CN102983986A - 一种网元设备鉴权管理的方法及系统 - Google Patents
一种网元设备鉴权管理的方法及系统 Download PDFInfo
- Publication number
- CN102983986A CN102983986A CN2011102627305A CN201110262730A CN102983986A CN 102983986 A CN102983986 A CN 102983986A CN 2011102627305 A CN2011102627305 A CN 2011102627305A CN 201110262730 A CN201110262730 A CN 201110262730A CN 102983986 A CN102983986 A CN 102983986A
- Authority
- CN
- China
- Prior art keywords
- network element
- view
- snmp
- snmp message
- oid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种网元设备鉴权管理的方法,包括,网元代理设置视图与对象识别符OID、端口号的对应关系,并配置需要的共同体;网元代理接收到简单网络管理协议SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。本发明还提供了一种网元设备鉴权管理的系统。采用本发明的技术方案,网元设备的代理可以对不同的管理器设定不同的权限,简化鉴权配置,提高鉴权效率,对无权限访问的节点在代理上就可以返回,提高重要管理器对网元设备的管理效率,保证网元设备的业务性能。
Description
技术领域
本发明涉及电信网管领域,特别地涉及一种网元设备鉴权管理的方法及系统。
背景技术
SNMP(Simple Network Management Protocol,简单网络管理协议)是目前TCP/IP网络中应用最为广泛的网络管理协议,该协议是由Internet工程任务组织(Internet Engineering Task Force,IETF)的研究小组为了解决Internet上的路由器管理问题而提出的;利用SNMP协议,一个管理工作站可以远程管理所有支持这种协议的网络设备,可以监视网络状态、修改网络设备配置、接收网络事件警告等;由于该协议标准简单,在运营商网络中应用非常广泛;如图1所示,是典型的SNMP管理系统图,该SNMP管理系统是由管理器(Manager)和运行在被管网元设备上的网元代理(Agent)组成,代理和管理器之间通过标准的SNMP协议进行通讯,MIB(Management Information Base,管理信息库)作为设在代理处的管理器访问点的集合,管理器通过读取MIB中对象的值来进行网络监控。
由于使用标准的SNMP协议,所以任何一个管理器都可以管理支持SNMP协议的网元设备,尤其在电信网络中,一个网元设备同时可能由几个管理器来管理;由于SNMP协议简单,不支持复杂的鉴权控制功能;网元代理上只有预定义的角色,而预定义的角色通过共同体来进行鉴权。
这种鉴权管理方式存在以下的缺点:
一个网元设备同时对应几个管理器,几个管理器对同一个网元设备的MIB(Management Information Base,管理信息库)的权限通过共同体来控制,配置信息增加,配置容易出错,配置数据不易管理,处理效率低。
发明内容
本发明解决的技术问题在于提供了一种网元设备鉴权管理的方法及系统,使不同的管理器具有不同的权限来访问网元设备,简化配置数据,提高网元设备的安全管理效率,而且降低网元设备对鉴权的处理消耗,从而提高网元设备对业务的处理效率。
本发明提供了一种网元设备鉴权管理的方法,包括,
网元代理设置视图与对象识别符OID、端口号的对应关系,并配置需要的共同体;
网元代理接收到简单网络管理协议SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。
上述的方法,其中,所述网元代理设置视图与OID、端口号的对应关系具体为,
网元代理设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系。
上述的方法,其中,网元代理接收到SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法具体为,
网元代理接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文。
进一步地,所述方法还包括,
所述网元设备收到SNMP报文后进行处理,将处理结果返回给网元代理,网元代理向管理器返回SNMP响应报文。
进一步地,所述方法还包括,
在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。
本发明还提供了一种网元设备鉴权管理的系统,包括,
网元代理,用于设置视图与OID、端口号的对应关系,并配置需要的共同体;以及
还用于接收到SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。
上述的系统中,其中,所述网元代理用于设置视图与OID、端口号的对应关系具体为,
网元代理用于设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系。
上述的系统中,其中,网元代理用于接收到SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法具体为,
网元代理用于在接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文。
进一步地,所述系统还包括,
网元设备,用于在收到SNMP报文后进行处理,将处理结果返回给网元代理;
