CN108259229B - 一种设备管理方法、装置及系统 - Google Patents

Abstract

本申请提供一种设备管理方法、装置及系统，该方法包括：当接收到命令时，从所述命令中解析出第二区域的第二网管的设备信息，从配置文件中查询设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；若所述数据类型为文件类型，确定管理操作对应的操作信息，根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；利用目的地址将操作原语发送给第三区域的第三网管，以使第三网管将操作原语发送给第二网管，或者，从操作原语中解析出操作信息，并将携带操作信息的网管命令发送给第二网管；使第二网管根据操作原语或者网管命令对网络设备进行管理。通过本申请的技术方案，实现多个区域的设备管理。

Description

一种设备管理方法、装置及系统

技术领域

本申请涉及网络管理技术领域，尤其涉及一种设备管理方法、装置及系统。

背景技术

为了保证安全性，可以将网络划分为信任网络和非信任网络，信任网络为安全区，非信任网络为非安全区，安全区和非安全区之间通过网闸(即安全隔离网闸)隔离。如图1所示，非安全区的网络设备无法与安全区的网络设备建立TCP(Transmission ControlProtocol，传输控制协议)连接，只能通过网闸向安全区的网络设备发送文本文件。安全区的网络设备可以与非安全区的网络设备建立TCP连接，并通过该TCP连接向非安全区的网络设备发送TCP数据。

基于网闸的通信模式，可以切断非安全区对安全区的TCP连接，使得各种病毒无法从非安全区到达安全区，并保证非安全区与安全区的基本通信需求。

由于非安全区的网络设备无法与安全区的网络设备建立TCP连接，因此，基于TCP连接的各种网管协议(如SNMP(Simple Network Management Protocol，简单网络管理协议)等)均无法穿透网闸，这样，当运维人员使用非安全区的网管进行工作时，运维人员无法通过网管协议对安全区的网络设备进行管理。

发明内容

本申请提供一种设备管理方法，应用于第一区域的第一网管，包括：

当接收到用于对第二区域的网络设备进行管理操作的命令时，从所述命令中解析出第二区域的第二网管的设备信息，并从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；

若所述数据类型为文件类型，确定所述管理操作对应的操作信息，根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；

利用所述目的地址将所述操作原语发送给第三区域的第三网管，以使所述第三网管将操作原语发送给所述第二网管，或者，从所述操作原语中解析出所述操作信息，并将携带所述操作信息的网管命令发送给所述第二网管；使所述第二网管根据所述操作原语或者所述网管命令对网络设备进行管理。

本申请提供一种设备管理方法，应用于第三区域的第三网管，包括：

接收第一区域的第一网管发送的指定格式的操作原语；从所述操作原语中解析出设备信息，若设备信息是第二网管的设备信息，则从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；

若所述数据类型为文件类型，利用所述目的地址将所述操作原语发送给第二区域的第二网管，以使所述第二网管根据所述操作原语对网络设备进行管理；

若所述数据类型为TCP类型，从所述操作原语中解析出操作信息，并利用所述目的地址将携带所述操作信息的网管命令发送给第二区域的第二网管，以使所述第二网管根据所述网管命令对网络设备进行管理。

本申请提供一种设备管理装置，应用于第一区域的第一网管，包括：

获取模块，用于当接收到用于对第二区域的网络设备进行管理操作的命令时，从所述命令中解析出第二区域的第二网管的设备信息，从配置文件中查询所述设备信息对应的数据传输方式，数据传输方式包括数据类型和目的地址；

确定模块，用于当所述数据类型为文件类型时，确定所述管理操作对应的操作信息，并根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；

发送模块，用于利用所述目的地址将所述操作原语发送给第三区域的第三网管，以使第三网管将操作原语发送给所述第二网管，或者，从所述操作原语中解析出所述操作信息，并将携带所述操作信息的网管命令发送给所述第二网管；使第二网管根据所述操作原语或者所述网管命令对网络设备进行管理。

本申请提供一种设备管理装置，应用于第三区域的第三网管，包括：

接收模块，用于接收第一区域的第一网管发送的指定格式的操作原语；

获取模块，用于从所述操作原语中解析出设备信息，若所述设备信息是第二网管的设备信息，则从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；

发送模块，用于当所述数据类型为文件类型时，利用所述目的地址将所述操作原语发送给第二区域的第二网管，以使第二网管根据所述操作原语对网络设备进行管理；当所述数据类型为TCP类型时，从所述操作原语中解析出操作信息，并利用所述目的地址将携带所述操作信息的网管命令发送给第二区域的第二网管，以使第二网管根据所述网管命令对网络设备进行管理。

本申请提供一种设备管理系统，所述设备管理系统包括：第一区域的第一网管、第二区域的第二网管、第三区域的第三网管；其中：

所述第一网管，用于当接收到用于对第二区域的网络设备进行管理操作的命令时，从所述命令中解析出第二区域的第二网管的设备信息，并从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；若所述数据类型为文件类型，确定所述管理操作对应的操作信息，根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；利用所述目的地址将所述操作原语发送给第三区域的第三网管；

所述第三网管，用于在接收到操作原语后，从所述操作原语中解析出设备信息，若设备信息是第二网管的设备信息，则从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；若所述数据类型为文件类型，利用所述目的地址将所述操作原语发送给第二区域的第二网管；若所述数据类型为TCP类型，从所述操作原语中解析出操作信息，利用所述目的地址将携带所述操作信息的网管命令发送给第二区域的第二网管；

