目前，在各种企业或机构的内部私有局域网中，为了保障组织机构内部的网络安全、通信安全和数据安全，通常都有不允许随意接入未经许可的非法外部设备。由于内部私有局域网的覆盖范围一般较广，涉及多个部门或者分支机构，因此对于较为复杂的组织机构来说，如何监控内部私有局域网的非法外部设备接入并进行相应的处理，就成为具有现实意义的应用问题。本文通过设计并实现一种分布式、多线程模式的监控系统，来达成对于内部私有局域网非法外设接入的侦测和处理。系统使用SNMP(简单网络管理协议)协议作为内部私有局域网的网络管理底层协议，以C/S(Client/Server)结构作为构建分布式的基础，并对局域网内各个重要节点交换机进行相应配置，通过多线程并发处理机制实现。

1　关键技术

1.1　SNMP协议简介

SNMP协议(简单网络管理，Simple Network Management Protocol)由一组网络管理的标准组成，是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络节点(如服务器、工作站、路由器、交换机等)的标准协议。SNMP能够提高网络管理效能，及时发现并解决网络问题以及规划网络的增长。网络管理员还可以通过SNMP接收网络节点的通知消息以及告警事件报告等来获知网络出现的问题。

  

图1　SNMP通信

一般的SNMP使用场景中，存在着管理系统(NMS)和多个被管理设备，每一个被管理设备的系统上运行着一个叫做代理(Agent)的进程，通过SNMP响应管理系统发出的各种管理指令。SNMP通常使用面向无连接的UDP传输协议进行通信，每个SNMP指令包含一个PDU(协议数据单元，Protocol Data Unit)，第一版中定义了5种典型的PDU：GET REQUEST、GET NEXT REQUEST、GET RESPONSE、SET REQUEST、TRAP；其他PDU类型在SNMP第二版加入，包含：GETBULK REQUEST、INFORM。管理系统使用GET、GETNEXT和GETBULK指令获取信息，或是代理在没有被询问的情况下，使用TRAP或INFORM传回信息[1]，SNMP通信如图1所示。

1.2　MIB库

网络中被管理的每一个设备都存在一个MIB(管理信息库，Management Information Base)用于收集并储存管理信息，MIB是对象的集合，每个对象基本上是一个数据变量，它代表被管理的对象一方面的信息。定义了可以通过SNMP协议进行访问的管理对象的集合，即代理进程中所有可以被查询和修改的参数。MIB是一个树形结构的信息库，每一个对象信息就是一个树节点，拥有唯一的对象标识符(OID)[2]。因此，网络管理信息的数据可以由SNMP访问设备的MIB库的具体对象值来获取，再经过分析和加工处理得到所需信息。在只讨论Internet中的对象时只看Internet以下的子树，MIB库结构图如图2所示。可以看出Internet节点的标识符为{1.3.6.1}，再往下是管理信息库mib-2节点，其标识符为{1.3.6.1.2.1}。

原中国数学教师，在美国获得学位的马立平博士对美国的小学数学教育进行了深入的研究；对美国数学教师队伍之不合格，及小学数学课程标准结构与内容之不合理作出了令人信服的批评；在美国产生了极大的影响.

  

图2　MIB库结构图

2　监控系统的设计

2.1　系统架构设计

本系统采用分布式的C/S(客户端/服务端，Client/Server)架构，拥有一个中心服务端和多个用于监控内部私有局域网的各个网段的监控客户端；通过监控客户端对于各自部署网段的实时侦测，可以获取到任何时间接入到网络中的外部设备信息，并对获取的设备信息进行过滤、分析判断是否为非法外设，进而通过配置的不同告警、通知等方式告知管理员以便管理员进行相应处理。同时，各个客户端与中心服务端通过Socket连接通信，使用面向连接的TCP传输协议来传送相关数据及信息，中心服务端作为一个信息汇总的节点，可以接收到任何客户端传送来的网络状态信息及非法外设接入的告警信息。

2.2　系统主要功能设计

(1)监控客户端。监控客户端一般部署在内部私有局域网的各个子网段(如各部门或各分支结构)，主要监控方式是依据SNMP协议，通过侦测并获取被管理设备(主要是交换机、路由器等网段组织中的网络设备)中的代理进程主动发送的TRAP指令PDU，再对该PDU进行解析，得到交换机或者路由器中某个端口接入的外设信息，并对该外设信息在已有合法外设数据库中进行对比判断，最终判定是否为非法外设并发出相应告警或提示信息[3]。

