1、背景技术

企业出于安全考虑，在组网的时候，通常会将网络区分为信任网络和非信任网络，并将两者通过网闸进行隔离。通常，如图1的现有技术的组网图所示，我们将信任网络称为安全区，非信任网络称为非安全区。网闸的特点是，非安全区的网络设备无法建立与安全区的网络设备的TCP连接，只能通过网闸向安全区发送文本文件；而安全区的网络设备可以建立与非安全区的TCP连接，通过该TCP连接只能向外发送数据，而不能读取外部数据。

图1现有技术的组网图

基于网闸的通信模式，可以切断非安全区对安全区的TCP连接，使得各种病毒无法从非安全区到达安全区，并保证非安全区与安全区的基本通信需求。

但是，由于非安全区的网络设备无法与安全区的网络设备建立TCP连接，因此，各种网管协议（如SNMP（Simple Network Management Protocol ，简单网络管理协议）等）均无法穿透网闸，这样，当运维人员使用非安全区的网管进行工作时，则运维人员无法通过网管协议对安全区的网络设备进行管理。

2、利用操作原语突破安全区的网络管理新方法介绍

本发明提出一种突破安全区的网络管理新方法，可以很好地解决上述问题，该方法的特点在于：当应用于非安全区的网管软件接收到用于对安全区的网络设备进行管理操作的命令时，确定与该管理操作对应的操作信息；根据该操作信息，生成能够通过网闸传输至安全区的指定格式的操作原语；再将指定格式的操作原语发送给安全区的网管软件，以使安全区的网管软件根据该操作原语对网络设备进行管理。

2.1 多级网管部署

下面结合下图2所示的组网图，具体描述一下网管软件对安全区内设备的管理的实现过程。

图2多级网管的组网示意图

如图2所示，在非安全区部署有网管软件3（后文称为网管3）和网管软件1（后文称为网管1），其中，网管1作为网管3的下级网管。网管1用于对非安全区的网络设备进行管理，而网管1不用于管理任何非安全区的设备，其作用是利用数据库1承接安全区网管2的数据库2的增量数据，从而成为安全区网管2的克隆网管。在安全区部署有网管软件2（后文称为网管2）。网管2能够对安全区的所有网络设备（如网络设备A和网络设备B）进行管理，获取到网络设备的网管数据，并在数据库2中记录网络设备的网管数据，如网络设备的IP地址、设备标识、接口状态、设备状态等。

2.2利用操作原语突破网闸自动发现网络设备

以自动发现网络设备为例，IP地址段为10.153.1.0-10.153.1.255为例对网管软件对安全区内设备的管理的实现过程进行说明。

运维人员在网管3上执行自动发现设备的操作。网管3会启动自动扫描非安全区的设备，同时网管3会通过与网管1之间的通信接口告知网管1要启动自动发现设备的操作。

网管1收到自动发现设备的命令时，网管1不启动任务，而是通过自动发现的操作原语 autodiscovry {10.153.1.0-10.153.1.255}，将加密的操作原语通过网闸发送给网管2，其中，该操作原语为txt文本格式。网管2解密原语后，启动自动发现任务，发现安全区的设备，并将安全区设备信息存入自己的数据库2，产生数据库增量数据。

进一步的，网管2可以每分钟都会将数据库2中的增量数据通过TCP连接向网管1发送。网管1收到增量数据后，在数据库1中恢复增量数据，从而数据库1中就会存在安全区设备的网管数据。进而网管3就可以通过与网管1之间的接口实时查看安全区的设备信息，并进行管理。

点评>>

本方案通过数据库增量备份技术实现了对安全区网管2的克隆，网管1和网管2之间通过约定txt格式的操作原语，由此可以实现对安全区设备的管理，突破了网闸的通讯限制。