所述第二网管，用于根据操作原语或者网管命令对网络设备进行管理。

基于上述技术方案，本申请实施例中，在保证网络安全的情况下，使得第一区域的第一网管能够管理第二区域的网络设备，也能够管理第三区域的网络设备，因此，当运维人员使用第一区域的第一网管进行工作时，运维人员可以对第二区域/第三区域的网络设备进行管理，从而实现多个区域的设备管理。

附图说明

为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中所记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。

图1是安全区和非安全区之间通过网闸进行隔离的示意图；

图2A和图2B是本申请一种实施方式中的应用场景示意图；

图3是本申请一种实施方式中的设备管理方法的流程图；

图4是本申请一种实施方式中的设备管理装置的结构图；

图5是本申请一种实施方式中的第一网管的硬件结构图；

图6是本申请另一种实施方式中的设备管理装置的结构图；

图7是本申请一种实施方式中的第三网管的硬件结构图。

具体实施方式

在本申请使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请实施例和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本申请实施例提出一种设备管理方法，可以应用于包括第一网管、第二网管和第三网管的系统，第一网管是部署在第一区域的网管，第二网管是部署在第二区域的网管，第三网管是部署在第三区域的网管。第一区域的第一网管通过网络隔离设备与第三区域的第三网管通信；第一区域的第一网管无法直接与第二区域的第二网管通信；第三区域的第三网管通过网络隔离设备与第二区域的第二网管通信，或者，第三区域的第三网管直接与第二区域的第二网管通信。

其中，可以将网络划分成若干区域，每个区域部署一个网管，每个网管对本区域内的所有网络设备进行管理，如将网络划分成第一区域、第二区域和第三区域，第一区域部署第一网管，第二区域部署第二网管，第三区域部署第三网管，第一网管对第一区域内的所有网络设备进行管理，第二网管对第二区域内的所有网络设备进行管理，第三网管对第三区域内的所有网络设备进行管理。

而且，为了达到网络综合管理、监控的目的，各个网管之间还可以进行信息交互。例如，若管理员通过第一网管对第二区域内的网络设备进行管理，则第一网管与第二网管可以进行信息交互，第一网管是第二网管的上级网管，第二网管是第一网管的下级网管。若管理员通过第一网管对第三区域内的网络设备进行管理，则第一网管与第三网管可以进行信息交互，第一网管是第三网管的上级网管，第三网管是第一网管的下级网管。以此类推，对此不做限制。

其中，上述第一网管、第二网管和第三网管均可以指：用于对网络设备进行管理的设备，也称为网管设备，后续简称为网管。管理员可以在浏览器输入网管的IP地址和端口，从而可以登录到网管，并通过网管对网络设备进行管理。

参见图2A和图2B所示，为本申请实施例的应用场景示意图，在第一区域部署有第一网管201和第一数据库206，且在第三区域部署有第三网管203和第三数据库207，并且在第二区域部署有第二网管205和第二数据库208。

在图2A中，第一网管201通过网络隔离设备202与第三网管203通信，第一网管201无法直接与第二网管205通信，需要经过第三网管203才能够与第二网管205通信。而且，第三网管203通过网络隔离设备204与第二网管205 通信。与图2A不同的是，在图2B中，第三网管203直接与第二网管205通信。

例如，某企业的总部是第一区域，部署有第一网管201，该企业的分公司是第三区域，部署有第三网管203，在该分公司下有个生产部，是第二区域，部署有第二网管205。显然，由于第二区域是第三区域的子区域，因此，第二区域与第一区域之间的传输过程，需要经过第三区域，也就是说，第一网管201无法直接与第二网管205通信，需要经过第三网管203才能够与第二网管205通信。

在一个例子中，为了提高第三区域内设备的安全性，可以在第三区域部署网络隔离设备202，进入第三区域的所有数据，均需要经过网络隔离设备202。同理，参见图2A所示，为了提高第二区域内设备的安全性，可以在第二区域部署网络隔离设备204，进入第二区域的所有数据，均需要经过网络隔离设备204。

网络隔离设备202、网络隔离设备204包括但不限于防火墙设备、网闸等。由于网络隔离设备202用于对第三区域进行保护，因此网络隔离设备202保护的第三区域是安全区，没有被网络隔离设备202保护的第一区域是非安全区。由于网络隔离设备204用于对第二区域进行保护，因此网络隔离设备204保护的第二区域是安全区，没有被网络隔离设备204保护的第一区域是非安全区。

基于上述应用场景，由于第一网管通过网络隔离设备202与第三网管通信，因此，网络隔离设备202导致第一网管与第三网管之间无法建立TCP连接，即基于TCP连接的各种网管协议(如SNMP等)无法穿透网络隔离设备202，因此第一网管和第三网管无法基于网管协议通信，这就对网管提出了针对网络隔离设备的通信要求。同理，第一网管与第二网管的通信过程，面临同样的问题。

在上述应用场景下，参见图3所示，为设备管理方法的流程图，包括：

步骤301，当接收到用于对第二区域的网络设备进行管理操作的命令时，第一网管从该命令中解析出第二区域的第二网管的设备信息，并从配置文件中查询该设备信息对应的数据传输方式，该数据传输方式包括数据类型和目的地址。

