专利名称:告警报文的处理方法、装置和系统的制作方法
技术领域:
本发明涉及一种告警报文的处理方法、装置和系统,特别涉及一种在对简单网管协议(Simple Network Management Protocol,以下简称SNMP)告警报文进行解析之前,先将该告警报文进行统一格式转换,使得网管设备告警处理能够得到简化,并能够防止网络告警风暴的简单网管协议告警报文的处理方法、装置和系统。
背景技术:
大型网络系统中分布着各种类型的硬件、软件系统,每种硬件、软件系统都会提供各自的本地管理维护工具,这些工具中,有的是基于MML的命令行工具,有的是图形化界面的管理工具,还有的是基于Web的配置管理台。这些管理工具为网络管理人员进行本地维护工作提供了方便的管理手段。
简单网络管理协议(Simple Network Management Protocol,以下简称SNMP)是被广泛接受并投入使用的工业标准之一,它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索信息,进行修改,寻找故障,完成故障诊断,容量规划和生成报告。它采用轮询机制,提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层协议-用户数据报协议(User Datagram Protocol,以下简称为UDP),因此,得到许多产品的支持。
在SNMP体系中,发生某些故障设备的代理(agent)会主动上报一些报文,这些报文被称为“陷阱(trap报文)”,用以通知网络管理系统(NetworkManagement System以下简称为NMS)有特定的事情发生。网管设备的告警功能很大程度上是依靠这种机制实现的。
由于SNMP基于UDP协议,每个trap报文也就是一个UDP报文。以下是有关报文格式的分析;其中的协议数据单元(Protocol Data Unit,以下简称为PDU)真正存放着报文携带的数据,PDU结尾的标识“value-bindings”中存储着以“name-value”对格式的附加信息。参见图1,这是一个公知的UDP报文的整体格式示意;参见图2,这是UDP报文中PDU部分的结构示意;参见图3,这是PDU部分中“Value-bindings”的结构示意。
上述的内容反映了SNMP第一个版本规定的trap报文结构;当网管设备接收到trap报文后,一般通过分析它的“enterprise ID”、“Generic ID”、“Specific ID”字段来判断trap报文的种类,并提取出其中的“value-binding”字段内容。参见图4,对于各种网元设备NE,包括主机(HOST)、路由器(ROUTER)和交换机(SWITCH)等,trap报文来说,value-binding字段的长度、类型都不相同;也有一些trap报文中并不含有value-bindings字段。
由于各种主机、数据库类设备对SNMP支持的力度各不相同,trap报文的版本也不尽相同。而trap报文格式的不统一,会给网管设备NMS解析这些trap报文带来困难。有很多的trap报文收到后,需要网管设备进而采取一些操作才能进行解析,因此,如果全部由网管设备NMS解析trap报文,会造成解析代码和业务代码混合。
如果管理的设备种类众多,对应的解析规则也会越来越多,这对于网管设备的性能会造成冲击,特别是在某些网元出现问题,不断发送大量trap报文时,即告警风暴产生的时候,会造成网管设备响应trap报文不及时,导致系统整体性能下降。
网络中还会有一些双机、集群以及多网卡、多IP设备,其中有的设备可以指定管理地址,即trap报文源地址,有些设备会随机绑定trap报文源IP,这就需要对设备IP进行映射。一般,NMS和网元间的接口有很强的通用性,如果把映射功能放在NMS一侧,则会影响这种通用性。
发明内容
本发明的第一目的是提供一种简单网管协议告警报文的处理方法、装置和系统,使简单网管协议告警报文在到达网管设备之前,先对所有特定端口的trap报文包做统一格式处理,由此解决trap报文包不统一,造成网管设备解析困难的问题,同时提高告警处理的准确率。
本发明的另一目的是提供一种简单网管协议告警报文的处理方法、装置和系统,在告警风暴产生时,暂时阻断对应网元发送的trap报文,防止告警风暴对网管设备的冲击。
