CN111343033A - 一种面向多层差异的网络管理系统 - Google Patents

Abstract

本发明公开了一种面向多层差异的网络管理系统，包括：网络设备管理模块用于各个网络设备信息进行集中维护处理；并对接收到的操控指令进行处理后发送给当前网络对应的网络设备；设备配置管理模块，用于各个网络设备的配置方法和配置通道参数信息进行集中维护处理；网络状态监控模块，用于对当前网络性能、故障和安全状态进行监控；并对当前网络进行面向固件差异在线监控；并将监控到的异常事件发送给告警模块；告警模块，用于异常事件通知对应的网络安全管理员进行相关处理。本发明能够屏蔽底层设备的固件差异性，实现对不同网络设备的统一管理；能够屏蔽用户管理需求的差异性，实现对来源于不同管理客户端指令的统一处理。

Description

一种面向多层差异的网络管理系统

技术领域

本发明属于信息技术领域，具体涉及一种面向多层差异的网络管理系统。

背景技术

网络是现代社会的重要元素，已经成为大部分单位正常开展工作的基础条件之一。网络通讯、网上办公、文件共享等已经成为单位频繁使用的几种应用。大部分单位都组建了自己的内部网络，其中涉及到大量的交换机、路由器等组网设备。对这些设备进行科学管理是维护网络正常运行的基本条件。网络管理的目标即是通过构建合理的软硬件系统，实现网络的设备管理、性能管理、安全管理等内容。

随着网络技术的发展，网络复杂程度不断提高，网络中的硬件设备和基础支撑软件越来越多、功能也越来越丰富，硬件设备之间、基础软件之间的个性化差异越来越多，导致对它们的统一管理越来越困难，且每台设备可能由不同的厂商提供，从而形成大量不能互通的多个网络管理系统。这些系统之间难以实现信息共享，形成信息孤岛，并且各个系统都有独立的访问方式及用户名密码等，难以形成一个统一界面，给管理工作带来了较大的不便。

发明内容

本发明的目的在于提供一种面向多层差异的网络管理系统，该网络管理系统能够屏蔽底层设备的固件差异性，实现对不同网络设备的统一管理；并且能够屏蔽用户管理需求的差异性，实现对来源于不同管理客户端指令的统一处理。

为了达到上述目的，本发明采用如下技术方案实现：

一种面向多层差异的网络管理系统，所述网络管理系统包括网络设备管理模块、设备配置管理模块和网络状态监控模块；

所述网络设备管理模块用于对网络设备管理数据库中当前网络中各个网络设备信息进行集中维护处理；并对接收到的操控指令进行处理后发送给当前网络对应的网络设备；

所述设备配置管理模块，用于对网络设备管理数据库中当前网络中各个网络设备的配置方法和配置通道参数信息进行集中配置处理；

所述网络状态监控模块包括网络性能监控模块、网络故障监控模块、网络安全监控模块和告警模块；

所述网络性能监控模块，用于对当前网络进行性能监控；并将性能监控结果中的网络性能急速下降事件和网络性能难以满足需求事件发送给所述告警模块；

所述网络故障监控模块，用于通过SNMP TRAP机制对当前网络进行故障监控；并对当前网络进行面向固件差异在线监控；并将监控结果中关键网络设备故障事件发送给所述告警模块；

所述网络安全监控模块，用于对当前网络进行安全状态监控；并将安全状态监控结果中网络入侵事件和DDOS攻击事件发送给所述告警模块；

所述告警模块，用于采用电子邮件、短信息或微信将网络性能急速下降事件、网络性能难以满足需求事件、关键网络设备故障事件以及网络入侵事件和DDOS攻击事件通知对应的网络安全管理员进行相关处理。

