专利名称:用于管理ip网络的方法和系统的制作方法
技术领域:
本发明一般地涉及IP (网际协议)数据通信网络的管理,具体地说, 涉及用于自动获取和记录有关网络主机的信息以便在网络管理操作中使用 的系统。
背景技术:
在IP网络中,网络主机(即计算机系统和设备)通常由其IP地址来 标识。但是,通常需要获取有关设备的其他信息以实现诸如网络监视或安 全操作之类的网络管理目的。例如,通常需要获^U更件网络地址,即给定
IP地址的主机的MAC (介质访问控制)地址。例如,可能需要该地址以 允许将受病毒感染的主机与网络的其余部分隔离。作为另一个实例,可能 需要通过安全扫描或检查工具获取的主机安全符合性信息以控制主机对网 络的访问。通常,访问各种类型的主机特定信息可能对于网络管理操作领 域是有用的或需要的。遗憾的是,没有一种获取有关主机的此类信息的便 利方法。可能在网络运行期间在各种系统日志中捕获某些类型的主机信息, 但实际上难以或甚至不可能通过分析此类日志来检索特定主机信息。某些 主机信息可能由网络管理员手动记录在例如用于网络或系统配置详细信息 的系统储存库中,但维护有关所有网络主机的最新信息会涉及大量工作。
为了解决上述问题,通常在IP网络运行中动态分配IP地址。这可以 例如使用DHCP (动态主机配置协议)来完成。使用此系统,DHCP服务 器维护可以根据请求被分配给加入网络的设备的IP地址的池。动态分配的 IP地址由DHCP服务器有效地租借给请求主机。主机可以定期续订 (renew )租约以维持其IP地址分配。无法续订租约将导致IP地址,皮返 回所述池以重新分配给其他设备。动态DNS (域名系统)提供另一种用于处理动态IP地址的机制。DNS是一种公知的并且广泛使用的系统,但此 时提供DNS系统的简短说明以有助于理解要描述的本发明是有用的。
DNS服务器形成分布式数据库,其主要用途是将主机名以完全限定域 名的形式(例如abc,domain.com)映射到IP地址。分布式DNS服务器系 统提供了用于例如以#^ Web浏览器的URL (统一资源定位器)获取对 应于特定主机名的IP地址的机制,从而允许所讨论的应用与此主机通信以 便例如检索网页。信息被存储在DNS服务器中由DNS协议定义的各种类 型的记录中。DNS地址记录指定了对应于主机名的IP地址,但其他类型 的DNS记录可以与所述名称关联,并因此与主机的IP地址关联。例如 可以使用规范名称(CNAME)记录将多个主机名指定为给定IP地址的别 名;可以建立主机信息(HINFO)记录以便为主机名提供操作系统信息; 以及可以在文本(TXT)记录中将任意文本与主机名关联。域的DNS服务 器(多个)通常由此域的所有者维护。在具有静态IP地址的传统网络中, 由网络管理员例如在将设备添加到网络时手动创建所有DNS记录表项。使 用上述由DHCP服务器管理的动态IP地址,DNS服务器包含一组针对所 讨论的IP地址范围的手动输入的DNS记录,所述记录指向DHCP服务器 的地址池中的对应地址。如上所述,动态DNS提供了另一种用于处理动态 IP地址的机制。此协议允许主机在其IP地址发生更改时向DNS服务器通 知其名称和IP地址。DNS服务器然后可以相应地在主机名的DNS地址记 录中更新IP地址。
无论何种动态IP地址机制,效果都是给定主机不能始终拥有同一 IP 地址,并且给定IP地址可以随时间与多个主机关联。这是在首要主机标识 符是IP地址的IP网络中获取可靠主机信息的主要障碍。现有解决方案依 靠在需要信息时动态查询各个设备。作为一种示例性情况,网络管理员可 能希望在网络中查找具有特定MAC地址的主机。主机MAC地址通常对 于主机所连接的第一交换机或路由器的另一侧的网络系统并不可见。因此 管理员动态查询网络中的路由器和交换机,实际询问每个路由器和交换机 "您见过此MAC地址吗?"。通常,用于获取主机信息的"动态查询"方法严重依赖于所使用的网络设备的品牌和网络的特定布局。此外,对于
诸如刚刚描述的根据MAC地址标识主机之类的任务,需要查询每个需要 被标识的设备,当需要标识大量设备时,这将引入额外的延迟和开销。
发明内容