在一个例子中，在需要对第二区域的网络设备进行管理操作时，可以向第一网管发送命令(如管理员下发或者其它设备下发的命令)，该命令可以携带第二区域的第二网管的设备信息，如设备IP地址、设备唯一标识等，对此不做限制。然后，第一网管可以从该命令中解析出第二区域的第二网管的设备信息。

在一个例子中，第一网管可以维护配置文件，该配置文件用于记录设备信息与数据传输方式的对应关系，该数据传输方式可以包括但不限于数据类型和目的地址。基于此，第一网管可以从该配置文件中查询到第二网管的设备信息对应的数据传输方式，该数据传输方式包括数据类型和目的地址。其中，该数据类型表示：第一网管向第二网管发送的数据的类型；该目的地址表示：第一网管可以采用这个目的地址发送数据，从而将数据发送给第二网管。

例如，由于第一网管与第二网管的通信过程经过第三网管，且第一网管与第三网管之间存在网络隔离设备202，因此，在配置文件中，第二网管的设备信息对应的数据类型为文件类型，这个文件类型表示第一网管需要向第二网管发送指定格式的操作原语，该指定格式可以包括但不限于文本格式。此外，第二网管的设备信息对应的目的地址为第三网管的地址信息，从而第一网管根据该目的地址将操作原语发送给第三网管，发送过程在后续介绍，在此不再赘述。

步骤302，若数据类型为文件类型，第一网管确定管理操作对应的操作信息，根据操作信息和设备信息生成能够通过网络隔离设备的指定格式的操作原语。

其中，在上述命令中，除了携带第二网管的设备信息，还可以携带管理操作对应的操作信息，因此，第一网管还可以从该命令中解析出与管理操作对应的操作信息，该操作信息可以包括但不限于：操作名称和操作参数。

在一个例子中，管理操作的类型可以包括但不限于：修改网络设备的IP地址，发现网络设备的邻居关系，升级网络设备的版本，删除已有的网络设备，增加新的网络设备等，对于管理操作的类型不做详加限制。而且，每个管理操作可以对应有唯一的操作名称，且第一网管可以从接收到的命令中解析出与该管理操作对应的操作名称。此外，每个管理操作可以对应有操作参数，且第一网管还可以从接收到的命令中解析出与该管理操作对应的操作参数。

例如，当管理操作是增加新的网络设备时，则操作名称可以是addev(add device的简称)；当管理操作是删除已有的网络设备时，则操作名称可以是deldev (deletedevice的简称)；当管理操作是修改网络设备的IP地址时，则操作名称可以是moddevIP(modify device IP的简称)；当管理操作是发现网络设备的邻居关系时，则操作名称可以是autodiscovry。以此类推，对此操作名称不做限制。

例如，当管理操作是修改网络设备的IP地址时，第一网管可以获取修改后的IP地址，这个修改后的IP地址就是操作参数。又例如，当管理操作是发现网络设备的邻居关系时，第一网管可以获取IP网段(如10.153.1.0-10.153.1.255)，且这个IP网段就是操作参数，表示从该IP网段发现网络设备的邻居网络设备。又例如，当管理操作是升级网络设备的版本时，则第一网管可以获取到升级后的版本信息，这个版本信息就是操作参数。以此类推，对操作参数不做限制。

在一个例子中，操作原语是用于执行某种操作的原语，如针对修改网络设备的IP地址这个管理操作的原语，针对发现网络设备的邻居关系这个管理操作的原语等。进一步的，原语是由若干个指令构成，完成某种特定功能的一个过程，具有不可分割性，即原语的执行是连续的，执行过程中不允许被中断。

在一个例子中，针对“第一网管根据操作信息和设备信息生成能够通过网络隔离设备的指定格式的操作原语”的过程，可以包括但不限于如下方式：

方式一、根据上述操作信息确定操作名称和操作参数，并获取操作对象；然后，从操作原语表中查询到数据结构，并将设备信息、该操作名称、该操作参数和该操作对象添加到该数据结构中，从而得到指定格式的操作原语。

在一个例子中，操作原语表用于记录设备信息、操作名称、操作对象和操作参数的数据结构。例如，数据结构可以是[a][b][c][d]，中间以空格分隔；或者，数据结构可以是{a}{b}{c}{d}，中间以空格分隔；数据结构可以是[b] [c][a][d]，中间以空格分隔；以此类推，对此数据结构不做限制，只要在数据结构中包括设备信息、操作名称、操作对象和操作参数等四个信息即可。而且，上述a为设备信息，上述b为操作名称，上述c为操作对象，上述d为操作参数。

例如，第一网管在得到上述数据结构后，可以将设备信息、操作名称、操作对象和操作参数代入该数据结构的相应位置，生成指定格式的操作原语。例如，当数据结构是[a][b][c][d]时，则将设备信息写入到“a”的位置，将操作名称写入到“b”的位置，将操作对象写入到“c”的位置，并将操作参数写入到“d”的位置，然后，可以生成文本格式的操作原语，即一个包括操作原语的文本文件。

方式二、根据操作信息确定操作名称和操作参数，从操作原语表中查询到数据结构，并将设备信息、该操作名称、该操作参数添加到该数据结构中，从而得到指定格式的操作原语，且该操作原语中不包括方式一中的操作对象。

在一个例子中，操作原语表用于记录设备信息、操作名称和操作参数的数据结构，与方式一相比，在数据结构中少了操作对象，而且，最终得到的操作原语中不包括操作对象，其它过程与方式一类似，在此不再重复赘述。