进一步的，所述网络故障监控模块包括设置模块、第一判断模块、类型确定模块、第二判断模块、获取模块、第三判断模块和第四判断模块；

所述设置模块，用于设置状态刷新间隔时间、SNMP超时间隔时间和ICMP超时次数；

所述第一判断模块，用于判断当前时间和上次刷新的时间间隔是否大于状态刷新间隔时间，并在判断为是时，则从网络设备管理数据库中获取目标网络设备信息；

所述类型确定模块，用于根据目标网络设备信息，确定目标网络设备类型；所述目标网络设备类型包括SNMP设备、其他支持ICMP的设备以及网络基础软件；

所述第二判断模块，用于当目标网络设备类型为SNMP设备时，则计算上次收到目标网络设备的SNMP消息时间与当前时间的第一时间间隔；并判断第一时间间隔是否小于等于SNMP超时间隔时间，如是，则目标网络设备为在线状态；如否，则发送ICMP请求报文给所述目标网络设备；

所述获取模块，用于获取目标网络设备在规定时间内给予ICMP请求报文响应的第一ICMP超时次数；

所述第三判断模块，用于判断第一ICMP超时次数是否大于等于ICMP超时次数，如是，则目标网络设备离线，结束；如否，则目标网络设备在线，结束；

所述第四判断模块，用于当目标网络设备类型为基础软件时，则从网络设备管理数据库中取出目标网络设备对应的开放端口后扫描；并判断端口是否关闭，如是，则目标网络设备为离线状态，结束；如否，则目标网络设备为在线状态，结束。

进一步的，所述网络管理系统还包括可视化输出模块；

所述可视化输出模块，用于将网络性能急速下降事件、网络性能难以满足需求事件、关键网络设备故障事件以及网络入侵事件和DDOS攻击事件以图形化的形式显示。

进一步的，所述图形化包括网络拓扑结构图、网络设备安装位置图、网络性能分时图、网络设备告警示意图和网络安全态势图。

进一步的，所述网络管理系统还包括网络管理员分级模块；

所述网络管理员分级模块，用于对当前网络进行区域分级划分后分配给对应级别的网络管理员并存储网络管理员信息；

所述网络管理员信息包括管理员姓名、负责区域、联系方式、角色和权限。

进一步的，所述设备配置管理模块，还用于将网络设备信息、配置方法和配置通道参数信息以文件形式导出备份；并在需要恢复原来的网络设备信息、配置方法和配置通道参数信息时，将对应的文件重新进行加载。

进一步的，所述操控指令的格式包括指令头部、随机数、管理终端类型、管理员编号、管理员密码哈希值、操控代码、操控参数、HMAC校验值和指令尾部。

进一步的，所述网络设备管理模块包括校验模块、解密模块、检索模块、兼容性判定模块和操控数据报文产生模块；

所述校验模块，用于从所述操控指令中获取第一校验值；并采用HMAC方法，获取所述操控指令的第二校验值，并判断所述第二校验值和第一校验值是否相同，并在判断为是时，则从所述操控指令中获取随机数RAND并发送给所述解密模块；

所述解密模块，用于根据所述随机数RAND和AES方法，对所述操控指令进行解密，得到所述操控指令的明文信息并发送给所述检索模块；

所述检索模块，用于根据所述明文信息，对网络设备管理数据库进行目标网络设备检索；并判断是否检索到对应的目标网络设备，并在判断为是时，从所述明文信息和设备配置管理数据库中分别提取出所述网络设备的第一配置通道参数和第二配置通道参数后发送给所述兼容性判定模块；

所述兼容性判定模块，用于判断第一配置通道参数和第二配置通道参数是否兼容，并在判断为是时，则将所述明文信息中的第一配置通道参数、操控代码和操控参数发送给所述操控数据报文产生模块；

