基于策略的网络管理是一项十分有前景的技术，应用范围广。首先，这种技术基于规则，因此对于策略的建立，修改和删除十分简单，并且不会影响其他策略的执行。其次，由于一条策略可以运用于一类相同类型的执行对象，所以大量的网络配置任务可以得到缩减。最后，许多异类网络可以通过统一的策略集进行管理，这些策略是符合ietf标准的。

　　基于策略的网络管理的基本目标是使用户在较高的层面上表示、配置信息或提供配置管理的模板，网络管理员不必了解设备的具体细节就可完成对设备的配置管理，从而大大简化了网络的配置和管理。

　　1．体系结构

　　ietf制定的基于策略的网络管理体系结构（policy-based network manage-ment，pbnm）如图1所示，由4个核心组件构成：策略管理工具（pmt），或称策略控制台，它是网络管理人员定义和编辑策略的一种管理工具；策略决策点（pdp），又称策略服务器，它负责通知交换机和路由器该如何处理不同类型的流量；策略数据仓库（pr），这是用于保存策略的目录服务器；策略执行点（pep），它通过访问列表，队列管理算法和其他方式执行策略的网络设备，如被策略激活的交换机或路由器等。

　　图1 基于策略的网络管理体系结构

　　管理是为了维护和改善系统的功能而对系统的行为进行监视和控制，管理者要监视系统各个组成部分的状态，接收包含最新信息的事件，然后管理者根据策略的要求、目标和策略解释收到的事件来决定采取何种的管理行动。被管对象除了有它的功能接口外，还有管理接口。手工或自动管理者通过远程调用被管对象的管理接口来管理被管对象。

　　2．域的概念

　　域提供了一种灵活的方式来组织一个大系统中的对象，一个对象可以是多个域的成员。域类似于文件系统中的目录，对象在一个域中要有唯一的名字；多个域成员中的对象可以在全局中有多个命名路径。

　　域对象一直在域服务器中维护，但只有一个域服务来维护根域。所以域服务是通过一组分布在系统中的域服务器来提供的。

　　3．管理模式

　　基于策略的网络管理的管理模式共有三种：授权管理、智能代理和管理策略。

　　（d授权管理

　　在被管主机上增加代理的计算能力，在代理上设置一个弹性进程，使该代理成为一个弹性服务器。管理应用程序允许把本来由自己完成的部分控制功能委派给代理上的弹性进程来完成。

　　（2）智能代理

　　智能代理不仅分担管理者部分计算工作给弹性服务器来完成，还把部分做决策的程序委派给弹性服务器来完成。智能代理和授权管理的区别是是否使用推理引擎。

　　（3）策略管理

　　策略管理把管理行为的控制和实现分割开来。也就是说，管理策略定义了管理行动什么时候必须要执行，没有定义该管理行动如何执行，管理者只知道管理策略被分布在网络中的代理来执行，而如何执行则由代理自行实现。

　　4．管理策略

　　在管理策略中，把策略的定义和执行分割开来，允许管理代理修改策略以改变管理系统的行为和决策，而不用对管理者重新编程。因此管理系统可以禁止原有策略或启用新策略，而不用关闭系统就能适应变化。

　　管理策略分为授权策略和约束策略，授权策略定义了一个主体可以对一组目标对象采取管理行动；约束策略定义了一个主体必须或不能对一组目标对象采取行动。系统中的策略是针对对象域的，这样，大规模的系统不必对系统中的每个对象定义不同的策略，而是成组的定义策略。策略在完成行动的主体和行动的目标对象之间建立了关系。在策略定义中使用限制条件以限制策略的使用范围，这些限制条件可分为：时间限制、参数值限制和预定义限制。

　　管理者作为约束策略的主体，收到策略中定义的事件就执行管理策略中定义的行动，该行动首先要通过管理者约束策略的过滤，到达被管目的对象后还要通过授权策略的认证，最后才能真正对被管对象进行操作。

　　当策略已经分布到管理者后，执行的过程如下：①管理人员通过策略编辑器通知策略服务器，使之能约束策略；②策略服务器通过与管理者交互，使相应的策略生效；③管理者向域服务器发出查询监视模块标识符的请求；④域服务器向管理者返回监视模块的对象标识符；⑤管理者向监视服务模块注册，希望获得策略中定义的事件的发生通知；⑥管理者监视服务模块检查到该事件发生后发出事件通知；⑦管理者根据策略的定义采取相应的管理行动。

　　当多个策略应用到相同的对象时，可能存在某种形式的冲突。冲突可分为以下几类：①相同类型策略冲突；②约束策略和授权策略冲突；③对资源并发访问时导致的优先级冲突；④责任的冲突：两个授权策略同时作用于目标对象和主体；⑤利益的冲突：如一个人不能同时