实际应用中，某些管理操作(如自动发现)，不使用操作对象就可以完成网络设备的管理。例如，第一网管接收到管理员输入的自动发现指令，其中包括IP网段信息，即自动发现指令用于指示自动发现处于上述IP网段中网络设备，无需获取操作对象，直接根据自动发现指令的操作名称(自动发现)和操作参数(上述IP网段中的IP地址)生成操作原语，采用方式二。另一些管理操作(如增加新的网络设备、删除已有的网络设备、修改网络设备的IP地址、升级网络设备的版本)，使用操作对象才可以完成网络设备的管理，采用方式一。

在方式一中，针对“获取操作对象”的过程，可以包括：在需要对网络设备进行管理操作时，从第一区域的第一数据库中获取该网络设备对应的网管数据，并根据该网管数据确定操作对象。其中，针对“第一网管获取该网络设备对应的网管数据，并根据该网管数据确定操作对象”的过程，可以包括：当需要对第二区域的网络设备进行管理操作(如修改网络设备的IP地址、升级网络设备的版本等)时，则可以从第一数据库中获取该网络设备的网管数据，并从这些网管数据中获得网络设备的IP地址、设备标识等内容，这些内容就是操作对象。

为了实现上述过程，则第一网管可以在第一区域的第一数据库中，记录第二区域的网络设备的网管数据，具体实现方式可以为：第二网管通过网管协议 (如SNMP、HTTP等)与第二区域的网络设备进行通信，从而获取到网络设备的网管数据，并在第二数据库中记录网络设备的网管数据。第二网管从第二数据库中获取增量网管数据，并通过第三网管向第一网管发送所述增量网管数据。第一网管在接收到增量网管数据后，可以将所述增量网管数据存储到第一数据库中，而这些增量网管数据中，就可以包括第二区域的网络设备的网管数据。

其中，由于第二区域的第二网管可以与第三区域的第三网管建立TCP连接，因此，第二网管可以通过TCP消息将增量网管数据发送给第三网管。由于第三区域的第三网管可以与第一区域的第一网管建立TCP连接，因此，第三网管可以通过TCP消息将增量网管数据发送给第一网管，对此过程不做限制。

其中，当第二数据库中的网管数据发生变化时，则第二网管可以向第一网管发送增量网管数据。或者，第二网管还可以根据预设周期，定时向第一网管发送增量网管数据，如第二网管每分钟向第一网管发送一次增量网管数据。

其中，上述增量网管数据可以是第二数据库中的所有网管数据，也可以是第二数据库中的发生变化的网管数据，对此增量网管数据的类型不做限制。

其中，网管数据可以包括但不限于以下之一或者任意组合：设备IP地址、设备标识、接口状态(如接口UP或DOWN)、设备状态(如在线或离线)等，对此网管数据不做限制，所有与网络设备有关的数据均在本申请保护范围内。

步骤303，第一网管利用该目的地址(即从配置文件中得到的与第二网管的设备信息对应的目的地址)将该操作原语发送给第三区域的第三网管。

步骤304，第三网管接收第一区域的第一网管发送的指定格式的操作原语。

在一个例子中，针对步骤303和步骤304，可以包括但不限于如下方式：

方式一、上述目的地址为第三网管的IP地址和端口，则第一网管可以将操作原语发送给网络隔离设备202，而网络隔离设备202在接收到该操作原语后，可以根据第三网管的IP地址和端口，将该操作原语发送给第三网管。进一步的，第三网管还可以从本地的配置文件中获取监听频率和待监听的端口，并根据该监听频率对该端口进行监听，从而监听到第一网管发送的操作原语。

方式二、上述目的地址为第三网管对应的传出目录，则第一网管可以将操作原语存储到该传出目录，以使网络隔离设备202从该传出目录读取操作原语，并将操作原语存储到第二网管的接收目录。其中，网络隔离设备202可以定时从第一网管的传出目录读取操作原语，并将操作原语存储到第三网管的接收目录；上述功能是网络隔离设备202具有的功能，对此不做限制，只要网络隔离设备202能够将传出目录存储的操作原语，存储到第三网管的接收目录即可。第三网管还可以从本地配置文件中获取接收目录，并定时读取接收目录中的数据，当接收目录被网络隔离设备202存储操作原语后，第三网管可以读取到接收目录中的操作原语。

综上所述，可以在第一网管和第三网管之间传输指定格式的信息(如文本格式的操作原语)，从而实现第一网管和第三网管之间的通信。

在一个例子中，当接收到用于对第三区域的网络设备进行管理操作的命令时，第一网管从该命令中解析出第三区域的第三网管的设备信息，并从配置文件中查询该设备信息对应的数据传输方式，其实现方式类似，不再重复赘述。

步骤305，第三网管从接收到的操作原语中解析出设备信息，若该设备信息是第二网管的设备信息(即不是本第三网管的设备信息)，则从配置文件中查询该设备信息对应的数据传输方式，该数据传输方式包括数据类型和目的地址。若数据类型为文件类型，执行步骤306；若数据类型为TCP类型，执行步骤307。

其中，第三网管可以维护配置文件，该配置文件用于记录设备信息与数据传输方式的对应关系，该数据传输方式可以包括但不限于：数据类型和目的地址。基于此，第三网管可以从该配置文件中查询到第二网管的设备信息对应的数据传输方式，该数据传输方式可以包括数据类型和目的地址。其中，该数据类型表示：第三网管向第二网管发送的数据的类型；该目的地址表示：第三网管可以采用这个目的地址发送数据，从而将数据发送给第二网管。

