用于联网设备的安全远程管理的通过安全壳的串行端口转发
阅读:688发布:2020-05-18
专利汇可以提供用于联网设备的安全远程管理的通过安全壳的串行端口转发专利检索,专利查询,专利分析的服务。并且一种用于通过并置的管理设备管理一个或者多个广域网或者局域网连接的设备的系统和方法。管理设备使用通过安全连接(诸如 安全壳 连接)的串行端口转发以允许集中 定位 的监管用户控制受管理设备。,下面是用于联网设备的安全远程管理的通过安全壳的串行端口转发专利的具体信息内容。
1.一种用于自治地管理一个或者多个并置的受管理设备的装置,包括:
安全远程管理器(SRM)设备,其连接到所述一个或者多个受管理设备中的至少一个, SRM设备位于与所述受管理设备相同的网络场所中;
所述SRM设备还包括:
与所述受管理设备中的至少一个的串行端口通信连接;
控制器,其嵌入在所述SRM设备中;并且
其中所述控制器使用通过安全连接的串行端口转发来提供在所述受管理设备与监管用户工作站之间的连接性。
2.根据权利要求1所述的装置,其中使用安全壳(SSH)来提供安全连接。
3.根据权利要求1所述的装置,其中虚拟串行端口用来经过安全远程管理器将所述监管工作站连接到所述受管理设备。
4.根据权利要求1所述的装置,其中元件管理器处理在中央监管工作站中执行。
5.根据权利要求1所述的装置,其中关于最终用户信息的数据库数据在所述监管工作站不可访问。
6..根据权利要求1所述的装置,其中所述SRM设备还管理监管用户认证和登录。
7.根据权利要求1所述的装置,其中未共享从所述SRM设备到所述监管工作站的所述连接。
8.一种用于管理一个或者多个并置的受管理设备的方法,所述方法包括:
建立与待管理的至少一个受管理设备的控制台通信连接,所述控制台通信连接分别用于每个所述受管理设备并且独立于与受管理设备的所有其他连接;并且通过安全广域网连接向集中定位的监管工作站转发所述控制台通信连接,所述广域网连接使用通过安全壳联网协议的串行端口转发来建立。
9.根据权利要求8所述的方法,还包括:
向所述受管理设备中的一个或者多个转发如从所述监管工作站接收的一个或者多个操作以管理所述一个或者多个并置的受管理设备。
10.根据权利要求8所述的方法,还包括:
存储关于管理设备或者所述受管理设备的信息,所述信息不可由所述受管理设备或者所述监管工作站访问。
11.根据权利要求8所述的方法,还包括:
通过转发的串行连接经由命令行解释器来与所述受管理设备通信。
12.根据权利要求8所述的方法,还包括:
获得用于针对所述受管理设备之一处理的操作;
授权所述操作;
经过经由通过安全壳连接的串行端口转发而转发的所述控制台通信连接来连接到所述受管理设备以提供转发的控制台通信连接;
经由所述转发的控制台通信连接检测所述受管理设备的状态;
经由所述转发的控制台通信连接向所述受管理设备传输所述操作;并且经由所述转发的控制台通信连接从所述受管理设备接收指示所述操作的执行的数据。
13.根据权利要求12所述的方法并且还包括:
解析所述操作的结果;并且
存储所述操作的结果。
14.根据权利要求8所述的方法,并且另外其中向在监管工作站上执行的元件管理器提供转发的控制台连接。
15.根据权利要求14所述的方法,其中所述监管工作站位于中央企业位置,并且所述管理设备和受管理设备位于远程位置。
用于联网设备的安全远程管理的通过安全壳的串行端口转
发
[0001] 相关申请本申请是2010年8月26日提交美国申请号12/869,508号的继续申请,其要求对2009年8月28日提交的美国临时申请号61/237,765的优先权。通过引用将上述申请的全部教导合并于此。
技术领域
[0002] 本公开一般地涉及管理包括本地和远程设备两者的通信网络,并且更具体地涉及使用集中控制位置或者设施的远程和本地系统和方法两者对这些网络的各种设备和连接的非集中安全管理。
背景技术
[0003] 常规地从中央管理位置管理实施通信网络(诸如企业级网络)的资源。中央管理位置可以例如是企业(诸如具有多个地理上远离的分公司(branch office)的公司)的总公司(main office)。各种软件和硬件已经在中央位置运用于监管和支持这些网络的操作。为了实现这一点,各种数据库和网络信息、控制以及其他设施由网络监管者人员操作和访问。这些中央管理系统和设施执行广泛多种企业级功能(例如包括设备和网络配置、数据保持(retention)和存储、数据库操作、控制、使能、授权和准许)以及否则将网络作为整体对待。
[0004] 尽管通常已经集中监管和管理这些企业级网络功能,但是用于这些网络的各种远程设备和本地网络连接无论它们位于何处它们本身也都必须被监管、管理和否则支持。这些本地网络连接和设备例如包括在每个分公司的以太网局域网(LAN)。用于这些本地网络连接和设备的监管、管理和相似支持经常需要每个单独分支位置或者网络段本地的专用设施、系统和人员。
