专利名称:网络设备的管理方法及网络管理系统的制作方法
技术领域:
本发明涉及网络管理领域,尤其涉及一种网络设备的管理方法及应用该方法的网络管理系统。
背景技术:
目前计算机网络的发展和普及速度很快,网络的规模越来越大,结构越来越复杂。对网络中的各种网络设备进行有效的管理,是保障网络高效、稳定运行的前提。因此,网络管理也处于越来越重要的地位。
传统的网络管理系统如图1所示。网络设备120和网络设备130由网管站110管理,网管站110通过SNMP(Simple Network Management Protocol,简单网络管理协议)协议与网络设备120上的代理模块121、网络设备130上的代理模块131交互,向代理模块121和131发出请求报文,查询网络管理变量的数值或者执行管理操作,完成管理功能。
代理模块121接收来自网管站110的请求报文,根据请求报文中指定的事项,收集网络设备120上的管理变量值生成响应报文回送给网管站110,或者执行相应的管理操作。当网络设备120的状态满足设定的条件,例如当接口状态发生改变、CPU(Central Process Unit,中央处理器)利用率超过阈值时,代理模块121会主动向网管站110上报告警信息。代理模块131的工作方式相同。
为了能方便、灵活地对网络设备120和130进行管理,网管站110可以通过Telnet(远程登录)登录到控制台模块122和132,以命令行的方式对网络设备进行配置管理。
这种网络管理方法是一种主动式的管理,网管站能够对网络设备进行管理的前提是网管站预先知道被管理网络设备的IP地址,并且该IP地址网管站能够访问的。但在实际应用的网络中,有的网络设备位于NAT(NetworkAddress Translation,网络地址转换)网关内部,只具有私网IP地址,位于外部网络的网管站无法直接访问;有的网络设备的采用动态分配的IP地址,每次IP地址重新分配后都需要修改网管站上的设置,使用极其不便。
中国专利CN1505322公开了一种将网络设备组合成集群进行管理的方法,由至少一个具有公网IP的网络设备作为集群管理设备,负责在集群外的网管站之间和其他集群内具有私网IP的网络设备之间进行网络管理报文的路由。这种方法仍然需要具有公网IP的集群管理设备,并没有从根本上解决对私网IP的网络设备的管理问题,并且集群管理设备会成为整个网络管理系统潜在的性能瓶颈和故障点。
发明内容
本发明要解决的是现有技术中位于公网的网管站不能直接管理位于NAT网关内部具有私网IP的网络设备,和对具有动态IP地址的网络设备管理不便的问题。
本发明所述网络设备的管理方法包括以下步骤在网管站上保存与网络设备对应的标识;网络设备向网管站发送包括其标识的管理请求报文;网管站通过管理请求报文中的标识识别网络设备,通过管理请求报文与应答报文的交互对网络设备进行管理;所述应答报文为网管站向网络设备返回的报文。
优选地,在网络设备向网管站发送管理请求报文前,在网管站和网络设备上保存该网络设备的认证信息;所述管理请求报文中还包括所述网络设备的认证信息;
在对网络设备进行管理前,管理站根据其保存的认证信息和管理请求报文中的认证信息认证网络设备的身份。
优选地,在符合一项或一项以上以下条件时,网络设备向网管站发送管理请求报文固定周期计时到;或网络设备上发生设定事件;或满足网管站在上次应答报文中指定的条件。
优选地,所述在网管站上保存被管理网络设备的标识具体为在网管站上设定被管理的网络设备的标识,保存该标识与网络设备的对应关系。
优选地,所述在网管站上保存被管理网络设备的标识具体为网管站根据网络设备的特征信息自动生成网络设备的标识,保存该标识与网络设备的对应关系;在网管站上保存标识之后还包括网管站向所述网络设备发送应答报文,其中包括所述网络设备的标识。
优选地,网管站自动生成网络设备的标识之前包括在网管站上设置鉴权数据;网管站接收网络设备包括鉴权信息的鉴权请求报文,当所述鉴权信息与鉴权数据相匹配时判定该网络设备由本网管站管理。
