一种以太网设备管理平面的管理方法和系统的制作方法

文档序号:7999979阅读:245来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种以太网设备管理平面的管理方法和系统的制作方法
技术领域
本发明涉及数据通讯技术领域,尤其涉及一种以太网设备管理平面的管理方法和系统。
背景技术
数据通讯组网按照体系结构可划分为3个平面传送平面、控制平面、管理平面。 管理平面主要提供对传送平面、控制平面和系统整体的管理功能,负责所有平面间的协调和配合。主要功能包括性能管理、故障管理、配置管理、计费管理和安全管理。管理平面安全是保证网络稳定的关键,如何确保管理平面的安全也就成为网络设备提供商的一个重点。新入网设备接入现网,现网使用的是友商的设备,网管连接在友商网络中。友商启用一个三层接口通过一根网线和新入网的设备相连,三层接口只配置IP地址、M位掩码, 不启用任何静态配置,不启用任何动态路由协议。传统的组网配置方式,如图1所示,图中,设备A、B、C为新入网设备,设备H为友商设备(即网管接入设备),该设备H与网管通信,用于管理接入的A、B、C三个设备,其中设备A 三层接口 a 地址 192. 168. 1. 1/24 ;设备B 三层接口 b 地址 192. 168. 1. 2/24 ;设备C 三层接口 c 地址 192. 168. 1. 253/24 ;友商设备H三层接口 h地址192. 168. 1. 254/24。网管通过友商设备H和设备A、设备B、设备C通讯。上述四台设备在同一网段,网段地址192. 168. 1.0,广播地址192. 168. 1.255,相互之间可以直接通讯。友商设备H配置简单,直接相连、直接控制,交互简单。友商配置简单便于新入网的网络设备提供商协调工作。有网络就会存在故障,由于友商设备H可以直接和设备A、设备B、设备C通讯,如果出了问题,上述组网下很难拿出有力证据证明到底是哪个厂商的问题,所以说,上述组网存在安全性差、责任不容易界定,友商操作不方便控制且不易监控的问题,这些问题最终会导致网络服务提供商不信任新入网的网络设备提供商,不利于新入网的设备顺利切割。在激烈竞争的市场环境下,新入网的网络设备提供商怎样才能安全、顺利入网非常重要,所以如何提供一种安全、简便、经济的安全组网方法成为目前亟待解决的技术问题。

发明内容
本发明提供一种以太网设备管理平面的管理方法和系统,用以解决现有的组网方式安全性差且责任不容易界定的问题。具体地,本发明提供一种以太网设备管理平面的管理方法,包括在新入网设备中选定代理设备,设定所述代理设备与其他各新入网设备连接的Cm 接口、以及与网管接入设备连接的Cn接口 ;
4
在网管接入设备IP地址的相邻网段中,通过设定掩码位为各所述新入网设备配置IP地址,使所述Cm接口与所述其他各新入网设备的IP地址在一个子网段内、所述Cn接口的IP地址在另一子网段内,且Cn接口与网管接入设备的广播地址相同;在所述Cn接口上启动地址解析协议ARP代理,当网管接入设备与各所述新入网设备间进行报文交互时,所述代理设备根据报文的目的IP地址进行报文转发或者报文处理。进一步地,本发明所述方法中,所述其他各新入网设备通过所述代理设备转发报文至网管接入设备的实现方式包括在所述其他各新入网设备上配置指向为所述网管接入设备的接口 IP地址的静态路由,下一跳为所述代理设备的Cm接口 IP地址。进一步地,本发明所述方法中,所述代理设备根据报文的目的IP地址进行报文转发或者报文处理具体包括所述代理设备通过Cn接口接收所述网管接入设备发送的报文、通过Cm接口接收所述其他各新入网设备发送的报文;所述代理设备解析所述报文的目的IP地址,判断所述目的IP地址是否为自身的 IP地址,若是,进行报文处理,否则,将所述报文转发至所述目的IP地址对应的设备;其中,所述网管接入设备与所述代理设备进行报文交互前,通过广播ARP请求消息学习到报文发送的目的MAC地址。优选地,本发明所述方法中,所述Cn接口上配置有安全策略,用于对报文发送源端进行合法性校验。其中,所述安全策略包括配置ARP请求的访问控制列表ACL,所述ACL中包含设定的合法的源IP地址;或者,配置端口镜像;其中,所述源IP地址包括所述网管接入设备的IP地址。