[0005] 这些集中机制依赖于使用可操作网络来管理如下设备,这些设备潜在负责该网络的一部分的存在。但是使用协议(诸如简单网络管理协议(SNMP))的自动化“带内(in-band)”管理技术要求网络本身起作用。如果网络的部件失效,则自动化管理基础设施没有用于提供与远程设备连接的机制、更不用说管理这样的设备。针对这些不足的减轻已经包括:使用与远程网络和设备并置的人力资源;使用复制和附加的网络通信路径以在失效情况下提供替代路径;使用远程控制台服务器功能,这些功能使本地设备控制台和命令行接口可用于在与远程位置分离的位置处的人力资源。也可能需要对在每个远程场所的设备和网络连接的附加监管、管理和支持。通信基础设施、人员和设施可能由于常规企业系统的远程支持要求而昂贵、人力密集和加倍。发明内容
[0006] 因此将在领域和技术(art and technology)中有新的和重大改进以提供用于通信网络的非集中监管和管理的系统和方法,这些系统和方法消除对常规企业网络中的集中监管和管理中固有的某些人员、装备和操作限制的需要。该方式应当允许以尽可能安全和无缝的方式远程控制、解决、管理和监管远程和相异网元(诸如分公司LAN、WAN和设备)的方面。
[0007] 在一个实施例中,本发明是一种用于安全和管理远程局域网的一个或者多个通信连接的设备的系统。该系统包括管理设备,该管理设备连接到控制台连接(串行端口)并且可选地连接到一个或者多个受管理网络设备的以太网接口。管理设备位于与受管理网络设备相同的场所中。源自远程位置的数据仅以特定方式通过安全连接转发到中央监管工作站以保证在分支位置的信息安全性。
[0008] 在一个方面中,管理设备可以实施向监管工作站上的虚拟串行端口的通过安全连接的串行端口转发。这允许远程监管用户即使仅有与遥远网络设备的远程连接仍然以如同监管工作站直接并且物理连接到受管理设备那样的确切相同的方式安全地操作元件管理软件。
[0009] 更具体而言,在本发明的第一方面中,安全远程管理器(SRM)装置实施对可以源自集中定位的监管用户的请求的本地处理。通常位于用于企业的网络操作中心(NOC)上的这些监管用户经由安全壳(SSH)连接来访问SRM装置。在一个优选实施例中在因特网协议(TCP/IP)网络连接上通过传输控制协议携带(carry over)SSH连接。网络管理装置也可以通过SSH连接经由图形用户接口(GUI)(诸如XWindows)向监管用户工作站转发来自远程位置的数据。
[0010] 在该实施的一个优选实施例中,从SRM装置到监管工作站的网络连接是通过专用物理层连接来产生的并且并非共享网络连接。以这一方式可以提供最大安全性。
[0011] 即使有这些通信架构限制,SRM装置仍然可以继续完全在安全企业环境内管理准许(诸如用户认证和登录)。因而,对于NOC处的元件无需实施AAA(认证、授权和记账)或者相似功能。例如,SRM装置可访问的Radius/TACACS服务器可以完全在远程位置的安全环境内操纵监管用户登录和准许控制。
[0012] 在一个方面中,SRM装置可以实施串行端口转发以促进在监管用户的在中央位置的工作站与在远程位置的受管理设备的串行端口控制台连接之间的异步通信。这以看来如同受管理设备物理上连接到监管工作站的本地串行端口那样的方式来实施。这提供用于利用在监管工作站上执行的一般由受管理设备的制造商提供的元件管理软件来控制远程管理的设备的能力。
[0013] 为了利用这一功能,监管用户发起与SRM装置的安全壳(SSH)连接并且选择如下选项,该选项请求使用串行端口转发来与特定受管理设备产生连接。监管工作站然后向对它可用的虚拟TCP端口转发所选本地串行端口(即“localhost”或者“127.0.0.1”)。在监管工作站上,来自虚拟端口的所有异步业务然后被配置到转发的端口。
[0014] 在远程位置的特定受管理设备本地的SRM装置使用专用于该设备的直接物理串行端口连接来建立与请求的受管理设备的串行端口的连接。监管用户然后向SRM装置发出终端转发命令,该SRM装置使用于受管理设备的所有交互通信经过SRM装置转发到在监管工作站的元件管理器用于控制。因而所有交互经由与受管理设备的串行端口的经过SRM装置的SSH连接而出现。
[0015] 使用本发明,通信网络的管理可以解决常规企业网络中的集中监管和管理中固有的某些经济、人员、复制、规模和操作限制。
[0016] 本发明解决现有技术方式(其中终端消费者希望尽可能多地保护他们的在SRM装置与外界之间的接口)的问题。
[0018] 在其中相似标号表示相似单元的以下附图中通过示例而非限制来举例说明本发明,并且在附图中:图1图示了典型企业,该企业包括具有相应安全远程管理器(SRM)装置的第一局域网,该安全远程管理器(SRM)装置连接到受管理设备并且连接成与远程监管工作站通信;