本发明的笫一方面提供了一种用于管理互连多个网络主机的IP网络 的方法。所述方法包括
从每个主机自动获取指示此主机的状态的状态信息; 将从每个主机获取的所述状态信息自动记录在DNS服务器的至少一 个与此主机的IP地址关联的DNS记录中;以及
访问所述DNS记录中的主机状态信息以执行网络管理操作。 因此,在本发明的实施例中,在网络运行时从主机自动获取指示网络 主机状态的信息。主机状态信息可以包括例如有关主机的位置、状况或运 行状态的各种主机特定信息,并且具体地说,传送不仅仅是主机名的有关 主机的信息。主机状态信息然后被自动记录在一个或多个与主机IP地址关 联的DNS记录中。然后状态信息将可供随后访问以响应指定IP地址(即 始终要知道的主机的关键信息)的DNS查询。因此,可以根据需要访问主 机状态信息,并且根据如此获取的信息执行网络管理操作。因此,本发明 的实施例使用DNS记录作为高度便利的主机状态信息储存库以用于网络 管理,其中"网络管理"在此用于一般意义的网络监视、维护和控制功能。 DNS系统是一种已被广泛接受和使用的易于操作和连接的系统。实际上, 所有当前网络设备都具有与DNS服务器连接的装置,并且本发明的实施例 可以使用此现有DNS功能以记录和检索主机状态信息。因此,可以使用有 效和标准的协议查询主机信息,从而无需复杂的i殳备特定查询。还可以避 免使用其他数据库来存储主机信息,并且可使用现有工具和库来访问信息。 此外,与常规手动维护的系统数据库相比,自动获取和记录过程使信息能 够更易于保持最新。因此,提供了一种极为筒单并且高度有效的系统,以 使在网络运行时否则可能难以或不可能获取的有关主机的信息可用于网络管理操作。
根据所讨论的主机状态信息和管理操作的特定性质,可以定期或响应 于特定事件来执行自动获取过程,且相应地动态更新先前记录的信息。下 面将描述各种实例。
通常,可以针对全部网络主机或网络主机的子集获取状态信息,并且 可以针对不同类型的主机或不同的主机组获取不同的状态信息。
自动获取和记录机制可以是集中式或分布式机制。在优选实施例中,
此功能由网络的至少一个服务器执行。具体地说,优选地由网络的DHCP 服务器作为主机IP地址分配过程的一部分来执行主机状态信息的自动获 取和记录。通常这可以针对动态和静态IP地址执行,如下面进一步讨论的 那样。理想上,首先在为主机初始分配IP地址时执行自动获取和记录过程, 并且随后在为主机续订IP地址分配时执行自动获取和记录过程。
由于与主机IP地址关联地记录主机状态信息,因此始终可以通过提供 IP地址的DNS查询访问信息。但是,DNS协议允许在(完全)主机名, 即完全限定域名(FQDN)下,或在某些情况下FQDN的一部分,以及在 IP地址下查找信息。因此,在优选实施例中,从主机获取的状态信息的至 少一部分可以被记录在与主机IP地址关联的DNS记录的FQDN中。然后 可以通过提供上述状态信息来查找DNS记录,以检索对应IP地址以及与 此地址关联的任何其他主机状态信息。上述状态信息可以被记录为主机的 实际,即实际标准或"规范"FQDN。但是,优选地维护将实际主机FQDN 链接到其IP地址的一般DNS地址记录,并且将状态信息记录在其他关联 记录中,例如以别名形式记录在CNAME记录中。
针对主机获取的状态信息优选地至少包括此主机的MAC地址。但是, 状态信息还可以包括指示主机的安全状态或运行参数的信息,如下面进一 步描述的那样。
本发明的第二方面提供了一种用于管理互连多个网络主机的IP网络 的系统。所述系统包括
控制逻辑,其用于从每个主机自动获取指示此主机状态的状态信息,以及用于将所述状态信息自动记录在DNS服务器的至少一个与此主机的 IP地址关联的DNS记录中;以及
网络管理逻辑,其用于访问所述DNS记录中的主机状态信息并根据所 述信息执行网络管理操作。
本发明的第三方面提供了一种用于在互连多个网络主机的IP网络中 控制IP地址分配的DHCP服务器系统,所述系统包括控制逻辑,所述控 制逻辑适于在所述系统为主机分配IP地址时执行以下操作
从主机获取指示此主机的状态的状态信息;以及
将所述状态信息记录在DNS服务器的至少一个与此主机的所述IP地 址关联的DNS记录中。
