专利名称:在网络管理协议中用社团名标识和定位网元的方法
技术领域:
本技术涉及网络技术,特别涉及在简单网络管理协议(SNMP)中用社团名(community)标识和定位网元的方法。
背景技术:
由于IP地址紧缺和安全原因,大量设备采用私有IP地址通过出口的NAT(Network Address Translation,网络地址转换)/FW(Fire wall,防火墙)接入公网。现在大量设备采用SNMP协议和网管通信。SNMP消息携带着管理器和代理(Agent)之间传递的核心数据,其中的社团名是网管访问Agent之前,对网管进行甄别的标识。只要甄别通过,就可以进行通讯。用SNMP协议管理网络和设备已经很普遍。但是SNMP协议本身不能透过防火墙管理私网内部的网元。
如图1,如果防火墙开放SNMP协议的通讯,私网内的设备可以向公网的网管发送消息(箭头1),防火墙收到消息后,会通过NAT,从IP池和空闲端口中动态分配一个IP地址和端口,然后以新分配的IP地址和端口将消息发送到网管(箭头2)。如果SNMP协议中没有对私网设备的标识,网管将无法区分是哪一个设备发送的消息(作为标识的IP地址和端口是动态分配的),向设备发送SNMP的操作和回应消息时,被防火墙阻挡在外面或者代理转发(箭头3,4)。就是说,网管很难知道防火墙中具体的设备。一个方法是在MIB(管理信息库)定义中的每一个节点增加一个设备唯一标识的域。其局限性是对已有MIB(包括标准MIB和企业私有MIB)的定义和网管软件必须进行改造,而改造的成本会很高,甚至是不可能的,如标准MIB就是不能更改的。
由于当前网络上的大多数用户没有公网地址,这当中包括很多企业单位学校局域网的用户,这些用户通过NAT(地址转换)连接到公网。但是处于私网外的网管软件通过SNMP协议管理设备时,无法找到私网中的设备。
发明内容
本发明的目的在于提供一种利用网络管理协议中的社团名标识和定位网元的方法,其能够通过网络管理协议中的社团名穿透防火墙直接与私网内的设备通信。
为实现本发明的目的,我们提供一种在网管中用于标识和定位网元的方法,其特征在于使用网络管理协议的社团名来标识和定位网元。
所述的方法,其中所述网络管理协议是简单网络管理协议(SNMP)。
所述的方法,其中所述社团名是一个字符串,包括网元设备的唯一标识。
所述的方法,其中所述简单网络管理协议包括一个传输帧,所述传输帧包括本地网络报头、IP报头、UDP报头、SNMP消息和本地网络报尾几个段。
所述的方法,其中所述SNMP消息包括SNMP版本、社团名和PDU格式域。
根据本发明的另一方面,我们提供一种在网管中用于标识和定位网元的方法,包括下列步骤用唯一的标识的社团名来标识设备;设备向网管发送带有社团名的设备信息的数据包;以及网管根据具有唯一标识的社团名来向设备发送网管操作。
所述的方法,进一步包括步骤如果设备的IP地址被动态主机配置协议(DHCP)重新分配,也可以向网管发送握手消息,实时更新网管。
所述的方法,其中所述方法能在具有防火墙或代理的网络管理中实现。
下面的和部分的描述将使前述的本发明的附加的优点,目的和特点更加显而易见,根据下述内容本领域普通技术人员将可以学习本发明的实践。本发明的目的和优点将可以被实现和获得,如所附权利要求所特别指出的那样。
图1示出现有技术的网络管理协议的流程示意图;图2示出本发明的网络管理协议的流程示意图;图3示出设备和网管都在公网或都在私网中时的网络管理协议的流程示意图;图4示出一个网络帧的结构;图5示出一个传输帧中的SNMP消息的结构;图6示出根据本发明的在简单网络管理协议中采用社团名标识和定位网元的方法的流程图。
具体实施例方式
本发明的核心思想是利用SNMP协议中的社团名来标识和定位私网中的网元,以便使网络管理能够穿透防火墙而直接管理到私网内的设备。
如图2,采用本发明的方法,由于设备和网管采用了一致的读写社团名,所以处于公网外的网管可以通过使用社团名知道是和私网的哪个设备通信,即实现了穿透防火墙的管理,向设备发送SNMP消息。如果不是SNMP协议,那么可以在私有协议中增加标识设备的段,但对SNMP协议,如果在协议消息的内容中增加设备标识,则不具有普遍意义。因此,我们在读写社团名中添加设备标识,这是SNMP协议消息体中必然具有的而且在防火墙内外都不会改变的。
如图3,如果设备和网管都在公网或者都在一个私网中,则读写团体名中设备的标识也不会对消息传递造成任何影响。
如图4,一个传输帧中SNMP消息是帧中最核心的部分。数据报中有一个目的IP地址,以便将数据报传送到预定接受的地址。UDP(用户数据报文)报头识别处理数据报并进行校验和出错控制。
SNMP协议的一个传输帧中包括本地网络报头(local networkhead),IP报头(IP head),UDP报头(UDP head),SNMP消息(SNMP Msg)和本地网络报尾(local network tail)几个字段。在NAT穿透时,IP报头和UDP报头的内容会经常变动,但是SNMP消息的内容是固定不变的,一个SNMP消息本身可以分为两部分版本标识加社团名和PDU。由于版本标识和社团名在SNMP消息中的位置是固定的,本申请人在网管设计中充分利用了这一点。为了使网管软件可以管理位于私网内的设备,本申请人的网管软件通过设计SNMP协议中的SNMP消息的内容,达到NAT穿透的目的。