网元代理,还用于接收到所述网元设备的处理结果后,向管理器返SNMP响应报文。
上述系统中,其中,所述网元代理还用于在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。
采用本发明的技术方案,网元设备的代理可以对不同的管理器设定不同的权限,简化鉴权配置,提高鉴权效率,对无权限访问的节点在代理上就可以返回,提高重要管理器对网元设备的管理效率,保证网元设备的业务性能。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是典型的SNMP管理系统图;
图2是本发明第一实施例流程图;
图3是本发明第二实施例结构图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图2所示,是本发明第一实施例流程图,提供了一种网元设备鉴权管理的方法,包括,
步骤S201,网元代理设置视图(例如:DefaultView,AllView等视图)及该视图可访问的OID(Object Identifier,对象识别符)范围,设置端口号或者端口号段和视图的对应关系,并配置共同体;
具体地,在本实施例中,网元代理的视图名称有DefaultView,Name1View,AllView;该网元代理共有OID标识9个:分别为:1,2,3,4,5,6,7,8,9,;DefaultView可访问OID标识:1,2,3;Name1View可访问OID范围:6,7,8;AllView可访问OID范围:1,2,3,4,5,6,7,8,9;
在实施本发明之前,如果3个SNMP管理器需要访问DefaultView,ViewName1,AllView三个不同权限视图,那么网元代理需要配置:DefaultView视图配置读共同体:public1,写共同体:private1;Name1View视图配置读共同体:public2,写共同体private2;AllView视图配置读共同体:public,写共同体:private;需要配置三个不同的读写共同体,配置繁琐,而且不易记忆,容易出错;增加多个SNMP管理器进行管理,更为不方便。
在本实施例中,将DefaultView视图绑定端口100,ViewName1视图绑定端口101,AllView视图绑定端口102,只需要配置一个读共同体public,写共同体:private,那么通过100端口接收到的SNMP报文包,只能访问1,2,3节点,通过101端口接收到的SNMP报文可以访问6,7,8节点,通过102端口接收到的SNMP报文可以访问1,2,3,4,5,6,7,8,9,节点,配置方便,容易记忆,而且端口配置修改简单方便,可以定义端口号,也可以定义一个端口范围和不同的视图绑定;增加多个SNMP管理器比较方便,容易管理。
步骤S202,网元代理接收到SNMP报文包,代理分析接收到的SNMP报文包中包含的端口号、SNMP报文及报文中携带OID标识,根据端口号和视图对应关系以及视图对应的OID范围关系,即可判断该端口的SNMP报文及报文中OID是否是合法访问报文;
具体地,若该SNMP报文是合法访问报文,代理对SNMP报文进行处理,转发给网元设备进行相应处理,网元设备返回相应结果,网元代理组织SNMP响应报文;若该报文不是合法访问报文,代理组织SNMP响应报文,代理把SNMP响应报文根据源地址、端口发送给管理器。
如图3所示,是本发明第二实施例结构图,提供了一种网元设备鉴权管理的系统,包括,
网元代理,设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系,并配置需要的共同体;以及
还用于在接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。
网元设备,用于在收到SNMP报文后进行处理,将处理结果返回给网元代理;
网元代理,还用于接收到所述网元设备的处理结果后,向管理器返SNMP响应报文。
所述网元代理还用于在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。
上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种网元设备鉴权管理的方法,其特征在于,包括,
网元代理设置视图与对象识别符OID、端口号的对应关系,并配置需要的共同体;
网元代理接收到简单网络管理协议SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。
2.根据权利要求1所述的方法,其特征在于,所述网元代理设置视图与OID、端口号的对应关系具体为,
网元代理设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系。
3.根据权利要求2所述的方法,其特征在于,网元代理接收到SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法具体为,
网元代理接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文。
4.根据权利要求1至3任一所述的方法,其特征在于,所述方法还包括,
所述网元设备收到SNMP报文后进行处理,将处理结果返回给网元代理,网元代理向管理器返回SNMP响应报文。
5.根据权利要求1至3任一所述的方法,其特征在于,所述方法还包括,
在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。
6.一种网元设备鉴权管理的系统,其特征在于,包括,
网元代理,用于设置视图与OID、端口号的对应关系,并配置需要的共同体;以及
还用于接收到SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法,在SNMP报文合法时,将所述SNMP报文发送给网元设备进行处理。