本发明还提供了 一种包括程序代码装置的计算机程序,所述程序代码 装置用于控制IP网络中的DHCP服务器,以l更在所述DHCP服务器为网 络主机分配IP地址时,所述服务器从主机获取指示此主机的状态的状态信 息,并将所述状态信息记录在DNS服务器的至少一个与此主;f几的所述IP 地址关联的DNS记录中。包含本发明的计算机程序可以构成独立程序或可 以是较大程序的元素,并且可以例如被包括在诸如盘或电子传输系统之类 的计算机可读介质中以加载到计算机。(将理解的是,术语"计算机,,用 于最一般的意义并包括任何具有数据处理能力以实现计算积4呈序的设备、 组件或系统)。所述计算机程序的程序代码装置可以包括一组指令的以任 何语言、代码或符号表示的任何表达,旨在使计算机直接执行所述方法, 或者执行以下两者之一或全部后执行所述方法a)转换为另一种语言、代 码或符号;和/或b)以不同的材料形式再现。
通常,如果在此通过参考本发明的一个方面的实施例描述了功能,则 可以在本发明的另 一个方面的实施例中提供相应功能。
现在将通过实例的方式参考附图描述本发明的优选实施例,这些附图
是图1是包含本发明的用于管理IP网络的系统的示意性表示; 图2是在图1的系统中记录的DNS记录的示意性说明; 图3和4示出了图1的系统中的示例性网络管理操作;以及 图5示出了包含本发明的其他网络管理系统的操作。
具体实施例方式
图1示出了用于管理包括多个网络主机2的IP网络的系统1的实施例, 为筒单起见在此图中仅示出了 一个主机Hl。主机2被配置用于通过网络进 行IP数据通信,所述网络虽然未在此图中明确示出,但包括一般网络系统、 链路、交换机、路由器等。系统l包括DHCP服务器3、 DNS服务器4和 各种总体以5指示的网络管理系统,所述网络管理系统可通过网络访问 DNS服务器4。
DHCP服务器3通常根据DHCP协议执行IP地址管理,但具有下面 详细描述的其他功能。在此实例中,假设DHCP服务器3在主机加入和离 开网络时处理主机之间的动态IP地址分配。此过程由服务器3的地址管理 模块6执行。作为此过程的一部分,地址管理模块6自动获取指示所讨论 主机的状态的主机状态信息,如下面进一步讨论的那样。DHCP服务器3 还包括DNS更新才莫块7。此模块允许DHCP服务器3将主机状态信息自动 记录在DNS服务器4中,如下面描述的那样。将理解的是,通常构成模块 6和7的逻辑可以以硬件或软件或其组合实现。具体地说,所述逻辑可以 通过由程序指令配置的处理器实现以执行所述操作。从此处的描述,适合 的程序指令对于本领域的技术人员来说将是显而易见的。
在运行中,当主机2 (例如主机Hl)加入网络时,它将向DHCP服 务器3发送请求网络中的IP地址的DHCP查询。DHCP查询通过名称(在 此为HI)和MAC地址标识此主机。作为答复,地址管理模块6为HI分 配可用的IP地址并通过DHCP响应向此主机通知其地址分配。因此,主 机的MAC地址短暂地在IP地址分配时可用。在现有系统中,此信息将不 再为后续过程所拥有,并被埋藏于系统日志中。但是,在本系统中,由地址管理模块6捕获MAC地址。然后MAC地址被提供给DNS更新模块7, 连同分配的IP地址一起作为HI的主机状态信息。DNS更新才莫块与DNS 服务器4通信以将MAC地址记录在与HI的IP地址关联的DNS记录中。 具体地说,通过与DNS服务器4的通信,更新才莫块7建立在图1中示意性 地放大示出的DNS记录。其示出了两个DNS记录的简化表示。顶部记录 是DNS地址记录,在记录类型字段中由字母"A"标识。第二记录是规范 名称记录,在记录类型字段中由"CNAME"标识。地址记录将主机HI 的FQDN(在此为Hl.domain .com )链接到其由DHCP月良务器3分酉己的IP 地址。其他CNAME记录在此用于记录HI的MAC地址。具体地说, CNAME记录用于记录给定实际(规范)FQDN的别名。在此实施例中, 针对HI获取的MAC地址被记录为HI的别名FQDN形式的主机名。别 名FQDN在此图中被束示为MAC.domain com., 并且通过CNAME记录 链接到实际FQDN Hl.domain.com。因此,例如如果DHCP服务器3为具 有MAC地址00:09:6B:C2:CE:09的主机机器分配IP地址9.4.23.9,则可 以针对实际主机 FQDN 在 CNAME 记录中输入别名 00096BC2CE09.domain.com.。此CNAME记录通过实际FQDN的地址记 录与主机的IP地址关联,由此将MAC地址解析为相应的IP地址9.4.23.9。
