支持系統），需要一個“中介層”的調整。這開發和維護成本很高。此外，由于缺乏多個供應商設備的標準化腳本模型，以及缺乏確保整個網絡更改的一致性和正確性所需的鎖定和其他語義，多盒交易變得困難。一種優選的方法是將網絡體系結構和網絡元素形式化為一個完整且有凝聚力的數據模型，供管理系統和系統管理員使用。

SNMP 不適合配置管理

雖然 SNMP 已經建立起來并且適用于監控網絡設備，但它并不是配置管理的良好解決方案。首先，SNMP 通過用戶數據報協議 （UDP） 運行，這是一種不可靠的數據報協議。其次，SNMP 使用特定于協議的安全機制而不是標準方法，這增加了管理員的工作量并使網絡架構復雜化。第三，由于 UDP 限制了最大消息大小，因此無法在單個數據報中發送大型配置。最后，盡管一些供應商提供專有機制，但SNMP缺乏標準方法，無法允許網絡在發生配置錯誤時自動恢復到工作配置。由于這些原因，SNMP 在實踐中很少用于編寫配置。

IETF 和自動化配置管理

IETF已經承認需要改進自動化網絡配置的標準。在2006年12月，一個名為NETCONF的基于XML的協議最終確定（RFC 4741-4744）。設備供應商和網絡運營商正在利用NETCONF來促進網絡的可擴展部署，而不會有中斷配置錯誤的風險。圖 1 顯示了 NETCONF 協議的結構和層。

圖1

NETCONF提供了許多引人注目的功能，這些功能非常適合下一代軍事網絡對安全，強大，促進高度自動化，基于標準和商業支持的管理解決方案的特殊要求。

提高網絡安全性

NETCONF 是一種基于遠程過程調用 （RPC） 的協議，它對管理器和代理之間交換的協議消息和配置數據使用 XML 編碼。XML 請求和響應通過安全外殼 （SSH） 發送，SSH 是一種持久、安全、經過身份驗證的傳輸協議。加密可確保請求和響應是機密且防篡改的。除了安全的通信系統外，NETCONF 還要求設備跟蹤客戶端身份并強制執行與身份關聯的權限。這意味著可以通過不受信任的廣域網管理設備，與其他方法相比，這是一個明顯的優勢。通過WAN進行配置的另一個優勢是，網絡管理可以通過將所有管理整合到單個站點來集中，但也可以分散，因為多個站點可以共享設備管理工作。

強大的配置更改

NETCONF通過提供內置的保護措施來提高動態網絡的魯棒性，以確保在所有網絡設備上以有效和一致的方式進行配置更改。如圖 2 所示，配置更改最初將作為候選文件寫入，并且只有在沒有發生錯誤時才制定或提交。在配置的時間間隔后，設備會自動恢復到其原始配置，除非更改已由秒確認，確認提交。管理員可以使用此功能來測試可能會降低或禁用連接的配置。如果發生此類錯誤，確認提交不會到達配置錯誤的設備，并且在超時后，網絡會自動恢復到原始工作配置。

圖2

基于策略的網絡管理

NETCONF在事務管理方面的優勢也有助于基于策略的網絡管理，這種方法有望將網絡管理科學推向更高的自動化水平和對動態網絡條件做出反應的效率，但往往會引發頻繁的配置更改和復雜的多步驟事務。例如，NETCONF 提供了用于批量鎖定配置和操作配置的協議機制。通過同時鎖定和在多個設備上工作，基于 NETCONF 構建的管理系統可以將全網策略作為邏輯管理操作實施。

Tail-f Systems為企業級和運營商級網絡設備提供基于XML的網絡管理軟件，并在IETF網絡會議工作組中發揮積極作用。Tail-f的ConfD軟件（見圖3）使設備供應商能夠快速實現關鍵管理界面，包括CLI，Web UI，SNMP和NETCONF，具有強大的基礎架構，以滿足對高可用性和安全性的嚴格要求。ConfD 實現了與 NETCONF 標準相同的事務模型，用于跨所有管理接口的自動配置管理。

圖3

建立連接

軍事網絡比以往任何時候都更大、更復雜，并且在新興的以網絡為中心的行動理論下變得越來越關鍵。進入 NETCONF，它支持自動化配置管理，并提供改進的網絡安全性、強大的配置更改和基于策略的網絡管理，以幫助克服挑戰。

審核編輯：郭婷