图2是经由通过安全壳(SSH)的串行端口转发的在监管工作站可见的示例元件管理器屏幕;
图3图示了图1的SRM装置的系统框图,该SRM装置包括控制器、(一个或多个)元件管理器、本地数据库、网络接口、XWindows客户端和串行端口转发逻辑;以及
图4图示了SRM装置的操作方法,该方法包括确定用于对受管理设备执行的操作、连接成使用受管理设备、检测受管理设备的状态、向受管理设备传输命令、从受管理设备接收数据、解析接收的数据、在数据库中存储接收的数据、记录与受管理设备的通信并且报告。
图2是经由通过安全壳(SSH)的串行端口转发的在监管工作站可见的示例元件管理器屏幕;
图3图示了图1的SRM装置的系统框图,该SRM装置包括控制器、(一个或多个)元件管理器、本地数据库、网络接口、XWindows客户端和串行端口转发逻辑;以及
图4图示了SRM装置的操作方法,该方法包括确定用于对受管理设备执行的操作、连接成使用受管理设备、检测受管理设备的状态、向受管理设备传输命令、从受管理设备接收数据、解析接收的数据、在数据库中存储接收的数据、记录与受管理设备的通信并且报告。
具体实施方式
[0019] 本发明的示例实施例的描述如下。
[0020] 图1图示了企业级数据处理环境100,其中从中央网络操作中心(NOC)205管理在远程位置101的网络设备。更具体而言,用于自治地管理在远程位置101的并置的设备的系统100包括第一安全远程管理器(SRM)装置120。SRM装置120(这里有时也称为“管理设备”)连接到一个或者多个受管理设备130,一个或者多个受管理设备130可以包括但不限于防火墙130-1、路由器或者交换机130-2或者服务器130-3(这里统称为受管理设备130),这些设备提供用于允许其他设备访问局域网(LAN)150的连接性。
[0021] LAN 150通常也将具有连接到它的其他设备(诸如最终用户设备(诸如个人计算机141)、存储阵列142或者数据库服务器144),每个设备连接到LAN 150并且与LAN 150对角。LAN 140又可以向图1中未示出的最终用户计算机141提供连接性和其他服务,诸如通向广域网(WAN)(诸如因特网)的网关。
[0022] 虽然在图1中也未示出,但是应当理解企业数据处理系统通常也可以涵盖具有(一个或多个)相似网络结构的其他远程位置,而SRM装置120位于有受管理设备130的每个场所中。
[0023] SRM装置120提供受管理设备130的本地自治管理。在一个优选实施例中,SRM装置120通过网络(诸如因特网250)经由传输控制协议/因特网协议(TCP/IP)连接从位于NOC 205的监管用户230接收命令并且向该监管用户230提供信息。在一个优选实施例中,通过TCP/IP连接和XWindows客户端160使用安全壳(SSH)来传递数据,该XWindows客户端160对接到在监管工作站220上运行的XWindows主机210。
[0024] 如下文将更具体理解和描述的那样,SRM 120未通过这一SSH连接向监管工作站220传递企业应用级数据。具体而言,所有这样的数据保持于卫星位置101本地,并且SRM装置120未准予监管用户230访问该数据。例如存储于存储阵列142或者数据库144中的数据不可由监管用户230访问。监管用户230到LAN 150的仅有接口是经过SRM装置120以及XWindows主机210和XWindows客户端160。
[0025] 如本领域所知,XWindows服务器或者主机210是在监管用户的工作站220上运行以提供联网图形用户接口的软件进程。XWindows客户端160是助手应用,该应用在SRM装置上运行并且向XWindows主机210发送命令以在工作站220上打开视窗并且在那些视窗中表现位图或者其他图形信息。
[0026] SSH允许在XWindows客户端160与XWindows主机210之间的连接安全并且经过认证。SSH可以例如支持包括AES-256和3DES的广泛多种加密算法。它支持各种其他算法并且可以将公共密钥密码或者传统用户名/口令用于认证。
[0027] 图2图示了可能在工作站220上向监管用户230示出的屏幕的示例。根据下文将更完全说明的本发明方面,这一屏幕由在监管工作站220上运行的元件管理器表现。在所示非限制示例中,受管理设备130可以是卫星通信天线(诸如可从Concord, California的SeaTel, Inc.获得的SeaTel 2202)。在这一示例中的称为“DAC远程面板”(也可从Sea Tel获得)的特定元件管理器211被设计成通过天线130本地的串行端口连接到天线130。然而经由使用SRM装置120,使用通过SSH的串行端口转发向监管工作站220转发这一串行连接。