本发明还提供一种以太网设备管理平面的管理系统,所述系统包括网管接入设备和若干新入网设备,进一步地,所述系统还包括设备划分模块,用于在各所述新入网设备中选定代理设备,设定所述代理设备与其他各新入网设备连接的Cm接口、以及与网管接入设备连接的Cn接口;配置模块,用于在网管接入设备IP地址的相邻网段中,通过设定掩码位为各所述新入网设备配置IP地址,使所述Cm接口与所述其他各新入网设备的IP地址在一个子网段内、所述Cn接口的IP地址在另一子网段内,且Cn接口与网管接入设备的广播地址相同;以及在所述Cn接口上启动ARP代理;其中,所述代理设备在网管接入设备与各所述新入网设备间进行报文交互时,根据报文的目的IP地址进行报文转发或者报文处理。进一步地,本发明所述系统中,所述配置模块,还用于在所述其他各新入网设备上配置指向为所述网管接入设备的接口 IP地址的静态路由,下一跳为所述代理设备的(;接口 IP地址。进一步地,本发明所述系统中,所述代理设备具体包括报文接收模块,用于通过Cn接口接收所述网管接入设备发送的报文、通过Cm接口接收所述其他各新入网设备发送的报文;报文处理模块,用于解析所述报文的目的IP地址,判断所述目的IP地址是否为自身的IP地址,若是,进行报文处理,否则,将所述报文转发至所述目的IP地址对应的设备;其中,所述网管接入设备与所述代理设备进行报文交互前,通过广播ARP请求消息学习到报文发送的目的MAC地址。优选地,本发明所述系统中,所述配置模块,还用于在所述Cn接口上配置安全策略,以对报文发送源端进行合法性校验。其中,所述配置模块中配置的安全策略包括配置ARP请求的访问控制列表ACL, 所述ACL中包含设定的合法的源IP地址;或者,配置端口镜像;其中,所述源IP地址包括所述网管接入设备的IP地址。与现有技术相比,本发明有益效果如下本发明所述方法和系统,在新入网设备中选定代理设备,使得新入网的设备提供商只使用中间代理设备和网管接入设备直接连接且通信,该组网方式安全、简便、经济,它可以在保证友商配置简单、配置不变的前提下,解决传统的组网配置方式存在的安全性差、 责任不容易界定等问题。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为传统组网配置方式的组网图;图2为本发明提供的一种以太网设备管理平面的管理方法的流程图;图3为本发明实施例中组网配置方式的组网图;图4为本发明提供的一种以太网设备管理平面的管理系统的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。为了解决现有技术中存在的组网配置方式安全性差、责任不容易界定等问题,本发明提供一种以太网设备管理平面的管理方法和系统。如图2所示,本发明提供的一种以太网设备管理平面的管理方法,包括步骤S201,在新入网设备中选定代理设备,设定所述代理设备与其他各新入网设备连接的Cm接口、以及与网管接入设备连接的Cn接口 ;其中,选定代理设备的方式可以为随机选取,本发明并不具体限定其选定方式。步骤S202,在网管接入设备IP地址的相邻网段中,通过设定掩码位为各所述新入网设备配置IP地址,使所述Cm接口与所述其他各新入网设备的IP地址在一个子网段内、 所述Cn接口的IP地址在另一子网段内,且Cn接口与网管接入设备的广播地址相同;该步骤中,优选地,在所述其他各新入网设备上配置指向为所述网管接入设备的接口 IP地址的静态路由,下一跳为所述代理设备的Cm接口 IP地址,用以实现所述其他各新入网设备可以将报文通过代理设备发送至网管接入设备。步骤S203,在所述Cn接口上启动地址解析协议ARP代理,当网管接入设备与各所述新入网设备间进行报文交互时,所述代理设备根据报文的目的IP地址进行报文转发或者报文处理。该步骤中,优选地,所述Cn接口上配置有安全策略,用于对报文发送源端进行合法性校验;其中,所述安全策略包括配置ARP请求的访问控制列表ACL,所述ACL中包含设定的合法的源IP地址;或者,配置端口镜像;其中,所述源IP地址包括所述网管接入设备的 IP地址。