CN105471596B - 网络管理的方法和装置 - Google Patents
网络管理的方法和装置 Download PDFInfo
- Publication number
- CN105471596B CN105471596B CN201410380335.0A CN201410380335A CN105471596B CN 105471596 B CN105471596 B CN 105471596B CN 201410380335 A CN201410380335 A CN 201410380335A CN 105471596 B CN105471596 B CN 105471596B
- Authority
- CN
- China
- Prior art keywords
- managed object
- tunnel
- management
- address
- management information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0233—Object-oriented techniques, for representation of network management data, e.g. common object request broker architecture [CORBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/59—Network arrangements, protocols or services for addressing or naming using proxies for addressing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/2895—Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种网络管理的方法,包括:与私网内的被管对象建立隧道;为被管对象分配管理信息,所述管理信息包括被管对象的管理地址;接收目的地址为被管对象管理地址的网管报文,将其通过所述隧道转发给被管对象;将来自所述隧道、源地址为被管对象管理地址的网管报文转发给NMS。通过本公开的技术方案,现有的网络管理协议可不做任何修改直接适用于对私网内被管对象的管理,并且对私网的防火墙配置没有要求。
Description
技术领域
本公开涉及网络通信技术领域,尤其涉及一种网络管理的方法和装置。
背景技术
云计算的飞速发展引发了人们想象空间的大爆发,云将作为一个充满无限能力的资源池,人们可以按需从这个资源池中获取所需的服务并为其所使用的资源付费。对用户端网络设备的管理也可以作为一种专业的服务从云端提供给用户。
一种可能的运营方式是,设备厂商把网络设备,如路由器、交换机、AP(AccessPoint,访问接入点)等卖给用户,用户利用这些设备构建自己的私有网络,由网络管理服务提供商(如设备厂商)集中为很多用户提供网络运维管理服务,所提供的管理服务采用云计算的方法,NMS(Network Management System,网络管理系统)部署在云端,从云端对用户的网络设备进行管理。如何尽量利用已有的网络管理协议和方法,适应不同用户网络的部署情况,成为网络管理服务提供商所面临的挑战。
发明内容
有鉴于此,本公开提供一种网络管理的方法,包括:
与私网内的被管对象建立隧道;
为被管对象分配管理信息,所述管理信息包括被管对象的管理地址;
接收目的地址为被管对象管理地址的网管报文,将其通过所述隧道转发给被管对象;
将来自所述隧道、源地址为被管对象管理地址的网管报文转发给NMS。
本公开提供的另一种网络管理的方法,应用在私网内的被管对象上,包括:
与公网的代理服务器之间建立隧道;
接收代理服务器下发的管理信息,所述管理信息包括管理地址;
通过所述隧道进行网管报文的收发,所述网管报文中以管理地址作为被管对象的地址。
本公开还提供了一种网络管理的装置,包括:
云端隧道建立单元,用于与私网内的被管对象建立隧道;
管理信息分配单元,用于为被管对象分配管理信息,所述管理信息包括被管对象的管理地址;
下行转发单元,用于接收目的地址为被管对象管理地址的网管报文,将其通过所述隧道转发给被管对象;
上行转发单元,用于将来自所述隧道、源地址为被管对象管理地址的网管报文转发给NMS。
本公开提供的另一种网络管理的装置,应用在私网内的被管对象上,包括:
隧道建立单元,用于与公网的代理服务器之间建立隧道;
管理信息接收单元,用于接收代理服务器下发的管理信息,所述管理信息包括管理地址;
报文收发单元,用于通过所述隧道进行网管报文的收发,所述网管报文中以管理地址作为被管对象的地址。
由以上技术方案可见,本公开的实施例通过为被管对象分配管理地址,利用管理地址建立云端到被管对象的透传隧道,各种网管报文都可以通过隧道穿越私网的防火墙,从而使得现有的网络管理协议可不做任何修改直接适用于对私网内被管对象的管理,并且对私网的防火墙配置没有要求。
附图说明
图1是一个例子中在云端进行网络管理的组网结构图;
图2是一个例子中代理服务器所在设备、被管对象所在设备的硬件架构示意图;
图3是一个例子中代理服务器上网络管理方法的流程图;
图4是一个例子中被管对象上网络管理方法的流程图;
图5是实现图1中对交换机122进行网络管理的流程示例图;
图6是对图1中对交换机122进行管理后的网络结构示意图;
图7是一个例子中代理服务器上网络管理装置的逻辑结构图;
图8是一个例子中被管对象上网络管理装置的逻辑结构图。
具体实施方式