7.根据权利要求6所述的系统,其特征在于,所述网元代理用于设置视图与OID、端口号的对应关系具体为,
网元代理用于设置视图以及该视图访问OID的范围,以及设置视图与端口号的对应关系。
8.根据权利要求7所述的系统,其特征在于,网元代理用于接收到SNMP报文包后,根据所述视图与OID、端口号的对应关系判断接收端口的SNMP报文是否合法具体为,
网元代理用于在接收到SNMP报文包后,分析SNMP报文包中包含的端口号、SNMP报文及其携带的OID标识,根据视图访问OID的范围、视图与端口号的对应关系判断接收端口的SNMP报文是否是合法报文。
9.根据权利要求6至8任一所述的系统,其特征在于,还包括,
网元设备,用于在收到SNMP报文后进行处理,将处理结果返回给网元代理;
网元代理,还用于接收到所述网元设备的处理结果后,向管理器返SNMP响应报文。
10.根据权利要求6至8任一所述的系统,其特征在于,所述网元代理还用于在SNMP报文不合法时,网元代理直接向管理器返回SNMP响应报文。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110262730.5A CN102983986B (zh) | 2011-09-06 | 2011-09-06 | 一种网元设备鉴权管理的方法及系统 |
PCT/CN2012/071621 WO2012155584A1 (zh) | 2011-09-06 | 2012-02-24 | 一种网元设备鉴权管理的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110262730.5A CN102983986B (zh) | 2011-09-06 | 2011-09-06 | 一种网元设备鉴权管理的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102983986A true CN102983986A (zh) | 2013-03-20 |
CN102983986B CN102983986B (zh) | 2017-11-28 |
Family
ID=47176211
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110262730.5A Active CN102983986B (zh) | 2011-09-06 | 2011-09-06 | 一种网元设备鉴权管理的方法及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102983986B (zh) |
WO (1) | WO2012155584A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104717176A (zh) * | 2013-12-11 | 2015-06-17 | 华为技术有限公司 | 一种权限控制方法、系统及服务器 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1549499A (zh) * | 2003-05-07 | 2004-11-24 | 中兴通讯股份有限公司 | 一种基于snmp协议的代理网管的实现方法 |
CN1567842A (zh) * | 2003-07-04 | 2005-01-19 | 华为技术有限公司 | 一种基于简单网络管理协议的安全管理方法 |
CN1581795A (zh) * | 2003-08-06 | 2005-02-16 | 华为技术有限公司 | 一种网络管理安全认证的方法 |
CN1753402A (zh) * | 2004-09-22 | 2006-03-29 | 中兴通讯股份有限公司 | 简单网管协议代理多变量分组查询方法 |
US20070162580A1 (en) * | 2006-01-10 | 2007-07-12 | Cisco Technology, Inc. | Method and system for creating an overlay structure for management information bases |
CN101035133A (zh) * | 2007-04-09 | 2007-09-12 | 华为技术有限公司 | 网络管理的方法、系统及设备 |
CN101094104A (zh) * | 2007-07-30 | 2007-12-26 | 中兴通讯股份有限公司 | 一种通过安全网管代理进行设备管理的方法及其装置 |
CN101345657A (zh) * | 2008-08-28 | 2009-01-14 | 中兴通讯股份有限公司 | 基于简单网络管理协议集群管理多个网元的方法及系统 |
CN101909043A (zh) * | 2009-06-03 | 2010-12-08 | 中兴通讯股份有限公司 | 一种基于简单网络管理协议的数据传输的方法及系统 |
CN102014004A (zh) * | 2010-12-16 | 2011-04-13 | 中国电子科技集团公司第三十研究所 | 一种网管系统管理网元的方法 |
-
2011
- 2011-09-06 CN CN201110262730.5A patent/CN102983986B/zh active Active
-
2012
- 2012-02-24 WO PCT/CN2012/071621 patent/WO2012155584A1/zh active Application Filing
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1549499A (zh) * | 2003-05-07 | 2004-11-24 | 中兴通讯股份有限公司 | 一种基于snmp协议的代理网管的实现方法 |