在后续运行中,网络管理系统5可以通过一般方式访问DNS服务器4 以检索主机状态信息以便用于各种网络管理操作。具体地说,DNS协议允 许通过IP地址或主机名来访问记录。通过提供IP地址,系统5可以检索 所有与此地址关联的记录。因此,在本实例中,主机HI的IP地址下的 DNS查询将在关联的CNAME记录中生成MAC地址。此外,将HI的 MAC地址指定为主机名的DNS查询将针对CNAME记录中指定的HI的 实际FQDN生成IP地址。
上述基本机制可以被扩展为允许获取各种其他主机特定信息并在 DNS记录中将它们记录为主机状态信息。例如,在分配IP地址时,地址 管理模块6可以执行此图中由断箭头指示的其他获取操作。具体地说,模 块6可以扫描主机2以获取指示主机安全状态的安全信息和/或指示主枳逸行参数的运行信息。此外或备选地,模块6可以查询环境(网络交换机等) 或网g存库以获取此类信息。在扫描主机时,某些主机状态信息可以在 没有主机参与的情况下被提供给模块6。主枳还适于作为修改后的DHCP 查询/响应过程的一部分或根据需要通过其他协议来提供特定状态信息。可 以在没有主机参与的情况下获取的运行信息的实例包括主机设备所连接 的网络交换机和端口;物理位置;主机加入网络的时间;以及诸如所有者、 型号之类的设务度息。如果模块6包括安全扫描工具,则可以在没有主机 参与的情况下获取主机的外部安全扫描的结果作为主机安全信息。在主机 参与的情况下,安全信息可以包括本地安全扫描的结果或符合性结果(例 如,由工作站安全工具或其他基于客户端的安全代理收集的信息),以及 从可信平台模块(如果在主机中提供)获取的可信计算基证书,所述证书 可以验证主机系统配置的完整性。可以在主机参与的情况下获取的运行信 息包括诸如本地配置详细信息、用户登录状态、负载级别之类的设备信息。
其他主机状态信息可以由更新模块7以各种方式记录在DNS记录中。 例如,信息可以被记录在与主机IP地址关联的其他DNS记录(例如HINFO 记录)中。图2中示出了此情况的一个简单实例。在此,主机H1的别名 在CNAME记录中被定义为MAC.owner.domain.com.,并且此别名的 HINFO记录在HINFO字段中指定了主机HI的所有者信息。任何可用于 查找用途的主机信息都可以作为主机名存储在DNS记录中,并且可以映射 到各种其他类型的主机信息,从而允许通过提供所讨论主机名的DNS查询 来访问此信息。主机状态信息还可以被存储在诸如文本记录之类的其他 DNS记录中。此外,别名工具允许将大量DNS记录与给定主机IP地址关 联,从而允许将大量有用的主机状态信息记录在DNS服务器4中。
当主机2通过DHCP服务器3续订其IP地址租约时,地址管理模块6 可以重新获取部分或全部最初针对此主机获取的主机状态信息。此信息然 后被提供给DNS更新模块7,更新模块7相应地更新DNS服务器4中的 主机信息。如果主机的DHCP租约到期,则地址管理模块6将指示更新模 块7相应地删除为此主机创建的记录。具体地说,可以删除由于租约到期导致过时的记录,而可以保留包含仍然相关的信息的记录。例如,可以删 除指定主机所连接的交换机的记录,而维护包含主机的上次扫描结果的记
录以便随后通过主机MAC地址进行检索,并由此跨租约保留所述记录。 通过此方式,在DNS服务器4中始终维护主机状态的最新映像。便利地, DNS更新模块7的操作可以基于上述动态DNS系统,根据需要被修改以 便除了现有系统提供的基本IP地址更新过程之外,允许在DNS记录中记 录/更新主机状态信息。从在此的描述中,对动态DNS系统的适当修改对 于本领域的技术人员来说将是显而易见的.
