網絡設備遠程維護系統及維護方法

專利名稱：網絡設備遠程維護系統及維護方法
技術領域：
本發明涉及對網絡設備的管理和維護技術，特別涉及一種網絡設備遠程維護系統及維護方法。
背景技術：
隨著計算機網絡的飛速發展，各類網絡通信設備被廣泛應用到各場所；在傳統技術中，一旦用戶網絡癱瘓或網絡設備發生故障，往往需要網絡設備廠商派出技術服務人員 或研發人員到故障點定位分析問題，現場解決問題。采用該種方式從故障的發生到問題的解決所用時間周期較長，對用戶業務影響大，解決問題成本較高。也曾有部分網絡設備廠商提出使用窄帶的調制解調器(Modem)進行遠程撥號到維護終端，然后由維護人員進行遠程維護的方式進行排查問題。但該種方案需要部署電話網絡，而且存在網絡帶寬窄、不方便進行文件傳輸以及在線升級等缺陷；缺乏接入的安全認證機制，傳輸過程數據也無加密措施，安全性差；并且整個維護過程客戶不可控，事后無法審計，可靠性差。

發明內容
本發明所要解決的技術問題是提出一種網絡設備遠程維護系統及維護方法，解決傳統技術中對網絡設備的維護周期長、成本高、缺乏安全性和可靠性的問題。本發明解決上述技術問題所采用的方案是提供一種網絡設備遠程維護系統，包括遠程維護代理設備、認證服務器及遠程維護終端；所述遠程維護代理設備，用于通過第一接口與被維護網絡設備連接，并通過3G具備3G上網功能，通過3G網絡與L2TP網絡服務器之間建立安全加密通道；通過安全連接通道接收遠程維護終端下發的數據并轉發給被維護網絡設備，以及接收被維護網絡設備上傳的數據并通過安全加密通道轉發給遠程維護終端；所述認證服務器，用于遠程維護代理設備的接入認證、遠程維護終端的接入認證；所述遠程維護終端，用于提供遠程維護人員身份認證，接受遠程維護人員的維護命令輸入，向遠程維護代理設備下發維護命令，以及接收遠程維護代理設備上傳的維護結果并顯示。進一步，所述遠程維護代理設備的第一接口為串口或以太網接口。進一步，所述遠程維護代理設備通過3G上網卡撥號向L2TP網絡服務器進行PPP身份認證，由L2TP網絡服務器將遠程維護代理設備的身份認證信息發送至認證服務器進行AAA認證，由認證服務器向遠程維護代理設備分配IP地址，遠程維護代理設備與L2TP網絡服務器之間建立安全加密通道。進一步，所述認證服務器還用于提供維護過程中的日志記錄及審計功能。本發明的另一目的，還在于提出網絡設備遠程維護方法，其包括以下步驟
a.連接遠程維護代理設備與被維護網絡設備；
b.遠程維護代理設備上電，在經過相關認證后由，由認證服務器為遠程維護代理設備分配IP地址，遠程維護代理設備與L2TP網絡服務器之間建立安全加密通道；c.遠程維護人員登錄遠程維護終端，并輸入身份信息；d.遠程維護終端將遠程維護人員的身份信息發送給認證服務器進行合法性認證，在認證通過后，認證服務器將遠程維護代理設備的IP地址發送給遠程維護終端；e.遠程維護人員在遠程維護終端上輸入維護命令；f.遠程維護終端將維護命令通過安全加密通道發送給遠程維護代理設備；g.遠程維護代理設備接收維護命令，并轉發給被維護網絡設備；h.被維護網絡設備接收并執行維護命令，將執行后的結果傳送給遠程維護代理設備;i.遠程維護代理設備將執行后的結果通過安全加密通道發送給遠程維護終端。進一步，該方法還包括步驟j.在遠程維護結束后，遠程維護終端將本次遠程維護的維護過程日志發送給認證服務器；k.認證服務器接收并記錄維護過程日志。