CN1567842A (zh) * | 2003-07-04 | 2005-01-19 | 华为技术有限公司 | 一种基于简单网络管理协议的安全管理方法 |
CN1581795A (zh) * | 2003-08-06 | 2005-02-16 | 华为技术有限公司 | 一种网络管理安全认证的方法 |
CN1753402A (zh) * | 2004-09-22 | 2006-03-29 | 中兴通讯股份有限公司 | 简单网管协议代理多变量分组查询方法 |
US20070162580A1 (en) * | 2006-01-10 | 2007-07-12 | Cisco Technology, Inc. | Method and system for creating an overlay structure for management information bases |
CN101035133A (zh) * | 2007-04-09 | 2007-09-12 | 华为技术有限公司 | 网络管理的方法、系统及设备 |
CN101094104A (zh) * | 2007-07-30 | 2007-12-26 | 中兴通讯股份有限公司 | 一种通过安全网管代理进行设备管理的方法及其装置 |
CN101345657A (zh) * | 2008-08-28 | 2009-01-14 | 中兴通讯股份有限公司 | 基于简单网络管理协议集群管理多个网元的方法及系统 |
CN101909043A (zh) * | 2009-06-03 | 2010-12-08 | 中兴通讯股份有限公司 | 一种基于简单网络管理协议的数据传输的方法及系统 |
CN102014004A (zh) * | 2010-12-16 | 2011-04-13 | 中国电子科技集团公司第三十研究所 | 一种网管系统管理网元的方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104717176A (zh) * | 2013-12-11 | 2015-06-17 | 华为技术有限公司 | 一种权限控制方法、系统及服务器 |
CN104717176B (zh) * | 2013-12-11 | 2018-05-18 | 华为技术有限公司 | 一种权限控制方法、系统及服务器 |
Also Published As
Publication number | Publication date |
---|---|
WO2012155584A1 (zh) | 2012-11-22 |
CN102983986B (zh) | 2017-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
CN101164283B (zh) | 对被管理设备进行初始化配置的方法和系统 | |
TWI338485B (en) | Method of securing a local computer network with respect to a wide area computer network and a computer-readable medium having stored thereon computer-readable instructions for performing the same | |
CN101247396B (zh) | 一种分配ip地址的方法、装置及系统 | |
CN101345659B (zh) | 网络终端控制方法和网络终端控制系统 | |
CN101188557B (zh) | 管理用户上网行为的方法、客户端、服务器和系统 | |
CN101309272B (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
CN106487869A (zh) | 用于对标签化数据进行控制和标准化的多云网络代理 | |
CN112187764A (zh) | 用于多租户环境的网络流日志的系统和方法 | |
CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
CN104040964B (zh) | 跨服务区通信的方法、装置和数据中心网络 | |
CN103946834A (zh) | 虚拟网络接口对象 | |
JP2011029749A (ja) | ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 | |
CN109600441A (zh) | 联盟链信息发布控制方法及终端设备 | |
CN107809383A (zh) | 一种基于mvc的路径映射方法及装置 | |
CN106878204A (zh) | 一种虚拟机的创建方法和装置 | |
CN114978697A (zh) | 一种网络信息系统内生安全防御方法、装置、设备及介质 | |
US20080104233A1 (en) | Network communication method and apparatus | |
EP3096492B1 (en) | Page push method and system | |
WO2022271387A1 (en) | A containerized cross-domain solution | |
WO2015182873A1 (ko) | Dns 서버 선별 차단 및 proxy를 이용한 dns 주소 변경 방법 | |
CN111343070B (zh) | sdwan网络通信控制方法 | |
CN105681352B (zh) | 一种无线网络访问安全管控方法和系统 | |
CN102983986A (zh) | 一种网元设备鉴权管理的方法及系统 | |
CN107465769A (zh) | 一种局域网中ip地址管理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |