WO2021103986A1

WO2021103986A1 - 一种网络设备管理方法、装置、网络管理设备及介质

Info

Publication number: WO2021103986A1
Application number: PCT/CN2020/127222
Authority: WO
Inventors: 杨艳
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-11-29
Filing date: 2020-11-06
Publication date: 2021-06-03
Also published as: EP4064745A1; EP4064745A4; CN112887968B; CN112887968A

Abstract

一种网络设备管理方法、装置、网络管理设备及介质。该方法接收网络设备的上线认证请求并对所述网络设备进行认证(S110)；在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址，所述预配置信息包括环回接口地址池以及第一地址分配规则(S120)；以及通过所述环回接口地址管理所述网络设备(S130)。

Description

一种网络设备管理方法、装置、网络管理设备及介质

相关申请的交叉引用

本申请基于申请号为201911198866.7、申请日为2019年11月29日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本公开涉及无线通信网络，特别是涉及一种网络设备管理方法、装置、网络管理设备及介质。

背景技术

在大规模网络业务部署场景中，各种各样的网络设备分布在不同区域，分布密集且数量庞大。网络管理设备可以对各种网络设备进行管理，对管理效率的要求很高。例如，服务器和各网络设备之间通过报文携带自定义的属性获取物理接口地址或者中转网关接口地址等，使用获取到的接口地址可以建立服务器与各网络设备的连接，服务器通过这些接口地址管理网络设备。如果自定义的属性或中转网关等发生变动，管理网络设备的接口地址也会发生变化，不利于服务器对网络设备的统一管理，管理效率和稳定性较差。

发明内容

本公开提供一种网络设备管理方法、装置、网络管理设备及介质，通过固定的接口地址管理网络设备，提高管理效率和管理的稳定性。

本公开实施例提供一种网络设备管理方法，包括：接收网络设备的上线认证请求并对所述网络设备进行认证；在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址，所述预配置信息包括环回接口地址池以及第一地址分配规则；以及，通过所述环回接口地址管理所述网络设备。

本公开实施例还提供了一种网络设备管理装置，包括：认证模块，设置为接收网络设备的上线认证请求并对所述网络设备进行认证；接口创建模块，设置为在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址，所述预配置信息包括环回接口地址池以及第一地址分配规则；以及管理模块，设置为通过所述环回接口地址管理所述网络设备。

本公开实施例还提供了一种网络管理设备，包括：一个或多个控制器；以及存储装置，用于存储一个或多个程序；其中，当所述一个或多个程序被所述一个或多个控制器执行，使得所述一个或多个控制器实现上述的网络设备管理方法。

本公开实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该程序被控制器执行时实现上述的网络设备管理方法。

附图说明

此处所说明的附图用来提供对本公开的进一步理解，构成本公开的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：

图1为一实施例提供的一种网络设备管理方法的流程图；

图2为另一实施例提供的一种网络设备管理方法的流程图；

图3为一实施例提供的建立对网络设备的管理链接的示意图；

图4为一实施例提供的一种网络设备管理装置的结构示意图；以及

图5为一实施例提供的一种网络管理设备的硬件结构示意图。

具体实施方式

下面结合附图和实施例对本公开进行说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本公开，而非对本公开的限定。需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互任意组合。另外还需要说明的是，为了便于描述，附图中仅示出了与本公开相关的部分而非全部结构。

在本公开实施例提供一种网络设备管理方法，通过固定的接口地址管理网络设备，提高管理效率和管理的稳定性。

图1为一实施例提供的一种网络设备管理方法的流程图。该方法可应用于网络管理设备。如图1所示，本实施例提供的方法包括步骤110-130。

在步骤110中，接收网络设备的上线认证请求并对所述网络设备进行认证。

在步骤120中，在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址，所述预配置信息包括环回接口地址池以及第一地址分配规则。

在步骤130中，通过所述环回接口地址管理所述网络设备。

本实施例中，网络设备指可连接到网络管理设备的物理实体，例如路由器、交换机、网桥、计算机等，网络设备与网络管理设备之间可以通过有线连接，也可以无线连接。网络管理设备作为管理中心，可以对网络中的各网络设备进行管理、维护和监控，在网络设备出现故障时及时报告和处理，从而协调网络的高效运行。

