专利名称:一种通过安全网管代理进行设备管理的方法及其装置的制作方法
技术领域:
本发明涉及运营商对被管理设备进行安全管理领域,特别是涉及一种通过安全网管代理进行设备管理的方法及其装置。
背景技术:
电信运营商或者其他运营商建设的通信网规模和容量都在日益不断扩大,使用的设备种类也不断增加,网络结构甚至组网原理都在发展和变化。
十年前,电信业务主要以电话语音、电报等传统业务为主,电信企业内部运维能力和管理水平也较低。随着国民经济的不断发展,人民的生活水平不断提高,电信业务种类、服务水平的需求不断提高,电信运营商的业务管理、运维、设备管理的矛盾也越来越突出。电信行业也从十多年前的中国电信一枝独秀转变成了多家运营商相互竞争的局面,这种市场化直接影响到了业务和网管的发展变化,这种影响是方向性的。并且,随着改革开放的不断深入,整个电信行业都慢慢从规模竞争转向业务竞争,网管系统也开始逐渐从幕后走向台前,从面向管理维护人员层面,开始逐渐将重心转移到面向管理经营层面,甚至间接面向用户,网管的安全性、可靠性、功能性要求也越来越高。如何高效、安全的管理电信运营商的大量服务器、数据设备、存储设备、终端设备成为电信运营商首要面对的问题。目前网络管理上主要会存在以下问题a1),骨干网络带宽越来越大,为节省硬件开支,网络中的设备都采用带内网管方式,即除非有特殊需要,不会建立单独的网管网络,网管数据都会承载在已有的数据通信网上,使得黑客利用互联网进入电信运营商系统进行攻击成为可能;a2),由于目前各种设备采用的IP(Internet Protocol,因特网协议)地址基本都是采用IPv4,公网IPv4地址越来越缺乏,一个大型项目中,设备数目众多,某些设备在私网中使用,不需要公网IP地址。但是由于是私网IP地址,电信运营商的网管无法管理这些设备;
a3),不同设备网管代理提供的管理协议(如SNMP协议、RMON协议)和版本不同,网管服务器端需要支持各种协议以及版本;SNMP为简单网络管理协议(Simple Network Management Protocol);RMON为远程监控(RemoteMonitoring)。
a4),不同设备采用的网管协议和配置可能存在安全隐患,黑客通过协议上的安全缺陷就可以进行非法访问和控制;a5),网管管理信息没有记录和审计功能,对可疑操作无法记录和诊断。
针对以上公网上的设备管理问题,需要实施一种安全可靠的设备管理方式,通过适当的网络改造、协议转换,达到电信级的网络管理安全要求,并可节省运营商宝贵的公网IPv4地址资源。
目前有几种比较相关的网管代理模式的管理方式,但是这些方式都不能系统的解决以上管理的安全性、可靠性问题。
目前公开的“一种基于SNMP协议的代理网管的实现方法”专利,
公开日期为2004年11月24日,公开号为CN1549499,其介绍了以下方法通过在分布式网络通信系统中,设置代理网管服务器,在该代理网管服务器上同时配置公网IP地址和私网IP地址,被管设备配置私网IP地址,网管站通过公网IP地址与代理网管服务器实现路由,代理网管服务器和被管设备之间通过私网IP地址实现路由,通过代理网管服务器对SNMP报文的处理和转发,完成网管站与被管设备之间的通信;网管站将SNMP请求报文发送给代理网管服务器,所述的SNMP代理请求报文中的community字段的格式还包含转发所需要的附加信息,反映被管设备信息;该专利为分布式网络通信系统中网元的网络管理提供一种经济有效的实现方法。
目前公开的“一种网管网关的实现方法”专利,
公开日期为2004年7月7日,公开号为CN1510865,其介绍了以下方法SNMP数据包的转换和转发处理过程和Trap数据包的转换和转发处理过程,通过对数据包团体名的改造,使其至少包括原始团体名、网元的IP地址和网元的SNMP端口信息。采用本发明所述的网管网关实现方法,网管服务器和网元通讯的时候,实际上是在和网关通讯,网元上报Trap到网管服务器的时候,也是先上报到网关。在该专利中,巧妙地利用了SNMP协议包中的community(团体名)字段的特点,对其进行复合预处理,收到数据包后只需要对其中的团体名进行解析处理即可实现相关处理。该实现方法简洁方便,而且不需要增加新的硬件设备。