云端的NMS在对用户端私网内的网络设备进行管理时,往往需要穿越用户端的防火墙。请参见图1所示的网络结构示例,用户端网络的交换机(Switch)122和AP 123通过路由器(Router)121来进行到外部网络的访问,在路由器121和外部网络之间,用户部署了防火墙(Firewall)120进行报文过滤和NAT(Network Address Translation,网络地址转换),来保护用户端私网的安全。NMS 110部署在云端,以私网内部的路由器121、交换机122和AP123为被管对象,来提供网络管理服务。应用广泛、技术成熟的网络管理协议,如Telnet(远程登录)、SNMP(Simple Network Management Protocol,简单网络管理协议)、Netconf(Network Configuration Protocol,网络配置协议)等,NMS在进行网络管理时,要主动向被管对象发起连接,而用户端部署的防火墙会阻止外部网络直接向私网内设备发起的连接。
现有技术中,STUN(Simple Traversal of User Datagram Protocol ThroughNetwork Address Translators,NAT的UDP简单穿越)技术可以使私网中防火墙内的网络设备发现自身经过NAT转换后的公网IP地址和端口,NMS可以通过公网IP地址和端口来管理防火墙内的网络设备。但是,STUN只解决了UDP(User Data Protocol,用户数据报协议)穿越NAT,NMS如果采用的是基于TCP的网络管理协议,如Netconf,则仍然不能发起对防火墙内网络设备的访问;并且,应用STUN协议需要得到私网防火墙的支持,对用户端的网络配置提出了额外要求。
在本公开的一个例子中,在云端部署代理服务器(Proxy Server),如图1所示网络中的Proxy 111,结合运行在被管对象上的网络管理逻辑,来实现NMS穿越防火墙对私网内的被管对象发起访问,并且对NMS所采用的网络管理协议没有限制,不需要对防火墙的配置提出要求。
在这个例子中,Proxy Server可以是一个独立的物理设备,如服务器或网络设备;也可以是包括若干个物理设备的虚拟设备,如由数个服务器或网络设备、以及负载分担设备组成的Proxy Server池;还可以是在网络中已有的物理设备或虚拟设备上运行的功能模块,例如运行在NMS上的功能模块。请参考图2,Proxy Server所在的物理设备(PhysicalDevice)20可以包括处理器(Processor)211、内存(Memory)212、非易失性存储器(Non-volatile storage)213以及网络接口(Network interface)214,这些硬件通过总线(Internal bus)215相互连接。在这个例子中,处理器211将Proxy Server的网络管理逻辑(Control Logic for Network Management)从非易失性存储器213中读取到内存212中运行,其运行流程如图3所示。
在这个例子中,被管对象可以是一个物理设备,如服务器或网络设备;也可以是逻辑设备,如虚拟机、虚拟交换机、服务器集群或网络设备堆叠系统。被管对象所在的物理设备同样可以具有如图2所示硬件结构,由处理器211将被管对象的网络管理逻辑从非易失性存储器213中读取到内存212中运行,其运行流程如图4所示。
请参考图3和图4,在被管对象上,步骤410:与公网的代理服务器之间建立隧道。
被管对象可以通过多种途径获得公网代理服务器的地址,例如:可以将代理服务器的域名在被管对象所在设备出厂前,作为预置的配置参数写入非易失性存储器;可以将代理服务器的域名或者公网地址作为配置参数,由DHCP(Dynamic Host ConfigurationProtocol,动态主机配置协议)服务器下发给被管对象。
利用代理服务器的域名或公网地址,被管对象可以作为客户端,采用C/S(Client/Server,客户端/服务器)模式发起建立与代理服务器之间的隧道。被管对象可以采用各种支持C/S模式的协议(即:被管对象可以作为客户端,采用该协议向代理服务器发起通信)来建立隧道,如http(Hypertext transfer protocol,超文本传输协议)、https(Hyper TextTransfer Protocol over Secure Socket Layer,超文本传输安全协议)、SIP(SessionInitiation Protocol,会话发起协议)、UDP、各种邮件协议等。私网内的节点经常使用这些协议及其端口,通常不会被防火墙阻止;即使有的协议被防火墙阻止,也可以选择其它不被防火墙阻止的协议来建立隧道。
隧道提供了一种报文封装手段,将原始报文(其报头包含发送者的地址和目的地的地址)作为数据载荷,封装在另一个报文(称为封装后的报文)中进行传输。原始报文中发送者的地址和目的地的地址称为内部地址,封装后的报文的地址称为外部地址,外部地址的源地址和目的地址通常是隧道两端节点在建立隧道时使用的地址。
利用隧道,可以将一种协议的报文封装在另一种协议中,也可以将内部地址封装在外部地址中,从而利用封装后的协议和/或外部地址来完成到隧道对端的传输。到达隧道对端后,对报文进行解封装,得到原始报文,原始报文的地址仍为内部地址。
本例中可以采用现有的各种支持隧道传输的协议来建立隧道,也可以采用自定义的支持隧道传输的通信方式。
在代理服务器上,步骤310:与私网内的被管对象建立隧道。
与被管对象建立的隧道可以是由被管对象作为客户端,以C/S模式发起而建立。
在代理服务器上,步骤320:为被管对象分配管理信息。
在被管对象上,步骤420:接收代理服务器下发的管理信息。
代理服务器为被管对象分配的管理信息包括被管对象的管理地址,如IP地址、子网掩码、网关等地址信息。被管对象将利用所分配的管理地址与云端的NMS之间进行通信,因此管理地址是能够由NMS访问的网络地址。此外,根据具体的业务需求,代理服务器还可以为被管对象配置进行网络管理所需的其他预置信息。
需要说明的是,步骤310与320、步骤410与420之间可以具有多种时序关系,包括但不限于以下的几种情形:
第一种:被管对象和代理服务器之间建立隧道后,代理服务器再通过隧道下发为被管对象分配的管理信息。这种情形下,步骤310和步骤410分别在步骤320和步骤420之前。