例如，若第三网管与第二网管之间存在网络隔离设备204，在配置文件中，第二网管的设备信息对应的数据类型为文件类型，这个文件类型表示第三网管需要向第二网管发送指定格式的操作原语。若第三网管与第二网管之间不存在网络隔离设备，在配置文件中，第二网管的设备信息对应的数据类型为TCP类型，这个TCP类型表示第三网管可以通过网管命令与第二网管通信。此外，第二网管的设备信息对应的目的地址为第二网管的地址信息，从而第三网管根据该目的地址将数据发送给第二网管，发送过程在后续介绍，在此不再赘述。

在一个例子中，第三网管从操作原语中解析出设备信息后，若该设备信息是第三网管的设备信息，则第三网管还可以根据该操作原语对网络设备进行管理。针对第三网管根据该操作原语对网络设备进行管理的过程，可以包括：

方式一、第三网管可以从操作原语表中查询到数据结构，并根据该数据结构对该操作原语进行解析，得到该操作原语中包括的操作名称、操作对象和操作参数；根据该操作名称、该操作对象和该操作参数对网络设备进行管理。

方式二、第三网管可以从操作原语表中查询到数据结构，并根据该数据结构对该操作原语进行解析，从而得到该操作原语中包括的操作名称和操作参数；然后，可以根据该操作名称和该操作参数对网络设备进行管理。

方式一和方式二的实现过程类似，后续以方式一为例进行说明。在方式一中，操作原语表用于记录设备信息、操作名称、操作对象和操作参数的数据结构，且第三网管的操作原语表与第一网管的操作原语表相同，在此不再赘述。

第三网管查询到数据结构后，根据该数据结构对操作原语进行解析，得到设备信息、操作名称、操作对象和操作参数。例如，当数据结构是[a][b][c][d] 时，可以将“a”的位置的信息确定为设备信息，将“b”的位置的信息确定为操作名称，将“c”的位置的信息确定为操作对象，将“d”的位置的信息确定为操作参数。

在一个例子中，针对“根据操作名称、操作对象和操作参数对网络设备进行管理”的过程，可以包括：由于每个管理操作对应有唯一的操作名称，因此在获得该操作名称后，可以确定出操作名称对应的管理操作。例如，操作名称是addev 时，管理操作是增加新的网络设备；以此类推，对此不做限制。由于该操作对象可以是网络设备的IP地址、网络设备的设备标识等内容，因此通过该操作对象，就可以查询到对应的网络设备。操作参数是管理操作对应的操作参数，如管理操作是修改网络设备的IP地址时，操作参数是修改后的IP地址；以此类推。

综上所述，针对与该操作对象对应的网络设备，第三网管可以采用该操作参数，对网络设备执行管理操作。例如，当管理操作是修改网络设备的IP地址，操作对象是网络设备的设备标识，操作参数是修改后的IP地址X时，第三网管可以将该网络设备的IP地址修改为IP地址X。以此类推，对此不做限制。

步骤306，第三网管利用该目的地址将该操作原语发送给第二区域的第二网管，以使该第二网管根据该操作原语对网络设备进行管理。

其中，针对“第三网管利用该目的地址将该操作原语发送给第二区域的第二网管”的过程，若目的地址为第二网管对应的传出目录，则第三网管可以将该操作原语存储到该传出目录，以使第三网管与第二网管之间的网络隔离设备 204从该传出目录读取操作原语，并将该操作原语存储到第二网管的接收目录。

需要说明的是，第三网管将该操作原语发送给第二网管的方式，与上述第一网管将该操作原语发送给第二网管的过程类似，在此不再重复赘述。

在一个例子中，参见图2A所示，第三网管将操作原语发送给第二网管时，由于操作原语能够通过第一区域与第三区域之间的网络隔离设备202，说明该操作原语的格式符合网络隔离设备的要求，因此，该操作原语也能够通过第三区域与第二区域之间的网络隔离设备204，从而可以将该操作原语发送给第二网管。

第二网管接收到操作原语后，处理过程与第三网管的处理过程类似，由于操作原语中携带的设备信息是第二网管的设备信息，因此，可以根据该操作原语对网络设备进行管理，具体实现方式与第三网管的实现方式类似，不再赘述。

步骤307，第三网管从该操作原语中解析出操作信息，并利用该目的地址将携带该操作信息的网管命令(基于网管协议的命令，如SNMP命令等)发送给第二区域的第二网管，以使该第二网管根据该网管命令对网络设备进行管理。

在一个例子中，第三网管可以从操作原语表中查询到数据结构，并根据该数据结构对该操作原语进行解析，得到该操作原语中包括的操作名称、操作对象和操作参数，而该操作名称、该操作对象和该操作参数就是该操作信息。

在一个例子中，参见图2B所示，当数据类型为TCP类型时，则表示第三区域与第二区域之间没有通过网络隔离设备隔离，即第三区域的第三网管与第二区域的第二网管之间可以建立TCP连接，因此，第三网管可以向第二网管发送基于TCP连接的网管命令，而这个网管命令可以携带该操作信息。