目前公开的“一种网络管理安全认证的方法”专利,
公开日期为2005年2月16日,公开号为CN1581795,其介绍了以下方法配置网管参数表;网管发送SNMP(简单网络管理协议)请求报文;接收网管发送的SNMP请求报文;判断SNMP请求报文中表示网管身份的属性参数是否存在于网管参数表中,如果不存在,则返回错误消息,并中止SNMP请求,如果存在,则处理SNMP请求报文,并将处理结果返回给网管。利用该发明可以在不修改SNMP V1/V2协议栈以及不增加额外开发工作量的情况下,增加一种简单的网管用户认证机制,增加访问代理前的用户鉴权认证功能,以提高SNMP V1/V2协议的安全性。SNMP V1为SNMP版本1(SNMP Version1),SNMP V2为SNMP版本2(SNMP Version2)。
以上方法至少存在以下缺陷b1),网管协议都是基于SNMP V1/V2c协议,该版本的SNMP协议在安全性上存在问题,监听者容易获取用于通信的community,通过伪造管理报文获取设备的管理权限。同时网管协议报文未加密,也容易被截获和分析;SNMPV2c为SNMP带团体串版本2(SNMP Version2 with Community)。
b2),没有考虑网管代理网关的单点故障问题,如果该设备出现问题,网管将无法管理那些被代理设备;b3),代理或者网关不能对网管流量进行记录和跟踪,无法提供日后进行安全审计;b4),以上处理方式都是基于SNMP管理协议,未考虑到设备管理协议的多样性;b5),网管代理网关没有进行系统的安全性考虑;b6),网管代理网关没有Web反向代理功能,使得必须要通过Web管理界面进行配置的参数,无法通过远程进行配置。
现有的“网络设备的管理方法及网络管理系统”也比较相关,
公开日期为2006年2月8日,公开号为CN1731740,其介绍了以下方法,包括在网管站上保存与网络设备对应的标识;网络设备向网管站发送包括其标识的管理请求报文;网管站通过管理请求报文中的标识识别网络设备,通过管理请求报文与应答报文的交互对网络设备进行管理;所述应答报文为网管站向网络设备返回的报文。该发明还公开了一种应用上述方法的管理站和一种网络管理系统。该发明可以对具有动态IP地址的网络设备和位于NAT(Network AddressTranslation,网络地址转换)网关内部的网络设备等现有技术中难于管理的网络设备进行有效管理,还可以与传统的网管技术相结合,实现对复杂网络的全面管理。
该方法同样存在以下不足c1),需要对网络设备协议流程进行改造,在运营商网络中绝大多数厂商设备无法支持该流程;c2),没有考解决协议报文安全性,网管站与网络设备通信安全存在隐患;c3),没有解决如果管理大量设备,公网IPv4地址资源不够的情况;c4),网管代理网关没有进行系统的安全性考虑;c5),网管代理网关没有Web反向代理功能,使得必须要通过Web管理界面进行配置的参数,无法通过远程进行配置。
发明内容
本发明所要解决的技术问题在于提供一种通过安全网管代理进行设备管理的方法及其装置,用于实现网管系统对被代理设备的有效控制和管理。
为了实现上述目的,本发明提供了一种通过安全网管代理进行设备管理的方法,用于实现网管系统对被代理设备的有效控制和管理,所述网管系统设有一个或多个网管服务器,其特征在于,该方法包括步骤一,设置一个或多个安全网管代理服务器,并建立所述安全网管代理服务器与所述网管系统、所述被代理设备之间的通信连接;步骤二,由所述网管服务器发送一管理消息报文至所述安全网管代理服务器,所述安全网管代理服务器将所述管理消息报文转换为所述被代理设备支持的一管理请求报文,并发送至所述被代理设备;步骤三,由所述被代理设备处理所述管理请求报文并返回一第一响应消息报文至所述安全网管代理服务器,所述安全网管代理服务器将所述第一响应消息报文转换为所述网管系统支持的一第二响应消息报文,并发送至所述网管服务器;及步骤四,所述网管服务器接收并分析处理所述第二响应消息报文。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤一中,所述安全网管代理服务器与所述被代理设备配置于同一私网中,并通过一第一IP地址与所述网管系统进行相互通信,通过一第二IP地址与所述被代理设备进行相互通信;所述被代理设备通过一私网IP地址与所述安全网管代理服务器进行相互通信。