[0028] SRM装置120结合控制受管理设备130来执行多个功能。回顾图1,SRM装置120通过经由设备控制台接口连接(诸如经由串行端口(RS-232)接口)连接到受管理设备130来管理它们。每个受管理设备130(作为路由器、防火墙、交换机、服务器或者其他类型的受管理设备(诸如卫星通信天线)130)支持对应控制台连接并且可以独立于与任何设备或者网络的连接(诸如它们到LAN 150的相应以太网接口)由SRM装置120管理。如下文将描述的那样,尽管监管工作站220位于NOC 205但是受管理设备130位于远程地点101的事实,串行端口转发用来允许监管工作站220诸如经由在监管工作站220上运行的元件管理器211来控制受管理设备130。
[0029] 如这里使用的“控制台连接”可以包括如下串行端口,该串行端口提供可见性以拦截向受管理设备发出和从受管理设备接收的输入/输出命令,诸如可以是键盘/屏幕接口、命令行接口(其中命令旨在作为从键盘键入的字符序列被录入并且也接收输出为文本)或者相似接口。
[0030] SRM装置120还可以直接连接到LAN 140以与任何其他LAN连接的设备(例如130、141、142、144等)和网络通信。SRM装置120可以构造和传送合成事务以模拟正常网络事务并且由此测量各种基于网络的服务、它们的性能和可用性。然而在SRM装置120与受管理设备130之间的优选管理连接经由与每个受管理设备130的个别专用串行端口控制台连接。安全壳版本2是在SRM装置120与NOC 205之间的默认通信方法。远程监管用户230可以使用口令、证书或者二者的组合来认证。SRM装置120已经认识到具有例如上至2048字节的密钥长度的DSA和RSA两个加密方法。SRM装置120促进在经由串行连接来连接到装置的受管理设备(录入Cisco路由器)与RSA认证管理器之间的通信。SRM装置120从附着的RSA安全ID设备读取当前认证代码并且将它传递到受管理设备。受管理设备130然后可以向RSA认证管理器使用证书以执行两个因素认证。
[0031] 用于SRM装置120的用户认证可以涉及Radius或者TACACS服务器199,从而保持用户口令在整个企业内同步而又在装置本身上维持授权。SRM装置120可以在不能到达认证服务器的情况下可选地本地高速缓存TACACS ACK口令。一些TACACS记账特征可以由SRM装置120支持。可以使用开始停止(在每个命令之前和之后)或者仅停止(在每个命令之后)模型来向配置的TACACS服务器发送记账事件。
[0032] 图3更详细图示了图1的包括主控制器微处理器301的SRM装置120,该微处理器301具有用于执行自治设备管理功能的编程逻辑以及用于向包括受管理设备130的外部设备、监管工作站220和向相同LAN本地的其他设备发送数据和命令以及从这些设备接收数据和命令的通信逻辑。
[0033] SRM装置120的自治管理功能包括与一个或者多个受管理设备130通信、充当中介或者代理以执行向和从监管工作站220的串行端口转发、将来自外部设备(诸如监管工作站220)的所请求的操作转译成受管理设备特定的命令交互的集合、监视受管理设备130的状态、检测受管理设备130的功能失效、分析和存储根据从来自受管理设备130的监视数据导出的数据并且启发式地确定何时建立点到点替代通信路径。
[0034] 控制器301的自治功能与通过WAN 250可用但是远离受管理设备130的总体场所的管理资源独立或者协同地实现对受管理设备130和局域网连接140(包括它的设备和元件)的管理。控制器301也可以自治地创建用于向连接的网络140上的另一设备(该设备受管理或者不受管理)发送的合成事务以模拟正常网络事务并且由此测量各种基于网络的服务、它们的性能和可用性。这些合成事务也可以用来检测网络段和服务的失效。
[0035] 更具体而言,SRM装置120包括各种通信接口。第一类这样的接口包括一个或者多个串行接口350(例如RS-232接口),这些接口连接到受管理设备130的串行端口。如先前提到的那样,优选地有用于每个受管理设备130的专用串行接口350。
[0036] 第二类接口是提供与LAN 150的连接的网络接口(NIC)381,诸如以太网接口。
[0037] 第三类接口通向WAN 250以提供与在中央位置的监管工作站220的连接性。使这一接口与以太网接口共享或者可以是在SRM装置120的卫星或者远程办公101场所与NOC205之间的专用(拨号或者租赁线)连接。这一接口包括标准通信协议栈(至少包括TCP/IP
380)。如上文说明的那样,SSH栈370和XWindows客户端360允许控制器301安全地从监管工作站220接收命令和向监管工作站220发送信息。
380)。如上文说明的那样,SSH栈370和XWindows客户端360允许控制器301安全地从监管工作站220接收命令和向监管工作站220发送信息。