第二种:被管对象发起到代理服务器的连接,代理服务器通过所建立的连接向被管对象下发为其分配的管理信息;被管对象收到管理信息后,将所建立的连接切换为隧道模式。这种情形下,建立隧道从发起连接开始,到切换为隧道模式才意味着被管对象与代理服务器之间的隧道建立完成,换言之,步骤320和步骤420分别在步骤310和步骤410的执行过程中完成。
在一种应用场景中,代理服务器在为被管对象下发管理信息前,先进行被管对象的合法性审查。在这种场景里,被管对象向代理服务器发送注册信息;代理服务器接收被管对象的注册信息,查询预置的数据库,审查被管对象的注册信息是否合法,如果通过合法性审查,则为被管对象分配管理信息。如果被管对象未能通过合法性审查,则代理服务器断开与该被管对象的通信链路。注册信息中可以包括被管对象所在设备的设备序列号(DeviceID)、设备名称(hostname)、被管对象在私网中使用的IP地址、以及其他与被管对象及其所在设备相关的信息。
例如,一个网络管理云服务的租户(Tenant)购买了N个网络设备的管理服务,并且在公网可访问的在线设备数据库(Online Device Database)中提交了要使用管理服务的N个网络设备的注册信息,包括设备序列号、设备名称、所述租户等。当这些网络设备上线后,向代理服务器发起连接并将自身的注册信息发送给代理服务器。代理服务器审查网络设备发送的设备序列号、设备名称、所属租户是否与在线设备数据库一致,如果一致则通过合法性审查,并为其提供网络管理服务。在这个例子中,可以根据租户需要管理的网络设备的数量,在代理服务器上预先规划分配给被管对象的IP地址池,为租户预留不同大小的地址池;也可以由多个租户共用一个大的地址池;这取决于NMS和多个租户如何划分组网。
为了增强安全性,防止有其他网络设备冒用合法的被管对象,可以在被管对象上传的注册信息中增加密钥或证书,用来在合法性审查时进行安全认证。本例中对所采用的安全认证技术没有限制,例如,基于共享密钥的Pack认证及Check认证,基于证书的SSL(Secure Sockets Layer,安全套接层)认证等等。
在被管对象上,步骤430,通过所述隧道进行网管报文的收发,网管报文中以管理地址作为被管对象的地址。
被管对象使用代理服务器下发的管理地址进行本地配置,使用管理地址来实施网管功能,在网管报文中将管理地址作为本端地址,通常将NMS的地址作为对端地址。被管对象通过隧道来和代理服务器之间进行这些网管报文的收发,这些网管报文作为原始报文在隧道入口被封装,封装后报文的源地址和目的地址为建立隧道时被管对象和代理服务器使用的地址(例如可以是被管对象的私网地址和代理服务器的公网地址),封装后报文的协议为建立隧道时所采用的协议,从而封装后的报文能够穿越防火墙(否则隧道无法成功建立)。在到达隧道的出口后解封装得到网管报文。网管报文在云端由代理服务器转发。由于网管报文使用被管对象的管理地址,在云端的其他节点(如NMS)看来,相当于有一个使用管理地址的节点连接在云端网络中,因此现有的各种网络管理协议可不做任何修改直接适用。
在一个例子中,被管对象创建虚接口,在这个虚接口配置代理服务器下发的管理地址,用这个虚接口来收发网管报文。如果被管对象所在的私网和云端NMS所在的管理网络可能有IP地址重叠的情况,则可以为使用管理地址的虚接口创建VRF(Virtual PrivateNetwork Routing and Forwarding Instance,虚拟专用网路由转发实例),在所创建的VRF与代理服务器之间通过隧道进行网管报文的收发,利用VRF支持多个VPN(Virtual PrivateNetwork,虚拟专用网)使用同一个地址空间的特性,解决私网和云端的地址冲突问题。
在代理服务器上,步骤330,接收目的地址为被管对象管理地址的网管报文,将其通过隧道转发给被管对象。
在一个例子中,代理服务器可以添加一条本地路由,以所建立的隧道为被管对象管理地址的下一跳出接口。根据这一条本地路由,发送给隧道对端被管对象的网管报文,将通过隧道到达被管对象。代理服务器可以在为被管对象分配管理地址后即添加本地路由,也可以在分配管理地址和隧道建立都完成后再添加本地路由。
在代理服务器上,步骤340,将来自所建立的隧道、源地址为被管对象管理地址的网管报文转发给NMS。
在NMS和使用管理地址的被管对象之间,由代理服务器通过所建立的隧道进行网管报文的转发。
步骤330与340之间没有时序关系。
需要说明的是,Proxy与NMS可能运行在不同的服务器(物理服务器或虚拟服务器)上,也可能代理服务器作为一个功能模块运行在NMS上。如果代理服务器作为一个功能模块运行在NMS上,则本例中步骤330中接收目的地址为被管对象管理地址的网管报文,可以是接收同一个服务器内实现NMS的功能模块发送的网管报文;步骤340中将网管报文转发给NMS,可以是将网管报文在同一个服务器内转发给实现NMS的功能模块。
对代理服务器作为一个功能模块运行在NMS上的情况,在与被管对象之间建立隧道后,NMS也即完成了被管对象的发现过程。之后,NMS发送给该被管对象的报文通过所建立的隧道即可穿越防火墙到达被管对象;被管对象使用管理地址,通过所建立的隧道接收和发送与NMS之间的报文,从而实现NMS对被管对象的管理。
对代理服务器与NMS在不同设备上的情形,可以通过以下几种方式来实现被管对象在NMS上的设备发现:
第一种:由NMS直接向被管对象发起的设备发现过程,例如NMS可以运行ping(包探测器)命令遍历某个特定网段,来发现该网段内新的被管对象。当代理服务器收到针对隧道对端被管对象的管理地址的ping命令时,执行步骤330,将ping命令封装后通过隧道转发给被管对象;被管对象对ping命令的响应通过隧道到达代理服务器,再由代理服务器转发给NMS,完成被管对象的设备发现。
第二种:代理服务器在为被管对象分配管理信息后,可以通知NMS发现该被管对象,并告知NMS该被管对象的管理信息。
第三种:代理服务器在为被管对象分配管理信息后,记录分配给被管对象的管理信息;NMS读取代理服务器的记录,即可发现新的被管对象。
在NMS完成被管对象设备发现后,会以管理地址为被管对象的地址来下发网管报文;网管报文在云端被路由到代理服务器上,代理服务器将完整的网管报文封装在隧道中发送给被管对象。被管对象向NMS发送的网管报文,通过隧道封装发送到代理服务器,由代理服务器解封装后在云端根据路由转发给NMS。
这样,相当于通过代理服务器在云端的管理网络内为每个私网内的被管对象建立一个虚拟镜像,这个虚拟镜像具有NMS可访问的管理地址,通过这个管理地址来完成全部的网络管理功能,从而现有的各种网络管理协议可不做任何修改直接适用,并且对私网的防火墙配置没有要求。
以下以图1所示的网络中私网内交换机122为例,来说明NMS 110如何通过Proxy111来实现穿越防火墙120对交换机122进行网络管理,具体的流程请参见图5:
1)交换机122读取出厂配置,获得Proxy 111的域名:nms-proxy.h3c.com。
2)交换机122向Proxy 111的域名(公网IP地址为202.1.1.11)发起https连接。由于https天然的安全性和具有穿越NAT和防火墙的能力,可以在交换机122和Proxy 111之间建立https连接。
交换机122采用其在私网中的IP地址10.110.111.2发起到Proxy 111公网地址202.1.1.11的连接,交换机122发送源IP地址为10.110.111.2、目的IP地址为202.1.1.11的报文,通过NAT和防火墙,到达Proxy 111。
3)基于所建立的连接,交换机122向Proxy 111发送http Post命令,来进行注册请求(Register-request),上传自身的注册信息,其中包括设备序列号0002343457456735673567、设备名称switch、在私网中的IP地址10.110.111.2。
注册请求报文可以采用如下格式:
4)Proxy 111收到交换机122注册信息,保存到被管对象数据库中。Proxy 111查询租户提交的设备注册信息,对照交换机122上传的注册信息,以审查交换机122是否是合法的设备。
5)基于所建立的连接,Proxy 111为通过审查的交换机122分配管理信息,向交换机122应答注册响应(Register-response),其中携带为其分配的管理信息,包括管理地址192.168.11.2、子网掩码24和缺省路由192.168.11.254。NMS的IP地址为192.168.11.2,与交换机122的管理地址所在的网段在云端路由可达。
注册响应报文可以采用如下格式:
6)交换机122收到管理信息后,建立一个虚接口,将下发的管理地址加到这个虚接口上;同时为这个虚接口创建一个独立的VRF。之后,交换机122将通过所创建的VRF来进行网管报文的收发。
7)基于所建立的连接,交换机122再次向Proxy 111发送http Post命令,来进行隧道请求(Tunnel-request),请求将与Proxy 111的连接切换为https隧道。
隧道请求报文可以采用如下格式:
POST /Tunnel.cgi HTTP/1.1
Host: nms-proxy.h3c.com
Content-Length: 0
8)Proxy 111向交换机122回复隧道响应(Tunnel-response),允许建立https隧道;交换机122收到NMS的成功应答后,完成https隧道建立。
隧道响应报文可以采用如下格式:
HTTP/1.1200 OK
Date:Mon,9 Apr 201409:20:42
Content-Type:text/xml
Content-Length:0
9)Proxy 111添加本地路由,指向下发给交换机122的管理地址,下一跳出接口是所建立的https隧道。
10)交换机122将htts隧道配置为所创建VRF的缺省路由。
11)Proxy 111通知NMS新设备发现,向NMS 110发送交换机122的管理信息。
12)如果NMS 110有向交换机122下发的网管报文,如ping、SNMP等,目的IP地址会使用Proxy 111分配给交换机122的管理地址192.168.11.2。以192.168.11.2为目的地址的网管报文被路由到Proxy 111上。
13)Proxy 111根据本地路由,把NMS 110向交换机122下发的完整网管报文封装在https隧道中转发给交换机122。
14)交换机122收到https隧道的封装报文,解析出网管报文后上传协议栈,完成网络管理功能。
15)如果交换机122有发给NMS 110的网管报文,由于VRF的缺省路由,通过https隧道封装,发送给Proxy 111。
16)Proxy从https隧道中接收来自交换机122的封装报文,解析出网管报文后,根据路由,发给NMS 110。
经过上述流程,相当于在云端为交换机122建立了一个管理镜像——使用管理地址192.168.11.2、通过云端网络连接Proxy 111的端口接入到云端网络的交换机122-A,请参见图6。
与上述流程实现对应,本公开还提供了一种应用在代理服务器上的网络管理装置和一种应用在被管对象上的网络管理装置。这两种装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,可以通过图2中的处理器211将网络管理控制逻辑读取到内存212中运行而形成。
图7所示为一个例子中的一种网络管理的装置,包括云端隧道建立单元、管理信息分配单元、下行转发单元和上行转发单元,其中:云端隧道建立单元用于与私网内的被管对象建立隧道;管理信息分配单元用于为被管对象分配管理信息,所述管理信息包括被管对象的管理地址;下行转发单元用于接收目的地址为被管对象管理地址的网管报文,将其通过所述隧道转发给被管对象;上行转发单元用于将来自所述隧道、源地址为被管对象管理地址的网管报文转发给NMS。
一个例子中,所述装置还可以包括设备发现通知单元和/或管理信息记录单元,其中:设备发现通知单元用于通知NMS发现所述被管对象以及所述被管对象的管理信息;管理信息记录单元用于记录所述被管对象的管理信息,供NMS读取。