所述操控数据报文产生模块，用于根据第一配置通道参数、操控代码和操控参数，产生操控数据报文并发送给对应的网络设备。

进一步的，所述网络设备包括网络基础软件、支持SNMP设备和其它支持ICMP的硬件设备。

进一步的，所述网络设备信息包括网络设备名称、IP地址、类型、厂商、安装地理位置、负责人和设备描述信息；

所述配置方法包括SSH、TELNET、FTP、HTTPS和远程桌面；所述配置通道参数信息包括配置方法、用户名、密码、FTP配置目录和配置文件格式。

本发明的有益效果：

本发明通过网络状态监控模块，实现了对网络性能、网络故障和网络安全的全面监控，并通过网络故障监控模块，实现对当前网络的面向固件差异在线监控，以探测得出各个网络设备的在线状态信息，这样就无需关心网络设备具体属于硬件设备还是网络基础软件、是否支持SNMP的硬件设备（包括只支持SNMP的硬件设备以及既支持SNMP的硬件设备又支持ICMP的硬件设备）、是否其他支持ICMP的硬件设备（即只支持ICMP的硬件设备）等，从而屏蔽了底层设备的固件差异性，实现了对支持SNMP的硬件设备、支持ICMP的硬件设备、基础支撑软件等不同硬件和软件的统一管理；通过网络设备管理模块，实现了对不同类型、不同厂商的网络硬件设备和基础软件进行统一描述，解决了被管理对象存储时的差异性；并通过网络设备管理模块，实现对来源于不同管理端操控指令的统一处理，解决了用户网络管理需求的差异性；通过设备配置管理模块，满足了SSH、TELNET、FTP、HTTPS和远程桌面等多种配置方法的需求。

附图说明

图1为本发明的面向多层差异的网络管理系统结构示意图；

图2为本发明的面向多层差异的网络管理系统体系结构示意图；

图3为本发明的操控指令处理流程示意图；

图4为本发明的面向固件差异的设备在线检测方法流程图。

具体实施方式

以下结合附图对本发明的具体实施方式作出详细说明。

本实施例的原理：网络管理系统体系一般包括表现层、中间层和设备层，如图2所示。

其中，表现层主要提供本系统的对外管理接口，其主要的交互对象是网络管理员，其目的是解决用户层需求的差异性。网络管理员可以通过WEB页面的形式登录本管理系统，从而无需安装第三方软件，提高了管理工作的灵活性。为了满足特定场合下较高的实时性和较强的可交互性的需求，本系统还提供了CS客户端。管理员通过安装该客户端即可对网络进行管理。目前安卓等移动终端设备应用的较为普遍，因此系统还提供了安卓管理客户端。管理员通过该客户端，出差在外或在家即能够对单位网络进行管理，提高了管理工作的便利性。此外系统还提供了API接口，方便本系统与其他应用系统例如数字化园区等的对接，提高了系统的兼容性。

中间层主要为表现层的各个对外接口的具体实现提供支持，主要包括SNMP代理、MIB数据库、拓扑发现系统、异常检测系统、网络管理事件库等。SNMP代理接收网络管理员通过表现层各个接口发来的命令信息，并将其转发给特定的网络设备，实现设备配置及维护。同时SNMP代理还将网络设备通过SNMP的TRAP等接口主动发来的状态信息上报给网络管理员。MIB数据库以树状结构存储网络中被管理的各个设备信息，每个叶子节点对应一个被管理对象。MIB数据库中存储的管理对象的属性信息具体包括对象的名称、访问权限等。拓扑发现系统主要通过连通性检测、在线检测、端口检测等手段自动发现网络中的设备信息，并将其形成可视化的拓扑结构图。异常检测系统主要通过分析网络管理系统收集到的各个设备的状态信息以及网络流量等信息，智能判定网络中是否存在故障以及是否发生黑客攻击等异常事件。网络管理事件库用于存储各项重要的网络管理事件记录，例如路由器故障事件及发生时间、防火墙报警事件及发生时间、网络管理员更改网络配置事件及时间等。

设备层主要用于屏蔽被管理对象例如网络硬件设备和基础软件的差异性。它主要由被管理的各个网络设备组成，具体包括路由器、交换机、防火墙、入侵检测系统IDS等。除了这些传统的硬件设备，它还包括一些网络基础软件，例如数据库服务器、备份服务器等。这些软件是网络中各个应用系统和网络服务正常运行的基础。

基于上述原理，本实施例给出了一种面向多层差异的网络管理系统，参考图1，该网络管理系统包括网络设备管理模块、设备配置管理模块、网络状态监控模块、可视化输出模块和网络管理员分级模块。

本实施例的网络设备管理模块，用于对网络设备管理数据库中当前网络中各个网络设备信息进行集中维护处理；并对接收到的操控指令进行处理后发送给当前网络对应的网络设备。

本实施例中，网络设备包括网络基础软件、支持SNMP设备和其它支持ICMP的硬件设备。网络设备信息包括网络设备名称、IP地址、类型、厂商、安装地理位置、负责人和设备描述信息。

