专利名称:一种用户边缘设备管理方法和系统的制作方法
技术领域:
本发明涉及网络通讯技术领域,具体涉及一种用户边缘设备管理方法和系统。
背景技术:
BGP/MPLS VPN(边界网关协议/多协议标签交换虚拟专用网)是E.Rosen和Y.Rekhter于1999年提出的,最终形成RFC2547。BGP/MPLS VPN是一种运营商提供的VPN,简称PP VPN。
BGP/MPLS VPN中的VPN设备位于网络侧,由运营商为用户提供VPN服务,用户设备不需要感知VPN,只要连接到运营商提供的PE设备即可。
基于MPLS的VPN的基本结构如附图1所示。
图1中,基于MPLS的VPN主要由CE(Customer Edge)设备、PE(ProviderEdge)设备和P(Provider)设备组成。CE设备是用户网络中的一个组成部分,有接口直接与服务提供商相连,CE设备一般为路由器,且“感知”不到VPN的存在。PE设备是运营商网络的边缘设备,与用户的CE设备直接相连,PE设备一般为路由器,是运营商的边缘路由器。MPLS网络中,对VPN的所有处理都发生在PE路由器上;P(Provider)设备一般为路由器,是运营商网络中的骨干路由器,P设备不与CE设备直接相连,且P设备需要具有MPLS转发能力。
CE设备和PE设备的划分主要是从运营商与用户的管理范围来划分的,CE设备和PE设备是两者管理范围的边界。
CE设备与PE设备之间可以使用E-BGP或是IGP路由协议交换路由信息,也可以使用静态路由。CE设备不必支持MPLS或对VPN有感知。VPN内部PE设备之间通过MP-IBGP交换路由信息。
随着VPN业务的广泛应用,IP网络的规模和复杂度不断增加,NSM(网络业务管理)系统已逐渐成为运营商提高网络服务质量、合理使用网络资源、降低运营维护成本的关键。
由于客户委托运营商管理CE设备已逐渐成为一种发展趋势,因此,提供管理私网中CE设备的完备方案,已经成为NSM系统的关键课题。
目前,NSM系统管理私网中CE设备的方法主要有如下两种方法一、如附图2所示,图2中,PE设备和CE设备之间使用独立的IPV4链路,NSM系统通过IPV4链路与CE设备连通,NSM系统通过IPV4路由实现对CE设备的寻址,从而实现对CE设备的管理。
方法一虽然实现了在BGP/MPLS VPN中对CE设备的管理,但是,由于PE设备和CE设备之间需要独立的接口承载IPV4链路,所以,需要额外的资源开销,占用了网络设备资源,而且,由于在PE设备和CE设备之间建立了IPV4链路,不但增加了路由配置的复杂度、提高了管理成本和维护成本,还使不同用户的VPN互通,存在安全隐患。
方法二、如附图3所示,图3中,MPE(管理PE)设备和MCE(管理CE)设备之间使用IPV4链路实现对骨干网络中的网络设备的管理,同时,在MPE设备和MCE设备之间建立Supervision VPN,VPN中的每个CE都加入SupervisionVPN,NSM系统通过Supervision VPN与CE设备连通,实现对CE设备的管理。
方法二虽然实现了在BGP/MPLS VPN中对CE设备的管理,但是,由于每个CE设备都加入了Supervision VPN,使Supervision VPN中的每条VPN链路的IP地址都不能在同一网段,这显然不符合VPN的基本理论要求,RFC2547中明确规定,不同的VPN其IP地址可以相同。而且,由于VPN中的每个CE设备都加入Supervision VPN,使所有的CE设备对于MCE设备失去了VPN隔离的意义,存在安全隐患。
发明内容
本发明的目的在于,提供一种用户边缘设备管理方法和系统,管理端通过代理CE设备的PE设备对CE设备进行管理,充分利用了现有的网络资源,实现了提高网络安全性、完善网络侧对CE设备的管理机制、提高用户边缘设备管理效率、降低用户边缘设备管理成本的目的。