所述装置还可以包括注册信息接收单元和审查单元,其中:注册信息接收单元用于接收被管对象发送的注册信息;审查单元用于利用所述注册信息对被管对象的合法性进行审查;这个例子中,所述管理信息分配单元具体用于:为通过合法性审查的被管对象分配管理信息。
所述隧道可以由被管对象作为客户端,以C/S模式发起建立。
图8所示为一个例子中的一种网络管理的装置,应用在私网内的被管对象上,包括隧道建立单元、管理信息接收单元和报文收发单元,其中:隧道建立单元用于与公网的代理服务器之间建立隧道;管理信息接收单元用于接收代理服务器下发的管理信息,所述管理信息包括管理地址;报文收发单元用于通过所述隧道进行网管报文的收发,所述网管报文中以管理地址作为被管对象的地址。
一个例子中,所述隧道建立单元包括域名获取模块和客户端隧道发起模块,其中:域名获取模块用于由预置的配置参数或由DHCP分配的配置参数中获得代理服务器的域名;客户端隧道发起模块用于作为客户端,以C/S模式发起建立与所述域名之间的隧道。
一个例子中,所述报文收发单元包括虚接口与VRF模块和VRF收发模块,其中:虚接口与VRF模块用于创建使用所述管理地址的虚接口,为所述虚接口创建虚拟专用网路由转发实例VRF;VRF收发模块用于在所创建的VRF与代理服务器之间通过隧道进行网管报文的收发。
以上所述仅为本公开的较佳例子而已,并不用以限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在相应权利要求的保护的范围之内。
Claims (15)
1.一种网络管理的方法,其特征在于,包括:
与私网内的被管对象建立隧道;其中,所述隧道包括https隧道;
为被管对象分配管理信息,所述管理信息包括被管对象的管理地址;
接收目的地址为被管对象管理地址的网管报文,将其通过所述隧道转发给被管对象;
将来自所述隧道、源地址为被管对象管理地址的网管报文转发给网络管理系统NMS;
其中,所述被管对象发起到代理服务器的连接,代理服务器通过所建立的连接向所述被管对象下发为其分配的所述管理信息;所述被管对象收到所述管理信息后,将所建立的连接切换为隧道模式。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通知NMS发现所述被管对象以及所述被管对象的管理信息;和/或
记录所述被管对象的管理信息,供NMS读取。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收被管对象发送的注册信息;
利用所述注册信息对被管对象的合法性进行审查;
所述为被管对象分配管理信息,包括:为通过合法性审查的被管对象分配管理信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:添加本地路由,以所述隧道为所述管理地址的下一跳出接口。
5.根据权利要求1所述的方法,其特征在于,所述隧道由被管对象作为客户端,以客户端/服务器C/S模式发起建立。
6.一种网络管理的方法,应用在私网内的被管对象上,其特征在于,所述方法包括:
与公网的代理服务器之间建立隧道;其中,所述隧道包括https隧道;
接收代理服务器下发的管理信息,所述管理信息包括管理地址;
通过所述隧道进行网管报文的收发,所述网管报文中以管理地址作为被管对象的地址;
其中,所述被管对象发起到代理服务器的连接,所述代理服务器通过所建立的连接向所述被管对象下发为其分配的所述管理信息;所述被管对象收到所述管理信息后,将所建立的连接切换为隧道模式。
7.根据权利要求6所述的方法,其特征在于,所述与公网的代理服务器之间建立隧道,包括:
由预置的配置参数或由动态主机配置协议DHCP分配的配置参数中获得代理服务器的域名;
作为客户端,以客户端/服务器C/S模式发起建立与所述域名之间的隧道。
8.根据权利要求6所述的方法,其特征在于,所述通过隧道进行网管报文的收发,包括:
创建使用所述管理地址的虚接口,为所述虚接口创建虚拟专用网路由转发实例VRF;
在所创建的VRF与代理服务器之间通过隧道进行网管报文的收发。
9.一种网络管理的装置,其特征在于,包括:
云端隧道建立单元,用于与私网内的被管对象建立隧道;其中,所述隧道包括https隧道;
管理信息分配单元,用于为被管对象分配管理信息,所述管理信息包括被管对象的管理地址;
下行转发单元,用于接收目的地址为被管对象管理地址的网管报文,将其通过所述隧道转发给被管对象;
上行转发单元,用于将来自所述隧道、源地址为被管对象管理地址的网管报文转发给网络管理系统NMS;
其中,所述被管对象发起到代理服务器的连接,代理服务器通过所建立的连接向所述被管对象下发为其分配的所述管理信息;所述被管对象收到所述管理信息后,将所建立的连接切换为隧道模式。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
设备发现通知单元,用于通知NMS发现所述被管对象以及所述被管对象的管理信息;和/或
管理信息记录单元,用于记录所述被管对象的管理信息,供NMS读取。
11.根据权利要求9所述的装置,其特征在于,所述装置还包括:
注册信息接收单元,用于接收被管对象发送的注册信息;
审查单元,用于利用所述注册信息对被管对象的合法性进行审查;
所述管理信息分配单元具体用于:为通过合法性审查的被管对象分配管理信息。
12.根据权利要求9所述的装置,其特征在于,所述隧道由被管对象作为客户端,以客户端/服务器C/S模式发起建立。
13.一种网络管理的装置,应用在私网内的被管对象上,其特征在于,所述装置包括:
隧道建立单元,用于与公网的代理服务器之间建立隧道;其中,所述隧道包括https隧道;
管理信息接收单元,用于接收代理服务器下发的管理信息,所述管理信息包括管理地址;
报文收发单元,用于通过所述隧道进行网管报文的收发,所述网管报文中以管理地址作为被管对象的地址;