[0038] 在本发明的一个实施例中,串行端口转发(SPF)功能380也用来促进在监管工作站220与受管理设备130之间的异步通信。这提供用于SRM装置120的如下能力,该能力用于一般在来自运行元件管理器软件的监管用户230的指令之下向受管理设备130和工作站220转发串行端口命令和消息以及从受管理设备130和工作站220转发串行端口命令和消息。元件管理软件由受管理设备130的制造商提供以管理它们的操作。使用SPF功能380和在工作站220的虚拟端口功能,元件管理器可以在工作站220上运行,由于SPF 380使它看起来如同监管用户的位于NOC 205的工作站220直接连接到在远程位置101的受管理设备130那样。
[0039] 为了利用串行端口转发380的功能,监管用户230(在XWindows GUI的背景内)发起与SRM装置120的安全壳连接。她然后向管理用于受管理设备130的端口的适当接口导航。用户230然后请求向她的本地工作站(诸如“本地主机”或者127.0.0.1)可用的TCP端口转发串行端口。在监管工作站220上,串行端口转发软件应用然后配置从虚拟通信端口(虚拟COM端口)到转发端口的所有异步业务并且将它本身呈现给监管工作站220作为可用物理COM端口(即COM3)。这一串行端口转发功能可以基于RFC2217、但是使用安全壳(SSH)来向监管工作站220传递命令和数据。
[0040] 用户230然后在SRM装置120上发出终端转发命令,从而引起向元件管理器306的管理工作站的“COM3”端口转发待转发的所选受管理设备130的所有交互通信以控制。用户最终在她的连接到虚拟“COM3”端口的工作站220上起动元件管理器211应用软件;所有交互继续经由与受管理设备130的经过SRM装置120的SSH连接而出现。
[0041] 应当理解也可以在软件进程中自动操纵用于建立串行端口转发的所有这些操作代替针对某些步骤或者是用户发起的步骤与自动化步骤的任何组合而需要用户交互。
[0042] SRM装置120也可以包括其他功能(诸如数据库304)。数据库304包括广泛多种信息(包括配置信息、软件图像、软件版本信息、用户认证和授权信息、登录信息、从连接的设备收集的数据和从控制器301的各种监视功能收集的数据)并且能够执行各种数据库操作。数据库304执行很多相同操作并且具有与集中网络监管者的典型网络监管数据库相同的很多特征(包括软件、硬件和/或人类监管件);然而数据库304包括于SRM装置120本身中并且在SRM装置120所在的LAN 150本地提供监管功能。
[0043] 例如数据库304可以存储和操纵用于连接到SRM装置120的设备和元件(诸如LAN150的设备和元件)的配置数据以及用于SRM装置120的配置信息。
[0044] 另外,SRM装置120的数据库304包括日志数据。日志数据包括来自与受管理设备130的通信会话的审核信息、关于连接到SRM装置120的元件和设备的状态和更新信息。数据库304中的登录信息也可以包括如经由自治检测监管用户230经由控制台连接或者其他连接而录入的数据来捕获的用户交互数据。
[0045] 数据库304也包括用于允许升级或者回退受管理设备130的操作系统的软件图像和版本信息。数据库304也包括关于用户、组、角色和许可的数据,这些数据确定哪些用户可以经过SRM装置120访问哪些功能和资源以及SRM装置120本身的功能和资源。
[0046] 数据库304也包括用于与控制器301存储的其他状态信息比较的规则和阈值,控制器301使用这些规则和阈值以确定它是应当发起与LAN 150上的任何连接的设备的通信还是通过与WAN的通信的与远程外部设备161的通信。
[0047] 数据库304也通常包括如在与SRM装置 120在其他远程位置的其他相似实施方式以及与企业的其他LAN协同监管LAN 312时适用于SRM装置120的环境和使用的其他数据。
[0048] 控制器301连接到SRM装置120的调度器302。调度器302关于每个特定元件和受管理设备130并且也关于可用于经由LAN 150的本地监管的外部源提供SRM装置120的操作的定时和情景触发。例如调度器302以来自SRM装置120的数据库304的配置信息规定的时间间隔定期地使控制器301检查LAN 150或者设备130或者其元件的状态。此外例如调度器302在检测到或者认识在LAN 150或者它的设备或者元件的特定出现时可以通过WAN外部调用SRM装置120的通信以便获得从外部设备到LAN 150和SRM装置120(诸如从集中或者其他外部数据库或者数据仓库)的监管数据。
[0049] SRM装置120的看门狗305功能监视控制器301以确定控制器301是否仍然操作地运转。如果看门狗功能确定控制器不再可操作,则看门狗305将使控制器301重启。