为达到上述目的,本发明提供的一种用户边缘设备管理方法,包括a、建立CE(用户边缘)设备与PE(运营商边缘)设备之间的代理关系;b、网络侧管理端将管理信息通过公网路由传输至代理CE设备的PE设备;c、PE设备根据管理端传输来的管理信息对其代理的CE设备进行管理。
所述网络侧管理端为网络业务管理系统。
所述管理信息为基于SNMP、或Telnet、或SSH的管理信息。
所述步骤a具体包括根据CE设备/PE设备中静态设置的代理信息建立CE设备与PE设备之间的代理关系;和/或根据PE设备与CE设备之间的协商建立CE设备与PE设备之间的代理关系。
所述步骤b具体包括b1、管理端确定需要执行管理操作的CE设备的标识信息;b2、管理端根据所述标识信息获取其与代理该CE设备的PE设备之间的该CE设备对应的管理通讯端口信息;b3、管理端将承载管理信息的代理请求通过管理通讯端口传输至PE设备。
所述管理通讯端口包括基于1至65535段的端口,且不同CE设备与PE设备之间的端口各不相同。
所述步骤b1具体包括管理端确定PE设备的VPN路由实例,并根据所述VPN路由实例和CE设备的IP地址确定需要执行管理操作的CE设备的标识信息。
所述步骤b2具体包括管理端通过公网路由将所述标识信息发送至代理所述需要执行管理操作的CE设备的PE设备;该PE设备根据其接收的标识信息确定所述需要执行管理操作的CE设备对应的管理通讯端口信息,并通过公网路由将管理通讯端口信息返回至管理端。
所述步骤c具体包括所述PE设备根据其接收的代理请求的协议在其与CE设备之间建立代理请求协议,并将所述承载有管理信息的代理请求传输至CE设备;所述PE设备将CE设备返回的代理请求响应信息根据管理通讯端口发送至管理端。
本发明还提供一种用户边缘设备管理系统,包括均位于网络侧的至少一个PE设备和管理端,且一个PE设备与至少一个CE设备存在代理关系;管理端将管理信息通过公网路由传输至代理CE设备的PE设备;PE设备根据其接收的管理信息对其代理的CE设备进行管理。
所述管理端包括确定标识信息模块确定需要执行管理操作的CE设备的标识信息,并将其传输至获取端口信息模块;获取端口信息模块根据其接收的标识信息从PE设备处获取需要执行管理操作的CE设备对应的管理端与PE设备之间的管理通讯端口信息,并传输至管理子模块;管理子模块根据其接收的管理通讯端口信息将承载有管理信息的代理请求通过管理通讯端口传输至PE设备,并通过所述管理通讯端口接收PE设备传输来的CE设备的代理请求响应。
通过上述技术方案的描述可知,管理端通过代理CE设备的PE设备对CE设备进行管理,使PE设备与管理端之间能够使用公网路由进行CE设备管理信息的通讯,使PE设备与CE设备之间能够通过原有的连接方式使用标准的网管协议进行CE设备管理信息的通讯,充分利用了现有的网络资源,避免了PE设备和CE设备之间设置承载IPV4链路的独立接口而引起的占用网络设备资源、增加路由配置复杂度、不同用户的VPN互通的现象;本发明中的CE设备不需要共同加入一个VPN,使CE设备的IP地址遵循RFC2547中不同VPN其IP地址可以相同的原则,使CE设备能够通过VPN相互隔离,避免了网络中的安全隐患;本发明中各CE设备对应的PE设备与管理端之间的管理通讯端口以为基于1至65535网段的端口,且可以通过管理端与PE设备的协商产生,使管理端如NSM能够安全、有效、便捷的实现对CE设备的管理;从而通过本发明提供的技术方案实现了提高网络安全性,完善网络侧对CE设备的管理机制,提高用户边缘设备管理效率,降低用户边缘设备管理成本的目的。
图1是基于MPLS的VPN的基本结构示意图;图2是现有技术的NSM系统管理私网中CE设备的方法示意图一;图3是现有技术的NSM系统管理私网中CE设备的方法示意图二;图4是本发明的NSM系统管理私网中CE设备的方法示意图;图5是本发明的NSM系统管理私网中CE设备的方法流程图。