進一步，步驟a中，通過串口或以太網口連接遠程維護代理設備與被維護網絡設備。進一步,步驟b具體包括bl.遠程維護代理設備上電；b2.遠程維護代理設備利用3G上網卡撥號，通過3G基站向L2TP訪問集中器發起呼叫，由L2TP訪問集中器對遠程維護代理設備的身份合法性進行認證；b3. L2TP訪問集中器和L2TP網絡服務器之間通過第二層隧道協議在運行商提供給城域網VPN或SDH專線中協商完成L2TP隧道的建立；b4.遠程維護代理設備與L2TP網絡服務器進行PPP協商和認證；b5. L2TP網絡服務器將遠程維護代理設備的認證信息發送至認證服務器進行AAA認證；b6.由認證服務器為遠程維護代理設備分配IP地址；b7.遠程維護代理設備與L2TP網絡服務器之間協商建立安全加密通道。進一步，步驟b4中，遠程維護代理設備與L2TP網絡服務器通過口令驗證協議或握手簽權協議進行認證。進一步，所述遠程維護人員的身份信息包括用戶名和密碼。本發明的有益效果是能夠及時地響應客戶的網絡設備維護需求，縮短維護周期，減少維護成本；使用遠程維護代理設備不再局限于維護設備類型和設備廠商，兼容性較強；由于采用了接入認證和安全加密通道，保證了客戶網絡的安全性，對維護日志進行記錄和保存，使得整個遠程維護過程可審計。


圖I為本發明的遠程維護系統結構框圖2為本發明的遠程維護方法實施例流程圖。
具體實施例方式針對傳統技術中對網絡設備的維護周期長、成本高、缺乏安全性和可靠性的問題，本發明提出了一種網絡設備遠程維護系統及維護方法；通過3G網絡進行遠程維護，無需專門部署電話網絡，帶寬也足夠支持文件傳輸和在線升級等維護工作；使用遠程維護代理設備不再局限于維護設備類型和設備廠商，兼容性強，能夠及時響應網絡設備的維護需求，縮短維護周期，減少維護成本；采用了接入認證和安全加密通道，保證了客戶網絡的安全性；且對維護日志進行記錄和保存，使得整個遠程維護過程可審計，增加了可靠性。參見圖1，本發明中的遠程維護系統包括遠程維護代理設備、認證服務器及遠程維護終端； 所述遠程維護代理設備具備3G上網功能，其通過以太網口或串口與被維護網絡設備連接，用于通過3G網絡與L2TP網絡服務器之間建立安全加密通道；通過安全連接通道接收遠程維護終端下發的數據并轉發給被維護網絡設備，以及接收被維護網絡設備上傳的數據并通過安全加密通道轉發給遠程維護終端；所述認證服務器用于遠程維護代理設備的接入認證、遠程維護終端的接入認證；提供維護過程中的日志記錄及審計功能；所述遠程維護終端用于提供遠程維護人員身份認證，接受遠程維護人員的維護命令輸入，向遠程維護代理設備下發維護命令，以及接收遠程維護代理設備上傳的維護結果并顯示。下面結合圖2與實施例對本發明的遠程維護方法流程進行說明參見圖2，該流程包括如下步驟I、當有網絡設備需要進行遠程維護時，由工作人員攜帶遠程維護代理設備到現場，并通過串口(以太網口不能正常工作時)或以太網口連接到被維護網絡設備；2、遠程維護代理設備上電后，利用3G上網卡撥號，然后通過3G基站向運營商的LAC(L2TP訪問集中器)發起呼叫，然后由運營商的LAC對其身份的合法性進行認證；3、L2TP訪問集中器(LAC)和L2TP網絡服務器(LNS)通過第二層隧道協議(L2TP即Layer 2 Tunneling Protocol)在運行商提供給城域網VPN或SDH專線中協商完成L2TP隧道建立。