专利名称:基于虚拟专用网的实现带外网络管理的系统和方法
技术领域:
本发明涉及网络管理的系统和方法,尤其涉及基于虚拟专用网的实现的带外网络管理系统和方法。
背景技术:
现有技术中对路由器进行配置和管理主要有两种方法带内网络管理方法(简称带内网管)和带外网络管理方法(简称带外网管)。现有带外网管方法主要是使用串口进行网管;现有带内网管方法则使用路由器的线路接口进行网管。
现有的通过串口进行带外网管方法存在一些缺陷,首先,用串口进行网络管理的速度相对较慢;其次,管理主机上配置的串口等资源相对有限。
同时,一些现有技术通过以太口进行网络管理,这种方法也存在缺陷因为现有的基于以太口的网管方法中,网管接口的地址空间和线路接口的地址空间重叠,这样网管接口使用的地址就不能和线路接口地址冲突,同时网管接口配置接口地址后就会浪费至少一个地址网段。
经过专利检索,发现公开号为20030233450美国专利“Out-of-band remotemanagement station(带外远程管理站)”中,提出了使用一种RMS(远程管理工作站)的设备来进行网络管理,通过RMS将远程管理用户与被管理设备分开,在RMS上进行用户认证等安全性保证。然而,利用RMS进行远程网络管理同样需要一个模拟通讯设备,如modem(调制解调器),并且RMS到被管理网络的连接仍然是带内(in-band)的,仍然占用被管理设备的带宽、CPU等资源。
发明内容
本发明所要解决的技术问题是提供一种基于虚拟专用网的实现带外网络管理的系统和方法,解决现有技术中接口地址冲突和地址网段浪费的问题,同时也保证了网管数据的安全性。
为达到上述目的,本发明提供了一种基于虚拟专用网的实现带外网络管理的系统,其特点在于,包括网络设备和管理设备;所述网络设备的管理单元上设置有一个以太网接口作为专用于网络管理的网管口,通过将所述网管口划分到一个专用于网络管理的虚拟专用网而将所述网管口与所述网络设备的数据业务隔离,从而所述网管口占用单独的地址空间和带宽;所述管理设备通过以太网连接所述网络设备中的网管口,并对所述网络设备进行管理。
上述的系统,其特点在于,所述网络设备为多个,并且所述网络设备为路由器。
上述的系统,其特点在于,所述管理设备为多个,并且所述管理设备为计算机。
上述的系统,其特点在于,所述网管口通过使用一个独立的地址空间和路由表来占用单独的地址空间和带宽。
上述的系统,其特点在于,所述网管口通过代理服务器连接所述以太网。
上述的系统,其特点在于,所述以太网为局域网。
本发明还提供了一种利用上述系统实现带外网络管理的方法,其特点在于,包括步骤一,通过对网络设备进行预配置,为所述网管口配置IP地址;步骤二,为管理设备配置IP地址;步骤三,网络设备的网管口通过以太网连接管理设备;步骤四,在管理设备上,通过远程登陆协议来远程登陆网络设备的网管口地址,通过在命令行下输入命令的方式对网络设备进行管理和配置。
上述的方法,其特点在于,所述步骤四中,所述命令包括检测管理设备和网络设备的连接情况的命令,以及通过简单网管协议和基于页面的图形化用户界面对网络设备进行配置管理的命令。
上述的方法,其特点在于,所述步骤四中,所述命令还包括配置IP地址的命令和测试数据在网络中的传输路径的命令。
本发明的技术效果在于与现有技术相比,本发明使用一个单独的带外以太网口进行网络管理,同时通过将其划分到只用于管理的VPN,使其独享路由表和地址空间,从而将业务与网管控制通过VPN隔离,保证了数据安全性,同时也不占用业务数据的带宽。同时,与传统的带外网管方法相比,本发明由于使用了以太口进行管理,克服了使用串口在资源上,速度上的限制,同时具备了更灵活的应用背景。
进一步地,由于增加了管理口配置模式以及相关命令,使路由器可以方便的配置/显示管理口IP地址等大大方便了用户通过以太网口进行网络管理。
进一步地,由于为管理口增加了ping和trace命令,使得在管理过程中网络连接出现故障的时候可以迅速的定位问题,克服了已往通过串口(或modem)管理时难以对管理网络连接的故障进行诊断的问题。
图1是基于VPN(虚拟专用网)实现的带外网络管理系统组成示意图;图2是具有带外网管口网络设备(以路由器为例)的数据处理装置结构示意图;图3是网络设备上带外网管口的软件协议分层图;图4是通过业务网络与管理网络分离实现带外网管的示意图;图5是基于VPN实现带外网管系统技术方案的实现步骤示意图;图6是基于VPN实现带外网络管理方法的示意图;图7是多台管理设备(下面以主机为例)通过管理网络同时管理一台路由器的网络示意图;图8是一台管理主机通过管理网络同时管理多台路由器的网络示意图;图9是通过一台telnet服务器来进行网络管理的网络示意图。
具体实施例方式