当网络系统随后需要主机状态信息时,如上所述,可以通过向服务器 4发出的指定IP地址或主机名(或被记录为主机名的状态信息)的DNS 查询来访问此信息。例如,网络系统可以随后访问-皮记录为主机状态信息 的安全信息以用于网络许可控制,即根据主机安全状态来控制网络服务对 主机的可访问性。此类信息可用于判定是否允许主机访问网络,或者它是 否可以访问网络内的特定系统/服务。可以访问被记录为状态信息的运行信 息以实现各种网络管理目的,例如监视网络的状态或运行状况(包括入侵 检测和响应操作),以及诸如网络许可控制之类的安全操作。图3和4中 示出了使用主机状态信息的网络管理操作的特定实例。
图3以安全监视系统10的形式示出了图l的网络管理系统5。安全监 视系统10包括用于监视网络运行以检测来自主机的恶意活动(例如通过病 毒或蠕虫感染引起的活动)的逻辑。当检测到来自IP地址的恶意活动(如 此图中的箭头(a)所示)时,系统10向DNS服务器4发出DNS查询以 针对此IP地址检索主机状态信息,如箭头(b)所示。在此实例中,系统 lO检索标识受感染的主机H所连接的交换机ll的状态信息。接下来,安 全系统10控制交换机11以将主机H与网络的其余部分隔离,如箭头(c) 所示。所述系统然后警告网络管理员(箭头(d))和/或已隔离主机的所 有者是否在步骤(b)中与主机状态信息一^^检索所有者信息。系统10在 此还包括DNS更新模块7,从而允许系统更新DNS服务器4中的主机状 态信息(如箭头(e)所示)以指示主机的隔离状态。图4示出了用于网络许可控制的系统1的运行。箭头(a)表示当主机 H连接到网络并请求IP地址时向服务器3发出的DHCP请求。在步骤(b ) 中,DHCP服务器3在主机MAC地址下向DNS服务器4发出DNS查询 以检索先前被记录为主机状态信息的安全符合性信息,例如安全或完整性 检查结果、上次扫描结果、修补程序级别等。在步骤(c)中,服务器3检 查由网络系统针对访问要求维护的安全策略,并判定主机H是否满足安全 标准。在步骤(d)中,DHCP服务器则相应地许可或拒绝主机的网络访 问。
如果需要准确的设备特定的信息并且不能容易地从其他源获取此信 息,则网络管理系统5可以使用DNS服务器4中的主机状态信息以执行各 种其他网络管理操作。这些操作包括网络编目(inventory)过程、可信计 算基评估、安全扫描和符合性检查,以及其他入侵响应或网络访问控制功 能。通过使DHCP服务器3能够作为动态地址管理过程的一部分来动态记 录和更新DNS记录中的主机状态信息,可以在便利并且可广为访问的储存 库中提供状态信息。通过确保主机i殳备执行或必须执行以保留在网络中的 操作(即通过DHCP服务器续订其IP地址)导致更新DNS服务器中的主 机状态信息,避免了维护一致和有效的系统日志的问题。因此,主机信息 在现有数据库中自动保持最新,从而确保数据的准确性、 一致性和及时性, 并且可以使用有效并且标准的协议查询主机信息。
通过参考动态地址网络描述了图1的系统的操作,其中获取和维护可 靠主机状态信息的问题是最关键的,因为从IP地址到主机设备的映射不断 地更改。但是,本发明的其他实施例可以针对具有静态IP地址的主机系统 自动获取和记录状态信息。具体地说,可以使用所述系统跟踪有关具有静 态IP地址的主机的动态信息。例如,诸如用户登录状态、负载级别、本地 安全结果之类的主机状态信息对于网络中的任何系统都是有用的信息,而 不仅仅对于具有动态地址的系统有用。在此,可以由分布式才艮告机制,例 如根据扩展为提供主机状态信息的记录和更新的动态DNS系统,来从主机 自动获取状态信息。但是,优选地,DHCP服务器可以针对具有静态地址的主机以及具有动态地址的主机来控制自动获取和记录过程。这可以通过
使用DHCP工具以始终为具有给定MAC地址的主机分配同一 IP地址来 实现。因此,具有静态地址的主机将执行与具有动态地址的主机相同的操 作,并且DHCP服务器将相应地l故出响应,除了由DHCP服务器分配的 IP地址始终相同以外。