为来自不同管理端的操控指令建立一个统一描述，并通过其中的校验、加密等手段，避免了数据在传输过程中的错误和窃密等问题。本实施例中的操控指令的格式包括指令头部、随机数、管理终端类型、管理员编号、管理员密码哈希值、操控代码、操控参数、HMAC校验值和指令尾部，其中，指令头部为固定值FFEE，标识命令的开始；指令尾部为固定值AABB，用于标识命令的结束；随机数用于对指令进行加密，避免指令在传输过程中被窃听破解；加密的范围是从管理终端类型到操控参数，加密算法采用AES算法；管理终端类型字段用于表示该指令来自于WEB、客户端还是移动终端等；管理员编号及密码哈希值等两个字段用于表示管理员的身份信息，其中管理员密码哈希值=MD5（管理员密码）；操控代码表示管理员当前对设备进行的操作，例如开机、重启等；操控参数表示操控代码对应的参数信息，为可变长度字段；HMAC校验值的范围是从随机数到操控参数的数据内容，用于避免数据传输过程中出错以及被篡改。

本实施例以网络设备信息构建抽象设备模型，以实现各个网络设备的统一描述，并对网络设备信息进行登记、操控、更新和删除等集中维护处理。当网络中新增一个需要管理的网络设备，调用登记接口，将其注册到网络管理系统中；当网络设备安装位置和设备负责人等信息发生变更，调用设备更新接口对对应的信息进行更新；当网络设备到了使用报废年限或者由于其处理性能不能满足当前网络工作需求时，调用设备删除接口将其从管理系统中删除。

网络管理员可以随时通过WEB页面和CS客户端等多种方式，通过发送操控指令给网络设备管理模块，实现对对应的网络设备的运行控制，参考图3，具体过程包括：

（1）网络管理系统（以下简称系统）收到一条管理员通过某种管理端发来的操控指令。

（2）系统从该指令中提取出校验值HMAC1，并调用HMAC算法重新计算出HMAC2，判断HMAC1是否等于HMAC2。如果是，则进行下一步；否则提示HMAC错误并退出。

（3）系统从该指令中提取出随机数RAND、然后利用AES算法和RAND对指令进行解密，得到指令明文信息。

（4）系统从解密后的指令明文中提取出设备ID号，然后利用ID到网络设备管理数据库中进行设备检索。

（5）系统判断是否检索到该设备，如果没有，则提示设备不存在，并报错退出；否则进行下一步。

（6）系统从指令明文中提取出设备的配置通道参数等信息PARA1，然后依据设备ID从设备配置管理数据库中取出存储的配置通道参数等信息PARA2。

（7）系统判断PARA1是否与PARA2兼容。如果是，进行下一步；否则提示配置信息错误，并退出。

（8）系统判断当前设备是否在线。如果是，转下一步；否则提示设备不在线并退出。

（9）系统利用指令给出的配置通道和配置参数形成操控数据报文，并将其发送给被控设备。

（10）被控设备依据系统发来的操控数据报文进行动作，并将操控结果返回给系统。系统将该结果反馈给管理员。

基于上述对对应的网络设备的运行控制，本实施例的网络设备管理模块包括校验模块、解密模块、检索模块、兼容性判定模块和操控数据报文产生模块。

校验模块，用于从操控指令中获取第一校验值；并采用HMAC方法，获取所述操控指令的第二校验值，并判断所述第二校验值和第一校验值是否相同，并在判断为是时，则从所述操控指令中获取随机数RAND并发送给解密模块；

解密模块，用于根据所述随机数RAND和AES方法，对操控指令进行解密，得到操控指令的明文信息并发送给所述检索模块；

检索模块，用于根据所述明文信息，对网络设备管理数据库进行目标网络设备检索；并判断是否检索到对应的目标网络设备，并在判断为是时，从明文信息和设备配置管理数据库中分别提取出所述网络设备的第一配置通道参数和第二配置通道参数后发送给兼容性判定模块；

