相關申請

本申請是2010年8月26日提交美國申請號12/869,508號的繼續申請，其要求對2009年8月28日提交的美國臨時申請號61/237,765的優先權。通過引用將上述申請的全部教導合并于此。

技術領域

本公開一般地涉及管理包括本地和遠程設備兩者的通信網絡，并且更具體地涉及使用集中控制位置或者設施的遠程和本地系統和方法兩者對這些網絡的各種設備和連接的非集中安全管理。

背景技術

常規地從中央管理位置管理實施通信網絡（諸如企業級網絡）的資源。中央管理位置可以例如是企業（諸如具有多個地理上遠離的分公司（branch?office）的公司）的總公司（main?office）。各種軟件和硬件已經在中央位置運用于監管和支持這些網絡的操作。為了實現這一點，各種數據庫和網絡信息、控制以及其他設施由網絡監管者人員操作和訪問。這些中央管理系統和設施執行廣泛多種企業級功能（例如包括設備和網絡配置、數據保持（retention）和存儲、數據庫操作、控制、使能、授權和準許）以及否則將網絡作為整體對待。

盡管通常已經集中監管和管理這些企業級網絡功能，但是用于這些網絡的各種遠程設備和本地網絡連接無論它們位于何處它們本身也都必須被監管、管理和否則支持。這些本地網絡連接和設備例如包括在每個分公司的以太網局域網（LAN）。用于這些本地網絡連接和設備的監管、管理和相似支持經常需要每個單獨分支位置或者網絡段本地的專用設施、系統和人員。

這些集中機制依賴于使用可操作網絡來管理如下設備，這些設備潛在負責該網絡的一部分的存在。但是使用協議（諸如簡單網絡管理協議（SNMP））的自動化“帶內（in-band）”管理技術要求網絡本身起作用。如果網絡的部件失效，則自動化管理基礎設施沒有用于提供與遠程設備連接的機制、更不用說管理這樣的設備。針對這些不足的減輕已經包括：使用與遠程網絡和設備并置的人力資源；使用復制和附加的網絡通信路徑以在失效情況下提供替代路徑；使用遠程控制臺服務器功能，這些功能使本地設備控制臺和命令行接口可用于在與遠程位置分離的位置處的人力資源。也可能需要對在每個遠程場所的設備和網絡連接的附加監管、管理和支持。通信基礎設施、人員和設施可能由于常規企業系統的遠程支持要求而昂貴、人力密集和加倍。

發明內容

因此將在領域和技術（art?and?technology）中有新的和重大改進以提供用于通信網絡的非集中監管和管理的系統和方法，這些系統和方法消除對常規企業網絡中的集中監管和管理中固有的某些人員、裝備和操作限制的需要。該方式應當允許以盡可能安全和無縫的方式遠程控制、解決、管理和監管遠程和相異網元（諸如分公司LAN、WAN和設備）的方面。

在一個實施例中，本發明是一種用于安全和管理遠程局域網的一個或者多個通信連接的設備的系統。該系統包括管理設備，該管理設備連接到控制臺連接（串行端口）并且可選地連接到一個或者多個受管理網絡設備的以太網接口。管理設備位于與受管理網絡設備相同的場所中。源自遠程位置的數據僅以特定方式通過安全連接轉發到中央監管工作站以保證在分支位置的信息安全性。

在一個方面中，管理設備可以實施向監管工作站上的虛擬串行端口的通過安全連接的串行端口轉發。這允許遠程監管用戶即使僅有與遙遠網絡設備的遠程連接仍然以如同監管工作站直接并且物理連接到受管理設備那樣的確切相同的方式安全地操作元件管理軟件。

更具體而言，在本發明的第一方面中，安全遠程管理器（SRM）裝置實施對可以源自集中定位的監管用戶的請求的本地處理。通常位于用于企業的網絡操作中心（NOC）上的這些監管用戶經由安全殼（SSH）連接來訪問SRM裝置。在一個優選實施例中在因特網協議（TCP/IP）網絡連接上通過傳輸控制協議攜帶（carry?over）SSH連接。網絡管理裝置也可以通過SSH連接經由圖形用戶接口（GUI）（諸如XWindows）向監管用戶工作站轉發來自遠程位置的數據。

在該實施的一個優選實施例中，從SRM裝置到監管工作站的網絡連接是通過專用物理層連接來產生的并且并非共享網絡連接。以這一方式可以提供最大安全性。

即使有這些通信架構限制，SRM裝置仍然可以繼續完全在安全企業環境內管理準許（諸如用戶認證和登錄）。因而，對于NOC處的元件無需實施AAA（認證、授權和記賬）或者相似功能。例如，SRM裝置可訪問的Radius/TACACS服務器可以完全在遠程位置的安全環境內操縱監管用戶登錄和準許控制。