具体实施例方式
本发明的核心是建立CE(用户边缘)设备与PE(运营商边缘)设备之间的代理关系,网络侧管理端将管理信息通过公网路由传输至代理CE设备的PE设备,PE设备根据管理端传输来的管理信息对其代理的CE设备进行管理。
下面基于本发明的核心思想、以NSM(网络业务管理系统)为网络侧的管理端为例对本发明提供的技术方案做进一步的描述。
本发明提出了一种全新的网络运营级的管理私网中CE设备的解决方案,为NSM在BGP/MPLS VPN中管理CE设备提供了一种全新的方法,实现原理如附图4所示。
图4中,BGP/MPLS VPN中的PE设备和其直接连接的CE设备之间建立了代理关系,PE设备为代理方,CE设备为被代理方,即PE设备为CE设备的上级代理,CE设备为PE设备的下级代理。网络侧的NSM对于BGP/MPLS VPN的私网中的CE设备的管理通过代理CE设备的PE代理实现。
PE设备和CE设备之间可采用多种方式来建立代理关系,如通过在CE设备中静态设置代理信息来建立PE设备与CE设备之间的代理关系,再如通过在PE设备中静态设置代理信息来建立PE设备与CE设备之间的代理关系,还有,通过PE设备与CE设备之间的动态协商来建立PE设备与CE设备之间的代理关系。当然,PE设备和CE设备之间的代理关系也可以通过上述方式的组合来实现。
由于NSM对CE设备的管理通过PE设备代理实现,所以,NSM与CE设备之间不需要使用VPN私网路由,NSM与每个PE设备之间通过公网路由实现连通性,即可实现NSM对CE设备的管理。
NSM在需要管理某个CE设备时,即需要向某个CE设备下发管理信息时,首先需要确定唯一标识该CE设备的标识信息,CE设备的标识信息在代理该CE设备的PE设备中应该是唯一的。CE设备的标识信息可以为代理该CE设备的vpn-instance(VPN路由实例)与该CE设备接入PE设备的IP地址的组合形式,如CE设备的标识信息为vpnin-stance&IP。NSM可以根据实际组网环境确定代理其需要管理的CE设备的PE设备、该PE设备的vpn-instance和其需要管理的CE设备的IP地址,因此,NSM能够在管理某个CE设备时,自动计算出CE设备的标识信息vpnin-stance&IP。
在确定了CE设备的标识信息后,NSM可以根据该标识信息通过多种标准的网管协议如SNMP(简单网络管理协议)、Telnet,SSH(Security Shell)等将管理信息通过公网路由下发至代理该CE设备的PE设备,委托PE设备对相应的CE设备进行管理。
为避免对标准网管协议的修改、扩展,在不对原有的标准网管协议进行任何修改的情况下,实现NSM对CE设备的管理,本发明中的NSM可以通过特殊的管理通讯端口和PE设备进行管理信息的传输,使NSM向不同的CE设备下发管理信息可以通过不同的管理通讯端口来实现,即每个CE设备唯一对应一个PE设备与NSM之间的管理通讯端口,这样,NSM下发的管理信息中就不需要携带CE设备的标识信息,PE设备在将CE设备的执行管理操作的响应消息返回至NSM时,响应消息不需要携带CE设备的标识信息,NSM也能够区分出是哪个CE设备的响应消息。
确定PE设备与NSM之间的管理通讯端口的过程可以由PE设备来实现,具体过程为NSM将CE设备的标识信息通过公网路由传输至PE设备,由PE设备根据CE设备的标识信息计算并确定该CE设备标识信息唯一对应的专用于传输该CE设备的管理信息及响应信息的管理通讯端口,然后,将该管理通讯端口信息通过公网路由传输至NSM。这里的管理通讯端口可以为基于1至65535段的端口。
NSM在通过与PE设备的协商得到了其需要管理的CE设备对应的管理通讯端口信息后,基于标准的网管协议、将管理信息承载于代理请求中通过管理通讯端口传输至PE设备,PE设备在接收到代理请求后,根据接收代理请求的管理通讯端口、利用标准的代理请求协议将管理信息传输至CE设备,并将CE设备返回的响应消息通过其接收代理请求的管理通讯端口返回至NSM。