兼容性判定模块，用于判断第一配置通道参数和第二配置通道参数是否兼容，并在判断为是时，则将明文信息中的第一配置通道参数、操控代码和操控参数发送给操控数据报文产生模块；

操控数据报文产生模块，用于根据第一配置通道参数、操控代码和操控参数，产生操控数据报文并发送给对应的网络设备。

本实施例的设备配置管理模块，用于对网络设备管理数据库中当前网络中各个网络设备的配置方法和配置通道参数信息进行集中配置处理。

其中，配置方法包括SSH、TELNET、FTP、HTTPS和远程桌面；配置通道参数信息包括配置方法、用户名、密码、FTP配置目录和配置文件格式。

由于网络设备存在众多类型，每种网络设备都有不同的配置方法。有些设备可以远程通过SSH等方式进行登录配置，有些设备提供了TELNET、FTP、HTTPS、远程桌面等配置方法。因此，配置管理首先应该存储每个设备的配置方法。其次，还应该存储SSH用户名及密码、TELNET用户名及密码、FTP配置目录及文件格式等配置通道参数信息，为建立到设备的配置通道提供支撑。

有些设备的配置操作比较复杂，例如路由器中划分VLAN、防火墙的数据包出入规则等，而这些配置信息需要根据不同的网络应用场景进行适当的调整，重新进行配置是一项非常繁琐的任务，因此需提供配置备份和恢复功能。网络管理员可以通过导出功能将某个或多个网络设备的配置信息导出成文件。当需要恢复原来的配置信息时，只需要重新加载这些文件即可，极大地便利化了网络的配置工作。因此，本实施例的设备配置管理模块，还用于将网络设备信息、配置方法和配置通道参数信息以文件形式导出备份；并在需要恢复原来的网络设备信息、配置方法和配置通道参数信息时，将对应的文件重新进行加载。

本实施例的网络状态监控模块包括网络性能监控模块、网络故障监控模块、网络安全监控模块和告警模块。

本实施例的网络性能监控模块，用于对当前网络进行性能监控；并将性能监控结果中的网络性能急速下降事件和网络性能难以满足需求事件发送给所述告警模块。主要通过在网络关键位置部署一定的采集点，或者利用现有的交换机等设备，采集数据包的处理时延、重传次数、网络流量等关键性能指标，并利用这些指标判断当前网络的拥堵情况及是否能够满足应用需求，从而为网络管理员进一步优化网络提供参考。网络性能监控模块发现网络性能急速下降和网络性能难以满足需求等性能事件后，及时将这些事件发送给告警模块进行处理。

本实施例的网络故障监控模块，用于通过SNMP TRAP机制对当前网络进行故障监控；并对当前网络进行面向固件差异在线监控；并将监控结果中关键网络设备故障事件发送给所述告警模块。主要通过接收设备的SNMP TRAP消息来得到设备的故障类型及错误编码。利用TRAP机制可以避免轮询机制所带来的管理系统负担过重、发现故障不及时等问题。也可以利用定时的发送ICMP包等机制判断目标设备是否在线，从而避免设备因为突然掉电或彻底瘫痪而不能及时发送TRAP消息的问题。网络故障监控模块发现关键网络设备故障等事件后，及时将这些事件发送给告警模块进行处理。

由于系统管理的网络设备类型众多，并且其中既存在硬件，也存在软件，本实施例中对当前网络进行面向固件差异在线监控的具体实现过程如图4所示，包括：

（1）设置状态刷新间隔时间T1、SNMP超时间隔时间T2和ICMP超时次数N1；

（2）系统判断当前时间与上次刷新时间的时间间隔是否超过T1，如是，则进入步骤（3）；否则，退出；

（3）从网络设备管理数据库中取出一个网络设备；

（4）判断该网络设备类型是否是SNMP设备，如是，则进入步骤（5）；否则，转（6）；

（5）判断上次收到该设备的SNMP消息时间与当前时间的间隔是否超过T2，如果否，认为该网络设备在线；如果是，则进入步骤（7）；

（6）判断该设备类型是否是其它支持ICMP的硬件设备，如果是，则进入步骤（7）；如果否，则进入步骤（9）；

（7）系统向该设备发送ICMP请求报文，判断该设备是否在规定时间内给予响应。如果是，则进入步骤（8）；如果否，则将该设备的ICMP超时次数加一，并再次重复向其发送ICMP请求报文，直到达到ICMP超时次数N1。