[0050] 控制器301也连接到心跳功能303,该心跳功能303按照调度器302确定的时间表尝试经由到WAN 250的LAN 150连接来与远程外部设备通信。如果经由LAN 150的通信路径未响应,则控制器将发起建立通向WAN 250的替代点到点通信路径。
[0051] 前文示例仅旨在于说明SRM装置120的本地化自治管理功能而并非旨在于并且不应理解为限制或者排他。在实践中,这里描述的SRM装置120与整个企业网络(该网络可以包括用于聚合式网络企业内最终包括的多个LAN的SRM装置120中的多个SRM装置)独立或者同步和配合、尽管仅在本地网络或者LAN级、但是执行用于企业网络的监管操作中的如果并非所有则多数操作。SRM装置120因而监管LAN(而不是用于整个企业WAN的集中监管)。另外如下文进一步描述的那样,可以针对远离LAN进行的用于LAN的至少某些监管操作来远程访问每个SRM装置102本身。
[0052] 图4图示了执行SRM装置(管理设备)120的自治操作的方法400。对执行操作的请求可以按照在其工作站220上运行元件管理器211的监管用户230或者按照始发于远程地点101的去往SRM装置的直接用户命令而来自自治控制器301的过程。
[0053] 操作包括如下步骤,该步骤确定请求代理执行请求的操作的授权402。比较请求信息与本地数据库304中的授权或者替代地发送到授权功能,该授权功能通信连接到管理设备120、但是位于管理设备120以外(诸如TACACS、Radius、LDAP或者其他证书机构)。
[0054] 该方法然后在步骤403中确定是否授权操作请求。如果不是,则步骤404向请求方返回错误。如果授权请求,则在下一步骤405中执行连接。
[0055] 在连接步骤405中,管理设备102诸如经由直接串行通信来物理连接到受管理设备130(图1-3中所示)并且寻求与受管理设备130通信连接。如果连接步骤405未在如从数据库304确定的某一时间段内通信连接,则向请求方返回错误404。然而如果管理设备120与步骤405的受管理设备成功连接,则该方法400继续受管理设备状态检查的步骤407。
[0056] 在状态检查步骤407中,各种操作由与受管理设备通信的管理设备120执行以确定受管理设备的当前状态。设备状态检查步骤407包括确定受管理设备130是否在“恢复”状态中的步骤421。“恢复”状态是其中受管理设备未准备接受命令的任何状态。如果受管理设备在“恢复”状态中,则执行下一步骤恢复操作422。恢复操作尝试与受管理设备通信以使它重置它本身、当低级引导状态指示操作系统映像是坏的时通过重新引导操作系统映像来恢复它本身或者使连接的功率控制器317关断和接通受管理设备130。在步骤423中,该方法确定设备恢复是否成功。如果恢复未成功,则向请求方返回错误404。如果恢复成功,则下一步骤返回到连接405以尝试再次执行在401中请求的原有操作。
[0057] 如果受管理设备130在接收命令的状态中,则方法确定受管理设备130是否准备接收除了登录命令431之外的命令。如果受管理设备130未准备接收除了登录之外的命令,则执行下一步骤请求登录操作432。请求登录操作432向受管理设备发送必需认证命令以尝试将设备置于“登录”状态。如果请求登录操作432未成功将受管理设备130置于“登录”状态,则向请求方返回错误。
[0058] 如果受管理设备在“登录”状态中,则受管理设备130准备接收功能命令并且执行传输命令的下一步骤408。每个请求的操作可以由向受管理设备130发送的一个或者多个命令以及一个或者多个识别响应模式构成。传输命令功能408基于设备状态来确定用于向受管理设备130发送的正确命令并且发送该命令串。在一个优选实施例中,如先前提到的那样,经由控制台通信接口(控制台端口)和通过SSH的串行端口转发来发送和接收命令。
[0059] 方法400的下一步骤是在步骤409中接收数据。接收数据步骤409收集从受管理设备接收的数据字节流持续对于受管理设备特有的时间段。接收数据步骤409尝试确定受管理设备130是否已经完成响应于传输命令步骤408来发送数据流。如果接收数据步骤409确定接收的数据流完成或者如果向这一步骤分配的时间段流逝,则接收数据功能完成。
[0060] 操作400的下一步骤是解析数据410。解析数据步骤410尝试将接收数据步骤409中接收的字节流变换成适合于存储于数据库中的格式。
[0061] 来自解析数据步骤410的变换数据然后在步骤411中存储于数据库中。下一步骤是在日志会话中存储来自与受管理设备130的命令交互的审核数据,步骤413。审核数据存储于安全数据存储中以供审核功能以后取回。
[0062] 在这一点或者之后,在步骤412中,诸如经由元件管理器211向用户230表现或者更新命令的成功操作的位图或者其他图形指示。
[0063] 在整个过程400中的下一步骤414是确定是否有为了完成请求的操作而必须向受管理设备130发送的附加命令(在步骤401中返回)。如果有用于向受管理设备130发送的附加命令,则下一动作是向连接功能步骤返回。如果无用于向受管理设备130发送的附加命令,则操作400完成。