图5示出了可以在网络中使用作为已描述的系统1的补充或替代的网 络管理系统的操作。在此,DNS服务器4存储通过上述机制(例如图1的 DHCP服务器3 )提供的主机状态信息。网络监视系统20通过逻辑被配置 为针对网络中的所有IP地址定期查询DNS服务器4。作为响应,如箭头 (a )所示,DNS服务器4为所有主机提供在DNS记录中记录的主机状态 信息,包括所有权/组信息。监视系统20使用所检索的主机信息连接到每 个主机2并收集主机状态信息(箭头(b)),例如CPU/盘使用率、符合 性信息等。接下来,如箭头(c)所示,监视系统1的DNS更新模块连接 到DNS服务器以使用如此获取的状态信息更新主机DNS记录。
当然,可以对上述特定实施例进行各种更改和修改。例如,DNS和 DHCP服务器在所述实施例中被示为单独实体,并且DHCP服务器根据需 要被授权记录和更新DNS记录。在其他实施例中,用于IP地址的DHCP 范围的DNS服务器可以与DHCP服务器位于同一机器,由此DHCP服务 器可以在没有授权的情况下直接访问DNS记录。此外,虽然在所述实施例 中示出了 一个DNS服务器,但是可以在包含本发明的系统的操作中使用多 个DNS服务器。作为另一个实例,主机MAC地址(或其他主机状态信息) 可以在主机的DNS地址记录中指定的规范FQDN中被记录为主机名。但 是,通常优选地以一般方式在DNS地址记录中指定实际主机名。可以对所 述示例性实施例做出许多其他更改而不偏离本发明的范围。
权利要求
1. 一种用于管理互连多个网络主机(2)的IP网络的方法,所述方法包括从每个主机(2)自动获取指示此主机(2)的状态的状态信息;将从每个主机(2)获取的所述状态信息自动记录在DNS服务器(4)的至少一个与此主机(2)的IP地址关联的DNS记录中;以及访问所述DNS记录中的主机状态信息以执行网络管理操作。
2. 如权利要求l中所述的方法,其中由所述网络的至少一个服务器(3、 10、 20)执行状态信息的自动获取和记录。
3. 如权利要求2中所述的方法,其中由所述网络的DHCP服务器(3) 在为主机(2 )分配IP地址时执行此主机(2 )的状态信息的自动获取和记 录。
4. 如权利要求3中所述的方法,其中首先在为所述主机(2)初始分 配IP地址时执行自动获取和记录,并且随后在为所述主机(2 )续订IP地 址分配时执行自动获取和记录。
5. 如任一上述权利要求中所述的方法,包括将从主机(2)获取的所 述状态信息的至少一部分记录在与此主机(2)的所述IP地址关联的DNS 记录的完全限定域名中。
6. 如权利要求1中所述的方法,包括将从主机(2)获取的所述状态 信息的至少一部分记录在与为此主才几(2)的所述IP地址定义实际完全限 定域名的DNS地址记录关联的DNS记录中。
7. 如权利要求1中所述的方法,其中主机(2)的所述状态信息包括 此主机(2)的MAC地址。
8. 如权利要求7中所述的方法,包括将所述MAC地址作为完全限定 域名的主机名记录在与此主机(2)的所述IP地址关联的DNS记录中。
9. 如权利要求1中所述的方法,其中主机(2)的所述状态信息包括 指示此主机(2)的安全状态的安全信息,所述方法包括访问主机(2)的所述安全信息以便根据所述安全状态来控制网络服务对所迷主机的可访问性。
10. 如权利要求l中所述的方法,其中主机(2)的所述状态信息包括 指示此主机(2)的运行参数的运行信息,所述方法包括访问主机(2)的 所述运行信息以便根据所述运行信息来执行以下操作中的至少一个操作 网络监视操作,以^JH视所述网络的状态;以及网络安全操作,以便控制 网络月良务对主才几(2)的可访问性。
11. 一种用于管理互连多个网络主机(2)的IP网络的系统(1),所 述系统(1)包括控制逻辑(6、 7),其用于从每个主机(2)自动获取指示此主机(2) 状态的状态信息,以及用于将所述状态信息自动记录在DNS服务器(4 ) 的至少一个与此主机(2)的IP地址关联的DNS记录中;以及网络管理逻辑(5),其用于访问所述DNS记录中的主机状态信息并 根据所述信息执行网络管理操作。