下面结合附图对技术方案的实施作详细描述本发明提出的带外网络管理系统硬件上由被管理路由器、管理主机、管理网络(以太网)组成,如图1所示。用户通过管理主机对被管路由器进行管理,将主机的以太网卡与以太网相连。同时,路由器上安装只用于网管不用于业务数据转发的带外网管口(为标准以太网口)。将路由器通过该网管口连接到与网管主机互联的以太网。
首先,从硬件上来看,路由器的数据处理装置如图2所示。业务数据从各个线路处理卡上的普通网络接口被接收、处理,网管数据则从管理单元上的管理口被接收、处理。各个线路处理卡与管理单元共享的其他资源包括了各种协议实体,以太网接口驱动,路由器操作系统等。针对从管理单元上收到的数据包,路由器认为是管理数据,因此查找为管理口预留的只用于管理的VPN路由表。从各个线路处理卡上收到的数据包,路由器认为是业务数据,因此查找公共网络的路由表或者用户配置的其它非用于管理的VPN路由表。这样在路由器内部就将业务数据与管理数据分开了。
其次,在路由器的管理单元运行TCP/IP协议栈(传输控制协议/互联网协议协议栈)。图3中给出了管理单元上实现TCP/IP协议栈中各层最基本协议的示意图。从图中可以看到路由器管理口与标准的以太网口相同,处于TCP/IP协议栈中网络连接层,主要实现以太网协议。在TCP/IP协议栈的互联网层,至少应该实现IP协议(互联网协议)、ARP协议(地址解析协议)以及ICMP协议(互联网控制报文协议),该层协议的实现可以确保以太网上的网管数据可以被发送到目的设备。在TCP/IP协议栈的传输层至少实现TCP协议(传输控制协议)与UDP协议(用户数据协议),由传输层来处理关于网管数据的可靠性、流量控制、重传等典型问题。在协议栈的最上层是应用层,实现用于网络管理的特定协议,比如SNMP(简单网络管理协议)、telnet(远程登陆协议)、HTTP协议(超文本传输协议)等。在技术方案的实施中,除了实现上述的TCP/IP协议栈外,路由器上还应该实现VPN技术。同时为路由器预留一个只用于网络管理的VPN,并将且仅将网管口划分到该VPN中。这样,通过VPN独享的路由表,就可以将管理口的地址空间与一般网络线路接口的地址空间隔离。在这种情况下,管理主机通过以太网到被管理路由器的连接就相当于传统的VPN接入,如图4所示。从图4中可以看到,路由器通过带外网管口(以太类型)连接到专用于管理的管理VPN上,而通过丰富的接口类型连接到业务网络上,管理数据与业务数据流量通过VPN被隔离,彼此独享各自带宽。
此外,作为对基于VPN实现带外网管系统的有益补充,路由器还可以为管理口增加一个命令模式,并在该命令模式下实现对管理口IP地址,管理口MAC地址等的配置。
此外,作为对基于VPN实现带外网管系统的有益补充,为了测试用于管理的主机对路由器的可达性,路由器上还为管理口实现ping mng、trace mng命令。以及实现telnet mng命令来实现被管理路由器到管理主机的“逆向telnet”,从而对管理主机进行一些配置,如IP地址配置,路由配置。
图5中给出了上述技术方案实施步骤的示意图。包括步骤501,硬件上实现一个带外以太网口;步骤502,将该网口作为网管口,置于网络设备的管理单元上;步骤503,网络设备上实现TCP/IP协议栈,其中网络层必须实现以太网协议;步骤504,网络设备上实现VPN;步骤505,为网管预留VPN资源,并将网管口划分到预留VPN资源中;步骤506,为管理口增加特殊的模式,以及特殊的命令(可选);步骤507,通过网管口进行管理。
路由器上实现了上述技术方案之后,就依照图6所示的网管方法对路由器进行管理了。首先,步骤601对路由器进行配置IP地址等的预设置;其次,步骤602对管理主机进行配置IP地址,配置路由;随后步骤603通过以太网将管理主机和路由器的管理口相连;在此之后步骤604就可以通过telnet等协议访问路由器的网管口地址,并经步骤605对路由器进行管理。
下面给出三种本网管系统和方法的典型应用1)第一种情况是多个用户可以通过多台主机同时管理一台路由器。
第一步,搭建如图7的网络环境,为该网络分配192.168.0.0/24的子网地址空间,为4台管理主机分配地址192.168.0.1~192.168.0.4第二步,通过笔记本电脑上的串口进入路由器的管理口配置模式,进行管理口的配置,设定管理口IP地址192.168.0.5/24。
第三步,通过ping mng(为管理口增加的ping命令)命令测试各台管理主机的可达性。
第四步,在可达的管理主机上通过操作系统自带的telnet命令telnet192.168.0.5,登陆上被管理路由器,对其进行管理。
2)第二种情况是网络管理员利用一台管理主机同时管理多台路由器。
第一步,搭建如图8的网络环境,为该网络分配192.168.0.0/24的子网地址空间,为4台路由器的网管口分配地址192.168.0.1~192.168.0.4,为主机分配地址192.168.0.5。
第二步,管理主机通过ping命令测试各台被管理路由器的可达性。
第三步,管理主机通过操作系统自带的telnet命令远程登陆各台路由器的网管口地址,之后对其进行管理。
3)第三种情况是管理主机在非局域网内通过一台作为代理的telnet服务器对网络进行管理。
第一步,搭建如图9的网络环境,为管理所用VPN分配VPN私有子网地址10.40.80.0/16;为公共网络分配公网子网地址192.168.12.0/16。为路由器管理口分配地址10.40.88.1,为telnet服务器与管理VPN相连的以太网口分配地址10.40.88.2,telnet服务器与公网相连的接口分配公网地址192.168.12.2;为管理主机分配公网地址192.168.12.1。其中对于处于公网上的管理主机而言,路由器管理VPN的私有网段不可见。(说明管理主机可以通过多种网络技术连接到telnet服务器上,包括了点到点连接,通过拨号网络拨号连接等)第二步,在管理主机上telnet 192.168.12.2,经过身份验证等安全性保证后,登陆上telnet服务器。
第三步,登陆上telnet服务器之后,将其作为代理,通过它telnet10.40,88.1,登陆上被管理路由器。
第四步,对被管理路由器进行配置管理。
本发明将使用一个标准的带外以太网接口进行网络管理,通过将其放到一个专门用于网络管理的VPN(虚拟专用网)内,使用一个独立的地址空间与路由表,达到路由器网管接口独享地址空间与带宽的目的,从而可以有效的避免现有技术带来的接口地址冲突和地址网段浪费的问题,同时也保证了网管数据的安全性。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;依本发明所作的等效变化与修改,都为本发明专利范围所涵盖。
权利要求
1.一种基于虚拟专用网的实现带外网络管理的系统,其特征在于,包括网络设备和管理设备;所述网络设备的管理单元上设置有一个以太网接口作为专用于网络管理的网管口,通过将所述网管口划分到一个专用于网络管理的虚拟专用网而将所述网管口与所述网络设备的数据业务隔离,从而所述网管口占用单独的地址空间和带宽;所述管理设备通过以太网连接所述网络设备中的网管口,并对所述网络设备进行管理。
2.根据权利要求1所述的系统,其特征在于,所述网络设备为多个,并且所述网络设备为路由器。
3.根据权利要求1所述的系统,其特征在于,所述管理设备为多个,并且所述管理设备为计算机。
4.根据权利要求2所述的系统,其特征在于,所述网管口通过使用一个独立的地址空间和路由表来占用单独的地址空间和带宽。
5.根据权利要求1、2、3或4所述的系统,其特征在于,所述网管口通过代理服务器连接所述以太网。
6.根据权利要求5所述的系统,其特征在于,所述以太网为局域网。
7.一种利用权利要求1所述系统实现带外网络管理的方法,其特征在于,包括步骤一,通过对网络设备进行预配置,为所述网管口配置IP地址;步骤二,为管理设备配置IP地址;步骤三,网络设备的网管口通过以太网连接管理设备;步骤四,在管理设备上,通过远程登陆协议来远程登陆网络设备的网管口地址,通过在命令行下输入命令的方式对网络设备进行管理和配置。
8.根据权利要求7所述的方法,其特征在于,所述步骤四中,所述命令包括检测管理设备和网络设备的连接情况的命令,以及通过简单网管协议和基于页面的图形化用户界面对网络设备进行配置管理的命令。
9.根据权利要求7所述的方法,其特征在于,所述步骤四中,所述命令还包括配置IP地址的命令和测试数据在网络中的传输路径的命令。
全文摘要
本发明公开了一种基于虚拟专用网的实现带外网络管理的系统,包括网络设备和管理设备;网络设备上设置一个专用于网络管理的网管口,网管口划分到一个虚拟专用网而将网管口与网络设备的数据业务隔离,从而网管口占用单独的地址空间和带宽;管理设备通过以太网连接网管口,并对网络设备进行管理。还公开了利用所述系统实现带外网络管理的方法,包括通过对网络设备进行预配置,为网管口配置IP地址;为管理设备配置IP地址;网管口通过以太网连接管理设备;在管理设备上,通过远程登陆协议来远程登陆网络设备的网管口地址,通过在命令行下输入命令的方式对网络设备进行管理和配置。本发明解决了现有技术中接口地址冲突和地址网段浪费的问题。
文档编号H04L12/24GK1561033SQ20041000750
公开日2005年1月5日 申请日期2004年3月11日 优先权日2004年3月11日
发明者何辉, 冯健, 陈必多, 何 辉 申请人:中兴通讯股份有限公司