综上所述,本发明所述方法通过子网隔离、ARP代理、静态路由等手段,使中间代理设备中转新入网的网络设备和网管接入设备间的报文,使得新入网的网络设备提供商只使用中间代理设备和网管接入设备直接连接,提高了组网的安全性,以及当出现故障时责任易于界定;另外,代理设备在正常和网管接入设备进行报文交互的过程中,还可以负责监控、转发来自网管接入设备的报文,从而也解决了友商设备操作不方便控制且不易监控的问题。另外,本发明所述方法,对网管接入设备来讲,配置没有任何变化,控制方式也没有任何变化,新入网设备的配置变化对友商是透明的。下面根据图3给出本发明一个较佳的实施例,并结合对实施例的描述,进一步给出本发明的技术细节,使其能够更好地说明本发明所述方法的具体实现过程。本发明实施例提供一种以太网设备管理平面的管理方法,该方法的组网配置方式组网图如图3所示,图中A、B、C为新入网设备,友商设备H为网管接入设备。本实施例中选定C为代理设备,并设定代理设备C与A、B连接的接口 m,以及设定设备C与友商设备H连接的接口 n,完成代理设备和接口设定后,进行IP地址配置,具体配置为假设友商设备H三层接口 h的IP地址为192. 168. 1. 254/24 其中,M表示该IP 地址为M位掩码;该H设备的网段地址为192. 168. 1. 0,广播地址192. 168. 1. 255,此时与友商设备H的IP地址192. 168. 1. 254相邻的网段即为192. 168. 1. 1 192. 168. 1. 253 ;当配置A、B、C各接口的IP地址时,即在192. 168. 1. 1 192. 168. 1. 253中进行分配,且通过设置A、B、C(m接口)IP地址的掩码位为25,设置C(η接口 )的掩码位为30, 使得A、B、C(m接口)的IP地址在一个子网段内,使得C(n接口)的IP地址在另一个子网段内,其中,划分的两个子网段均属于网段192. 168. 1. 1 192. 168. 1. 253,这样,即可实现从设备 H 来看,A、B、C(m 接口)、C(n 接口)均在一个网段 192. 168. 1. 1 192. 168. 1. 253 内;所述设备A、B、C各接口的IP地址具体配置如下设备A三层接口 a的IP地址为192. 168. 1. 1/25 ;设备B三层接口 b的IP地址为192. 168. 1. 2/25 ;设备C 三层接口 m 的 IP 地址为 192. 168. 1. 126/25 ;设备C 三层接口 η 的 IP 地址为 192. 168. 1. 253/30 ;其中,设备Α、B、C(m接口)在同一个子网段192. 168. 1.0/25内,其广播地址为192. 168. 1. 127 ;设备C的η接口在子网段192. 168. 1.252内,其广播地址为192. 168. 1.255。具体地,本发明通过三层接口 η和友商设备H直接相连,由于η接口的IP地址为30位掩码,所以其网段地址为192. 168. 1. 252,广播地址为192. 168. 1. 255,可用地址为192. 168. 1. 253 192. 168. 1. 254,可用地址中由于192. 168. 1. 2Μ被设备H占用,所以配置接口 η的IP地址为 192. 168. 1. 253/30 ;在进行IP地址配置后,在设备C的三层接口 η上启用ARP代理;同时,在设备A、B上配置指向为192. 168. 1.254(设备H的IP地址)的静态路由,下一跳为 192. 168. 1. 126 (设备C的m接口的IP地址);优选地,为了进一步增强组网的安全性,在设备C三层接口 η上启用安全策略,该安全策略包括但不限于配置访问控制列表ACL和配置端口镜像。其中,对于配置ACL,有在设备C三层接口 η上配置ARP请求报文的ACL源IP过滤,过滤源IP地址不是192. 168. 1.254 的ARP报文,只学习接口 h的ARP,使用学习到的接口 h的IP、MAC进行源IP、源MAC过滤, 只接收接口 h发来的报文。基于上述配置和设定,下面阐述代理设备作为中间设备,实现新入网设备与网管接入设备问信息交互的具体过程示例一,代理设备转发从设备H到设备A的报文,包括步骤1,开始;步骤2,设备H发送ARP请求,目的IP为设备A ;步骤3,代理设备C收到后ARP请求后,进行ARP代理,把接口 η的MAC回给设备 H;步骤4,设备H学到设备A的ARP条目,封装接口 η的MAC作为目的MAC发送IP报文;步骤5,代理设备C收到IP报文后,查到出接口为m,正常学习到A的ARP条目后, 转发IP报文;步骤6,设备A收到IP报文;步骤7,结束。