其中,所述被管对象发起到代理服务器的连接,所述代理服务器通过所建立的连接向所述被管对象下发为其分配的所述管理信息;所述被管对象收到所述管理信息后,将所建立的连接切换为隧道模式。
14.根据权利要求13所述的装置,其特征在于,所述隧道建立单元包括:
域名获取模块,用于由预置的配置参数或由动态主机配置协议DHCP分配的配置参数中获得代理服务器的域名;
客户端隧道发起模块,用于作为客户端,以客户端/服务器C/S模式发起建立与所述域名之间的隧道。
15.根据权利要求13所述的装置,其特征在于,所述报文收发单元包括:
虚接口与虚拟专用网路由转发实例VRF模块,用于创建使用所述管理地址的虚接口,为所述虚接口创建虚拟专用网路由转发实例VRF;
VRF收发模块,用于在所创建的VRF与代理服务器之间通过隧道进行网管报文的收发。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410380335.0A CN105471596B (zh) | 2014-08-04 | 2014-08-04 | 网络管理的方法和装置 |
| US15/502,090 US20170237601A1 (en) | 2014-08-04 | 2015-08-03 | Network Management |
| PCT/CN2015/085948 WO2016019838A1 (en) | 2014-08-04 | 2015-08-03 | Network management |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410380335.0A CN105471596B (zh) | 2014-08-04 | 2014-08-04 | 网络管理的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105471596A CN105471596A (zh) | 2016-04-06 |
| CN105471596B true CN105471596B (zh) | 2019-05-07 |
Family
ID=55263144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410380335.0A Active CN105471596B (zh) | 2014-08-04 | 2014-08-04 | 网络管理的方法和装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20170237601A1 (zh) |
| CN (1) | CN105471596B (zh) |
| WO (1) | WO2016019838A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10594627B2 (en) * | 2016-01-27 | 2020-03-17 | Oracle International Corporation | System and method for supporting scalable representation of switch port status in a high performance computing environment |
| US11271870B2 (en) | 2016-01-27 | 2022-03-08 | Oracle International Corporation | System and method for supporting scalable bit map based P_Key table in a high performance computing environment |
| US10567356B2 (en) * | 2017-06-20 | 2020-02-18 | Microsoft Technology Licensing, Llc | Monitoring cloud computing environments with data control policies |
| US10762218B2 (en) | 2017-06-20 | 2020-09-01 | Microsoft Technology Licensing, Llc | Network buildout for cloud computing environments with data control policies |
| US10931640B2 (en) | 2018-06-22 | 2021-02-23 | International Business Machines Corporation | Tunneling network traffic using object storage |
| US11206242B2 (en) * | 2019-01-24 | 2021-12-21 | International Business Machines Corporation | Secure communication tunnels specific to network resource |
| CN111865747B (zh) * | 2019-04-28 | 2021-11-16 | 中国移动通信集团上海有限公司 | 基于evpn的二层数据传输方法、装置、设备及介质 |
| US11323287B2 (en) * | 2019-07-18 | 2022-05-03 | International Business Machines Corporation | Link layer method of configuring a bare-metal server in a virtual network |