4、遠程維護代理設備和L2TP網絡服務器(LNS)進行PPP協商，可以采用口令驗證協議(PAP)或握手鑒權協議(CHAP)進行身份認證；5、L2TP網絡服務器(LNS)將遠程維護代理設備的身份認證通過認證協議(如radius)發送到認證服務器進行AAA認證；同時認證服務器記錄給遠程維護代理設備分配內網IP地址；6、在AAA認證通過后，遠程維護代理設備和L2TP網絡服務器(LNS)之間協商建立IPSec安全加密隧道；7、遠程維護人員輸入用戶名和密碼等身份信息，登錄遠程維護終端軟件；8、遠程維護終端將用戶輸入的身份信息發送給認證服務器，認證服務器對其身份的合法性進行認證。認證通過后，將已經建立連接的遠程維護代理設備的IP地址信息(步驟5)通知給遠程維護終端；9、遠程維護人員在遠程維護終端上輸入維護命令；10、遠程維護終端通過步驟6建立的安全加密隧道發送維護命令給遠程維護代理設備；11、遠程維護代理設備接收維護命令，并將該命令轉發給被維護網絡設備的串口或以太網口 ；12、被維護網絡設備接收維護命令，然后執行維護命令，并將命令執行結果發送到串口或以太網口；13、遠程維護代理設備接收維護命令執行結果，并通過步驟6建立的安全加密隧道將維護命令執行結果發送給遠程維護終端；遠程維護人員可通過維護終端察看維護命令執行結果；14、如果在遠程維護過程中需要對被維護網絡設備升級IOS文件或配置文件；用戶可以通過遠程維護終端上傳文件；15、上傳文件通過步驟6建立的安全加密隧道傳送到遠程維護代理設備上；16、遠程維護代理設備通過被維護網絡設備的串口或以太網口進行IOS文件或配置文件升級；17、遠程維護人員手動在遠程維護終端上結束遠程維護過程；18、遠程維護終端將本次遠程維護的詳細維護過程日志發送給認證服務器。認證服務器接收并記錄遠程維護過程日志。網絡管理員可以通過圖形化界面在認證服務器上察看所有的網絡設備遠程維護日志記錄； 本發明所要求保護的技術方案包含但不僅限于上述實施方式中的內容，在不脫離本發明的精神實質的情況下，本領域技術人員根據上述實施方式所記載的內容對本發明的方案作出的等同替換均在本發明的保護范圍內。
權利要求
1.網絡設備遠程維護系統，其特征在于，包括遠程維護代理設備、認證服務器及遠程維護終端； 所述遠程維護代理設備，用于通過第一接口與被維護網絡設備連接，并通過3G網絡接口利用3G網絡與L2TP網絡服務器之間建立安全加密通道；通過安全連接通道接收遠程維護終端下發的數據并轉發給被維護網絡設備，以及接收被維護網絡設備上傳的數據并通過安全加密通道轉發給遠程維護終端； 所述認證服務器，用于遠程維護代理設備的接入認證、遠程維護終端的接入認證； 所述遠程維護終端，用于提供遠程維護人員身份認證，接受遠程維護人員的維護命令輸入，向遠程維護代理設備下發維護命令，以及接收遠程維護代理設備上傳的維護結果并顯不O
2.如權利要求I所述的網絡設備遠程維護系統，其特征在于，所述遠程維護代理設備的第一接口為串口或以太網接口。
3.如權利要求I所述的網絡設備遠程維護系統，其特征在于，所述遠程維護代理設備通過3G上網卡撥號向L2TP網絡服務器進行PPP身份認證，由L2TP網絡服務器將遠程維護代理設備的身份認證信息發送至認證服務器進行AAA認證，由認證服務器向遠程維護代理設備分配IP地址，遠程維護代理設備與L2TP網絡服務器之間建立安全加密通道。
4.如權利要求I所述的網絡設備遠程維護系統，其特征在于，所述認證服務器還用于提供維護過程中的日志記錄及審計功能。
5.網絡設備遠程維護方法，其特征在于，包括以下步驟 a.連接遠程維護代理設備與被維護網絡設備； b.遠程維護代理設備上電，在經過相關認證后由，由認證服務器為遠程維護代理設備分配IP地址，遠程維護代理設備與L2TP網絡服務器之間建立安全加密通道； c.遠程維護人員登錄遠程維護終端，并輸入身份信息； d.遠程維護終端將遠程維護人員的身份信息發送給認證服務器進行合法性認證，在認證通過后，認證服務器將遠程維護代理設備的IP地址發送給遠程維護終端； e.遠程維護人員在遠程維護終端上輸入維護命令； f.遠程維護終端將維護命令通過安全加密通道發送給遠程維護代理設備； g.遠程維護代理設備接收維護命令，并轉發給被維護網絡設備； h.被維護網絡設備接收并執行維護命令，將執行后的結果傳送給遠程維護代理設備； i.遠程維護代理設備將執行后的結果通過安全加密通道發送給遠程維護終端。
6.如權利要求5所述的網絡設備遠程維護方法，其特征在于，該方法還包括步驟 j.在遠程維護結束后，遠程維護終端將本次遠程維護的維護過程日志發送給認證服務器； k.認證服務器接收并記錄維護過程日志。
7.如權利要求5所述的網絡設備遠程維護方法，其特征在于，步驟a中，通過串口或以太網口連接遠程維護代理設備與被維護網絡設備。
8.如權利要求5-7任意一項所述的網絡設備遠程維護方法，其特征在于，步驟b包括 bl.遠程維護代理設備上電； b2.遠程維護代理設備利用3G上網卡撥號，通過3G基站向L2TP訪問集中器發起呼叫，由L2TP訪問集中器對遠程維護代理設備的身份合法性進行認證； b3. L2TP訪問集中器和L2TP網絡服務器之間通過第二層隧道協議在運行商提供給城域網VPN或SDH專線中協商完成L2TP隧道的建立； b4.遠程維護代理設備與L2TP網絡服務器進行PPP協商和認證； b5. L2TP網絡服務器將遠程維護代理設備的認證信息發送至認證服務器進行AAA認證； b6.由認證服務器為遠程維護代理設備分配IP地址； b7.遠程維護代理設備與L2TP網絡服務器之間協商建立安全加密通道。
9.如權利要求8所述的網絡設備遠程維護方法，其特征在于，步驟b4中，遠程維護代理設備與L2TP網絡服務器通過口令驗證協議或握手簽權協議進行認證。
10.如權利要求5所述的網絡設備遠程維護方法，其特征在于，所述遠程維護人員的身份信息包括用戶名和密碼。
全文摘要
本發明涉及對網絡設備的管理和維護技術，其公開了一種網絡設備遠程維護系統及方法，解決傳統技術中對網絡設備的維護周期長、成本高、缺乏安全性和可靠性的問題。其技術方案的要點包括遠程維護代理設備、認證服務器及遠程維護終端；遠程維護代理設備通過3G網絡與L2TP網絡服務器之間建立安全加密通道；通過安全連接通道接收遠程維護終端下發的數據并轉發給被維護設備，以及接收被維護設備上傳數據并通過安全加密通道轉發給遠程維護終端；認證服務器用于遠程維護代理設備的接入認證、遠程維護終端的接入認證；遠程維護終端用于接受遠程維護人員的維護命令輸入，向遠程維護代理設備下發維護命令及接收上傳的維護結果。本發明適用于對網絡設備的維護。
文檔編號H04L12/24GK102647300SQ201210125288
公開日2012年8月22日 申請日期2012年4月25日 優先權日2012年4月25日
發明者鄧霄博, 黃山 申請人:邁普通信技術股份有限公司