示例二,代理设备转发从设备A到设备H的报文,包括步骤1,开始;步骤2,设备A查路由;S卩,设备A查找目的IP为h的静态路由,出接口为a,下一条为m的IP地址;步骤3,设备A正常学到m的ARP条目后,发送IP报文;步骤4,代理设备C学到h的ARP条目后,转发IP报文;步骤5,设备H收到IP报文;步骤6,结束。综上所述,本实施例中,通过在设备C三层接口 η上启用ARP代理,使接口 h发来的目的IP是设备A或B的IP地址的报文均发往设备C三层接口 n,再通过设备C三层接口 m 转发;通过在设备A、B上配置网段路由,使得发往友商设备H三层接口 h的报文均发往设备 C三层接口 m,再通过设备C三层接口 η转发;也就是说,本发明中,新入网的网络设备提供商只使用中间代理设备和网管接入设备直接连接,该组网方式安全、简便、经济,它可以在保证友商配置不变的前提下,解决传统的组网配置方式存在的安全性差、责任不容易界定, 友商操作不方便控制且不易监控的问题。如图4所示,本发明还提供一种以太网设备管理平面的管理系统,所述系统包括网管接入设备和若干新入网设备,进一步地,所述系统还包括设备划分模块,用于在各新入网设备中选定代理设备,设定该代理设备与其他各新入网设备连接的Cm接口、以及与网管接入设备连接的Cn接口;配置模块,用于在网管接入设备IP地址的相邻网段中,通过设定掩码位为各新入网设备配置IP地址,使Cm接口与其他各新入网设备的IP地址在一个子网段内、Cn接口的 IP地址在另一子网段内,且(;接口与网管接入设备的广播地址相同;以及在Cn接口上启动 ARP代理;优选地,配置模块,还用于在除代理设备外的其他各新入网设备上配置指向为网管接入设备的接口 IP地址的静态路由,下一跳为代理设备的Cm接口 IP地址。优选地,配置模块,还用于在Cn接口上配置安全策略,以对报文发送源端进行合法性校验;其中,所述配置模块中配置的安全策略包括配置ARP请求的访问控制列表ACL,所述ACL中包含设定的合法的源IP地址;或者,配置端口镜像;其中,所述源IP地址包括所述网管接入设备的IP地址。经过上述设定和配置,代理设备在网管接入设备与各新入网设备间进行报文交互时,根据报文的目的IP地址进行报文转发或者报文处理;所述代理设备,具体包括报文接收模块,用于通过Cn接口接收所述网管接入设备发送的报文、通过Cm接口接收所述其他各新入网设备发送的报文;报文处理模块,用于解析所述报文的目的IP地址,判断所述目的IP地址是否为自身的IP地址,若是,进行报文处理,否则,将所述报文转发至所述目的IP地址对应的设备;其中,所述网管接入设备与所述代理设备进行报文交互前,通过广播ARP请求消息学习到报文发送的目的MAC地址。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种以太网设备管理平面的管理方法,其特征在于,包括在新入网设备中选定代理设备,设定所述代理设备与其他各新入网设备连接的Cm接口、以及与网管接入设备连接的Cn接口 ;在网管接入设备IP地址的相邻网段中,通过设定掩码位为各所述新入网设备配置IP 地址,使所述Cm接口与所述其他各新入网设备的IP地址在一个子网段内、所述Cn接口的IP 地址在另一子网段内,且(;接口与网管接入设备的广播地址相同;在所述Cn接口上启动地址解析协议ARP代理,当网管接入设备与各所述新入网设备间进行报文交互时,所述代理设备根据报文的目的IP地址进行报文转发或者报文处理。
2.如权利要求1所述的方法,其特征在于,所述其他各新入网设备通过所述代理设备转发报文至网管接入设备的实现方式包括在所述其他各新入网设备上配置指向为所述网管接入设备的接口 IP地址的静态路由,下一跳为所述代理设备的Cm接口 IP地址。