[0064] 在优选实施例中,管理设备(SRM装置)120通过直接通过它们管理的设备的控制台端口进行对接来递送远程管理和控制。这一连接实现用于远程IT基础设施的安全、常通(always on)、昼夜不停的(around the clock)管理。SRM装置120可以使例行IT支持功能中的多数功能(诸如监视、配置、故障和服务水平管理)自动化并且自治解决可能引起与网络有关的停机的问题中的多数问题(包括配置错误、或卡住或者挂起的设备和电信故障)。
[0065] 利用基于文本的图形用户接口(GUI),优选实施例的方式让控制实时数据的IT监管者容易管理、配置和控制连接到SRM装置的所有网络设备和服务器。部署于网络操作中心,监管用户现在可以通过统一观察在分布式基础设施中发生什么来执行实时监视和管理。
[0066] 通过使用SRM装置120作为网关来管理远程设备,可以执行无论是在带内还是带外工作的IT策略。用户认证可以涉及现有Radius或者TACACS服务器以便保持用户口令在整个企业内同步而在SRM装置120上维持授权。控制用户会话以避免对系统的未授权访问,并且可以集中限定和管理授权控制以执行谁有权访问哪些系统。
[0067] 此外,SRM装置120可以始终捕获对系统做出的所有改变和那些改变的结果以实现完整顺应报告。例如SRM装置120可以被配置成记录每个用户的键击和输出,这不同于记账工具,即可能在网络停用期间无法捕获改变的TACACS或者配置管理解决方案。可以向顺应管理系统转发包括会话、系统日志和控制台数据的完整日志数据用于分析和定制的顺应报告。
[0068] 当网络恰当运转时,SRM装置120可以使用基于以太网的连接来连接到集中管理服务器(在网络操作中心的控制中心)。但是当它未恰当运转时,它可以拨出并且使用包括拨号调制解调器、蜂窝网络或者卫星通信的多种备用网络通信、经由安全带外路径来立即建立连接性。这保证对远程设备和媒体管理的安全常通访问和连接性。
[0069] 管理设备120的这一管理操作专门和具体地关于每个连接的受管理设备由管理设备执行。另外,管理设备120在LAN执行这一管理操作并且无任何外部支持或者监管(除非管理设备然后确定这样的外部支持或者监管是适当或者希望的)。因此,位于特定LAN并且关于特定LAN及其设备和元件操作的管理设备未依赖于集中监管,并且从其他LAN、元件、设备和任何WAN以非集中方式监管包括LAN及其元件和设备的网络件。当然,如已经提到的那样,集中或者远离LAN的可访问性可以对于管理设备仍然可能,并且事实上,管理设备可以在某些实例中在逻辑上用外部资源做出评价并且控制和监管外部资源。然而,管理设备120消除每一个监管操作如已经常规的那样由集中监管者操纵这样的要求,并且代之以在LAN本地与聚合企业网络的其他LAN协同监管LAN,聚合企业网络中的每个也以相似方式由相应管理设备监管。
[0070] 前述管理设备以及系统和方法因此提供多个操作可能性120。在效果上,无需集中网络监管布置中的典型网络操作中心(NOC)205经由(一个或多个)管理设备监管网络。每个个别管理设备可以监管网络的多个相似定位的设备,并且可以供应(一个或多个)管理设备120中的多个管理设备以在相同或者其他位置容纳更大数量的设备。当连接于此时,经由管理设备来监管位于与其他网元远离的位置的局域网(或者甚至一个或者多个联网设备)。监管管理设备120的这一布置经由管理设备实现多个独特操作和可能性,该布置用于解决每若干网络设备的监管,其中管理设备120位于若干设备的位置(而不是在具体集中位置)。
[0071] 用于管理设备120的一个独特操作是在LAN的本地设备的位置而不是在任何远程或者其他集中监管位置本地管理该设备。管理设备120关于连接的本地网络设备的某些本地化管理操作包括在不适当配置改变的情况下回退设备配置和设置、连续监视设备配置和性能、自动化维护设备以及经由安全连接性(SSHv2)的安全性和顺应性、本地或者远程认证、完整审核跟踪设备交互以及用于控制远程设备访问和管理功能的粒度授权模型。所有这些操作在连接到管理设备的联网设备的场所处由于管理设备120的逻辑和功能操作以及管理设备的特定系统设计和布置而可能。
[0072] 另外,管理设备120通过备用或者辅助外部网络(或者WAN)连接经由管理活动的重新寻路由来提供连接的网络设备的不断管理。如提到的那样,在主要外部网络访问在管理设备120不可用或者中断的情况下,管理设备120的调制解调器提供用于外部访问的辅助拨号或者相似路径。在操作中,管理设备在出现设备、网络或者功率停用时如情况可以的那样并且根据管理设备的所需布置和配置将管理通信向辅助访问路径而不是主要网络访问路径自动重新路由。此外,管理设备120的本地自治管理功能未受主要数据网络的不可用所影响,因为管理设备可以使用控制台通信路径来与受管理设备120通信。