下面结合附图5对本发明的CE设备的管理方法进行详细描述。
图5中,在步骤5-1、NSM确定需要执行管理信息的CE设备及代理该CE设备的PE设备,并根据PE设备的vpnin-stance和CE设备的IP地址计算出该CE设备的唯一组合标识如vpnin-stance&IP。
到步骤5-2、NSM根据CE设备的标识信息通过公网路由向代理该CE设备的PE设备申请管理该CE设备的管理通讯端口信息。
到步骤5-3、PE设备根据其接收的vpnin-stance&IP计算出管理通讯端口信息,并将该管理通讯端口信息通过公网路由返回至NSM,该管理通讯端口是PE设备与NSM之间的委托代理通讯端口,即该管理通讯端口是传输该CE设备的管理信息和管理响应信息的专用通讯端口。
到步骤5-4、NSM接收到管理通讯端口信息后,将承载有管理信息的代理请求通过管理通讯端口发送给PE设备。
到步骤5-5、PE设备通过管理通讯端口接收到代理请求后,识别该代理请求的协议,并在PE设备和CE设备之间建立标准的代理请求协议,将代理请求传输至CE设备,实现NSM的委托代理请求。
到步骤5-6、CE设备根据代理请求中承载的管理信息,执行相应的操作,并根据代理请求协议将执行结果即代理请求响应信息返回至PE设备。
到步骤5-7、PE设备将CE设备返回的代理请求响应信息通过步骤5-3中的管理通讯端口传输至NSM。NSM通过接收代理请求响应信息的管理通讯端口能够识别出是哪个CE设备返回的概率请求响应信息,从而,完成了有效、安全管理BGP/MPLS VPN专网中的CE设备的过程,为运营商解决“客户委托运营商管理CE设备”这一课题。
本发明提供的CE设备的管理系统包括管理端和至少一个PE设备,管理端和PE设备均位于网络侧,且PE设备代理与其之间连接的私网中的CE设备,PE设备代理的CE设备为一个或多个。
管理端可以为NSM,其主要功能由确定标识信息模块、获取端口信息模块和管理子模块来实现。
确定标识信息模块主要用于在需要对某个CE设备进行管理时,确定该CE设备的标识信息,该CE设备的标识信息可以为代理该CE设备的PE设备的VPN路由实例及该CE设备的IP地址信息等,并将CE设备的标识信息通过公网路由传输至获取端口信息模块。
获取端口信息模块主要用于根据其接收的标识信息从PE设备处获取需要执行管理操作的CE设备对应的管理端与PE设备之间的管理通讯端口信息,如将CE设备的标识信息传输至PE设备,PE设备在根据标识信息计算出管理通讯端口信息后,将管理通讯端口信息传输至获取端口信息模块。具体如上述方法中的描述。
管理子模块主要用于根据获取端口信息模块传输来的管理通讯端口信息将承载有管理信息的代理请求通过管理通讯端口传输至PE设备,并通过管理通讯端口接收PE设备传输来的CE设备的代理请求响应信息。具体如上述方法中的描述。
PE设备在接收到NSM传输来的CE设备的标识信息时,根据该标识信息计算出该CE设备对应的管理通讯端口信息,并将该管理通讯端口信息通过公网路由返回至NSM。PE设备在接收到NSM发送的承载有管理信息的代理请求时,识别该代理请求的协议,并在PE设备和CE设备之间建立标准的代理请求协议,将代理请求传输至CE设备。PE设备在接收到CE设备传输来的代理请求响应信息时,将该请求响应信息通过其接收代理请求的管理通讯端口返回至NSM。具体如上述方法中的描述。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包括这些变形和变化。
权利要求
1.一种用户边缘设备管理方法,其特征在于,包括a、建立CE(用户边缘)设备与PE(运营商边缘)设备之间的代理关系;b、网络侧管理端将管理信息通过公网路由传输至代理CE设备的PE设备;c、PE设备根据管理端传输来的管理信息对其代理的CE设备进行管理。