3.如权利要求1或2所述的方法,其特征在于,所述代理设备根据报文的目的IP地址进行报文转发或者报文处理具体包括所述代理设备通过Cn接口接收所述网管接入设备发送的报文、通过(;接口接收所述其他各新入网设备发送的报文;所述代理设备解析所述报文的目的IP地址,判断所述目的IP地址是否为自身的IP地址,若是,进行报文处理,否则,将所述报文转发至所述目的IP地址对应的设备;其中,所述网管接入设备与所述代理设备进行报文交互前,通过广播ARP请求消息学习到报文发送的目的MAC地址。
4.如权利要求1或2所述的方法,其特征在于,所述Cn接口上配置有安全策略,用于对报文发送源端进行合法性校验。
5.如权利要求4所述的方法,其特征在于,所述安全策略包括配置ARP请求的访问控制列表ACL,所述ACL中包含设定的合法的源IP地址;或者,配置端口镜像;其中,所述源IP 地址包括所述网管接入设备的IP地址。
6.一种以太网设备管理平面的管理系统,所述系统包括网管接入设备和若干新入网设备,其特征在于,所述系统还包括设备划分模块,用于在各所述新入网设备中选定代理设备,设定所述代理设备与其他各新入网设备连接的Cm接口、以及与网管接入设备连接的Cn接口;配置模块,用于在网管接入设备IP地址的相邻网段中,通过设定掩码位为各所述新入网设备配置IP地址,使所述Cm接口与所述其他各新入网设备的IP地址在一个子网段内、 所述Cn接口的IP地址在另一子网段内,且(;接口与网管接入设备的广播地址相同;以及在所述Cn接口上启动ARP代理;其中,所述代理设备在网管接入设备与各所述新入网设备间进行报文交互时,根据报文的目的IP地址进行报文转发或者报文处理。
7.如权利要求6所述的系统,其特征在于,所述配置模块,还用于在所述其他各新入网设备上配置指向为所述网管接入设备的接口 IP地址的静态路由,下一跳为所述代理设备的Cm接口 IP地址。
8.如权利要求6或7所述的系统,其特征在于,所述代理设备具体包括报文接收模块,用于通过Cn接口接收所述网管接入设备发送的报文、通过Cm接口接收所述其他各新入网设备发送的报文;报文处理模块,用于解析所述报文的目的IP地址,判断所述目的IP地址是否为自身的 IP地址,若是,进行报文处理,否则,将所述报文转发至所述目的IP地址对应的设备;其中,所述网管接入设备与所述代理设备进行报文交互前,通过广播ARP请求消息学习到报文发送的目的MAC地址。
9.如权利要求6或7所述的系统,其特征在于,所述配置模块,还用于在所述Cn接口上配置安全策略,以对报文发送源端进行合法性校验。
10.如权利要求9所述的系统,其特征在于,所述配置模块中配置的安全策略包括配置ARP请求的访问控制列表ACL,所述ACL中包含设定的合法的源IP地址;或者,配置端口镜像;其中,所述源IP地址包括所述网管接入设备的IP地址。
全文摘要
本发明公开了一种以太网设备管理平面的管理方法和系统,所述方法包括在新入网设备中选定代理设备,设定所述代理设备与其他各新入网设备连接的口Cm接、以及与网管接入设备连接的Cn接口;在网管接入设备IP地址的相邻网段中,通过设定掩码位为各新入网设备配置IP地址,使Cm接口与其他各新入网设备的IP地址在一个子网段内、Cn接口的IP地址在另一子网段内,且Cn接口与网管接入设备的广播地址相同;在Cn接口上启动地址解析协议ARP代理,当网管接入设备与各新入网设备问进行报文交互时,代理设备根据报文的目的IP地址进行报文转发或者报文处理。本发明解决了传统组网方式安全性差、责任不容易界定等问题。
文档编号H04L12/56GK102437927SQ20111039803
公开日2012年5月2日 申请日期2011年12月5日 优先权日2011年12月5日
发明者于立元, 王月明, 金飞蔡 申请人:中兴通讯股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:于立元;金飞蔡;王月明
  • 技术所有人:中兴通讯股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
设备管理软件系统相关技术
冠唐设备管理系统相关技术
移动设备管理系统相关技术
冠唐设备管理系统破解相关技术
物资设备管理系统相关技术
维克设备管理系统相关技术
维克设备管理系统破解相关技术
移动设备管理系统mdm相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2