本实施例中，网络管理设备在接收到网络设备的上线认证请求后，对网络设备进行认证，如果认证通过，则建立网络配置协议(The Network Configuration Protocol，NETCONF)链接，根据预配置信息创建网络设备的环回(LOOPBACK)接口并分配环回接口地址，该环回接口地址即作为对所述网络设备进行管理的固定接口地址。预配置信息中包括环回接口地址池以及第一地址分配规则，网络管理设备依据第一地址分配规则从环回接口地址池中分配一个给通过认证的网络管理设备，其中，第一地址分配规则可以为依据动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)向网络设备分配环回接口地址；还可以在网络设备首次上线认证通过后为其分配一个环回接口地址、之后再次上线即可固定使用相同的地址；也可以根据网络设备的设备标识、设备序列号等分配特定的环回接口地址。在环回接口地址分配结束后，网络管理设备即可将该网络设备创建为其管理范围内的网元，并返回该网元的状态为正常(该网络设备的状态为在线)、管理地址为所分配的环回接口地址，在此基础上，网络管理设备即可通过固定的环回接口地址管理该网络设备。

在一实施例中，预配置信息还包括安全管理通道接口地址池以及第二地址分配规则；在分配环回接口地址之后，还包括：根据预配置信息分别创建网络设备和对应的网关网元的安全管理通道并分配安全管理通道接口地址。通过环回接口地址管理网络设备，包括：通过安全管理通道和环回接口地址管理网络设备。

本实施例中，预配置信息还包括安全管理通道接口地址池以及第二地址分配规则。在与网络设备建立NETCONF链接后，除了分配环回接口地址，网络管理设备还会根据预配置信息判断该网络设备是否需要通过安全管理通道进行管理(安全管理通道是否使能)，如果是，则创建网络设备和对应的网关网元的安全管理通道，并根据第二地址分配规则分配安全管理通道接口地址，在此基础上，网络管理设备可以通过经由网关网元至网络设备的安全管理通道管理网络设备。其中，网关网元是指与网络管理设备直接相连的网元，在网络管理设备与其它网元(建立链接的各种网络设备)通信的过程中起到转发作用，可以将网络管理设备与其它网元的网络地址分割开，两端互不影响，从而提高管理的安全性。第二地址分配规则可以是根据网络设备的设备标识、设备序列号等，结合具体的应用场景，在网络设备和网关网元之间创建不同类型的安全管理通道并分配接口地址。如果网络设备不需要安全管理通道，则网络管理设备直接通过建立NETCONF链接时下发的地址管理网络设备即可。

在一实施例中，网络管理设备判断网络设备的安全管理通道是否使能，如果是，则通过建立的NETCONF链接下发互联网安全协议(Internet Protocol Security，IPSEC)安全加密隧道配置，从而创建安全管理通道。该过程具体包括：网络管理设备创建环回接口并分配环回接口地址后，分别在网络设备和对应的网关网元之间创建IPSEC安全加密隧道，并分配隧道接口地址，其中，对于网络设备，IPSEC安全加密隧道的配置模式为静态，即，IPSEC安全加密隧道的本端为广域网(Wide Area Network，WAN)接口名称，对端为网关网元对应的WAN接口地址，且在预配置信息(网络设备业务配置信息表)中配置了网络地址转换(Network Address Translation，NAT)的情况下，对端为NAT所配置的转换后的地址；对于网关网元，IPSEC安全加密隧道配置模式为动态，即，IPSEC安全加密隧道的本端为WAN接口地址，对端不配置。网络设备和网关网元的IPSEC安全加密隧道接口地址，可以从预配置信息中的安全管理通道地址池中分配，例如在安全管理通道地址池中取30位掩码2个地址下发。

在一实施例中，还包括：向网络设备下发第一静态路由，第一静态路由的目的地址为WAN端口地址，下一跳为网关网元的安全管理通道接口地址；向网关网元下发第二静态路由，第二静态路由的目的地址为网络设备的环回接口地址，下一跳为网络设备的安全管理通道接口地址。