2.如权利要求1所述的一种用户边缘设备管理方法,其特征在于,所述网络侧管理端为网络业务管理系统。
3.如权利要求1所述的一种用户边缘设备管理方法,其特征在于,所述管理信息为基于SNMP、或Telnet、或SSH的管理信息。
4.如权利要求1、2或3所述的一种用户边缘设备管理方法,其特征在于,所述步骤a具体包括根据CE设备/PE设备中静态设置的代理信息建立CE设备与PE设备之间的代理关系;和/或根据PE设备与CE设备之间的协商建立CE设备与PE设备之间的代理关系。
5.如权利要求1、2或3所述的一种用户边缘设备管理方法,其特征在于,所述步骤b具体包括b1、管理端确定需要执行管理操作的CE设备的标识信息;b2、管理端根据所述标识信息获取其与代理该CE设备的PE设备之间的该CE设备对应的管理通讯端口信息;b3、管理端将承载有管理信息的代理请求通过所述管理通讯端口传输至PE设备。
6.如权利要求5所述的一种用户边缘设备管理方法,其特征在于,所述管理通讯端口包括基于1至65535段的端口,且不同CE设备与PE设备之间的端口各不相同。
7.如权利要求5所述的一种用户边缘设备管理方法,其特征在于,所述步骤b1具体包括管理端确定PE设备的VPN路由实例,并根据所述VPN路由实例和CE设备的IP地址确定需要执行管理操作的CE设备的标识信息。
8.如权利要求5所述的一种用户边缘设备管理方法,其特征在于,所述步骤b2具体包括管理端通过公网路由将所述标识信息发送至代理所述需要执行管理操作的CE设备的PE设备;该PE设备根据其接收的标识信息确定所述需要执行管理操作的CE设备对应的管理通讯端口信息,并通过公网路由将所述管理通讯端口信息返回至管理端。
9.如权利要求5所述的一种用户边缘设备管理方法,其特征在于,所述步骤c具体包括所述PE设备根据其接收的代理请求的协议在其与CE设备之间建立代理请求协议,并将所述承载有管理信息的代理请求传输至CE设备;所述PE设备将CE设备返回的代理请求响应信息根据管理通讯端口发送至管理端。
10.一种用户边缘设备管理系统,其特征在于,包括均位于网络侧的至少一个PE设备和管理端,且一个PE设备与至少一个CE设备存在代理关系;管理端将管理信息通过公网路由传输至代理CE设备的PE设备;PE设备根据其接收的管理信息对其代理的CE设备进行管理。
11.如权利要求10所述的一种用户边缘设备管理系统,其特征在于,所述管理端包括确定标识信息模块确定需要执行管理操作的CE设备的标识信息,并将其传输至获取端口信息模块;获取端口信息模块根据其接收的标识信息从PE设备处获取需要执行管理操作的CE设备对应的管理端与PE设备之间的管理通讯端口信息,并传输至管理子模块;管理子模块根据其接收的管理通讯端口信息将承载有管理信息的代理请求通过管理通讯端口传输至PE设备,并通过所述管理通讯端口接收PE设备传输来的CE设备的代理请求响应。
全文摘要
本发明提供一种用户边缘设备管理方法和系统,其方法的核心为建立CE(用户边缘)设备与PE(运营商边缘)设备之间的代理关系,网络侧管理端将管理信息通过公网路由传输至代理CE设备的PE设备,PE设备根据管理端传输来的管理信息对其代理的CE设备进行管理。本发明充分利用了现有网络资源,使管理端如NSM能够安全、有效、便捷的对CE设备管理,避免了为实现CE设备管理而引起的占用网络设备资源、增加路由配置复杂度、网络中存在安全隐患、CE设备的IP地址互不相同等现象;从而实现了提高网络安全性,完善网络侧对CE设备的管理机制,提高用户边缘设备管理效率,降低用户边缘设备管理成本的目的。
文档编号H04L12/54GK1949717SQ200510112919
公开日2007年4月18日 申请日期2005年10月14日 优先权日2005年10月14日
发明者姬彬, 纪晓峰 申请人:华为技术有限公司