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤一中,进一步包括当所述安全网管代理服务器为两个或多个时,选择其中两个安全网管代理服务器,分别作为主用安全网管代理服务器、备用安全网管代理服务器,且当所述主用安全网管代理服务器出现故障时,所述备用安全网管代理服务器代替所述主用安全网管代理服务器,并采用所述第一IP地址与所述网管系统进行相互通信。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤一中,进一步包括在所述安全网管代理服务器上配置一访问控制列表的步骤,用于根据访问控制列表判断是否允许所述网管服务器采用所述第一IP地址访问所述安全网管代理服务器。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤一中,所述网管系统采用安全网管协议与所述安全网管代理服务器之间进行相互通信。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤二中,进一步包括在将所述管理消息报文发送至所述安全网管代理服务器之前,先由所述网管服务器对所述管理消息报文进行加密、认证和/或摘要处理的步骤。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤二中,进一步包括由所述安全网管代理服务器通过日志对所述管理消息报文进行记录的步骤。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤二中,进一步包括由所述安全网管代理服务器根据所述被代理设备所采用的协议、IP地址及相关参数配置一代理配置关系表的步骤,用于根据所述代理配置关系表将所述管理消息报文转换为所述管理请求报文。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤二中,进一步包括当所述管理消息报文为Web管理界面请求且为Web管理静态页面时,所述安全网管代理服务器对Web管理静态页面进行比较判断是否有变化,若有变化,则缓存新的Web管理静态页面并返回该新的Web管理静态页面给所述网管服务器,否则直接返回缓存的Web管理静态页面给所述网管服务器;或当所述管理消息报文为Web管理界面请求且为Web管理动态页面时,则不进行缓存,直接返回该Web管理动态页面给所述网管服务器。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤二中,进一步包括由所述安全网管代理服务器根据解析代理配置关系表得到的所述被代理设备的私网IP地址将所述管理请求报文发送至所述被代理设备。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤三中,进一步包括由所述安全网管代理服务器通过一计时器记录所述被代理设备响应所述管理请求报文的时间的步骤,若所述被代理设备未在设定时间返回所述第一响应消息报文,则确认为所述被代理设备超时响应。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤三中,进一步包括由所述安全网管代理服务器查询所述代理配置关系表,将所述第一响应消息报文或所述被代理设备的超时信息转换为所述第二响应消息报文的步骤。
为了实现上述目的,本发明还提供了一种通过安全网管代理进行设备管理的方法,用于实现网管系统对被代理设备的有效控制和管理,所述网管系统设有一个或多个网管服务器,其特征在于,该方法包括步骤101,设置一个或多个安全网管代理服务器,并建立所述安全网管代理服务器与所述网管系统、所述被代理设备之间的通信连接;步骤102,当所述被代理设备出现故障和/或异常时,发送一告警信息报文至所述安全网管代理服务器;步骤103,所述安全网管代理服务器通过查询一代理配置关系表,获得需要接收所述告警信息报文转发的网管服务器参数,并根据所述网管服务器参数对所述告警信息报文进行转换;及步骤104,所述安全网管代理服务器将转换后的所述告警信息报文发送至所述网管服务器。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤104中,进一步包括当所述安全网管代理服务器未获得所述网管服务器参数时,不发送转换后的所述告警信息报文。