优选地,所述管理请求报文中还包括管理任务标识,网管站与发送所述管理请求报文的网络设备根据所述管理任务标识执行对应的管理任务。
优选地,所述管理任务包括设备运行状态上报、设备文件上传、设备告警上报、设备软件升级或设备配置命令。
本发明提供了一种应用上述管理方法的网管站,包括请求接收模块、应答发送模块、管理模块和标识存储模块,其中
请求接收模块用于接收网络设备发送的请求报文;应答发送模块用于向网络设备发送应答报文;标识存储模块用于存储包括标识在内的网络设备信息;管理模块由请求接收模块接收的请求报文中的标识,通过标识存储模块查找对应的网络设备,执行管理操作,生成应答报文,并传输至应答发送模块。
优选地,所述存储在标识存储模块中的网络设备信息还包括认证信息;所述网管站还包括认证模块,用于根据请求报文中的认证信息与存储的认证信息是否匹配对发送请求报文的网络设备进行身份认证,通过认证后启动管理模块工作。
优选地,还包括鉴权模块和标识生成模块,其中当请求接收模块接收到的请求报文中包括鉴权信息时,鉴权模块根据该鉴权信息判定发送请求报文的网络设备属于所述网管站管理后,启动标识生成模块工作;标识生成模块根据请求报文中所述网络设备的特征信息生成该网络设备的标识,存储在标识存储模块中,并生成包括该标识的应答报文通过应答发送模块发送给所述网络设备。
本发明还提供了一种应用所述管理方法的网络管理系统,包括网管站和至少一台被管理的网络设备,其中所述网管站保存所述网络设备的标识,根据接收到请求报文中的标识查找对应的网络设备,通过与所述网络设备交互请求报文和应答报文对该网络设备进行管理;所述网络设备向所述网管站发送包括其标识的请求报文,接收所述网管站返回的应答报文,执行管理操作。
本发明中网管站采用标识而非IP地址来识别网络设备,通过对网络设备主动发送的请求报文进行应答的方式实现对网络设备的管理,从而可以对具有动态IP地址的网络设备和位于NAT网关内部的网络设备等现有技术中难于管理的网络设备进行有效的管理;同时,本发明还可以与传统的网管技术相结合,互为补充,实现对复杂网络的全面管理。
图1为现有技术中网络管理系统的结构示意图;图2为本发明所述网络设备管理方法的流程图;图3为本发明中自动生成网络设备标识的流程图;图4为本发明所述网管站的结构图。
具体实施例方式
如前所述,位于外部网络的节点不能任意访问位于NAT网关内部的节点,但内部网络的节点可以从外部网络中得到其请求的数据。也就是说,当NAT网关内部的节点主动向外部网络中的节点先发送报文后,对该报文的应答可以通过NAT网关。
同理,要主动访问具有动态IP地址的节点必须事先知道该节点的IP地址,但当该节点先发送报文后,对该报文的应答也可以到达该节点。
因此,本发明中采用被动式的网络管理方法,即由被管理的网络设备主动和网管站建立连接,网管站对其请求进行响应,这样网管站与被管理的网络设备之间通过请求报文和响应报文进行管理信息、管理指令、管理文件的交互,从而完成网络管理工作。
图2所示为本发明网络管理方法的流程。在步骤S10,在网管站上保存与被管理网络设备对应的标识。可以在网管站上建立被管理网络设备列表,在表中保存被管理网络设备的标识。
在本发明中,由于IP地址对应的网络设备对网管站而言是未知的,网管站无法根据报文的IP地址来区分当前正在管理的是哪一个网络设备,因此需要为每个被管理的网络设备配置一个标识,使得每个网络设备的标识与其他由同一个网管站管理的网络设备不同。令报文中携带此标识,以便网管站能够得知该报文来自于哪一个被管理的网络设备。
标识的配置方法可以由用户自主设定。例如,可以人为地为每一个被管理的网络设备指定一个不同的标识,将这些标识及其与被管理的网络设备的对应关系保存在网管站上。此时,网管站只能对预先已存储的网络设备进行管理。
标识也可以自动生成,由网管站根据被管理的网络设备自身的特征信息按照一定的算法自动生成标识,由上述算法来保证每个网络设备的标识与其他网络设备不同。网管站在应答报文中将自动生成的标识发送给对应的网络设备,供其在管理请求报文中使用。例如,可以采用网络设备的MAC(MediaAccess Control,媒介接入控制)地址作为特征信息,在网管站上对MAC地址采用Hash(哈希)算法来生成与其他网络设备不同的标识。