进一步，第二网管接收到网管命令后，由于第二网管能够正确解析网管命令，因此可以直接执行该网管命令，从而对网络设备进行管理，对此不再赘述。

基于上述技术方案，本申请实施例中，在保证网络安全的情况下，使得第一区域的第一网管能够管理第三区域的网络设备，也能够管理第二区域的网管设备，因此当运维人员使用第一区域的第一网管进行工作时，运维人员可以对第三区域/第二区域的网络设备进行管理，从而实现多个区域的设备管理。

在上述实施例中，可以为每个网管配置代理(agent)，由代理实现相关操作。例如，部署在第一网管的代理根据操作信息生成操作原语；部署在第二网管的代理对操作原语进行解析，从而对第二区域的网络设备进行管理；部署在第三网管的代理对操作原语进行解析，从而对第三区域的网络设备进行管理。

在上述实施例中，第一网管将操作原语发送给第三网管后，还可以为操作原语设置定时器；在定时器超时时，若未接收到针对该操作原语的确认信息，则判断操作原语的发送次数是否达到阈值；如果否，则重新将操作原语发送给第三网管；如果是，则生成针对该操作原语的告警消息，并发送告警消息。

其中，定时器的超时时间，可以根据经验进行配置，如可以为5秒。

其中，针对发送次数的阈值，可以根据经验进行配置，如可以为3次。

例如，第一次将操作原语发送给第三网管后，若5秒内未收到针对操作原语的确认信息，则第二次将操作原语发送给第三网管，若5秒内未收到针对操作原语的确认信息，则第三次将操作原语发送给第三网管，若5秒内未收到针对操作原语的确认信息，则可以生成并向管理员发送告警消息，该告警消息可以表示第一网管与第二网管或者第三网管之间的通信中断。

在上述实施例中，第三网管将操作原语发送给第二网管后，还可以在本地存储该操作原语，并为操作原语设置定时器；在定时器超时时，若未接收到针对该操作原语的确认信息，则判断操作原语的发送次数是否达到阈值；如果否，则重新将操作原语发送给第二网管；如果是，则生成针对该操作原语的告警消息，并向第一网管发送告警消息，该告警消息可以表示第三网管与第二网管或者第三网管之间的通信中断。其中，定时器的超时时间，可以根据经验进行配置，如5秒。针对发送次数的阈值，可以根据经验进行配置，如3次。

基于上述过程，第一网管或者第三网管可以实现操作原语的重传机制和告警机制，从而大大提高了操作原语穿越网络隔离设备的可靠性。

基于与上述方法同样的申请构思，本申请实施例中还提出一种设备管理装置，应用于第一区域的第一网管，如图4所示，为所述装置的结构图。

获取模块401，用于当接收到用于对第二区域的网络设备进行管理操作的命令时，从所述命令中解析出第二区域的第二网管的设备信息，从配置文件中查询所述设备信息对应的数据传输方式，数据传输方式包括数据类型和目的地址；

确定模块402，用于当所述数据类型为文件类型时，确定所述管理操作对应的操作信息，并根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；

发送模块403，用于利用所述目的地址将所述操作原语发送给第三区域的第三网管，以使第三网管将操作原语发送给所述第二网管，或者，从所述操作原语中解析出所述操作信息，并将携带所述操作信息的网管命令发送给所述第二网管；使第二网管根据所述操作原语或者所述网管命令对网络设备进行管理。

所述确定模块402，具体用于在根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语的过程中，根据所述操作信息确定操作名称和操作参数，并获取操作对象；从操作原语表中查询到数据结构，并将所述设备信息、所述操作名称、所述操作参数和所述操作对象添加到所述数据结构中，得到指定格式的操作原语；操作原语表用于记录设备信息、操作名称、操作对象和操作参数的数据结构。

所述发送模块403，还用于在利用所述目的地址将所述操作原语发送给第三区域的第三网管之后，为所述操作原语设置定时器；在定时器超时时，若未接收到针对所述操作原语的确认信息，则判断所述操作原语的发送次数是否达到阈值；如果否，则重新将所述操作原语发送给第三区域的第三网管；如果是，则生成针对所述操作原语的告警消息，并发送所述告警消息。

本申请实施例提供的第一网管，从硬件层面而言，硬件架构示意图具体可以参见图5所示。可以包括：机器可读存储介质和处理器，其中：

机器可读存储介质：存储指令代码。

处理器：与机器可读存储介质通信，读取和执行机器可读存储介质中存储的所述指令代码，实现本申请上述示例公开的设备管理操作。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

基于与上述方法同样的申请构思，本申请实施例中还提出一种设备管理装置，应用于第三区域的第三网管，如图6所示，为所述装置的结构图。

接收模块601，用于接收第一区域的第一网管发送的指定格式的操作原语；

获取模块602，用于从所述操作原语中解析出设备信息，若所述设备信息是第二网管的设备信息，则从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；

发送模块603，用于当所述数据类型为文件类型时，利用所述目的地址将所述操作原语发送给第二区域的第二网管，以使第二网管根据所述操作原语对网络设备进行管理；当所述数据类型为TCP类型时，从所述操作原语中解析出操作信息，并利用所述目的地址将携带所述操作信息的网管命令发送给第二区域的第二网管，以使第二网管根据所述网管命令对网络设备进行管理。

所述获取模块602，还用于当所述设备信息是所述第三网管的设备信息时，则从操作原语表中查询到数据结构，并根据所述数据结构对所述操作原语进行解析，得到所述操作原语中包括的操作名称、操作对象和操作参数；根据所述操作名称、所述操作对象和所述操作参数对网络设备进行管理；其中，所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。