（8）系统判断该设备的ICMP超时次数是否≧N1。如果是，则认为设备离线；否则认为设备在线，结束；

（9）判断该设备类型是否是基础软件，如果是，则进入步骤（10）；否则报错，提示用户设备类型未指定；

（10）系统从网络设备管理数据库中取出该设备对应的开放端口，对其进行端口开放扫描；并根据端口扫描结果判断设备端口是否关闭，如果是，则判断设备离线，否则判断设备在线。

采用上述在线监控，可以探测出当前网络中各个网络设备的在线状态信息，而无需关心其具体属于硬件设备还是基础软件、是否支持SNMP、是否支持ICMP等，屏蔽了底层设备的固件差异性，且设备的其它状态信息可以参照该算法流程进行获取。

基于上述在线监控过程，本实施例的网络故障监控模块包括设置模块、第一判断模块、类型确定模块、第二判断模块、获取模块、第三判断模块和第四判断模块；

所述设置模块，用于设置状态刷新间隔时间、SNMP超时间隔时间和ICMP超时次数；

所述第一判断模块，用于判断当前时间和上次刷新的时间间隔是否大于状态刷新间隔时间，并在判断为是时，则从网络设备管理数据库中获取目标网络设备信息；

所述类型确定模块，用于根据目标网络设备信息，确定目标网络设备类型；所述目标网络设备类型包括SNMP设备、其他支持ICMP的设备以及网络基础软件；

所述第二判断模块，用于当目标网络设备类型为SNMP设备时，则计算上次收到目标网络设备的SNMP消息时间与当前时间的第一时间间隔；并判断第一时间间隔是否小于等于SNMP超时间隔时间，如是，则目标网络设备为在线状态；如否，则发送ICMP请求报文给所述目标网络设备；

所述获取模块，用于获取目标网络设备在规定时间内给予ICMP请求报文响应的第一ICMP超时次数；

所述第三判断模块，用于判断第一ICMP超时次数是否大于等于ICMP超时次数，如是，则目标网络设备离线，结束；如否，则目标网络设备在线，结束；

所述第四判断模块，用于当目标网络设备类型为基础软件时，则从网络设备管理数据库中取出目标网络设备对应的开放端口后扫描；并判断端口是否关闭，如是，则目标网络设备为离线状态，结束；如否，则目标网络设备为在线状态，结束。

本实施例的网络安全监控模块，用于对当前网络进行安全状态监控；并将安全状态监控结果中网络入侵事件和DDOS攻击事件发送给告警模块。网络安全监控主要通过接收防火墙、入侵检测系统等网络设备的告警事件对当前网络的安全状态进行监控。同时根据系统的配置情况以及安全防护等级，采取自动切断非法连接、封锁特定IP地址、异常流量清洗等防护手段或给出安全建议。每一条安全事件都具有事件类别、重要程度等关键属性，并及时存入到安全事件数据库中，便于网络管理员后续进行分析研究，同时网络安全监控模块发现这些安全事件后，会及时将它们发送给异常事件告警模块进行处理。

本实施例的告警模块，用于采用电子邮件、短信息或微信将网络性能急速下降事件、网络性能难以满足需求事件、关键网络设备故障事件以及网络入侵事件和DDOS攻击事件通知对应的网络安全管理员进行相关处理。

本实施例的网络管理系统还包括可视化输出模块。其中，可视化输出模块，用于将网络性能急速下降事件、网络性能难以满足需求事件、关键网络设备故障事件以及网络入侵事件和DDOS攻击事件以图形化的形式显示。图形化包括网络拓扑结构图、网络设备安装位置图、网络性能分时图、网络设备告警示意图和网络安全态势图，便于网络管理员以及普通用户掌握当前网络状态。