在自动生成标识的情况下,网管站可以在收到网络设备的首次请求时将其作为被管理的设备。此时本发明推荐的流程如图3所示,在步骤S11,在网管站上设置鉴权数据;在步骤S12,网管站接收到网络设备发出的鉴权请求报文,在鉴权请求报文中包括已配置在该网络设备上的鉴权信息;在步骤S13,网管站判断鉴权信息与鉴权数据是否匹配,如果否,则丢弃该鉴权请求报文;如果是,则该网络设备由该网管站管理,执行步骤S14;在步骤S14,网管站根据鉴权请求报文中包括的该网络设备的特征信息自动生成标识;在步骤S15,网管站保存所生成的标识与该网络设备的对应关系。
请再参阅图2,在步骤S20,在网管站上保存被管理网络设备的认证信息。
在步骤S30,在网络设备上保存其认证信息和网管站的网络地址。
在步骤S40,网络设备主动与网管站建立连接,根据网管站的网络地址向网管站发送管理请求报文,其中包括该网络设备的标识。
本发明中,可以在网络设备上设置发送请求报文的条件,包括但不限于以下几种固定时间周期计时到时发送请求报文;事件触发方式,即当网络设备上发生设定事件时发送请求报文,如网络设备上电或网络设备发生故障等;网管站在上一次的应答报文中指定下一次请求的条件,当指定的条件满足时发送请求报文,如在收到应答报文后10分钟发送请求报文。
上述条件可以组合使用。
为了保证网管站只对其管理范围内的网络设备进行管理,而免受非管理范围内网络设备的干扰,可以在管理请求报文中增加用于认证网络设备身份的认证信息。在步骤S50,网管站根据管理请求报文中的认证信息和其保存的认证信息是否匹配来对网络设备的身份进行认证。如果网络设备未通过认证,则网管站丢弃该管理请求报文,网管站只对通过身份认证的网络设备进行管理。
认证信息需要预先设置在网络设备上。认证信息可以是口令,也可以是数字证书,或者采用其他的认证方式。
在步骤S60,网管站通过管理请求报文中的标识识别网络设备。
在步骤S70,网管站通过管理请求报文与应答报文的交互对网络设备进行管理。
网管站与网络设备之间执行的管理任务可以由网络设备在管理请求报文中指定,也可以由网管站在管理请求报文的应答消息中指定。由于执行管理任务的策略通常配置在网络设备上,因此本发明推荐在管理请求报文中包括管理任务标识,由网络设备来指定本次请求与应答所执行的管理任务。
本发明中的管理任务及其执行方式包括A.设备运行状态上报网络设备在管理请求报文中携带当前运行状态信息,网管站从管理请求报文中获取网络设备的运行状态,进行处理后,将处理结果在应答报文中发送给网络设备;B.设备文件上传网络设备在管理请求报文中携带上传的文件信息,网管站从管理请求报文中获取上传的文件信息,进行处理后,将处理结果在应答报文中发送给网络设备;C.设备告警上报网络设备在管理请求报文中携带故障告警的详细信息,网管站从管理请求报文中获取故障告警信息,进行处理后,将处理结果在应答报文中发送给网络设备;D.设备软件升级网络设备在管理请求报文中携带设备软件升级的管理任务标识,网管站在应答报文中将软件升级文件发送给网络设备;网络设备根据软件升级文件执行软件升级操作,执行完毕后发送结果请求报文通知网管站升级结果,网管站发送应答报文通知网络设备收到升级结果;E.设备配置命令网络设备在管理请求报文中携带设备配置命令的管理任务标识,网管站在应答报文中将配置命令信息发送给网络设备;网络设备根据配置命令信息执行配置命令,执行完毕后发送结果请求报文通知网管站升级结果,网管站发送应答报文通知网络设备收到升级结果。
在上述管理任务中,在网管站上和在网络设备上如何进行具体的管理操作、以及管理任务涉及的状态、文件等信息,在本发明中都可以采用现有网管技术相同的方法。因此,本发明中的网管站部分通过修改现有的网管软件实现,并且可以实现原有的各种功能。
