[0032] 以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
[0033] 本实施例的目的在于提供一种网络设备访问控制方法及系统,用于解决现有技术中无法对网络设备的访问控制进行统一管理。以下将详细阐述本实施例的一种网络设备访问控制方法及系统的原理及实施方式,使本领域技术人员不需要创造性劳动即可理解本实施例的一种网络设备访问控制方法及系统。
[0034] 本实施例提供一种网络设备访问控制方法,具体地,如图1所示,所述网络设备访问控制方法包括以下步骤。
[0035] 步骤S11,为访问和控制网络设备的访问控制方式设定响应优先级。
[0036] 步骤S12,在所述网络设备的管理信息库中添加对所述访问控制方式进行管理的管理项。
[0037] 步骤S13,在所述网络设备接收到各访问控制方式发送的请求时,根据所述管理信息库中的管理项和设定的所述响应优先级控制各所述访问控制方式对所述网络设备的访问和控制。
[0038] 以下对步骤S11至步骤S13进行详细说明。
[0039] 步骤S11,为访问和控制网络设备的访问控制方式设定响应优先级。依据日常网络设备运维工作特性,对网络设备的访问控制方式进行响应优先级设定。在本实施例中,所述访问控制方式包括:命令行(Command Line Interface,CLI),(Element Manager,EM)和网管管理系统(Network Management System,NMS),例如,可以将命令行设为高优先级响应,也可以将网管管理系统设为高优先级响应。在本实施例中,对网络设备的访问控制方式进行的响应优先级设定,如表1所示。
[0040] 表1
[0041]访问方式 优先级
命令行(CLI) 高优先级响应
设备管理器(EM) 中优先级响应
网管管理软件(NMS) 低优先级响应
[0042] 网络设备依照表1中的优先级设定,对各访问和控制的访问控制方式进行响应。
[0043] 步骤S12,在所述网络设备的管理信息库中添加对所述访问控制方式进行管理的管理项。
[0044] 管理信息库(MIB,Management Information Base)是TCP/IP网络管理协议标准框架的内容之一,MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义,即网络管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中。
[0045] 在本实施例中,所述网络设备访问控制方法还包括:在所述网络设备的管理信息库中添加告警处理项。
[0046] 也就是说,在本实施例中,在网络设备的管理信息库(Management Information Base,MIB)中新增对对所述访问控制方式进行管理的管理项(功能项)和对应的告警处理项(Trap)。
[0047] 具体地,在本实施例中,所述管理项包括但不限于存储各所述访问控制方式的信息、设定各所述访问控制方式的IP地址、设定各所述访问控制方式的访问端口和控制各所述访问控制方式对所述网络设备的读写权限中的一种或几种组合。
[0048] 具体地,新增一个用于添加所述管理项的MIB表格,MIB表格具体定义例如但不限于如下所示:
[0049] accessControlTable OBJECT-TYPE
[0050] SYNTAX SEQUENCE OF accessControlEntry
[0051] MAX-ACCESS not-accessible
[0052] STATUS current
[0053] ::={NetworkElement 1}
[0054] accessControlEntry OBJECT-TYPE
[0055] SYNTAX accessControlEntry
[0056] MAX-ACCESS not-accessible
[0057] STATUS current
[0058] INDEX{acIPAddress}
[0059] ::={accessControlTable 1}
[0060] accessControlEntry::=SEQUENCE{
[0061] acIPAddress String,
[0062] acPortNumber Integer32,
[0063] acReadWrite Integer32,
[0064] acRowStatus Interger32,
[0065] }
[0066] acIPAddress OBJECT-TYPE
[0067] SYNTAX String
[0068] MAX-ACCESS read-only
[0069] STATUS current
[0070] ::={accessControlEntry 1}
[0071] acPortNumber OBJECT-TYPE
[0072] SYNTAX Integer32
[0073] MAX-ACCESS read-only
[0074] STATUS current
[0075] ::={accessControlEntry 2}
[0076] acReadWrite OBJECT-TYPE
[0077] SYNTAX Integer32
[0078] MAX-ACCESS read-write
[0079] STATUS current
[0080] ::={accessControlEntry 3}
[0081] acRowStatus OBJECT-TYPE
[0082] SYNTAX Integer32
[0083] MAX-ACCESS read-write
[0084] STATUS current
[0085] ::={accessControlEntry 4}
[0086] 其中,accessControlTable存储网络设备各访问控制方式的信息,acIPAddress为访问控制方式(访问方)的IP地址信息;acPortNumber为访问控制方式的端口信息;acReadWrite为访问控制方式的控制权限状态,只读或读写。
[0087] 新增以下MIB Trap定义:
[0088] Trap accessControlTrap{
[0089] acIPAddress
[0090] acPortNumber
[0091] acReadWrite
[0092] TimeStamp}
[0093] 步骤S13,在所述网络设备接收到各访问控制方式发送的请求时,根据所述管理信息库中的管理项和设定的所述响应优先级控制各所述访问控制方式对所述网络设备的访问和控制。
[0094] 具体地,网络设备在接受到各访问控制方式的请求时,在accessControlTable中存储各访问控制方式的属性信息,并按上述设定的响应优先级,在acReadWrite进行对各访问控制方式的访问权限控制。
[0095] 由上可见,本发明可以有效地控制各所述访问控制方式对所述网络设备的访问和控制,可以有效避免网络设备上的配置数据出现不一致或混乱的情况发生,保证了对网络设备访问的唯一性,同时本发明也避免了人工手动配置网络设备。
[0096] 此外,在本实施例中,所述管理项还包括:按栈式结构控制各所述访问控制方式进入访问和退出访问的顺序。
[0097] 也就是说,除了在accessControlTable存储信息,网络设备内部将所有访问方维护在栈式(Stack)数据结构内,维护逻辑如下:
[0098] 1)新增的访问方压入(Push);
[0099] 2)退出的访问方弹出(Pop)。
[0100] 在采用网络管理系统的访问控制方式访问和控制网络设备时,所述网络管理系统采用简单网络管理协议对所述网络设备进行访问和控制。
[0101] 其中,SNMP(Simple Network Management Protocol,简单网络管理协议),由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组(IETF,Internet Engineering Task Force)定义的internet协议簇的一部分。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。
[0102] 所以基于accessControlTable的acReadWrite字段,本实施例提供了抢占式访问的方案,网络管理软件通过简单网管管理协议(SNMP),设置特定访问方的acReadWrite字段值,为特定访问方抢占对网络设备的写权限。
[0103] 为实现上述网络设备访问控制方法,本实施例对应提供一种网络设备访问控制系统,具体地,如图2所示,网络设备访问控制系统1包括:响应优先级设定模块11,管理项添加模块12和控制模块13。
[0104] 所述响应优先级设定模块11用于为访问和控制网络设备的访问控制方式设定响应优先级。
[0105] 依据日常网络设备运维工作特性,所述响应优先级设定模块11对网络设备的访问控制方式进行响应优先级设定。在本实施例中,所述访问控制方式包括:命令行(Command Line Interface,CLI),(Element Manager,EM)和网管管理系统(Network Management System,NMS),例如,所述响应优先级设定模块11可以将命令行设为高优先级响应,也可以将网管管理系统设为高优先级响应。在本实施例中,所述响应优先级设定模块11对网络设备的访问控制方式进行的响应优先级设定,如上表1所示。网络设备依照表1中的优先级设定,对各访问和控制的访问控制方式进行响应。
[0106] 所述管理项添加模块12用于在所述网络设备的管理信息库中添加对所述访问控制方式进行管理的管理项。
[0107] 管理信息库(MIB,Management Information Base)是TCP/IP网络管理协议标准框架的内容之一,MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义,即网络管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中。
[0108] 此外,如图3所示,所述网络设备访问控制系统1还包括:告警处理项添加模块14,用于在所述网络设备的管理信息库中添加告警处理项。
[0109] 也就是说,在本实施例中,在网络设备的管理信息库(Management Information Base,MIB)中新增对对所述访问控制方式进行管理的管理项(功能项)和对应的告警处理项(Trap)。
[0110] 具体地,在本实施例中,所述管理项包括但不限于存储各所述访问控制方式的信息、设定各所述访问控制方式的IP地址、设定各所述访问控制方式的访问端口和控制各所述访问控制方式对所述网络设备的读写权限中的一种或几种组合。
[0111] 具体地,所述管理项添加模块12新增一个用于添加所述管理项的MIB表格,MIB表格具体定义例如但不限于如下所示:
[0112] accessControlTable OBJECT-TYPE
[0113] SYNTAX SEQUENCE OF accessControlEntry
[0114] MAX-ACCESS not-accessible
[0115] STATUS current
[0116] ::={NetworkElement 1}
[0117] accessControlEntry OBJECT-TYPE
[0118] SYNTAX accessControlEntry
[0119] MAX-ACCESS not-accessible
[0120] STATUS current
[0121] INDEX{acIPAddress}
[0122] ::={accessControlTable 1}
[0123] accessControlEntry::=SEQUENCE{
[0124] acIPAddress String,
[0125] acPortNumber Integer32,
[0126] acReadWrite Integer32,
[0127] acRowStatus Interger32,
[0128] }
[0129] acIPAddress OBJECT-TYPE
[0130] SYNTAX String
[0131] MAX-ACCESS read-only
[0132] STATUS current
[0133] ::={accessControlEntry 1}
[0134] acPortNumber OBJECT-TYPE
[0135] SYNTAX Integer32
[0136] MAX-ACCESS read-only
[0137] STATUS current
[0138] ::={accessControlEntry 2}
[0139] acReadWrite OBJECT-TYPE
[0140] SYNTAX Integer32
[0141] MAX-ACCESS read-write
[0142] STATUS current
[0143] ::={accessControlEntry 3}
[0144] acRowStatus OBJECT-TYPE
[0145] SYNTAX Integer32
[0146] MAX-ACCESS read-write
[0147] STATUS current
[0148] ::={accessControlEntry 4}
[0149] 其中,accessControlTable存储网络设备各访问控制方式的信息,acIPAddress为访问控制方式(访问方)的IP地址信息;acPortNumber为访问控制方式的端口信息;acReadWrite为访问控制方式的控制权限状态,只读或读写。
[0150] 所述告警处理项添加模块14新增以下MIB Trap定义:
[0151] Trap accessControlTrap{
[0152] acIPAddress
[0153] acPortNumber
[0154] acReadWrite
[0155] TimeStamp}
[0156] 所述控制模块13分别与所述响应优先级设定模块11和所述管理项添加模块12相连,用于在所述网络设备接收到各访问控制方式发送的请求时,根据所述管理信息库中的管理项和设定的所述响应优先级控制各所述访问控制方式对所述网络设备的访问和控制。
[0157] 具体地,网络设备在接受到各访问控制方式的请求时,在accessControlTable中存储各访问控制方式的属性信息,并按上述设定的响应优先级,在acReadWrite进行对各访问控制方式的访问权限控制。
[0158] 由上可见,本发明可以有效地控制各所述访问控制方式对所述网络设备的访问和控制,可以有效避免网络设备上的配置数据出现不一致或混乱的情况发生,保证了对网络设备访问的唯一性,同时本发明也避免了人工手动配置网络设备。
[0159] 此外,在本实施例中,所述管理项还包括:按栈式结构控制各所述访问控制方式进入访问和退出访问的顺序。
[0160] 也就是说,除了在accessControlTable存储信息,网络设备内部将所有访问方维护在栈式(Stack)数据结构内,维护逻辑如下:
[0161] 1)新增的访问方压入(Push);
[0162] 2)退出的访问方弹出(Pop)。
[0163] 在采用网络管理系统的访问控制方式访问和控制网络设备时,所述网络管理系统采用简单网络管理协议对所述网络设备进行访问和控制。所以基于accessControlTable的acReadWrite字段,本实施例提供了抢占式访问的方案,网络管理软件通过简单网管管理协议(SNMP),设置特定访问方的acReadWrite字段值,为特定访问方抢占对网络设备的写权限。
[0164] 综上所述,本发明通过为访问和控制网络设备的访问控制方式设定响应优先级,在所述网络设备的管理信息库中添加对所述访问控制方式进行管理的管理项和添加告警处理项,在所述网络设备接收到各访问控制方式发送的请求时,可以根据所述管理信息库中的管理项和设定的所述响应优先级有效地控制各所述访问控制方式对所述网络设备的访问和控制,可以有效避免网络设备上的配置数据出现不一致或混乱的情况发生,保证了对网络设备访问的唯一性,同时本发明也避免了人工手动配置网络设备。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
[0165] 上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