所述的通过安全网管代理进行设备管理的方法,其中,所述步骤104中,进一步包括当所述安全网管代理服务器根据所述网管服务器参数时得到多个网管服务器时,逐个发送转换后的所述告警信息报文。
为了实现上述目的,本发明还提供了一种通过安全网管代理进行设备管理的装置,包括被代理设备、网管系统,所述网管系统中又设有一个或多个网管服务器,其特征在于,该装置还包括一个或多个安全网管代理服务器,并与所述网管系统、所述被代理设备之间进行通信连接;所述网管服务器发送一管理消息报文至所述安全网管代理服务器,所述安全网管代理服务器将所述管理消息报文转换为所述被代理设备支持的一管理请求报文,并发送至所述被代理设备;所述被代理设备处理所述管理请求报文并返回一第一响应消息报文至所述安全网管代理服务器,所述安全网管代理服务器将所述第一响应消息报文转换为所述网管系统支持的一第二响应消息报文,并发送至所述网管服务器;及所述网管服务器接收并分析处理所述第二响应消息报文。
所述的通过安全网管代理进行设备管理的装置,其中,所述安全网管代理服务器通过集线器或2层交换机与所述被代理设备进行通信连接。
所述的通过安全网管代理进行设备管理的装置,其中,所述管理请求报文为所述管理消息报文经过协议转换处理后的报文或消息内容修改后的报文。
本发明的有益技术效果d1),通过安全网管代理方式,网管系统可以使用安全的网管协议对所有的设备进行统一管理,提高了带内网管的安全性,并有效节省了宝贵的公网IPv4地址资源;d2),安全网管代理服务器支持代理多种被管设备协议,如SNMPV1/V2c,如果被管设备只支持如SNNPV1/V2c等不安全的网管协议,安全网管代理服务器可以将相应的协议转换为与网管服务器通信使用的安全网管协议;d3),安全网管代理服务器同时支持Web反向代理功能,运维人员在远程网管服务器或者合法管理设备上,可通过安全网管代理服务器登录相应被代理设备的Web本地管理界面进行管理,由于安全网管代理服务器可缓存被代理设备的Web静态页面,进而提高了Web反向代理的响应速度和性能;
d4),对于被代理设备的安全网管代理需对远程的网管服务器进行安全验证和控制,只允许合法的网管服务器与其进行通信,并提供可供审计的日志纪录,提高了系统的安全性。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
图1为本发明通过安全网管代理服务器对被代理设备进行管理的装置结构图;图2为本发明网管服务器通过安全网管代理服务器对被代理设备进行管理的流程图;图3为本发明被代理设备通过安全网管代理服务器发送告警信息报文给网管服务器的流程图。
具体实施例方式
如图1所示,为本发明通过安全网管代理服务器对被代理设备进行管理的装置结构图,该装置1包括被代理设备10、一台或者多台安全网管代理服务器20、设有网管服务器30的网管系统3。
安全网管代理服务器20既可以是单独的服务器设备,也可以是某些被管理服务器设备,并在安全网管代理服务器20上设置/部署相应的安全网管代理模块21,将安全网管代理服务器20与需要被代理的被代理设备10配置在同一个私网内,安全网管代理服务器20与被代理设备10可以通过私网地址相互通信,同时安全网管代理服务器20具备一个网管系统3可以路由到达的IP地址,网管系统3可以与安全网管代理服务器20直接通信。
网管系统3使用安全的网管协议与安全网管代理服务器20进行通信,实现相应的网管功能,包括读取、设置参数,接收告警。网管系统3发送管理请求消息至安全网管代理服务器20,安全网管代理服务器20将管理请求消息转化为被代理设备10支持的协议请求并转发给相应的被代理设备10,同时将被代理设备10的返回信息转化为网管系统3使用的协议消息,再发送至网管系统3。
当被代理设备10出现故障,会主动发送告警信息至相应的安全网管代理服务器20,安全网管代理服务器20将告警信息转化为网管系统3使用的协议消息转发给网管系统3。