| EP4032226A4 (en) * | 2019-09-17 | 2023-06-14 | Microsoft Technology Licensing, LLC | CENTRALIZED REMOTE MIGRATION CUSTOMER CREDENTIAL MANAGEMENT |
| CN111526223B (zh) * | 2020-04-23 | 2023-11-07 | 腾讯科技(深圳)有限公司 | 边缘业务服务器的管理方法、业务数据处理方法及装置 |
| CN111740893B (zh) * | 2020-06-30 | 2022-02-11 | 成都卫士通信息产业股份有限公司 | 软件定义vpn的实现方法、装置、系统、介质和设备 |
| CN111885174B (zh) * | 2020-07-27 | 2023-01-17 | 佛山市霖罕崞信息科技有限公司 | 一种非相同网段的节点的处理方法及系统 |
| US11463536B2 (en) | 2020-08-28 | 2022-10-04 | Teso LT, UAB | Curating proxy server pools |
| CN112995008A (zh) * | 2021-02-26 | 2021-06-18 | 北京明略昭辉科技有限公司 | 一种同时访问多个互联网数据中心的带外管理网络的方法 |
| CN113259185B (zh) * | 2021-07-07 | 2021-10-26 | 中兴通讯股份有限公司 | 网管代理以及网元管理平台 |
| CN115941547A (zh) * | 2021-08-10 | 2023-04-07 | 华为技术有限公司 | 一种处理ping报文的方法、装置和系统 |
| CN113839776B (zh) * | 2021-11-29 | 2022-02-15 | 军事科学院系统工程研究院网络信息研究所 | 一种用于网管和路由器间的安全互连协议方法和系统 |
| CN116346379A (zh) * | 2021-12-24 | 2023-06-27 | 北京字节跳动网络技术有限公司 | 数据获取方法、装置、设备及存储介质 |
| US11863534B1 (en) * | 2023-02-03 | 2024-01-02 | Dice Corporation | Scalable router interface initiation |
| US11895091B1 (en) * | 2023-02-03 | 2024-02-06 | Dice Corporation | Scalable router interface communication paths |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6970459B1 (en) * | 1999-05-13 | 2005-11-29 | Intermec Ip Corp. | Mobile virtual network system and method |
| EP1993257A1 (en) * | 2007-05-15 | 2008-11-19 | France Télécom | Method for providing secure connectivity to an internal network for a mobile node and related entity |
| CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
| CN102571814A (zh) * | 2012-02-10 | 2012-07-11 | 浙江宇视科技有限公司 | 一种ip监控系统中穿越隔离设备的方法及代理设备 |
| CN102710644A (zh) * | 2012-05-30 | 2012-10-03 | 浙江宇视科技有限公司 | 一种ip监控系统中节约带宽的方法及装置 |
| CN102845123A (zh) * | 2011-04-19 | 2012-12-26 | 华为技术有限公司 | 虚拟私云的连接方法及隧道代理服务器 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6651096B1 (en) * | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
| CN101026547A (zh) * | 2006-02-22 | 2007-08-29 | 中兴通讯股份有限公司 | 一种将Intranet中的IPv6主机接入全球IPv6网络的方法及系统 |
| CN102377629B (zh) * | 2010-08-20 | 2014-08-20 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
| CN103118064A (zh) * | 2012-11-22 | 2013-05-22 | 杭州华三通信技术有限公司 | 一种Portal集中认证的方法和装置 |
| US9043439B2 (en) * | 2013-03-14 | 2015-05-26 | Cisco Technology, Inc. | Method for streaming packet captures from network access devices to a cloud server over HTTP |
-
2014
- 2014-08-04 CN CN201410380335.0A patent/CN105471596B/zh active Active
-
2015
- 2015-08-03 US US15/502,090 patent/US20170237601A1/en not_active Abandoned