为了实现本发明的第一个目的,本发明的方法包括在接收到告警报文时,将报文中的PDU内容进行复制,然后再进行分析修改;在分析修改时,先记录报文的源目标地址和端口,然后,按照配置文件中定义的enterprise ID,Generic ID,Specific ID对PDU进行索引,对于未定义的trap报文,根据配置文件中的设定,直接发送出去,或者予以抛弃;对于符合配置规则的trap报文,则对该报文中value-bindings部分进行统一编码,将trap报文的大部分信息(例如trap源网元类型、模块信息、告警类型、告警级别等信息)记录在value-bindings字段中,直接发出。
本发明的装置包括用于接收告警报文的多个端口、分析修改模块和发送模块;其中,分析修改模块用于从多个端口接收复制的PDU,并对告警报文进行分析和统一格式处理;发送模块用于接收分析修改模块处理后的告警报文,在向网管设备发送所述告警报文之前,按照配置文件填充告警报文的内容后将发送给网管设备。
本发明的系统由网管设备和网元设备相互采用树状结构连接构成,网元设备和网管设备之间,设有告警报文处理装置,该告警报文处理装置用于将网元设备发送的告警报文进行分析和统一格式处理后转发给网管设备;告警报文处理装置由用于接收告警报文的多个端口、分析修改模块和发送模块钩成;其中,所述分析修改模块用于从所述端口接收复制的PDU,并对告警报文进行分析和统一格式处理;所述发送模块用于接收分析修改模块处理后的告警报文,在向网管设备发送所述告警报文之前,按照配置文件填充告警报文的内容后将发送给网管设备。
为了实现本发明的第二个目的,本发明的方法还进一步对trap报文进行分析,将收到的报文与保存在配置文件中的“黑名单”数据进行比对,只允许转发经过授权的trap报文,而将频繁发送trap报文、有可能引发告警风暴的网元记录到黑名单中,阻止相应的报文转发至网管设备。
本发明的装置还包括防火墙模块以及计数器和/或定时器,其中,防火墙模块用于根据分析修改模块的命令更新其ACL列表,记录发送告警报文频率高于设定频繁阈值的网元设备,并根据纪录信息允许授权报文进入,阻止未经授权报文进入。分析修改模块接收计数器和/或定时器发送的信号,对不同网元设备发送告警报文的记录,统计相应告警报文发送的频率,并对频率高于设定阈值的网元设备所发送的告警报文不进行任何处理和转发。
本发明系统中的装置,同样采用了上述的防火墙模块以及计数器和/或定时器,其结构和作用在此不再赘述。
由于本发明在告警报文到达之前,先对报警报文进行了统一格式的处理,因此,网管设备就不必再去关心、分析报文的PDU头部信息,只要从统一格式报文的value-bindings部分中读取相应的信息即可对告警进行分析,降低了网管设备处理告警报文的难度。同时,由于本发明采用“黑白名单”机制,对到达的报文先行过滤,同时对于频发告警报文的网元进行记录和阻滞,可以有效地防止告警风暴的产生。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明trap报文的结构示意图;图2为本发明trap报文中PDU的结构示意图;图3为本发明trap报文PDU中value-bindings部分的结构示意图;图4为现有技术trap报文直接传送到网管设备的结构示意图;图5为本发明一具体实施方式
中统一格式处理的流程图;图6为本发明一具体实施方式
中过滤频发告警报文过滤的流程图;图7为本发明一具体装置的结构示意图;图8为本发明另一具体装置的结构示意图。
图9为应用本发明网络系统的结构示意图。
具体实施例方式
参见图5,本发明在接收到告警报文时,将报文中的PDU内容进行复制,然后再进行分析修改;这里的分析,参见图5,实际上可以是检查报文的类型,如果该报文的类型是特殊的告警报文,则需要进一步判断这个特殊告警报文对应的网元设备是否唯一,是则进行简单的PDU处理即可,否则,通过预先配置的脚本引擎解析出该告警报文唯一的trap报文的内容。上述的这个“简单的PDU处理”是指通过SNMP trap报文的头部信息(trap OID,genericID,specific ID)判断出trap报文的类型。然后根据其类型更改PDU内容,将trap报文类型等信息写入PDU中,同时将trap报文的头部替换为统一格式。对于非特殊种类的告警报文,参见图5,则根据告警报文的类型(traptype)先记录报文的源目标地址和端口,得到告警种类;然后,按照配置文件中定义的enterprise ID,Generic ID,Specific ID对PDU进行索引,得到设备的种类信息;对于符合配置规则的trap报文,则按照配置文件来填充相应的报文,即对该报文中value-bindings部分进行统一编码,将trap报文的大部分(例如trap源网元类型、模块信息、告警类型、告警级别等信息)信息记录在value-bindings字段中,直接发出。
本发明还进一步对trap报文进行分析,将收到的报文与保存在配置文件中的“黑名单”数据进行比对,只允许转发经过授权的trap报文,而将频繁发送trap报文、有可能引发告警风暴的网元记录到黑名单中,阻止相应的报文转发至网管设备。具体的一个实例如下参见图6,在接收到一个报文后,首先根据该报文内纪录的源网元信息,查找在防火墙中纪录的“黑名单”(该黑名单纪录有发送告警报文过于频繁的网元信息),如果黑名单中存在该源网元信息,则该报文为被禁止通过的报文而被禁止通过,否则进一步判断该报文的类型是否为未定义的报文类型,对于未定义的trap报文,可以根据配置文件中的设定,直接发送出去,或者予以抛弃;否则,执行如图5示的分析处理步骤,进行简单PDU处理或根据脚本引擎处理该报文,修改报文中的源IP后,将报文进行转发;最后,根据该报文的被发送的频度信息进行统计,用得到的统计数据更新防火墙的ACL列表。
参见图7,本发明的告警报文处理装置中,包括可以同时接收trap报文的多个端口1,分析修改模块2和发送模块3;当上述的这些端口1用于在收到trap报文后,将其中的PDU复制并转发给分析修改模块2,分析修改模块2则记录源目标地址和端口,并按照存储在该装置的配置文件中定义的enterprise ID,Generic ID,Specific ID对PDU进行索引,对于未定义的trap报文,根据配置文件的定义选择将trap报文通过发送模块3发出,或不进行处理。对于符合配置规则的trap报文,分析修改模块2对其中的value-bindings部分进行统一编码,将trap报文大部分信息存储到value-bindings之中。为了使网管设备获得发送trap报文的网元设备信息,发送模块3在发送trap报文时,将PDU中记录的trap报文源地址,并把trap报文的地址信息修改为设备的IP。
参见图8,本发明的告警报文处理装置TR中还可以进一步设置计数器和/或定时器4和ACL列表5,其他部件,例如端口1、发送模块3由于其作用与图7中所示相同,在此不再赘述。计数器和/或定时器4用于统计发送告警报文过于频繁的网元设备。当某一网元设备发送告警报文的频率高于一定的阈值时,该网元设备的信息,例如IP地址,就会被记录下来,本发明的装置TR根据该纪录控制对该网元设备发送的告警报文的处理。为了有效地控制告警风暴,本发明的装置中设有防火墙模块(图中未示),具体可以与分析修改模块2或其他模块设为一体,在防火墙中设有ACL列表5,该ACL列表5中记录着上述网元设备的“黑名单”和/或“白名单”。当接收到来自“白名单”中记录的网元设备发送的告警报文时,本发明的装置TR进行统一格式的变换,并转发相应的告警报文给网管设备;反之,如果接收到来自“黑名单”中记录的网元设备发送的告警报文时,则不进行任何处理。这样就可以有效地防止告警风暴的产生,极大地减轻网管设备对告警报文的处理负担。
参见图9,这是本发明告警报文处理装置运用的一个实例。与现有技术不同,告警报文处理装置TR设置在网管设备NMS和网元设备NE之间,所有的网元设备NE均经过告警报文处理装置TR转发告警报文。这样的网络结构设计,使得告警报文处理装置负担了格式统一、过滤冗余告警报文的任务,从而减轻了网管设备NMS处理告警报文的负担。
最后所应说明的是以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
权利要求
1.一种告警报文的处理方法,其特征在于,包括步骤1在收到告警报文时,对所述告警报文的类型进行分析;步骤2如果所述告警报文的类型为特殊告警报文,则执行步骤4;步骤3根据告警报文的类型得到告警的种类,并根据报文中的网元设备描述字段,获知发出告警报文的网元设备类型;执行步骤5;步骤4根据特殊设备配置文件,获得特殊告警报文对应的设备类型;步骤5按照配置文件填充告警报文的内容并发送给网管设备。
2.根据权利要求1所述的方法,其特征在于,在所述步骤2之前还进一步包括对所述告警报文进行分析,并与保存在配置文件的“黑名单”数据进行比对,如果所述告警报文的发送网元被记录在所述“黑名单”中,则不对该告警报文做进一步处理。
3.根据权利要求2所述的方法,其特征在于,还进一步包括对所述告警报文进行分析,获取对应网元发送所述告警报文的频率,如果所述频率高于设定的阈值,则将所述网元记录到配置文件的“黑名单”数据中。
4.根据权利要求1、2或3所述的方法,其特征在于所述步骤4具体包括判断所述特殊告警报文对应的网元设备是否唯一,是则进行简单PDU处理后执行步骤5,否则通过预先配置的脚本引擎解析出该告警报文唯一的trap报文的内容后执行步骤5。
5.一种告警报文的处理装置,其特征在于,包括用于接收告警报文的多个端口、分析修改模块和发送模块;其中,所述分析修改模块用于从所述端口接收复制的PDU,并对告警报文进行分析和统一格式处理;所述发送模块用于接收分析修改模块处理后的告警报文,在向网管设备发送所述告警报文之前,按照配置文件填充告警报文的内容后将发送给网管设备。
6.根据权利要求5所述的装置,其特征在于还设有计数器和/或定时器,所述分析修改模块接收计数器和/或定时器发送的信号,对不同网元设备发送告警报文的记录,统计相应告警报文发送的频率,并对频率高于设定阈值的网元设备所发送的告警报文不进行任何处理和转发。
7.根据权利要求5所述的装置,其特征在于还包括防火墙模块,所述防火墙模块用于根据分析修改模块的命令更新其ACL列表,记录发送告警报文频率高于设定频繁阈值的网元设备,并根据所述的纪录信息允许授权报文进入,阻止未经授权报文进入。
8.一种告警报文的处理系统,由网管设备和网元设备相互采用树状结构连接构成,其特征在于所述网元设备和网管设备之间,设有告警报文处理装置,所述告警报文处理装置用于将网元设备发送的告警报文进行分析和统一格式处理后转发给所述网管设备;所述的告警报文处理装置由用于接收告警报文的多个端口、分析修改模块和发送模块钩成;其中,所述分析修改模块用于从所述端口接收复制的PDU,并对告警报文进行分析和统一格式处理;所述发送模块用于接收分析修改模块处理后的告警报文,在向网管设备发送所述告警报文之前,按照配置文件填充告警报文的内容后将发送给网管设备。
9.根据权利要求8所述的系统,其特征在于所述告警报文处理装置还设有计数器和/或定时器,所述分析修改模块接收计数器和/或定时器发送的信号,对不同网元设备发送告警报文的记录,统计相应告警报文发送的频率,并对频率高于设定阈值的网元设备所发送的告警报文不进行任何处理和转发。
10.根据权利要求8所述的系统,其特征在于所述告警报文处理装置还设有防火墙模块,所述防火墙模块用于根据分析修改模块的命令更新其ACL列表,记录发送告警报文频率高于设定频繁阈值的网元设备,并根据所述的纪录信息允许授权报文进入,阻止未经授权报文进入。
全文摘要
一种告警报文的处理方法、装置和系统,接收告警报文的多个端口收到告警报文时,对告警报文的类型进行分析;分析修改模块从端口接收复制的PDU,并对告警报文进行统一格式处理,发送模块接收分析修改模块处理后的告警报文,在向网管设备发送告警报文之前,在PDU中记录告警报文源地址,将告警报文的地址信息修改为相应网元设备的IP地址后将告警报文发送给网管设备。本发明在告警报文到达之前,先对报警报文进行统一格式处理,网管设备只从统一格式报文中读取相应的信息即可对告警分析,降低了网管设备处理告警报文的难度。同时,本发明采用“黑白名单”,对报文先行过滤,同时对于频发告警报文的网元进行阻滞,有效地防止了告警风暴的产生。
文档编号H04L29/06GK1859211SQ20061005731
公开日2006年11月8日 申请日期2006年3月8日 优先权日2006年3月8日
发明者王刚, 叶翔 申请人:华为技术有限公司