如果被代理设备10支持Web管理界面,安全网管代理服务器20可以作为Web反向代理,此时,网管系统3可直接通过安全网管代理服务器20登录被代理设备10的Web管理界面进行管理,并且安全网管代理服务器20可以提高相应Web管理界面的访问速度。
安全网管代理服务器20与网管系统3使用了安全网管协议,并进行了相应的ACL(Access Control List,访问控制列表)控制,只有合法的网管服务器30才能与安全网管代理服务器20进行通信。
安全网管代理服务器20需要具备2个IP地址IP1与IP2,其中IP1地址是网管系统3可访问的IP地址,IP2地址是安全网管代理服务器10与各个被代理设备10通信的地址。
安全网管代理服务器20需要配置相应的ACL(访问控制列表),只有合法的网管服务器30才能远程访问其IP1地址。
安全网管代理服务器20通过IP2地址访问各个被代理设备10,即安全网管代理服务器20可以通过一个集线器或2层交换机与各个被代理设备10相连接。
安全网管代理服务器20可以使用主备双机等方式避免单点故障,当一个安全网管代理服务器20出现故障后,另一个备用的安全网管代理服务器20立刻提供相同的服务。安全网管代理服务器20主备双机采用浮动地址技术,使用相同的IP地址与网管系统3通信,对网管服务器30透明。
网管系统3通过网管服务器30与安全网管代理服务器20进行相互通信。
安全网管代理服务器20将网管服务器30发来的管理请求消息转换为被代理设备10支持的协议报文,并将相应被代理设备10的返回信息或者告警信息转换为与网管服务器30通信的安全协议报文,并发送给网管服务器30。
如图2所示,是本发明的网管服务器通过安全网管代理对被代理设备进行管理的流程图,对被代理设备进行管理,首先须根据需要配置相应的服务器作为安全网管代理服务器,并在该安全网管代理服务器上安装配置相应的软件模块。结合图1,该流程具体采用以下步骤
步骤201,网管服务器30发送管理消息报文给指定的被代理设备10对应的安全网管代理服务器20;步骤202,安全网管代理服务器20分析管理消息报文,对网管服务器30的身份和报文内容进行安全检查,确认合法性后,进行报文转换,转换为相应被代理设备10支持的管理请求报文,该报文为协议报文;步骤203,安全网管代理服务器20将管理请求报文发送给指定的被代理设备10;步骤204,被代理设备10接收并处理管理请求报文后,返回响应消息报文至安全网管代理服务器20;步骤205,安全网管代理服务器20将被代理设备10的响应消息报文转换为网管服务器30的响应消息格式的响应消息报文,该报文为协议报文;及步骤206,安全网管代理服务器20将转换后的响应消息报文发送给网管服务器30。
上述步骤201中,网管服务器30采用安全网管协议需要在通信消息(即管理消息报文)上进行加密、认证、摘要等功能,保证通信消息的机密性、完整性,安全网管协议可采用国际标准的SNMP V3(SNMP Version 3,SNMP版本3)。
上述步骤201中,若网管服务器30采用SNMP V3协议,协议中snmpSecurityModel设置为USM,snmpSecurityLevel设置为authPriv。msgUserName字段将携带相应的被代理设备10的私网IP地址信息,格式如下AAAAAAA@@被代理设备10的私网IP其中“@@”为分隔符。
上述步骤201中,网管服务器30可使用HTTP/HTTPs协议访问安全网管代理服务器20的反向代理功能。
其中HTTP为超文本传输协议(Hyper Text Transfer Protocol),HTTPs为安全超文本传输协议(Secure Hyper Text Transfer Protocol)。
上述步骤202中,安全网管代理服务器20根据被代理设备10的使用协议P1,被代理设备10的私网IP地址IP3,以及相关协议参数配置相应的代理配置关系表,基本格式如下表1表1
上述步骤202中,安全网管代理服务器20将进行安全检查,验证网管系统3的合法性,只有在ACL列表中允许的网管服务器30地址以及对相应的管理消息报文合法性认证通过才进行随后流程的处理,否则不进行任何处理。
上述步骤202中,安全网管代理服务器20将对所有的管理消息报文(包括合法消息报文、非法消息报文)进行详细的日志记录,通过该日志可进行安全审计。其中合法消息报文是合法网管服务器30的合法访问,非法消息报文是非法网管服务器30的非法访问。
上述步骤202中,安全网管代理服务器20通过查询代理配置关系表,将管理消息报文转换为被代理设备10可识别的协议报文。
上述步骤202中,经过转化的协议报文可能是协议的转化也可能是消息内容的转化/修改。
上述步骤202中,安全网管代理服务器20接收到相应的安全网管请求(如管理消息报文),若网管服务器30采用SNMP V3请求报文,分析其报文的msgUserName字段,获知具体需要转发报文的被代理设备10的私网IP地址,并将SNMP V3协议报文转化为代理配置关系表中被代理设备10的管理协议,如SNMP V2c协议。
上述步骤202中,安全网管代理服务器20接收到相应的安全网管请求(如管理消息报文),如果是Web管理界面请求,安全网管代理服务器20将启动相应的Web反向代理功能。
上述步骤202中,如果安全网管请求是Web管理界面请求且为Web管理静态页面时,安全网管代理服务器20会对Web管理静态页面进行比较,当发现有变化时,缓存新的Web管理静态页面,并将新的Web管理静态页面返回给网管服务器30。
上述步骤202中,如果安全网管请求是Web管理界面请求,并且是未更改的Web管理静态页面,则直接将缓存的Web管理静态页面返回给网管服务器30。
上述步骤202中,如果安全网管请求是Web管理界面请求,并且是Web管理动态页面,则不做任何缓存,直接将该Web管理动态页面返回给网管服务器30。
上述步骤203中,安全网管代理服务器20根据解析代理配置关系表得到被代理设备10的私网IP地址,将经过转化的协议报文发给指定的被代理设备10。协议报文如SNMP V2c、HTTP/HTTPs请求。
上述步骤203中,安全网管代理服务器20同时打开相应的计时器,记录被代理设备10的响应时间。
上述步骤204中,被代理设备10按照协议返回相应的响应消息。
上述步骤204中,被代理设备10如果未在指定时间返回消息,安全网管代理服务器20认为其已经超时。
上述步骤205中,安全网管代理服务器20查询代理配置关系表,将被代理设备10的响应消息或者超时信息转换为网管服务器30请求协议的响应消息格式和内容。
所述的步骤206中,安全网管代理服务器20将转换后的消息发送给网管服务器30。
图2中,安全网管代理服务器20支持多管理协议,如SNMP V1/V2c/V3、HTTP、HTTPs、RMON等,通过ACL对远程网管服务器30的接入进行认证,同时使用Web静态页面缓存技术提高反向代理的速度和性能。
如图3所示,是本发明被代理设备通过安全网管代理服务器主动发送告警信息报文给网管服务器的流程图,该流程解决了被代理设备告警信息主动上报给网管服务器的技术问题,其通过安全网管代理服务器对被代理设备按照相应规则进行转换,并发送给指定网管服务器,具体包括以下步骤步骤301,被代理设备10出现故障、异常,主动向安全网管代理服务器20发送告警信息报文;步骤302,安全网管代理服务器20查询代理配置关系表,匹配出需要转发告警的网管服务器30的相关参数,并将原始的告警信息报文转换为相应的格式和内容;步骤303,安全网管代理服务器20将已转换的告警信息报文发送给相应的网管服务器30。
上述步骤303中,安全网管代理服务器20如果未找到对应的网管服务器30的参数,则不发送告警信息报文。
上述步骤303中,安全网管代理服务器20对根据匹配的网管服务器30的参数,如果匹配结果有多个网管服务器30,则逐个发送转换后的告警信息报文。