所述发送模块603，具体用于在利用所述目的地址将所述操作原语发送给第二区域的第二网管时，若所述目的地址是传出目录，则将所述操作原语存储到所述传出目录，以使第三网管与所述第二网管之间的网络隔离设备从所述传出目录读取所述操作原语，并将所述操作原语存储到所述第二网管的接收目录。

所述发送模块603，还用于在利用所述目的地址将所述操作原语发送给第二区域的第二网管之后，在本地存储所述操作原语，并为所述操作原语设置定时器；在定时器超时时，若未接收到针对所述操作原语的确认信息，则判断所述操作原语的发送次数是否达到阈值；如果否，则重新将所述操作原语发送给第二区域的第二网管；如果是，则生成针对所述操作原语的告警消息，并向所述第一网管发送所述告警消息。

本申请实施例提供的第三网管，从硬件层面而言，硬件架构示意图具体可以参见图7所示。可以包括：机器可读存储介质和处理器，其中：

机器可读存储介质：存储指令代码。

处理器：与机器可读存储介质通信，读取和执行机器可读存储介质中存储的所述指令代码，实现本申请上述示例公开的设备管理操作。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

基于与上述方法同样的申请构思，本申请实施例还提出一种设备管理系统，包括第一区域的第一网管、第二区域的第二网管、第三区域的第三网管；其中：

所述第一网管，用于当接收到用于对第二区域的网络设备进行管理操作的命令时，从所述命令中解析出第二区域的第二网管的设备信息，并从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；若所述数据类型为文件类型，确定所述管理操作对应的操作信息，根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；利用所述目的地址将所述操作原语发送给第三区域的第三网管；

所述第三网管，用于在接收到操作原语后，从所述操作原语中解析出设备信息，若设备信息是第二网管的设备信息，则从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；若所述数据类型为文件类型，利用所述目的地址将所述操作原语发送给第二区域的第二网管；若所述数据类型为TCP类型，从所述操作原语中解析出操作信息，利用所述目的地址将携带所述操作信息的网管命令发送给第二区域的第二网管；

所述第二网管，用于根据操作原语或者网管命令对网络设备进行管理。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/ 或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (11)

1.一种设备管理方法，其特征在于，应用于第一区域的第一网管，包括：

当接收到用于对第二区域的网络设备进行管理操作的命令时，从所述命令中解析出第二区域的第二网管的设备信息，并从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；

若所述数据类型为文件类型，确定所述管理操作对应的操作信息，根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；

利用所述目的地址将所述操作原语发送给第三区域的第三网管，以使所述第三网管将操作原语发送给所述第二网管，或者，从所述操作原语中解析出所述操作信息，并将携带所述操作信息的网管命令发送给所述第二网管；使所述第二网管根据所述操作原语或者所述网管命令对网络设备进行管理；

其中，所述根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语，包括：

根据所述操作信息确定操作名称和操作参数，并获取操作对象；

从操作原语表中查询到数据结构，并将所述设备信息、所述操作名称、所述操作参数和所述操作对象添加到所述数据结构中，得到指定格式的操作原语；操作原语表用于记录设备信息、操作名称、操作对象和操作参数的数据结构。

2.根据权利要求1所述的方法，其特征在于，所述利用所述目的地址将所述操作原语发送给第三区域的第三网管之后，所述方法还包括：

为所述操作原语设置定时器；在定时器超时时，若未接收到针对所述操作原语的确认信息，则判断所述操作原语的发送次数是否达到阈值；

如果否，则重新将所述操作原语发送给第三区域的第三网管；

如果是，则生成针对所述操作原语的告警消息，并发送所述告警消息。

3.一种设备管理方法，其特征在于，应用于第三区域的第三网管，包括：

接收第一区域的第一网管发送的指定格式的操作原语；从所述操作原语中解析出设备信息，若设备信息是第二网管的设备信息，则从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；

若所述数据类型为文件类型，利用所述目的地址将所述操作原语发送给第二区域的第二网管，以使所述第二网管根据所述操作原语对网络设备进行管理；

若所述数据类型为TCP类型，从所述操作原语中解析出操作信息，并利用所述目的地址将携带所述操作信息的网管命令发送给第二区域的第二网管，以使所述第二网管根据所述网管命令对网络设备进行管理；

其中，所述从所述操作原语中解析出设备信息之后，所述方法还包括：

若所述设备信息是所述第三网管的设备信息，则从操作原语表中查询到数据结构，并根据所述数据结构对所述操作原语进行解析，得到所述操作原语中包括的操作名称、操作对象和操作参数；

根据所述操作名称、所述操作对象和所述操作参数对网络设备进行管理；

其中，操作原语表用于记录操作名称、操作对象和操作参数的数据结构。

4.根据权利要求3所述的方法，其特征在于，

利用所述目的地址将所述操作原语发送给第二区域的第二网管，包括：

若所述目的地址是传出目录，则将所述操作原语存储到所述传出目录，以使所述第三网管与所述第二网管之间的网络隔离设备从所述传出目录读取所述操作原语，并将所述操作原语存储到所述第二网管的接收目录。