12. 如权利要求ll中所述的系统(1),其中主机(2)的所述状态信 息包括指示此主机(2)的安全状态的安全信息,并且其中所述网络管理逻 辑(5 )适于根据由此主机的所述安全信息指示的所述安全状态来控制网络 服务对主机(2)的可访问性。
13. 如权利要求11或权利要求12中所述的系统(1),其中主机(2 ) 的所述状态信息包括指示此主机(2)的运行参数的运行信息,并且其中所 述网络管理逻辑(5)适于根据主机(2)的所述运行信息来执行以下操作 中的至少一个操作网络监视操作,以< 视所述网络的状态;以及网络 安全操作,以便控制网络服务对主机(2)的可访问性。
14. 如权利要求11中所述的系统(1),其中在所述网络的至少一个 服务器(3、 10、 20)中提供所述控制逻辑(6、 7)。
15. 如权利要求14中所述的系统(1),其中在所述网络的DHCP服 务器(3)中提供所述控制逻辑(6、 7),并且所迷控制逻辑(6、 7)适于 在所述DHCP服务器(3 )为主机(2 )分配IP地址时执行此主机(2 )的状态信息的自动获取和记录。
16. —种用于在互连多个网络主机(2)的IP网络中控制IP地址分配 的DHCP服务器系统(3),所迷系统(3)包括控制逻辑(6、 7),所述 控制逻辑(6、 7)适于在所述系统(3 )为主机(2 )分配IP地址时执行以 下操作从主机(2)获取指示此主机(2)的状态的状态信息;以及 将所述状态信息记录在DNS服务器(4 )的至少一个与此主机(2 )的 所述IP地址关联的DNS记录中。
17. 如权利要求15或权利要求16中所述的系统,其中所述控制逻辑 (6、 7)适于执行以下操作首先在为主机(2)初始分配IP地址时执行所述主机(2)的状态信息的获取和记录,并且随后在为所述主机续订IP 地址分配时执行所述主才几(2)的状态信息的获取和记录。
18. 如权利要求11或16中所述的系统,其中所述控制逻辑(6、 7) 适于将从主机(2 )获取的所述状态信息的至少一部分记录在与此主机(2 ) 的所述IP地址关联的DNS记录的完全限定域名中。
19. 如权利要求11或16中所述的系统,其中所述控制逻辑(6、 7) 适于将从主机(2 )获取的所述状态信息的至少一部分记录在与为此主机(2 ) 的所述IP地址定义实际完全限定域名的DNS地址记录关联的DNS记录中。
20. 如权利要求11或16中所述的系统,其中主机(2 )的所述状态信 息包括此主4几的MAC地址。
21. 如权利要求20中所述的系统,其中所述控制逻辑(6、 7)适于将 所述MAC地址作为完全限定域名的主机名记录在与此主机(2 )的所述IP 地址关联的DNS记录中。
22. —种包括程序代码装置的计算机程序,所述程序代码装置用于在 互连多个网络主机(2)的IP网络中控制DHCP服务器(3),以便在所 述DHCP服务器(3 )为主机(2 )分配IP地址时,所述服务器(3 )从主 机(2)获取指示此主机(2)的状态的状态信息,并将所述状态信息记录在DNS服务器(4 )的至少一个与此主机(2 )的所述IP地址关联的DNS 记录中。
全文摘要
本发明涉及一种用于管理IP网络的方法和系统。提供了用于管理互连多个网络主机(2)的IP网络的方法和系统。从每个主机(2)自动获取指示主机的状态的状态信息。将从主机(2)获取的诸如MAC地址、安全和/或运行信息之类的状态信息自动记录在DNS服务器(4)的至少一个与此主机(2)的IP地址关联的DNS记录中。然后可以访问所述DNS记录中的主机状态信息以执行网络管理操作。可以由所述网络的DHCP服务器(3)在为主机(2)分配动态IP地址时执行所述状态信息的自动获取和记录。
文档编号H04L12/24GK101442436SQ20081021355
公开日2009年5月27日 申请日期2008年9月11日 优先权日2007年11月20日
发明者D·M·赞波尼, J·F·赖尔登, R·里斯曼 申请人:国际商业机器公司