本发明提供了一种安全可靠、适应能力强、不需要对现网的设备管理协议进行改造的网管管理方法,同时利用该方法流程可以节省有限的公网IPv4地址资源。即使被管理设备使用的不是标准协议,也可以通过安全网管代理服务器实现消息格式和内容的转化,同时如果被管理设备支持Web管理界面功能,安全网管代理服务器作为Web反向代理网关,网管系统在远程就可登录相应设备的Web管理界面进行管理。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种通过安全网管代理进行设备管理的方法,用于实现网管系统对被代理设备的有效控制和管理,所述网管系统设有一个或多个网管服务器,其特征在于,该方法包括步骤一,设置一个或多个安全网管代理服务器,并建立所述安全网管代理服务器与所述网管系统、所述被代理设备之间的通信连接;步骤二,由所述网管服务器发送一管理消息报文至所述安全网管代理服务器,所述安全网管代理服务器将所述管理消息报文转换为所述被代理设备支持的一管理请求报文,并发送至所述被代理设备;步骤三,由所述被代理设备处理所述管理请求报文并返回一第一响应消息报文至所述安全网管代理服务器,所述安全网管代理服务器将所述第一响应消息报文转换为所述网管系统支持的一第二响应消息报文,并发送至所述网管服务器;及步骤四,所述网管服务器接收并分析处理所述第二响应消息报文。
2.根据权利要求1所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤一中,所述安全网管代理服务器与所述被代理设备配置于同一私网中,并通过一第一IP地址与所述网管系统进行相互通信,通过一第二IP地址与所述被代理设备进行相互通信;所述被代理设备通过一私网IP地址与所述安全网管代理服务器进行相互通信。
3.根据权利要求2所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤一中,进一步包括当所述安全网管代理服务器为两个或多个时,选择其中两个安全网管代理服务器,分别作为主用安全网管代理服务器、备用安全网管代理服务器,且当所述主用安全网管代理服务器出现故障时,所述备用安全网管代理服务器代替所述主用安全网管代理服务器,并采用所述第一IP地址与所述网管系统进行相互通信。
4.根据权利要求2或3所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤一中,进一步包括在所述安全网管代理服务器上配置一访问控制列表的步骤,用于根据访问控制列表判断是否允许所述网管服务器采用所述第一IP地址访问所述安全网管代理服务器。
5.根据权利要求1、2或3所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤一中,所述网管系统采用安全网管协议与所述安全网管代理服务器之间进行相互通信。
6.根据权利要求5所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤二中,进一步包括在将所述管理消息报文发送至所述安全网管代理服务器之前,先由所述网管服务器对所述管理消息报文进行加密、认证和/或摘要处理的步骤。
7.根据权利要求6所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤二中,进一步包括由所述安全网管代理服务器通过日志对所述管理消息报文进行记录的步骤。
8.根据权利要求1、2、3、6或7所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤二中,进一步包括由所述安全网管代理服务器根据所述被代理设备所采用的协议、IP地址及相关参数配置一代理配置关系表的步骤,用于根据所述代理配置关系表将所述管理消息报文转换为所述管理请求报文。
9.根据权利要求1、2、3、6或7所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤二中,进一步包括当所述管理消息报文为Web管理界面请求且为Web管理静态页面时,所述安全网管代理服务器对Web管理静态页面进行比较判断是否有变化,若有变化,则缓存新的Web管理静态页面并返回该新的Web管理静态页面给所述网管服务器,否则直接返回缓存的Web管理静态页面给所述网管服务器;或当所述管理消息报文为Web管理界面请求且为Web管理动态页面时,则不进行缓存,直接返回该Web管理动态页面给所述网管服务器。
10.根据权利要求1、2、3、6或7所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤二中,进一步包括由所述安全网管代理服务器根据解析代理配置关系表得到的所述被代理设备的私网IP地址将所述管理请求报文发送至所述被代理设备。
11.根据权利要求10所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤三中,进一步包括由所述安全网管代理服务器通过一计时器记录所述被代理设备响应所述管理请求报文的时间的步骤,若所述被代理设备未在设定时间返回所述第一响应消息报文,则确认为所述被代理设备超时响应。
12.根据权利要求11所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤三中,进一步包括由所述安全网管代理服务器查询所述代理配置关系表,将所述第一响应消息报文或所述被代理设备的超时信息转换为所述第二响应消息报文的步骤。
13.一种通过安全网管代理进行设备管理的方法,用于实现网管系统对被代理设备的有效控制和管理,所述网管系统设有一个或多个网管服务器,其特征在于,该方法包括步骤101,设置一个或多个安全网管代理服务器,并建立所述安全网管代理服务器与所述网管系统、所述被代理设备之间的通信连接;步骤102,当所述被代理设备出现故障和/或异常时,发送一告警信息报文至所述安全网管代理服务器;步骤103,所述安全网管代理服务器通过查询一代理配置关系表,获得需要接收所述告警信息报文转发的网管服务器参数,并根据所述网管服务器参数对所述告警信息报文进行转换;及步骤104,所述安全网管代理服务器将转换后的所述告警信息报文发送至所述网管服务器。
14.根据权利要求13所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤104中,进一步包括当所述安全网管代理服务器未获得所述网管服务器参数时,不发送转换后的所述告警信息报文。
15.根据权利要求13或14所述的通过安全网管代理进行设备管理的方法,其特征在于,所述步骤104中,进一步包括当所述安全网管代理服务器根据所述网管服务器参数时得到多个网管服务器时,逐个发送转换后的所述告警信息报文。
16.一种通过安全网管代理进行设备管理的装置,包括被代理设备、网管系统,所述网管系统中又设有一个或多个网管服务器,其特征在于,该装置还包括一个或多个安全网管代理服务器,并与所述网管系统、所述被代理设备之间进行通信连接;所述网管服务器发送一管理消息报文至所述安全网管代理服务器,所述安全网管代理服务器将所述管理消息报文转换为所述被代理设备支持的一管理请求报文,并发送至所述被代理设备;所述被代理设备处理所述管理请求报文并返回一第一响应消息报文至所述安全网管代理服务器,所述安全网管代理服务器将所述第一响应消息报文转换为所述网管系统支持的一第二响应消息报文,并发送至所述网管服务器;及所述网管服务器接收并分析处理所述第二响应消息报文。
17.根据权利要求16所述的通过安全网管代理进行设备管理的装置,其特征在于,所述安全网管代理服务器通过集线器或2层交换机与所述被代理设备进行通信连接。
18.根据权利要求16或17所述的通过安全网管代理进行设备管理的装置,其特征在于,所述管理请求报文为所述管理消息报文经过协议转换处理后的报文或消息内容修改后的报文。
全文摘要
本发明公开了一种通过安全网管代理进行设备管理的方法及其装置,其中该方法包括步骤一,设置一个或多个安全网管代理服务器,并建立安全网管代理服务器与网管系统、被代理设备之间的通信连接;步骤二,由网管服务器发送管理消息报文至安全网管代理服务器,安全网管代理服务器将管理消息报文转换为被代理设备支持的管理请求报文,并发送至被代理设备;步骤三,由被代理设备处理管理请求报文并返回第一响应消息报文至安全网管代理服务器,安全网管代理服务器将第一响应消息报文转换为网管系统支持的第二响应消息报文,并发送至网管服务器;及步骤四,网管服务器接收并分析处理第二响应消息报文。本发明实现网管系统对被代理设备的有效控制和管理。
文档编号H04L12/24GK101094104SQ200710119699
公开日2007年12月26日 申请日期2007年7月30日 优先权日2007年7月30日
发明者耿国庆, 张远 申请人:中兴通讯股份有限公司