5.根据权利要求3所述的方法，其特征在于，所述利用所述目的地址将所述操作原语发送给第二区域的第二网管之后，所述方法还包括：

在本地存储所述操作原语，并为所述操作原语设置定时器；

在定时器超时时，若未接收到针对所述操作原语的确认信息，则判断所述操作原语的发送次数是否达到阈值；

如果否，则重新将所述操作原语发送给第二区域的第二网管；如果是，则生成针对所述操作原语的告警消息，并向所述第一网管发送所述告警消息。

6.一种设备管理装置，其特征在于，应用于第一区域的第一网管，包括：

获取模块，用于当接收到用于对第二区域的网络设备进行管理操作的命令时，从所述命令中解析出第二区域的第二网管的设备信息，从配置文件中查询所述设备信息对应的数据传输方式，数据传输方式包括数据类型和目的地址；

确定模块，用于当所述数据类型为文件类型时，确定所述管理操作对应的操作信息，并根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；

发送模块，用于利用所述目的地址将所述操作原语发送给第三区域的第三网管，以使第三网管将操作原语发送给所述第二网管，或者，从所述操作原语中解析出所述操作信息，并将携带所述操作信息的网管命令发送给所述第二网管；使第二网管根据所述操作原语或者所述网管命令对网络设备进行管理；

其中，所述确定模块，具体用于在根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语的过程中，根据所述操作信息确定操作名称和操作参数，并获取操作对象；从操作原语表中查询到数据结构，并将所述设备信息、所述操作名称、所述操作参数和所述操作对象添加到所述数据结构中，得到指定格式的操作原语；操作原语表用于记录设备信息、操作名称、操作对象和操作参数的数据结构。

7.根据权利要求6所述的装置，其特征在于，

所述发送模块，还用于在利用所述目的地址将所述操作原语发送给第三区域的第三网管之后，为所述操作原语设置定时器；在定时器超时时，若未接收到针对所述操作原语的确认信息，则判断所述操作原语的发送次数是否达到阈值；如果否，则重新将所述操作原语发送给第三区域的第三网管；如果是，则生成针对所述操作原语的告警消息，并发送所述告警消息。

8.一种设备管理装置，其特征在于，应用于第三区域的第三网管，包括：

接收模块，用于接收第一区域的第一网管发送的指定格式的操作原语；

获取模块，用于从所述操作原语中解析出设备信息，若所述设备信息是第二网管的设备信息，则从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；

发送模块，用于当所述数据类型为文件类型时，利用所述目的地址将所述操作原语发送给第二区域的第二网管，以使第二网管根据所述操作原语对网络设备进行管理；当所述数据类型为TCP类型时，从所述操作原语中解析出操作信息，并利用所述目的地址将携带所述操作信息的网管命令发送给第二区域的第二网管，以使第二网管根据所述网管命令对网络设备进行管理；

其中，所述获取模块，还用于当所述设备信息是所述第三网管的设备信息时，则从操作原语表中查询到数据结构，并根据所述数据结构对所述操作原语进行解析，得到所述操作原语中包括的操作名称、操作对象和操作参数；根据所述操作名称、所述操作对象和所述操作参数对网络设备进行管理；其中，所述操作原语表用于记录操作名称、操作对象和操作参数的数据结构。

9.根据权利要求8所述的装置，其特征在于，所述发送模块，具体用于在利用所述目的地址将所述操作原语发送给第二区域的第二网管时，若所述目的地址是传出目录，则将所述操作原语存储到所述传出目录，以使所述第三网管与所述第二网管之间的网络隔离设备从所述传出目录读取所述操作原语，并将所述操作原语存储到所述第二网管的接收目录。

10.根据权利要求8所述的装置，其特征在于，所述发送模块，还用于在利用所述目的地址将所述操作原语发送给第二区域的第二网管之后，在本地存储所述操作原语，并为所述操作原语设置定时器；在定时器超时时，若未接收到针对所述操作原语的确认信息，则判断所述操作原语的发送次数是否达到阈值；如果否，则重新将所述操作原语发送给第二区域的第二网管；如果是，则生成针对所述操作原语的告警消息，并向所述第一网管发送所述告警消息。

11.一种设备管理系统，其特征在于，所述设备管理系统包括：第一区域的第一网管、第二区域的第二网管、第三区域的第三网管；其中：

所述第一网管，用于当接收到用于对第二区域的网络设备进行管理操作的命令时，从所述命令中解析出第二区域的第二网管的设备信息，并从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；若所述数据类型为文件类型，确定所述管理操作对应的操作信息，根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语；利用所述目的地址将所述操作原语发送给第三区域的第三网管；其中，根据所述操作信息和所述设备信息生成能够通过网络隔离设备的指定格式的操作原语，包括：根据所述操作信息确定操作名称和操作参数，并获取操作对象；从操作原语表中查询到数据结构，并将所述设备信息、所述操作名称、所述操作参数和所述操作对象添加到所述数据结构中，得到指定格式的操作原语；操作原语表用于记录设备信息、操作名称、操作对象和操作参数的数据结构；

所述第三网管，用于在接收到操作原语后，从所述操作原语中解析出设备信息，若设备信息是第二网管的设备信息，则从配置文件中查询所述设备信息对应的数据传输方式，所述数据传输方式包括数据类型和目的地址；若所述数据类型为文件类型，利用所述目的地址将所述操作原语发送给第二区域的第二网管；若所述数据类型为TCP类型，从所述操作原语中解析出操作信息，利用所述目的地址将携带所述操作信息的网管命令发送给第二区域的第二网管；

所述第二网管，用于根据操作原语或者网管命令对网络设备进行管理。

Images