在本发明中,网管站与网络设备之间的通信协议只要可以通过NAT网关即可,既可以采用现有的HTTP(Hyper Text Transfer Protocol,超文本传输协议)、Telnet等协议,也可以使用用户自定义的私有协议。
本发明中的网络设备管理方法对其应用的网络管理系统的结构和组成没有特殊要求,尤其是对被管理网络设备是否位于私网内部和其IP地址的获取方式没有要求。
本发明适用的典型网络管理系统包括网管站和至少一台被管理的网络设备,网管站保存有被其管理的网络设备的标识,在接收到网络设备的请求报文时,根据请求报文中的标识识别对应的网络设备,在与该网络设备之间的请求报文和应答报文中传递状态信息、配置信息、升级软件等,进行网络管理工作。被管理的网络设备主动向网管站发送包括其标识的请求报文,接收网管站对该请求报文的应答报文,根据请求报文或应答报文中的信息执行相应的管理操作。
网管站和网络设备的每次交互所完成的网络管理任务可以由网络设备在请求报文中指定,网管站根据请求报文中的管理任务标识对网络设备进行相应的管理;每次的管理任务也可以由网管站在返回给网络设备的应答报文中指定,网络设备根据应答报文中的管理任务标识执行相应的管理操作。
网管站的内部结构如图4所示,请求接收模块420与认证模块410、鉴权模块430、管理模块440连接,网络设备发送的请求报文由请求模块420接收;标识存储模块450与认证模块410、管理模块440、标识生成模块460连接,其中存储着与包括标识、认证信息在内的被管理网络设备的信息;应答模块470与管理模块440、标识生成模块460连接,用来向网络设备发送应答报文。
当请求接收模块420接收到网络设备发送请求报文中包括鉴权信息时,将该鉴权请求报文传输至鉴权模块430。鉴权模块430中存储着网管站的鉴权数据,当鉴权数据与鉴权信息相匹配时鉴权模块430判定发送请求报文的网络设备属于所述网管站管理,将鉴权请求报文传输至标识生成模块460,启动标识生成模块460工作。如果鉴权数据与鉴权信息不匹配,则鉴权模块430丢弃该鉴权请求报文。
标识生成模块460根据鉴权请求报文中包括的网络设备特征信息生成该网络设备的标识,将标识存储在标识存储模块450中;同时,标识生成模块460生成包括该标识的应答报文,通过应答发送模块470发送给网络设备。网络设备的特征信息可以是网络设备的MAC地址。
在请求接收模块420接收到网络设备的管理请求报文后,认证模块410根据请求报文中的认证信息中对发送请求报文的网络设备进行身份认证,即判断请求报文中的认证信息与存储在标识存储模块450中该网络设备的认证信息是否匹配,通过认证后启动管理模块440工作。
管理模块440根据请求接收模块420接收的请求报文中的标识,在标识存储模块450中查找出对应的网络设备,对该网络设备进行管理;在执行相应的管理操作后生成应答报文,并传输至应答发送模块470。网管站所进行的各种管理任务的具体执行由管理模块440完成。
以下为本发明中网络管理系统的一个优选实施例。网络设备的标识采用人为指定的方式;在网管站上预先配置被管理的网络设备列表,其中包括网络设备的标识、认证口令等信息;在被管理的网络设备上预先配置网络设备的标识、认证口令、网管站的IP地址、管理策略等信息。
网管站用认证口令对网络设备进行认证,网络设备每次发送给网管站的请求消息中都要包含其标识和认证口令;由于管理策略配置在网络设备上,每次进行的管理任务由网络设备通过请求报文中的管理任务标识指定;网管站与网络设备之间采用HTTP协议进行通信。
网络设备每隔一定时间向网管站发送请求报文,访问的时间间隔和每次发送的管理请求报文中的管理任务标识由网络设备上配置的管理策略决定。
当管理任务为设备运行状态上报时,网管站与网络设备之间的交互流程如下
网络设备向网管站发送管理请求报文,管理任务标识为1,请求报文中包含网络设备的标识、认证口令、网络设备当前的运行状态信息;网管站收到管理请求报文,认证网络设备;认证通过后,网管站根据管理任务标识对请求报文进行处理,从请求报文中获取网络设备的运行状态信息;网管站处理完毕,给网络设备发送应答报文,管理任务标识为2,通知处理结果。