设置告警方式：中心服务端也可设置不同的告警方式，例如语言告警、短信告警、Email告警等。语音告警可实现信息中心现场通知；短信告警可实现远程通知，需要配置连接相应运营商的短信网关，来转发告警短信给中心管理员；Email告警则需要配置邮件服务器发送告警邮件给中心管理员Email邮箱。

设置告警方式：对于侦测SNMP TRAP指令并对比得出的非法外设信息，监控客户端可设置不同的告警方式，例如语言告警、短信告警、Email告警等。语音告警可实现现场通知；短信告警可实现远程通知，需要配置连接相应运营商的短信网关，来转发告警短信给管理员；Email告警则需要配置邮件服务器发送告警邮件给管理员Email邮箱。

  

图3　系统架构图

初始化合法外设信息：为了初始化获取所有合法外设的接入信息，需要在使用监控客户端的初期，通过Telnet登录交换机或路由器进行合法外设信息的采集，获取MAC-端口映射表，并组织成数据库以便进行对比判断。此步骤依赖于监控客户端部署的子网段中所有合法外设均正常接入交换机或路由器，可较为完整地采集到所有合法外设的信息。

维护合法外设数据库：在运行监控客户端的过程中，有些外设是被临时允许接入或者是经过审批可以长期接入的合法外设，因此需要对合法外设的数据库进行相应维护，系统提供数据库维护功能，可以及时插入合法外设信息或者更新合法外设信息，以保证数据库中合法外设数据的完整性和一致性，做到不错报、不漏报。

根据位移加速度公式：推进过程位移S=35 mm，加速度a=1.75 m/s2，F动=ma=2.5 N。

查看历史记录：分为历史日志记录和历史告警记录，可分别查看记录保存的监控客户端的历史运行信息和非法外设接入的历史告警信息。

(2)中心服务端。中心服务端作为分布式架构的中心部分，一般部署于内部私有局域网的信息中心部门，由多个监控客户端进行Socket连接，一旦监控客户端侦测并得出非法外设接入的告警信息，除了监控客户端本地告警外，还同步将该告警信息通过TCP连接传送至中心服务端，向中心部门的高层管理员进行告警，告警方式同样包括语言告警、短信告警、邮件告警等。

多线程处理监控客户端的连接与交互：中心服务端通过多线程的模式，实时处理内部私有局域网中各子网段的监控客户端的连接与交互，实现分布式并发的运行机制。交互信息包括监控客户端的非法外设告警和监控客户端的连接状态告警，使中心服务端能及时掌握整个私有内部局域网的监控状态。

多线程侦测SNMP TRAP指令：SNMP的TRAP指令PDU默认端口为162，因此侦测并获取SNMP的TRAP指令PDU就需要监听客户端部署主机所在IP以及162端口，同时对于侦测到的多个TRAP指令进行多线程处理，互不干扰。此功能需要对监控客户端侦测的子网段的交换机或路由器进行SNMP TRAP指令配置，一旦交换机或路由器的某个端口有新接入的设备，代理进程就会主动将相应的TRAP信息发送到监控客户端的162端口[3]。

3　监控系统的实现

多线程处理监控客户端的连接与交互：创建CommThread类作为多线程处理的基础，用来监听并接收来自监控客户端的Socket连接， 并处理Socket连接中传输的交互信息[4]。对于交互信息中的监控客户端的连接状态告警，通过autoCheckClientStatus方法对比当前时间与最后一次接收到监控客户端的交互信息时间戳，如果超时就表明监控客户端与中心服务端的连接异常，需要中心管理员注意。

设置告警方式与监控客户端实现方式类似。

(1)监控客户端。

  

图4　客户端运行界面

多线程侦测SNMP TRAP指令：定义实现了org.snmp4j.CommandResponder接口的MultiThreadedTrapReceiver类，通过成员方法processPdu来处理传入的请求和PDU等信息，当接收到TRAP信息时，系统调用该方法。传入的请求为CommandResponderEvent对象，通过CommandResponderEvent对象的getPDU方法可获取到PDU对象，进而可以解析出PDU中的相应数据信息，对于PDU中MIB对象的OID也能通过进一步的解析得到，因此可以得知交换机或路由器的各种管理数据的当前值，例如获取当前接入子网段的外设MAC地址，判断是否为已知合法外设MAC地址。