本实施例的网络管理系统还包括网络管理员分级模块。其中，网络管理员分级模块，用于对当前网络进行区域分级划分后分配给对应级别的网络管理员并存储网络管理员信息。网络管理员信息包括管理员姓名、负责区域、联系方式、角色和权限。为了满足在网络规模较大情况下的管理需求，需要将网络划分为多个区域，每个区域配备不同的管理员。网络管理员信息维护主要登记管理员姓名、联系方式、对应的角色等信息。用户角色管理主要配置系统中的管理角色信息。每个不同的角色拥有不同的权限，每个管理员属于某一个特定的角色。角色权限管理主要用于配置角色对应的操作权限以及可以管理的网络设备范围。

本实施例通过网络状态监控模块，实现了对网络性能、网络故障和网络安全的全面监控，并通过网络故障监控模块，实现对当前网络的面向固件差异在线监控，以探测得出各个网络设备的在线状态信息，这样就无需关心网络设备具体属于硬件设备还是网络基础软件、是否支持SNMP的硬件设备（包括只支持SNMP的硬件设备以及既支持SNMP的硬件设备又支持ICMP的硬件设备）、是否其他支持ICMP的硬件设备（即只支持ICMP的硬件设备）等，从而屏蔽了底层设备的固件差异性，实现了对支持SNMP的硬件设备、支持ICMP的硬件设备、基础支撑软件等不同硬件和软件的统一管理；通过网络设备管理模块，实现了对不同类型、不同厂商的网络硬件设备和基础软件进行统一描述，解决了被管理对象存储时的差异性；并通过网络设备管理模块，实现对来源于不同管理端操控指令的统一处理，解决了用户网络管理需求的差异性；通过设备配置管理模块，满足了SSH、TELNET、FTP、HTTPS和远程桌面等多种配置方法的需求。

以上实施方式仅用以说明本发明实施例的技术方案而非限制，尽管参照以上较佳实施方式对本发明实施例进行了详细说明，本领域的普通技术人员应当理解，可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。

Claims (10)

1.一种面向多层差异的网络管理系统，其特征在于，所述网络管理系统包括网络设备管理模块、设备配置管理模块和网络状态监控模块；

所述网络设备管理模块用于对网络设备管理数据库中当前网络中各个网络设备信息进行集中维护处理；并对接收到的操控指令进行处理后发送给当前网络对应的网络设备；

所述设备配置管理模块，用于对网络设备管理数据库中当前网络中各个网络设备的配置方法和配置通道参数信息进行集中配置处理；

所述网络状态监控模块包括网络性能监控模块、网络故障监控模块、网络安全监控模块和告警模块；

所述网络性能监控模块，用于对当前网络进行性能监控；并将性能监控结果中的网络性能急速下降事件和网络性能难以满足需求事件发送给所述告警模块；

所述网络故障监控模块，用于通过SNMP TRAP机制对当前网络进行故障监控；并对当前网络进行面向固件差异在线监控；并将监控结果中关键网络设备故障事件发送给所述告警模块；

所述网络安全监控模块，用于对当前网络进行安全状态监控；并将安全状态监控结果中网络入侵事件和DDOS攻击事件发送给所述告警模块；

所述告警模块，用于采用电子邮件、短信息或微信将网络性能急速下降事件、网络性能难以满足需求事件、关键网络设备故障事件以及网络入侵事件和DDOS攻击事件通知对应的网络安全管理员进行相关处理。

2.根据权利要求1所述的网络管理系统，其特征在于，所述网络故障监控模块包括设置模块、第一判断模块、类型确定模块、第二判断模块、获取模块、第三判断模块和第四判断模块；

所述设置模块，用于设置状态刷新间隔时间、SNMP超时间隔时间和ICMP超时次数；

所述第一判断模块，用于判断当前时间和上次刷新的时间间隔是否大于状态刷新间隔时间，并在判断为是时，则从网络设备管理数据库中获取目标网络设备信息；

所述类型确定模块，用于根据目标网络设备信息，确定目标网络设备类型；所述目标网络设备类型包括SNMP设备、其他支持ICMP的设备以及网络基础软件；

所述第二判断模块，用于当目标网络设备类型为SNMP设备时，则计算上次收到目标网络设备的SNMP消息时间与当前时间的第一时间间隔；并判断第一时间间隔是否小于等于SNMP超时间隔时间，如是，则目标网络设备为在线状态；如否，则发送ICMP请求报文给所述目标网络设备；