本实施例中，在建立NETCONF链接后，网络管理设备下发网络设备到网络管理设备的静态路由，其中目的地址为控制器管理地址，下一跳为网关网元上IPSEC安全加密隧道接口地址；网络管理设备还下发网关设备到网络设备的静态路由，其中，目的地址为网络设备的环回接口地址，下一跳为网络设备上IPSEC安全加密隧道的接口地址。

在一实施例中，预配置信息还包括：WAN端口地址信息、网络设备标识信息表和网络设备业务配置信息表；其中，WAN端口地址信息包括：WAN端口地址池以及第三地址分配规则；网络设备标识信息表包括：网络设备对应的设备序列号和设备类型；网络设备业务配置信息表包括：网络设备对应的设备序列号、WAN端口地址、通信方式、上线认证地址和端口、认证密钥、网络配置使能状态和安全管理通道使能状态。

本实施例中，网络管理设备对各类地址信息进行预配置，例如：

配置环回接口地址池，用于为网络设备分配环回接口地址，并配置第一地址分配规则(例如配置使用网络设备的LOOPBACK21接口地址作为固定的管理地址或根据实际使用情况设置任意的LOOPBACK接口地址为管理地址等)；

配置WAN端口地址池(也可为设备上线地址池)，用于为请求上线的网络设备分配WAN端口地址，并配置对应的第三地址分配规则；

配置安全管理通道接口地址池，用于在为网络设备与网关设备创建安全管理通道的过程中分配安全管理通道接口地址，可以配置第二地址分配规则。

网络管理设备在预配置过程中还导入开局网络设备标识信息表。开局网络设备标识信息表中可以包括网络设备的厂商、设备序列号、设备类型、备注字段等，开局网络设备标识信息表以配置文件的形式导入到网络管理设备中，网络管理设备将导入的数据写入数据库。其中，设备序列号是网络设备的唯一标识，不同网络设备的设备序列号不同，在设备出厂时已设置好。网络设备可以为高端路由器，也可以为客户前置设备(Customer Premise Equipment，CPE)等无线设备，具有唯一标识的网络设备都可以通过本实施例的方法进行管理。

在导入开局网络设备标识信息表的过程中，网络管理设备根据设备类型和/或厂商进行判断，只有符合预设的设备类型和/或厂商的信息才能导入成功，即，网络管理设备只能对符合预设的设备类型和/或厂商的网络设备进行管理。

网络管理设备在预配置过程中还导入网络设备业务配置信息表。网络设备业务配置信息表包括预先规划的网络设备上线需要的业务配置信息，例如网络设备的设备序列号、WAN端口(网络设备上行连接网络的接口)地址、通信方式(邮箱配置、电话等)、上线认证(CALL HOME)地址和端口、认证密钥、网络配置(NETCONF)使能状态和安全管理通道使能状态。其中，WAN端口地址从地址信息中的WAN端口地址池中分配，分配规则可以为DHCP静态也可以为动态分配；认证密钥用于验证网络设备发起上线请求时的安全，在网络设备的用户接收到邮件或者短信、通过点击邮件或短信中给定的统一资源定位符(Uniform Resource Locator，URL)链接，会接收到输入密码的提示信息，该密码即为认证密钥，认证密钥预先发送至用户，是网络设备进行上线配置的必要验证手段。认证密钥可以通过邮件或者短信等方式、或随网络设备一起预先下发给网络设备的用户；CALL HOME地址是网络管理设备(控制器)的地址，CALL HOME端口是网络设备与网络管理设备创建传输控制协议(Transmission Control Protocol，TCP)连接时使用的端口。

网路设备业务配置信息表以配置文件的形式导入到网络管理设备中，网络管理设备将导入的数据写入数据库。在导入网路设备业务配置信息表的过程中，网络管理设备判断其中的设备序列号是否与导入的开局网络设备标识信息表中的设备序列号一致，在一致的情况下，网络设备业务配置信息表导入成功。