当管理任务为设备文件上传时,网管站与网络设备之间的交互流程如下网络设备向网管站发送管理请求报文,管理任务标识为3,请求报文中包含网络设备的标识、认证口令、网络设备要上传的文件信息;网管站收到管理请求报文,认证网络设备;认证通过后,网管站根据管理任务标识对请求报文进行处理,保存请求报文中上传的文件;网管站处理完毕,给网络设备发送应答报文,管理任务标识为4,通知网络处理结果。
当管理任务为设备软件升级时,网管站与网络设备之间的交互流程如下在网管站上为网络设备指定要升级的软件;网络设备向网管站发送管理请求报文,管理任务标识为5,请求报文中包含网络设备的标识、认证口令等信息;网管站收到管理请求报文,认证网络设备;认证通过后,网管站根据管理任务标识对请求报文进行处理,检查是否为该网络设备指定了要升级的软件;网管站处理完毕,给网络设备发送应答报文,如果为该网络设备指定了要升级的软件,则在应答报文中通知网络设备进行软件升级操作,并将要升级的软件传输给网络设备,管理任务标识为6;否则通知网络设备不需要进行软件升级操作,管理任务标识为7;网络设备收到应答报文,如果其中的管理任务标识为7,则本次交互流程结束;如果其中的管理任务标识为6,则从应答报文中获取要升级的软件并进行升级操作;网络设备升级完毕,向网管站发送结果请求报文,管理任务标识为8,通知软件升级结果;网管站收到结果请求报文,处理后给网络设备发送应答报文,管理任务标识为9,通知网络设备已收到升级结果。
当管理任务为设备配置命令时,网管站与网络设备之间的交互流程如下在网管站上为网络设备指定要执行的配置命令,可以是单条配置命令,也可以是一个批处理配置命令;网络设备向网管站发送管理请求消息,管理任务标识为10,请求报文中包含网络设备的标识、认证口令等信息;网管站收到管理请求报文,认证网络设备;认证通过后,网管站根据管理任务标识对请求进行处理,检查是否为该网络设备指定了要执行的配置命令;网管站处理完毕,给网络设备发送应答报文,如果为该网络设备指定了要执行的配置命令,则在应答报文中通知网络设备执行配置命令,并将要执行的配置命令传输给网络设备,管理任务标识为11;否则通知网络设备不需要执行配置命令,管理任务标识为12;网络设备收到应答报文,如果应答报文的管理任务标识为12,则本次交互流程结束;如果应答报文的管理任务标识为11,则从应答报文中获取要执行的配置命令并执行;网络设备执行完毕,向网管站发送结果请求报文,管理任务标识为13,通知命令执行结果;网管站收到结果请求报文,处理后给网络设备发送应答报文,管理任务标识为14,通知网络设备已收到配置命令执行结果。
当管理任务为设备告警上报时,网管站与网络设备之间的交互流程如下网络设备上产生了故障告警后,网络设备向网管站发送管理请求报文,管理任务标识为15,请求报文中包含网络设备的标识、认证口令、故障告警的详细信息;网管站收到管理请求报文,认证网络设备;认证通过后,网管站根据管理任务标识对请求报文进行处理,从请求报文中获取故障告警信息;网管站处理完毕,给网络设备发送应答报文,管理任务标识为16,通知处理结果。
本发明可以对动态分配IP地址的网络设备和位于NAT网关内部的网络设备等现有技术中难于管理的网络设备进行有效的管理;由于本发明采用了网络设备主动,网管站被动的方式进行管理,便于实现对大量远程设备的批量自动配置和升级;本发明还可以与传统的网管技术相结合,互为补充,实现对复杂网络的全面管理。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
权利要求
1.一种网络设备的管理方法,其特征在于,包括以下步骤在网管站上保存与网络设备对应的标识;网络设备向网管站发送包括其标识的管理请求报文;网管站通过管理请求报文中的标识识别网络设备,通过管理请求报文与应答报文的交互对网络设备进行管理;所述应答报文为网管站向网络设备返回的报文。