所述获取模块，用于获取目标网络设备在规定时间内给予ICMP请求报文响应的第一ICMP超时次数；

所述第三判断模块，用于判断第一ICMP超时次数是否大于等于ICMP超时次数，如是，则目标网络设备离线，结束；如否，则目标网络设备在线，结束；

所述第四判断模块，用于当目标网络设备类型为基础软件时，则从网络设备管理数据库中取出目标网络设备对应的开放端口后扫描；并判断端口是否关闭，如是，则目标网络设备为离线状态，结束；如否，则目标网络设备为在线状态，结束。

3.根据权利要求1所述的网络管理系统，其特征在于，所述网络管理系统还包括可视化输出模块；

所述可视化输出模块，用于将网络性能急速下降事件、网络性能难以满足需求事件、关键网络设备故障事件以及网络入侵事件和DDOS攻击事件以图形化的形式显示。

4.根据权利要求3所述的网络管理系统，其特征在于，所述图形化包括网络拓扑结构图、网络设备安装位置图、网络性能分时图、网络设备告警示意图和网络安全态势图。

5.根据权利要求1~4中任意一项所述的网络管理系统，其特征在于，所述网络管理系统还包括网络管理员分级模块；

所述网络管理员分级模块，用于对当前网络进行区域分级划分后分配给对应级别的网络管理员并存储网络管理员信息；

所述网络管理员信息包括管理员姓名、负责区域、联系方式、角色和权限。

6.根据权利要求1~4中任意一项所述的网络管理系统，其特征在于，所述设备配置管理模块，还用于将网络设备信息、配置方法和配置通道参数信息以文件形式导出备份；并在需要恢复原来的网络设备信息、配置方法和配置通道参数信息时，将对应的文件重新进行加载。

7.根据权利要求1~4中任意一项所述的网络管理系统，其特征在于，所述操控指令的格式包括指令头部、随机数、管理终端类型、管理员编号、管理员密码哈希值、操控代码、操控参数、HMAC校验值和指令尾部。

8.根据权利要求7所述的网络管理系统，其特征在于，所述网络设备管理模块包括校验模块、解密模块、检索模块、兼容性判定模块和操控数据报文产生模块；

所述校验模块，用于从所述操控指令中获取第一校验值；并采用HMAC方法，获取所述操控指令的第二校验值，并判断所述第二校验值和第一校验值是否相同，并在判断为是时，则从所述操控指令中获取随机数RAND并发送给所述解密模块；

所述解密模块，用于根据所述随机数RAND和AES方法，对所述操控指令进行解密，得到所述操控指令的明文信息并发送给所述检索模块；

所述检索模块，用于根据所述明文信息，对网络设备管理数据库进行目标网络设备检索；并判断是否检索到对应的目标网络设备，并在判断为是时，从所述明文信息和设备配置管理数据库中分别提取出所述网络设备的第一配置通道参数和第二配置通道参数后发送给所述兼容性判定模块；

所述兼容性判定模块，用于判断第一配置通道参数和第二配置通道参数是否兼容，并在判断为是时，则将所述明文信息中的第一配置通道参数、操控代码和操控参数发送给所述操控数据报文产生模块；

所述操控数据报文产生模块，用于根据第一配置通道参数、操控代码和操控参数，产生操控数据报文并发送给对应的网络设备。

9.根据权利要求1~4中任意一项所述的网络管理系统，其特征在于，所述网络设备包括网络基础软件、支持SNMP设备和其它支持ICMP的硬件设备。

10.根据权利要求1~4中任意一项所述的网络管理系统，其特征在于，所述网络设备信息包括网络设备名称、IP地址、类型、厂商、安装地理位置、负责人和设备描述信息；

所述配置方法包括SSH、TELNET、FTP、HTTPS和远程桌面；所述配置通道参数信息包括配置方法、用户名、密码、FTP配置目录和配置文件格式。

Images