在一实施例中，在接收网络设备的上线认证请求之前，还包括：根据通信方式向所述网络设备下发URL，所述URL经过认证密钥加密；其中，URL链接中携带上线配置信息，上线配置信息包括WAN端口地址、CALL HOME地址和端口、网络配置使能状态；在安全管理通道使能状态为开启的情况下，所述上线配置信息还包括对应的网关网元的安全管理通道接口地址。

本实施例中，网络管理设备通过邮件或者短信下发上线配置信息到网络设备。上线配置信息包含在经过认证密钥加密的URL中。网络设备的用户点击邮件或者短信中的链接并输入认证密钥即可获取上线配置信息。上线配置信息包括上线认证所必需的配置信息，例如WAN端口地址(掩码和网关地址)、CALL HOME地址和端口、网络配置使能状态。例如，用户点击邮件或者短信中的URL链接后，打开网络设备的WEB管理界面，可以根据界面上的提示信息输入预先收到的认证秘钥，界面解密出待下发的配置，根据配置将指定WAN端口连上网络，点击下发配置，上线配置信息即可成功下发到网络设备。

在一实施例中，所述上线认证请求由所述网络设备以传输控制协议TCP会话的形式通过CALL HOME端口发送至所述CALL HOME地址；所述上线认证请求中携带所述网络设备的设备序列号和传输层安全协议(transport layer security，TLS)证书。

本实施例中，网络设备接收到URL、开启NETCONF使能后，可以通过WAN端口向网络管理设备发起上线认证，目的地址是上线配置信息中的CALL HOME地址。首先，网络设备携带设备序列号以传输控制协议TCP会话的形式发送上线认证请求(TCP请求)；网络管理设备收到上线认证请求后，判断该设备序列号是否属于预配置信息中的设备序列号，如果是，则发送到网络设备的TLS会话请求；如果否，则TCP会话中止。

在一实施例中，对所述网络设备进行认证，包括：若网络设备的设备序列号属于预配置信息中的设备序列号，则验证网络设备的TLS证书，并在TLS证书验证通过的情况下启动网络配置协议，认证通过；若网络设备的设备序列号不属于预配置信息中的设备序列号，则终止TCP会话，认证失败。

本实施例中，网络设备发送携带TLS证书的TCP请求到网络管理设备，网络管理设备验证网络设备提供的TLS证书，该验证可以通过证书路径完成，或者通过将TLS证书(或者主机密钥)与先前信任的或固定值进行比较来完成。如果TLS证书是可信任的有效证书，则TLS连接建立，意味着网络管理设备与网路设备之间启动NETCONF协议成功，即，NETCONF建链成功。NETCONF建链成功后，网络管理设备分配环回接口地址作为固定的管理地址，并根据预配置信息可进一步判断是否需要通过安全通道管理，如果是，通过NETCONF链接下发IPSEC安全加密通道配置。例如，网络管理设备使用LOOPBACK21地址作为固定的管理地址创建网络设备的网元，并且可以通过该管理地址和IPSEC安全隧道管理网络设备。网络管理设备返回网络设备建链状态为在线。

图2为另一实施例提供的一种网络设备管理方法的流程图，如图2所示：

在步骤210中，根据预配置信息中的通信方式向所述网络设备下发统一资源定位符，所述统一资源定位符经过认证密钥加密。

在步骤220中，接收网络设备的上线认证请求，所述上线认证请求中携带所述网络设备的设备序列号和TLS证书。

在步骤230中，所述网络设备的设备序列号是否属于预配置信息中的设备序列号？若是，则执行步骤240；若否，则认证失败。

在一实施例中，在认证失败的情况下返回执行步骤220，重新接收上线认证请求。

在步骤240中，验证所述网络设备的传输层安全协议TLS证书。

在步骤250中，在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址。

在步骤260中，根据所述预配置信息分别创建所述网络设备和对应的网关网元的安全管理通道并分配安全管理通道接口地址。

在步骤270中，向所述网络设备下发第一静态路由，所述第一静态路由的目的地址为WAN端口地址，下一跳为所述网关网元的安全管理通道接口地址。

在步骤280中，向所述网关网元下发第二静态路由，所述第二静态路由的目的地址为所述网络设备的环回接口地址，下一跳为所述网络设备的安全管理通道接口地址。

在步骤290中，通过所述安全管理通道和所述环回接口地址管理所述网络设备。

图3为一实施例提供的建立对网络设备的管理链接的示意图。本实施例中，控制器配置管理模块和控制器业务处理模块属于网络管理设备中的管理单元，控制器配置管理模块用于预配置、下发上线配置信息以及更新网络设备的在线状态，控制器业务处理模块用于处理网络设备和网关网元的接口创建、通道创建、配置路由等业务。如图3所示，对网络设备的管理链接的建立过程具体如下：

1.控制器配置管理模块导入开局设备标识信息表；

2.控制器配置管理模块导入网络设备业务配置信息表；

3.控制器业务处理模块向网络设备下发URL，URL中携带上线配置信息；

4.网络设备向控制器业务处理模块发起CALL HOME请求；

5.控制器业务处理模块对CALL HOME请求进行认证(以认证通过为例)；

6.控制器业务处理模块创建环回接口并分配环回接口地址；

7.控制器业务处理模块创建网络设备的安全管理通道并分配安全管理通道接口地址；

8.控制器业务处理模块创建对应的网关网元的安全管理通道并分配安全管理通道接口地址；

9.控制器业务处理模块配置网络设备到服务器的静态路由；

10.控制器业务处理模块配置网关网元到网络设备的静态路由；

11.控制器业务处理模块创建网络设备的网元，建链成功。

12.控制器业务处理模块向控制器配置管理模块返回建链成功，网络设备为在线状态。

本实施例的网络设备管理方法，通过固定的环回接口地址管理网络设备，提高管理的稳定性；并且可以通过安全管理通道管理网络设备，提高管理的安全性；此外，通过下发上线配置信息、验证设备序列号和TLS证书、下发静态路由等，建立了网络管理设备、网络设备及对应的网关网元之间的链路，从而建立完善的管理机制，全面地管理网络设备。

本公开实施例还提供一种网络设备管理装置。图4为一实施例提供的网络设备管理装置的结构示意图。如图4所示，所述网络设备管理装置包括：认证模块410、接口创建模块420和管理模块430。

认证模块410，设置为接收网络设备的上线认证请求并对所述网络设备进行认证；

接口创建模块420，设置为在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址，所述预配置信息包括环回接口地址池以及第一地址分配规则；

管理模块430，设置为通过所述环回接口地址管理所述网络设备。

本实施例的网络设备管理装置，通过固定的接口地址管理网络设备，提高管理效率和管理的稳定性。

在一实施例中，所述预配置信息还包括安全管理通道接口地址池以及第二地址分配规则；

在分配环回接口地址之后，还包括：

通道创建模块，设置为根据所述预配置信息分别创建所述网络设备和对应的网关网元的安全管理通道并分配安全管理通道接口地址；

所述通过所述环回接口地址管理所述网络设备，包括：

通过所述安全管理通道和所述环回接口地址管理所述网络设备。

在一实施例中，还包括：

第一路由下发模块，设置为向所述网络设备下发第一静态路由，所述第一静态路由的目的地址为WAN端口地址，下一跳为所述网关网元的安全管理通道接口地址；

第二路由下发模块，设置为向所述网关网元下发第二静态路由，所述第二静态路由的目的地址为所述网络设备的环回接口地址，下一跳为所述网络设备的安全管理通道接口地址。

在一实施例中，所述

预配置信息还包括：WAN端口地址信息、网络设备标识信息表和网络设备业务配置信息表；其中，

所述WAN端口地址信息包括：WAN端口地址池以及第三地址分配规则；

所述网络设备标识信息表包括：网络设备对应的设备序列号和设备类型；

所述网络设备业务配置信息表包括：网络设备对应的设备序列号、WAN端口地址、通信方式、上线认证地址和端口、认证密钥、网络配置使能状态和安全管理通道使能状态。

在一实施例中，还包括：

URL下发模块，设置为在接收网络设备的上线认证请求之前，根据所述通信方式向所述网络设备下发统一资源定位符，所述统一资源定位符经过所述认证密钥加密；

其中，所述统一资源定位符携带上线配置信息，所述上线配置信息包括WAN端口地址、上线认证地址和端口、网络配置使能状态；

在所述安全管理通道使能状态为开启的情况下，所述上线配置信息还包括对应的网关网元的安全管理通道接口地址。

在一实施例中，所述上线认证请求由所述网络设备以传输控制协议TCP会话的形式通过上线认证端口发送至所述上线认证地址；

所述上线认证请求中携带所述网络设备的设备序列号和TLS证书。

在一实施例中，认证模块410，具体设置为：

接收网络设备的上线认证请求；

若所述网络设备的设备序列号属于所述预配置信息中的设备序列号，则验证所述网络设备的传输层安全协议TLS证书，并在TLS证书验证通过的情况下启动网络配置协议，认证通过；

若所述网络设备的设备序列号不属于所述预配置信息中的设备序列号，则终止TCP会话，认证失败。

本实施例提出的网络设备管理装置与上述实施例提出的网络设备管理方法属于同一发明构思，未在本实施例中详尽描述的技术细节可参见上述任意实施例，并且本实施例具备与执行网络设备管理方法相同的有益效果。

本公开实施例还提供一种网络管理设备。所述网络设备管理方法可以由网络设备管理装置执行，该网络设备管理装置可以通过软件和/或硬件的方式实现，并集成在所述网络管理设备中。

图5为一实施例提供的一种网络管理设备的硬件结构示意图。如图5所示，本实施例提供的一种网络管理设备，包括：控制器510和存储装置520。该网络管理设备中的控制器可以是一个或多个，图5中以一个控制器510为例，所述设备中的控制器510和存储装置520可以通过总线或其他方式连接，图5中以通过总线连接为例。

所述一个或多个程序被所述一个或多个控制器510执行，使得所述一个或多个控制器实现上述任一实施例所述的网络设备管理方法。

该网络管理设备中的存储装置520作为一种计算机可读存储介质，可用于存储一个或多个程序，所述程序可以是软件程序、计算机可执行程序以及模块，如本发明实施例中网络设备管理方法对应的程序指令/模块(例如，附图4所示的网络设备管理装置中的模块，包括：认证模块410、接口创建模块420和管理模块430)。控制器510通过运行存储在存储装置520中的软件程序、指令以及模块，从而执行网络管理设备的各种功能应用以及数据处理，即实现上述方法实施例中的网络设备管理方法。

存储装置520主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据设备的使用所创建的数据等(如上述实施例中的上线认证请求、预配置信息等)。此外，存储装置520可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储装置520可进一步包括相对于控制器510远程设置的存储器，这些远程存储器可以通过网络连接至网络管理设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

并且，当上述网络管理设备中所包括一个或者多个程序被所述一个或者多个控制器510执行时，实现如下操作：接收网络设备的上线认证请求并对所述网络设备进行认证；在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址，所述预配置信息包括环回接口地址池以及第一地址分配规则；通过所述环回接口地址管理所述网络设备。

本实施例提出的网络管理设备与上述实施例提出的网络设备管理方法属于同一发明构思，未在本实施例中详尽描述的技术细节可参见上述任意实施例，并且本实施例具备与执行网络设备管理方法相同的有益效果。

本公开实施例还提供一种包含计算机可执行指令的存储介质，计算机可执行指令在由计算机控制器执行时用于执行一种网络设备管理方法。

通过以上关于实施方式的描述，所属领域的技术人员可以了解到，本公开可借助软件及通用硬件来实现，也可以通过硬件实现。基于这样的理解，本公开的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、闪存(FLASH)、硬盘或光盘等，包括多个指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开任意实施例所述的方法。

以上所述，仅为本公开的示例性实施例而已，并非用于限定本公开的保护范围。

本公开附图中的任何逻辑流程的框图可以表示程序步骤，或者可以表示相互连接的逻辑电路、模块和功能，或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现，例如但不限于只读存储器(ROM)、随机访问存储器(RAM)、光存储器装置和系统(数码多功能光碟DVD或CD光盘)等。计算机可读介质可以包括非瞬时性存储介质。数据控制器可以是任何适合于本地技术环境的类型，例如但不限于通用计算机、专用计算机、微控制器、数字信号控制器(DSP)、专用集成电路(ASIC)、可编程逻辑器件(FGPA)以及基于多核控制器架构的控制器。

通过示范性和非限制性的示例，上文已提供了对本公开的示范实施例的详细描述。但结合附图和权利要求来考虑，对以上实施例的多种修改和调整对本领域技术人员来说是显而易见的，但不偏离本发明的范围。因此，本发明的恰当范围将根据权利要求确定。

Claims

一种网络设备管理方法，包括：

接收网络设备的上线认证请求并对所述网络设备进行认证；

在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址，所述预配置信息包括环回接口地址池以及第一地址分配规则；以及

通过所述环回接口地址管理所述网络设备。
根据权利要求1所述的方法，其中，所述预配置信息还包括安全管理通道接口地址池以及第二地址分配规则；

在分配环回接口地址之后，还包括：

根据所述预配置信息分别创建所述网络设备和对应的网关网元的安全管理通道并分配安全管理通道接口地址；

所述通过所述环回接口地址管理所述网络设备，包括：

通过所述安全管理通道和所述环回接口地址管理所述网络设备。
根据权利要求2所述的方法，还包括：

向所述网络设备下发第一静态路由，所述第一静态路由的目的地址为广域网WAN端口地址，下一跳为所述网关网元的安全管理通道接口地址；

向所述网关网元下发第二静态路由，所述第二静态路由的目的地址为所述网络设备的环回接口地址，下一跳为所述网络设备的安全管理通道接口地址。
根据权利要求1所述的方法，其中，所述预配置信息还包括：WAN端口地址信息、网络设备标识信息表和网络设备业务配置信息表；其中，

所述WAN端口地址信息包括：WAN端口地址池以及第三地址分配规则；

所述网络设备标识信息表包括：网络设备对应的设备序列号和设备类型；

所述网络设备业务配置信息表包括：网络设备对应的设备序列号、WAN端口地址、通信方式、上线认证地址和端口、认证密钥、网络配置使能状态和安全管理通道使能状态。
根据权利要求4所述的方法，其中，在接收网络设备的上线认证请求之前，还包括：

根据所述通信方式向所述网络设备下发统一资源定位符，所述统一资源定位符经过所述认证密钥加密；

其中，所述统一资源定位符携带上线配置信息，所述上线配置信息包括WAN端口地址、上线认证地址和端口、网络配置使能状态；

在所述安全管理通道使能状态为开启的情况下，所述上线配置信息还包括对应的网关网元的安全管理通道接口地址。
根据权利要求5所述的方法，其中，所述上线认证请求由所述网络设备以传输控制协议TCP会话的形式通过上线认证端口发送至所述上线认证地址；

所述上线认证请求中携带所述网络设备的设备序列号和传输层安全协议TLS证书。
根据权利要求6所述的方法，其中，对所述网络设备进行认证，包括：

若所述网络设备的设备序列号属于所述预配置信息中的设备序列号，则验证所述网络设备的TLS证书，并在TLS证书验证通过的情况下启动网络配置协议，认证通过；

若所述网络设备的设备序列号不属于所述预配置信息中的设备序列号，则终止TCP会话，认证失败。
一种网络设备管理装置，包括：

认证模块，设置为接收网络设备的上线认证请求并对所述网络设备进行认证；

接口创建模块，设置为在认证通过的情况下，根据预配置信息创建所述网络设备的环回接口并分配环回接口地址，所述预配置信息包括环回接口地址池以及第一地址分配规则；

管理模块，设置为通过所述环回接口地址管理所述网络设备。
一种网络管理设备，包括：

一个或多个控制器；

存储装置，设置为存储一个或多个程序；

当所述一个或多个程序被所述一个或多个控制器执行，使得所述一个或多个控制器实现如权利要求1-7中任一所述的网络设备管理方法。
一种计算机可读存储介质，其上存储有计算机程序，其中于，该程序被控制器执行时实现如权利要求1-7中任一所述的网络设备管理方法。