(2) 区内地质环境较为脆弱，下伏灰岩浅层岩溶发育，形态多样，基岩面附近岩溶化程度较高，第四系覆盖层较薄，岩溶受断层及节理裂隙控制影响明显。浅层岩溶发育和覆盖层薄、结构松散成为地面塌陷产生的内因。矿坑开采透水及排水、降雨等是诱发地面塌陷及发展的外因。其中，矿坑涌水和干旱改变了地下水动力条件，使原来被堵塞的洞隙及其相连的下部排水通道复活，重新成为地下水集中活动的地段，地下水位的变化使覆盖层失去赖以稳定的顶托作用力，在上覆土体及降雨作用下，产生地面塌陷。

  

图5　中心服务端运行界面

初始化合法外设信息：定义TelnetLogin类，创建org.apache.commons.net.telnet.TelnetClient类对象作为成员变量，其中包括成员方法loginWithUser可通过用户名密码方式登录交换机或路由器，登录后可发送相应指令获取交换机或路由器上的外设信息。

设置告警方式：短信告警的实现为定义SMSSender类，创建org.apache.commons.httpclient对象作为连接运营商短信网关的成员对象，之后httpclient对象进行一系列参数设置如短信网关用户名、密钥、接收手机号与短信内容后，执行post方法将短信提交给短信网关并发送；Email告警的实现通过JavaMail类库实现，JavaMail包含了SMTP、IMAP和POP3 协议的实现。定义EmailSender类，创建javax.mail.internet.MimeMessage邮件对象作为成员变量，通过javax.mail.Session的Transport对象的sendMessage方法来将邮件对象发送至管理员配置的接收邮箱，Session对象设置SMTP协议来发送邮件，因此管理员需设置开启接收邮箱的SMTP开关。

由图1可知，酶解pH在4.0～5.5时，随着提取液pH的升高，龙牙楤木皂苷得率不断提高，在酶解pH 5.5时达到最大值，为3.89%。当酶解pH超过5.5，皂苷提取得率急剧下降，在酶解pH 6.5时皂苷得率下降22.37%，这可能是因为酶解pH不适宜既破坏酶的构想，也影响底物、辅酶及酶活性部位相关基因的解离程度，从而影响酶分子对底物分子的结合和催化，因此只有特定的pH值条件下，解离状态最适宜酶、底物和辅酶的相互结合，从而使酶反应速度达到最大值[17]。

本监控系统通过Java语言实现，由于Java应用的平台独立性和可移植性，使得部署本监控系统的主机操作系统并无特殊要求。系统主要功能的实现如下：

(2)中心服务端。

在地球上，可能再也找不到一处像山脉这样，能呈现出如此多变化的生态环境系统了。在这里，山谷是温暖的庇护所，里面生长着各种各样的动植物。裸露的山峰则被刺骨的寒风无情地扫过，只有极其坚韧的物种才能在如此恶劣的环境中生存。

4　结　语

本文提出目前企业或机构的内部私有局域网中有着不允许随意接入未经批准的外设的背景，并对SNMP协议及相关技术进行介绍分析，通过使用SNMP协议设计并实现一种C/S架构的分布式、多线程模式的监控系统，来达到对于内部私有局域网非法外设接入的侦测和告警处理。经过实际使用，该监控系统具有较高的实用价值和部署灵活性。

对去细胞处理后保存有神经基底膜管的实验组大鼠股神经皮支和肌支行拉曼光谱分析，显示股神经皮支和肌支波峰出现位置无差异，主要含有脂类和蛋白质及微量核酸（见图6）。

(1)子曰：下之事上也，不从其所命，而从其所行，上好[此物也，下必有甚焉者矣。故]上之好恶，不可不慎也，民之表也。(《缁衣》)

参考文献：

[1] 帅明,顾江涛.基于SNMP协议的校园网络管理[J].软件导刊,2016,15(1):28-30.

[2] 王晓东,杨学海.SNMP在C/S模式远程监控管理系统设计中的应用[J].电讯技术,2010,50(1):87-92.

[3] 皮滔,陶阳.基于交换机集群网络的自陷收集方法的研究[J].光通信研究,2011,37(1):28-30.

——上海市委办公厅印发的《关于市管国有企业经营管理活动中防止领导人员利益冲突的办法（试行）》，从经营业务往来、投资融资合作、企业改革改制、人员使用安排、个人经济往来等方面，对企业领导人员在履行经营管理职责中可能发生的利益冲突提出了“七个不得”的具体规定。对此，上海市纪委书记、监委主任廖国勋说。（《人民日报》11月6日）

[4] 任小强,陈金鹰,李文彬,等.网络通信之Java Socket多线程通信[J].信息通信,2015(6):206-207.