如图5,SNMP消息包括SNMP版本和社团名以及PDU(协议数据单元)格式域。由于SNMP版本的不同,对于SNMPv1,SNMPv2,SNMPv3,PDU格式域所定义的内容是不一样的,但所有SNMP版本都包含一个社团名的段。只有管理器和Agent的社团名一致,SNMPPDU才开始处理进程,否则设备会产生一个社团名不一致的Trap(陷井)消息。
社团名是可以自定义的。本申请人利用这一特性,在社团名中加入了设备的唯一标识。在不用修改任何协议的情况下,即可进行NAT穿透,而且可以穿透多层防火墙。在没有防火墙的情况下,则SNMP协议依然可以工作良好。
对要穿透NAT的设备,我们将设备的读社团名,写社团名和Trap社团名中增加了设备的唯一标识。当网管和设备通讯时,通过在防火墙中查找读写社团名所增加的唯一标识所对应的IP地址和端口,然后将报文转发到设备。如果设备主动发送Trap到网管,也同样可以根据社团名中的标识进行定位。
下面参考图6的流程图来描述根据本发明的在简单网络管理协议中采用社团名标识和定位网元的方法。
如图6所示,在步骤S601,首先我们用唯一的标识来标识设备,将该设备的唯一标识添加到设备MIB中的读写和Trap的社团名中,该社团名就是一个字符串,可能的格式如下“public%iad1.uptech.com”,“private iad2.uptech.com 5353”,“iad3.uptech.com 4567”。在步骤S602,设备向网管发送带有设备信息的SNMP包,网管即可根据其社团名中所带的信息区分是来自哪个设备的信息。在步骤S603,网管根据具有唯一标识的社团名来向设备发送SNMP操作,穿透防火墙。
下面举例来说明利用社团名进行的网管和设备之间的操作。
首先说明穿透防火墙的网管和设备在设备MIB中的读写和Trap的社团名中设置该设备的唯一标识,连入私网中。该社团名除了用于对消息进行甄别外,还加上了设备的唯一标识。因此,无论是哪个方向的SNMP包,都带上一致的社团名。
然后,设备向网管发送任何带有设备信息的SNMP包,如SNMP的Trap或者其他SNMP包,网管即可根据其社团名中所带的信息区分是哪个设备的信息。
网管可以根据IP报头中由NAT/防火墙分配的IP和端口向防火墙后面的设备发送SNMP操作,穿透防火墙。
如果设备的IP地址被动态主机配置协议(DHCP)重新分配,也可以向网管发送握手消息,网管实时更新。
其次,我们描述Proxy的实现网段A向网段B设备的穿透。Proxy接到网段A的SnmpGet/Set/Response包,通过社团名中的设备标识,查询动态配置表的设备位于网段B的IP地址表,将包转发到设备。
网段B设备向网段A发消息。Proxy直接转发Snmp的Trap/Inform/Response包。
最后,在不穿透防火墙时的操作由于网管中所发送的SNMP操作的社团名和设备中一致,所以不妨碍消息传递。与正常时一样。
上述实施例和优点仅仅是示例性的,不能构成为本发明的限制。本发明的教导可以很容易地应用于其它类型的装置。本发明的描述用于说明,而不用来对权利要求的范围进行限制。许多改变、修改和变化对于本领域的普通技术人员来说是显而易见的。
权利要求
1.一种在网管中用于标识和定位网元的方法,其特征在于使用网络管理协议的社团名来标识和定位网元。
2.如权利要求1所述的方法,其中所述网络管理协议是简单网络管理协议(SNMP)。
3.如权利要求1或2所述的方法,其中所述社团名是一个字符串,包括网元设备的唯一标识。
4.如权利要求2所述的方法,其中所述简单网络管理协议包括一个传输帧,所述传输帧包括本地网络报头、IP报头、UDP报头、SNMP消息和本地网络报尾几个段。
5.如权利要求4所述的方法,其中所述SNMP消息包括SNMP版本、社团名和PDU格式域。
6.一种在网管中用于标识和定位网元的方法,包括下列步骤用唯一的标识的社团名来标识设备;设备向网管发送带有社团名的设备信息的数据包;以及网管根据具有唯一标识的社团名来向设备发送网管操作。
7.如权利要求6所述的方法,其中所述数据包是简单网络管理协议(SNMP)数据包。
8.如权利要求6或7所述的方法,其中所述社团名是一个字符串,包括网元设备的唯一标识。
9.如权利要求7所述的方法,其中所述简单网络管理协议包括一个传输帧,所述传输帧包括本地网络报头、IP报头、UDP报头、SNMP消息和本地网络报尾几个段。
10.如权利要求9所述的方法,其中所述SNMP消息包括SNMP版本、社团名和PDU格式域。
11.如权利要求6所述的方法,进一步包括步骤如果设备的IP地址被动态主机配置协议(DHCP)重新分配,也可以向网管发送握手消息,实时更新网管。
12.如权利要求6或7所述的方法,其中所述方法能在具有防火墙或代理的网络管理中实现。
全文摘要
本发明涉及一种在简单网络管理协议(SNMP)中用社团名(community)标识和定位网元的方法。该方法在于使用网络管理协议的社团名来标识和定位网元。该方法包括下列步骤用唯一的标识的社团名来标识设备;设备向网管发送带有社团名的设备信息的数据包;以及网管根据具有唯一标识的社团名来向设备发送网管操作。使用该方法可以使网络管理能够穿透防火墙而直接管理到私网内的设备。
文档编号H04L29/06GK1635742SQ20031012352
公开日2005年7月6日 申请日期2003年12月26日 优先权日2003年12月26日
发明者玛依拉·巴榜, 陈波, 余志刚 申请人:尚阳科技(中国)有限公司