一種網絡管理系統和方法
2023-05-01 05:35:36
專利名稱:一種網絡管理系統和方法
技術領域:
本發明涉及一種數據通信的網絡管理領域,特別是在網際網路環境中的網絡管理系統和方法。
2、為了安全起見,大多數網絡中的設備需要在設備代理端配置網管系統的主機地址。如果在設備配置表中沒有配置該網管系統的主機地址,設備代理是不處理網管系統的請求。網管系統也就不能進行相關網絡管理的操作了。在網際網路環境中,大多數客戶端的IP位址是由ISP動態分配的,IP位址的不確定性導致網絡管理的不可行。在某些情況下,客戶端可能需要經過防火牆才能訪問設備代理。這時候,設備代理和網管系統不能直接建立連接。這對於基於客戶端/伺服器模式的網絡管理來說是很難實現網際網路環境的網絡管理。
3、從安全的角度來說。如果網絡設備和網際網路之間沒有隔離層,是會存在安全隱患的。而且許多的網管協議中,安全考慮是比較少的。以SNMP協議為例,在SNMP協議的第一、第二版中都沒有對安全提出完整的解決方案,而只是通過團體串來進行權限的簡單控制。如果設備代理暴露在網際網路環境中,別有用心的黑客可以通過網絡報文分析工具分析UDP報文就可以知道團體串的內容。如果網絡設備的網絡管理信息庫中存儲有敏感數據,這將是非常大的安全隱患。簡單網絡管理通信協議第三版雖然有了較好的解決方案,但是實現起來比較複雜,而且現有的大多數的設備並不支持。
而且由於網際網路環境的網絡管理系統必須保證安全,所以被管理設備必須放置於安全網絡中,網際網路用戶的訪問必須經過防火牆的過濾來保證安全。現有的網絡管理系統和方法還不能很好的解決這方面的問題。
本發明還提出了一種網絡管理方法,客戶端能夠通過網際網路,並透過防火牆對被管設備進行安全的網絡管理。
本發明所述的網絡管理系統包括客戶端、應用伺服器、被管對象;應用伺服器和被管對象之間的通信使用網絡管理通信協議,都位於安全網絡環境中;客戶端通過網際網路採用適合於網際網路環境的通信協議與應用伺服器通信;應用伺服器負責解析客戶端的報文請求,並轉化為相應的網絡管理協議的請求,發送到被管對象,並將被管對象的相關數據轉化為相應的報文發送到客戶端。
所述被管對象是被管設備或是被管設備代理。
所述應用伺服器和被管對象之間的網絡管理通信協議是簡單網絡管理協議(SNMP)、電信網管協議或Q3協議。
所述客戶端與應用伺服器之間的通信協議是HTTP協議、簡單郵件傳輸協議、網絡新聞傳輸協議或SOAP簡單對象訪問協議。
所述客戶端與應用伺服器之間可以設置防火牆,確保安全網絡環境的安全。
本發明提出的一種網絡管理方法,其實現步驟如下1)客戶端選擇與應用伺服器通信的協議處理器;2)協議處理器實例化出一個流處理器供客戶端使用;3)客戶端將對被管對象網絡管理的相關信息發送到流處理器;
4)流處理器建立與應用伺服器的通信聯繫,並將接收到的客戶端信息轉化成協議可傳送的報文發送到應用伺服器;5)應用伺服器以多線程的方式對客戶端的所有請求分別響應;6)應用伺服器分析接收到的報文信息,並調用網絡管理通信協議的應用程式接口;7)應用伺服器通過網絡管理協議完成與被管對象的消息交互,並將結果通過網絡管理通信協議的應用程式接口和流處理器返回客戶端。
本發明的網絡管理方法增強了網際網路環境中被管理設備的安全性。
改進後的客戶端通過使用不同的協議處理器就可以使用不同的通信協議,這些協議處理器都是可以自定義和互換的。這對於不同的用戶需求和環境要求都有非常好的靈活性。能夠使網際網路客戶端可以通過防火牆訪問到內部網絡中的設備代理。
客戶端11與應用伺服器12之間的通信協議可以採用適合於網際網路環境的通信協議。如HTTP協議、簡單郵件傳輸協議、網絡新聞傳輸協議、簡單對象訪問協議SOAP等等,
圖1中以HTTP協議為例。信息的載體可以使用簡單的文本或者使用XML文件格式。
應用伺服器12除了分別完成與客戶端11和被管理對象13之間的通信外,還要解析客戶端11的請求,並轉化為相應的網絡管理協議的請求。除了與被管理對象13之間進行交互外,還要將相關數據轉化為相應的報文發送回客戶端11。
下面就針對客戶端與伺服器端採用HTTP協議通信,伺服器端和管理對象採用SNMP協議的典型案例進行論述。
系統組成應用伺服器12主要是由Servlet(伺服器端動態頁面)引擎23構成,實現動態服務端的WWW服務;還包括SNMP API(SNMP應用程式接口)24,用於實現SNMP通信。
被管理的對象13可以是任何支持SNMP的設備代理25。
參考圖2所示的網絡管理方法原理圖,客戶端11的相關請求通過HTTP協議處理器21和中間層的WEB應用伺服器12通信。應用伺服器12解析HTTP頭部信息,將客戶端11的請求轉化為SNMP的相關參數,並負責將請求發送到被管設備的代理25以及接收響應信息,再通過HTTP返迴響應給客戶端11。
從上面可以看出,通信過程是比較複雜的。為了簡化應用程式客戶端的處理難度,需要將通信過程與內容分開處理。內容的處理與相應的業務相關,對於不同的設備其處理過程千差萬別,在這裡不做討論。在這裡著重討論通信的處理。為了可以處理多種協議的通信,提出了協議處理器的概念。因為不同協議的通信過程是完全不同的,所以可以根據不同的通信協議開發不同的協議處理器,然後在軟體開發中業務開發人員根據不同的情況選用不同的協議處理器即可。這樣,業務邏輯開發人員就可以和通信軟體開發者分工合作了。業務邏輯開發人員只注重於業務,即通信內容的處理;協議處理器開發人員只關心通信協議細節的處理。
在Java語言的核心庫中,已經包含了許多常用的協議處理器,如FTP、TELNET、HTTP等等。在使用Java進行應用程式的開發時可以使用HTTP協議處理器。但是,Java提供的HTTP協議處理器處理HTTP通信時的效率非常低。因為在Java中,數據的返回時需要等待實際通信結束以後,然而在通信過程時間比較長的情況下,客戶就需要等待非常長的時間。因此,可以對其進行簡化,如只需要實現HTTP協議的POST和GET方法即可,這樣使得服務端響應的數據能夠及時返回。
下面再結合圖3和4詳細描述本發明的網絡管理方法。
如圖3所示的客戶端通信處理流程,應用程式客戶端在和服務端交互之前首先選用協議處理器,這裡選用簡化的HTTP協議處理器來進行處理。通過提供HTTP通信協議所需要的相關參數,如伺服器地址、HTTP埠號等等,協議處理器21實例化一個自定義的流處理器22返回給客戶端。客戶端程序需要提供有關SNMP操作的相關信息給流處理器22,如被管理對象代理的IP位址、SNMP埠號、團體串等等。流處理器22和服務端12建立TCP連接,然後將上述的相關參數轉化為HTTP報文的形式,發送到服務端。
參考圖4所示的應用伺服器處理流程,應用伺服器為了實現HTTP服務,使用Java的Servlet引擎23來實現動態的HTTP服務。將通常的網絡管理信息庫26查詢操作MIB-Get、MIB-Set、SNMP-Walk、SNMP-GetNext分別開發了四個通用的Servlet類。在啟動WEB-應用伺服器的同時啟動Servlet引擎,伺服器就可以進行HTTP服務了。伺服器的Servlet引擎中的Servlet被應用程式客戶端或者瀏覽器客戶端訪問以後就被實例化載入內存中並且開始相應的服務。
服務端的Servlet引擎23監測到客戶端的請求以後,會以多線程的方式調用對應的Servlet實例對所有用戶的請求做出響應。服務端的Servlet實例通過分析HTTP請求的參數信息調用SNMP API和被管設備代理進行SNMP的交互,然後將結果通過HTTP發送回客戶端。
如圖5所示的網絡管理系統應用的組網示意,在客戶端和應用伺服器之間安裝了一臺防火牆伺服器。為了安全起見,防火牆不允許網際網路和內部網絡之間的直接聯繫。而必須由防火牆伺服器來完成代理通信的任務。在這裡,代理服務是HTTP代理。這個時候客戶端選用HTTP協議處理器和相應的流處理器。這樣,客戶端就可以通過防火牆訪問到內部網絡中的應用伺服器了。應用伺服器通過對客戶端請求的解析,就會選擇客戶端要求的網絡管理協議與對應的設備代理進行通信。並將需要的數據結果返回給客戶端。被管對象可以直接為被管設備,也可以通過代理完成對被管設備的網絡管理。
權利要求
1.一種網絡管理系統,其特徵在於,所述網絡管理系統包括客戶端、應用伺服器、被管對象;應用伺服器和被管對象之間的通信使用網絡管理通信協議,都位於安全網絡環境中;客戶端通過網際網路採用適合於網際網路環境的通信協議與應用伺服器通信;應用伺服器負責解析客戶端的報文請求,並轉化為相應的網絡管理協議的請求,發送到被管對象,並將被管對象的相關數據轉化為相應的報文發送到客戶端。
2.根據權利要求1所述的一種網絡管理系統,其特徵在於,所述被管對象是被管設備或是被管設備代理。
3.根據權利要求1所述的一種網絡管理系統,其特徵在於,所述客戶端包括協議處理器,負責處理客戶端與應用伺服器之間的協議處理;流處理器,負責與應用伺服器建立連接。
4.根據權利要求1所述的一種網絡管理系統,其特徵在於,所述應用伺服器包括動態頁面引擎,實現應用伺服器端的WWW服務;應用程式接口,用於實現應用伺服器與被管設備的通信。
5.根據權利要求1或2或3或4所述的一種網絡管理系統,其特徵在於,所述應用伺服器和所述被管對象之間的網絡管理通信協議是簡單網絡管理協議SNMP、電信網管協議或Q3協議。
6.根據權利要求1或2或3或4所述的一種網絡管理系統,其特徵在於,所述客戶端與所述應用伺服器之間的通信協議是HTTP協議、簡單郵件傳輸協議、網絡新聞傳輸協議或簡單對象訪問協議SOAP。
7.根據權利要求1或2或3或4所述的一種網絡管理系統,其特徵在於,所述客戶端與應用伺服器之間設置防火牆。
8.一種網絡管理方法,其特徵在於,實現步驟為1)客戶端選擇與應用伺服器通信的協議處理器;2)所述協議處理器實例化出一個流處理器供所述客戶端使用;3)所述客戶端將對被管對象網絡管理的相關信息發送到所述流處理器;4)所述流處理器建立與所述應用伺服器的通信聯繫,並將接收到的客戶端信息轉化成協議可傳送的報文並發送到所述應用伺服器;5)所述應用伺服器以多線程的方式對所述客戶端的所有請求分別響應;6)所述應用伺服器分析接收到的報文信息,並調用網絡管理通信協議的應用程式接口;7)所述應用伺服器通過網絡管理協議完成與所述被管對象的消息交互,並將結果通過網絡管理通信協議的應用程式接口和所述流處理器返回客戶端。
全文摘要
本發明公開了一種網絡管理系統和方法,由客戶端、應用伺服器、被管對象組成網絡管理系統的三層結構;應用伺服器和被管對象之間的通信使用網絡管理通信協議,都位於安全網絡環境中;客戶端通過網際網路採用適合於網際網路環境的通信協議與應用伺服器通信;應用伺服器負責解析客戶端的報文請求,並轉化為相應的網絡管理協議的請求,發送到被管對象,並將被管對象的相關數據轉化為相應的報文發送到客戶端。採用本發明的網絡管理系統和方法,能夠增強網際網路環境中被管理設備的安全性,適用於數據通信特別是網際網路環境下的網絡管理領域。
文檔編號H04L12/24GK1449157SQ0211125
公開日2003年10月15日 申請日期2002年3月30日 優先權日2002年3月30日
發明者李進 申請人:深圳市中興通訊股份有限公司