2.按照权利要求1所述网络设备的管理方法,其特征在于在网络设备向网管站发送管理请求报文前,在网管站和网络设备上保存该网络设备的认证信息;所述管理请求报文中还包括所述网络设备的认证信息;在对网络设备进行管理前,管理站根据其保存的认证信息和管理请求报文中的认证信息认证网络设备的身份。
3.按照权利要求1所述网络设备的管理方法,其特征在于,在符合一项或一项以上以下条件时,网络设备向网管站发送管理请求报文固定周期计时到;或网络设备上发生设定事件;或满足网管站在上次应答报文中指定的条件。
4.按照权利要求1所述网络设备的管理方法,其特征在于,所述在网管站上保存被管理网络设备的标识具体为在网管站上设定被管理的网络设备的标识,保存该标识与网络设备的对应关系。
5.按照权利要求1所述网络设备的管理方法,其特征在于,所述在网管站上保存被管理网络设备的标识具体为网管站根据网络设备的特征信息自动生成网络设备的标识,保存该标识与网络设备的对应关系;在网管站上保存标识之后还包括网管站向所述网络设备发送应答报文,其中包括所述网络设备的标识。
6.按照权利要求5所述网络设备的管理方法,其特征在于,网管站自动生成网络设备的标识之前包括在网管站上设置鉴权数据;网管站接收网络设备包括鉴权信息的鉴权请求报文,当所述鉴权信息与鉴权数据相匹配时判定该网络设备由本网管站管理。
7.按照权利要求1至6任意一项所述网络设备的管理方法,其特征在于所述管理请求报文中还包括管理任务标识,网管站与发送所述管理请求报文的网络设备根据所述管理任务标识执行对应的管理任务。
8.按照权利要求7所述网络设备的管理方法,其特征在于所述管理任务包括设备运行状态上报、设备文件上传、设备告警上报、设备软件升级或设备配置命令。
9.一种应用权利要求1所述方法的网管站,其特征在于,包括请求接收模块、应答发送模块、管理模块和标识存储模块,其中请求接收模块用于接收网络设备发送的请求报文;应答发送模块用于向网络设备发送应答报文;标识存储模块用于存储包括标识在内的网络设备信息;管理模块由请求接收模块接收的请求报文中的标识,通过标识存储模块查找对应的网络设备,执行管理操作,生成应答报文,并传输至应答发送模块。
10.按照权利要求9所述的网管站,其特征在于所述存储在标识存储模块中的网络设备信息还包括认证信息;所述网管站还包括认证模块,用于根据请求报文中的认证信息与存储的认证信息是否匹配对发送请求报文的网络设备进行身份认证,通过认证后启动管理模块工作。
11.按照权利要求10所述的网管站,其特征在于,还包括鉴权模块和标识生成模块,其中当请求接收模块接收到的请求报文中包括鉴权信息时,鉴权模块根据该鉴权信息判定发送请求报文的网络设备属于所述网管站管理后,启动标识生成模块工作;标识生成模块根据请求报文中所述网络设备的特征信息生成该网络设备的标识,存储在标识存储模块中,并生成包括该标识的应答报文通过应答发送模块发送给所述网络设备。
12.一种应用权利要求1所述方法的网络管理系统,包括网管站和至少一台被管理的网络设备,其特征在于所述网管站保存所述网络设备的标识,根据接收到请求报文中的标识查找对应的网络设备,通过与所述网络设备交互请求报文和应答报文对该网络设备进行管理;所述网络设备向所述网管站发送包括其标识的请求报文,接收所述网管站返回的应答报文,执行管理操作。
全文摘要
本发明公开了一种网络设备的管理方法,包括在网管站上保存与网络设备对应的标识;网络设备向网管站发送包括其标识的管理请求报文;网管站通过管理请求报文中的标识识别网络设备,通过管理请求报文与应答报文的交互对网络设备进行管理;所述应答报文为网管站向网络设备返回的报文。本发明还公开了一种应用上述方法的管理站和一种网络管理系统。本发明可以对具有动态IP地址的网络设备和位于NAT网关内部的网络设备等现有技术中难于管理的网络设备进行有效的管理,还可以与传统的网管技术相结合,实现对复杂网络的全面管理。
文档编号H04L12/24GK1731740SQ20051008881
公开日2006年2月8日 申请日期2005年7月29日 优先权日2005年7月29日
发明者李龙飞, 史扬, 雷海波, 童天予, 王仕进 申请人:杭州华为三康技术有限公司