[0073] 管理设备120在连接到设备时的其他操作包括针对连接到管理设备的设备的自动、人工或者定向分布式配置管理。例如在具有集中监管者和数据库的企业网络中,管理设备在它管理远离集中位置的设备130时向用于企业网络的集中监管者和数据库传送用于设备和远程本地网络的配置和设置信息。在这样的布置中,管理设备提供用于连接的设备和网络的主要监管,并且集中监管者和数据库可以继续总体上监管企业,诸如其中管理设备未/不能操纵管理或者其中仍然希望备用或者集中监管操作。
[0074] 管理设备120的另一操作向管理设备120提供用于连接的设备130或者140和网络的驱动的动态组件。例如管理设备120自动或者否则在逻辑上辨认连接的设备和适合于这样的设备的驱动(包括更新等)以及用于在第一连接上的初始化。这在连接的设备和网络限制在设置和配置中的错误或者问题,并且在任何远程位置管理这样的项目。管理设备120在场所的数据库和逻辑操作根据管理设备120的设计和布置来动态组装用于多个设备和本地网络实施的驱动。
[0075] 管理设备120附加地使各种应用能够在连接的设备和本地网络的场所处运行和执行。这些应用包括广泛多种可能性(诸如例如关于设备的数据收集、使用和性能、e-键合、QoE、针对本地设备和网络的管理做出决策等)。当然,用于这样的应用的可能性就用于连接的设备130、140和网元的经由管理设备120的本地监管和应用服务概念而言实质上无限。
[0076] 广泛多样性和许多替代在管理设备120以及与之结合描述的LAN、设备、元件和其他监管内容的使用、设计和操作中是可能的。
[0077] 在前文说明书中,已经参照具体实施例描述本发明。然而本领域普通技术人员应该理解可以做出各种修改和改变而未脱离如以下权利要求书中记载的本发明范围。因而说明书和附图将视为示例而非限制意义,并且所有这样的修改旨在于包括含于本发明的范围内。
[0078] 上文已经关于具体实施例描述了益处、其他优点和对问题的解决方案。然而益处、优点、对问题的解决方案以及可以使任何益处、优点或者解决方案出现或者变得更明显的任何(一个或多个)要素将未被理解为任何或者所有权利要求的关键、必需或者实质特征或者要素。如这里使用的那样,术语“包括”、“包含”或者其任何其他变化旨在于覆盖非排他性的包括,使得包括要素列举的过程、方法、制品或者装置不仅包括那些要素而且可以包括未明确列举或者这样的过程、方法、制品或者装置固有的其他要素。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 用于IAAS的管理的异步框架 | 2020-05-08 | 877 |
| 用于定义静态光纤通道组构的装置与方法 | 2020-05-30 | 613 |
| Apparatus and method for preventing disruption of fibre channel fabrics caused by reconfigure fabric (RCF) messages | 2020-05-21 | 256 |
| APPARATUS AND METHOD FOR PREVENTING DISRUPTION OF FIBRE CHANNEL FABRICS CAUSED BY RECONFIGURE FABRIC (RCF) MESSAGES | 2020-05-24 | 513 |
| Computer accessing system | 2020-06-08 | 524 |
| Command line interpreter for accessing a data object stored in a distributed storage network | 2020-05-12 | 385 |
| Universal serial bus interpreter | 2020-06-05 | 64 |
| Universal serial bus test system | 2020-06-07 | 122 |
| SYSTEM AND METHOD FOR IDENTIFYING APPLICATION RESOURCES | 2020-05-29 | 546 |
| APPARATUS AND METHOD FOR PREVENTING DISRUPTION OF FIBRE CHANNEL FABRICS CAUSED BY RECONFIGURE FABRIC (RCF) MESSAGES | 2020-06-01 | 153 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
命令行解释器热门专利
QQ群二维码
意见反馈
意见反馈