- 2015-08-03 WO PCT/CN2015/085948 patent/WO2016019838A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6970459B1 (en) * | 1999-05-13 | 2005-11-29 | Intermec Ip Corp. | Mobile virtual network system and method |
| EP1993257A1 (en) * | 2007-05-15 | 2008-11-19 | France Télécom | Method for providing secure connectivity to an internal network for a mobile node and related entity |
| CN102845123A (zh) * | 2011-04-19 | 2012-12-26 | 华为技术有限公司 | 虚拟私云的连接方法及隧道代理服务器 |
| CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
| CN102571814A (zh) * | 2012-02-10 | 2012-07-11 | 浙江宇视科技有限公司 | 一种ip监控系统中穿越隔离设备的方法及代理设备 |
| CN102710644A (zh) * | 2012-05-30 | 2012-10-03 | 浙江宇视科技有限公司 | 一种ip监控系统中节约带宽的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170237601A1 (en) | 2017-08-17 |
| WO2016019838A1 (en) | 2016-02-11 |
| CN105471596A (zh) | 2016-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105471596B (zh) | 网络管理的方法和装置 | |
| US9231918B2 (en) | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions | |
| US9088546B2 (en) | Establishing an IPSEC (internet protocol security) VPN (virtual private network) tunnel and encapsulating non-IP packets | |
| CN103947172B (zh) | 一种网络穿越服务的提供方法、装置及系统 | |
| TWI474667B (zh) | 生成和分佈網路安全參數之系統及方法 | |
| EP2579634A2 (en) | Methods and apparatus for a self-organized layer-2 enterprise network architecture | |
| US20020016926A1 (en) | Method and apparatus for integrating tunneling protocols with standard routing protocols | |
| FI125972B (fi) | Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| Baker et al. | Internet protocols for the smart grid | |
| CN110290093A (zh) | Sd-wan网络架构及组网方法、报文转发方法 | |
| JP2004524724A (ja) | 信頼性の高いネットワーク上の移動性を向上するシステムと方法 | |
| CN108173981A (zh) | 用于订户感知服务的应用的网络地址转换 | |
| US20140301396A1 (en) | Method for constructing virtual private network, method for packet forwarding, and gateway apparatus using the methods | |
| CN109274570B (zh) | Vpn的构建方法、装置和计算机可读存储介质 | |
| CN106992917A (zh) | 报文转发方法和装置 | |
| KR20130112958A (ko) | 소유지들의 원격 제어를 구현하기 위한 방법 및 디바이스 어레인지먼트 | |
| CN112584393A (zh) | 一种基站配置方法、装置、设备及介质 | |
| CN104993993B (zh) | 一种报文处理方法、设备和系统 | |
| CN109005179A (zh) | 基于端口控制的网络安全隧道建立方法 | |
| WO2009062504A1 (en) | Secure communication between a client and devices on different private local networks using the same subnet addresses | |
| EP3758307A1 (en) | Method for implementing gre tunnel, access point and gateway | |
| CN102932359B (zh) | 流媒体服务请求方法、装置和系统 | |
| CN106027387B (zh) | 一种语音业务的处理方法、网关设备及系统 | |
| Balan et al. | LISP Optimisation of Mobile Data Streaming in Connected Societies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |