[发明专利]一种以太网设备管理平面的管理方法和系统

说明书

技术领域

本发明涉及数据通讯技术领域，尤其涉及一种以太网设备管理平面的管理方法和系统。

背景技术

数据通讯组网按照体系结构可划分为3个平面：传送平面、控制平面、管理平面。管理平面主要提供对传送平面、控制平面和系统整体的管理功能，负责所有平面间的协调和配合。主要功能包括性能管理、故障管理、配置管理、计费管理和安全管理。管理平面安全是保证网络稳定的关键，如何确保管理平面的安全也就成为网络设备提供商的一个重点。

新入网设备接入现网，现网使用的是友商的设备，网管连接在友商网络中。友商启用一个三层接口通过一根网线和新入网的设备相连，三层接口只配置IP地址、24位掩码，不启用任何静态配置，不启用任何动态路由协议。

传统的组网配置方式，如图1所示，图中，设备A、B、C为新入网设备，设备H为友商设备(即网管接入设备)，该设备H与网管通信，用于管理接入的A、B、C三个设备，其中：

设备A三层接口a地址192.168.1.1/24；

设备B三层接口b地址192.168.1.2/24；

设备C三层接口c地址192.168.1.253/24；

友商设备H三层接口h地址192.168.1.254/24。

网管通过友商设备H和设备A、设备B、设备C通讯。

上述四台设备在同一网段，网段地址192.168.1.0，广播地址192.168.1.255，相互之间可以直接通讯。

友商设备H配置简单，直接相连、直接控制，交互简单。友商配置简单便于新入网的网络设备提供商协调工作。

有网络就会存在故障，由于友商设备H可以直接和设备A、设备B、设备C通讯，如果出了问题，上述组网下很难拿出有力证据证明到底是哪个厂商的问题，所以说，上述组网存在安全性差、责任不容易界定，友商操作不方便控制且不易监控的问题，这些问题最终会导致网络服务提供商不信任新入网的网络设备提供商，不利于新入网的设备顺利切割。在激烈竞争的市场环境下，新入网的网络设备提供商怎样才能安全、顺利入网非常重要，所以如何提供一种安全、简便、经济的安全组网方法成为目前亟待解决的技术问题。

发明内容

本发明提供一种以太网设备管理平面的管理方法和系统，用以解决现有的组网方式安全性差且责任不容易界定的问题。

具体地，本发明提供一种以太网设备管理平面的管理方法，包括：

在新入网设备中选定代理设备，设定所述代理设备与其他各新入网设备连接的C_m接口、以及与网管接入设备连接的C_n接口；

在网管接入设备IP地址的相邻网段中，通过设定掩码位为各所述新入网设备配置IP地址，使所述C_m接口与所述其他各新入网设备的IP地址在一个子网段内、所述C_n接口的IP地址在另一子网段内，且C_n接口与网管接入设备的广播地址相同；

在所述C_n接口上启动地址解析协议ARP代理，当网管接入设备与各所述新入网设备间进行报文交互时，所述代理设备根据报文的目的IP地址进行报文转发或者报文处理。

进一步地，本发明所述方法中，所述其他各新入网设备通过所述代理设备转发报文至网管接入设备的实现方式包括：

在所述其他各新入网设备上配置指向为所述网管接入设备的接口IP地址的静态路由，下一跳为所述代理设备的C_m接口IP地址。

进一步地，本发明所述方法中，所述代理设备根据报文的目的IP地址进行报文转发或者报文处理具体包括：

所述代理设备通过C_n接口接收所述网管接入设备发送的报文、通过C_m接口接收所述其他各新入网设备发送的报文；

所述代理设备解析所述报文的目的IP地址，判断所述目的IP地址是否为自身的IP地址，若是，进行报文处理，否则，将所述报文转发至所述目的IP地址对应的设备；

其中，所述网管接入设备与所述代理设备进行报文交互前，通过广播ARP请求消息学习到报文发送的目的MAC地址。

优选地，本发明所述方法中，所述C_n接口上配置有安全策略，用于对报文发送源端进行合法性校验。

其中，所述安全策略包括：配置ARP请求的访问控制列表ACL，所述ACL中包含设定的合法的源IP地址；或者，配置端口镜像；其中，所述源IP地址包括所述网管接入设备的IP地址。