本申請公開了一種網絡設備的通信方法及裝置。該方法包括：獲取與網絡設備進行通信的活躍終端的地址；基于活躍終端的地址確定網絡設備的帶內網絡管理口動態地址；基于帶內網絡管理口動態地址與遠程管理終端進行網絡通信。通過本申請，解決了相關技術中的網絡設備的通信方法中，網絡管理口地址容易被攻擊者獲取，存在安全隱患的問題。

技術領域

本申請涉及網絡安全技術領域，具體而言，涉及一種網絡設備的通信方法及裝置。

背景技術

目前網絡設備的管理模式可分為帶外管理(out-of-band)和帶內管理(in-band)兩種管理模式。

帶內管理：目前業內使用的網絡設備管理手段基本上都是帶內管理，即管理控制信息與數據信息使用統一物理通道進行傳送。例如：常用的HP?Openview網絡管理軟件就是典型的帶內管理系統，數據信息和管理信息都是通過網絡設備以太網端口進行傳送。帶內管理的優勢在于可以通過現有業務網絡對網絡設備進行遠程配置管理。但是，帶內管理的最大缺陷在于：帶內網絡管理口暴露在業務網絡中，滲透到網絡中的入侵者借助跳板終端可以很容易在業務通道內掃描到網絡設備的帶內網絡管理地址，并且通過網絡設備管理地址回應的特征分析其缺陷和漏洞，然后針對網絡設備的嵌入式CPU直接發起攻擊，而網絡設備中的嵌入式CPU用途單一、資源有限，不具備復雜的安全管控手段的條件，防御攻擊的能力相對更脆弱，而一旦被攻陷，造成的后果更加嚴重。

帶外管理：帶外管理一般采用以太網口、USB口、串口、I2C、SPI等方式與設備中的嵌入式配置CPU直接相連。帶外管理的核心理念在于通過不同的物理通道傳送管理控制信息和數據信息，兩者完全獨立，互不影響。帶外管理的最大優勢在于可以通過不同的物理通道傳送管理控制信息和數據信息，兩者完全獨立，互不影響。但是，帶外管理的最大缺陷在于：要單獨組網或直接將帶外網絡管理口接入到業務網才能實現遠程管理，這會造成從業務通道入侵帶外網絡管理口的安全隱患。

針對相關技術中的網絡設備的通信方法中，網絡管理口地址容易被攻擊者獲取，存在安全隱患的問題，目前尚未提出有效的解決方案。

發明內容

本申請提供一種網絡設備的通信方法及裝置，以解決相關技術中的網絡設備的通信方法中，網絡管理口地址容易被攻擊者獲取，存在安全隱患的問題。

根據本申請的一個方面，提供了一種網絡設備的通信方法。該方法包括：獲取與網絡設備進行通信的活躍終端的地址；基于活躍終端的地址確定網絡設備的帶內網絡管理口動態地址；基于帶內網絡管理口動態地址與遠程管理終端進行網絡通信。

可選地，獲取與網絡設備進行通信的活躍終端的地址包括：通過網絡設備的網絡處理芯片將網絡設備采集到的報文發送至網絡設備的CPU中；通過CPU獲取報文的源地址，并確定第一預設時間內對應報文數量最多的目標源地址，其中，目標源地址至少包括：源IP地址、源MAC地址；將目標源地址對應的終端確定為活躍終端，并將目標源地址確定為活躍終端的地址。

可選地，基于活躍終端的地址確定網絡設備的帶內網絡管理口動態地址包括：通過網絡處理芯片將CPU發送的心跳報文的源地址修改為活躍終端的地址，并將修改源地址后的心跳報文發送至遠程管理終端；判斷網絡處理芯片是否接收到目標回應報文，其中，目標回應報文為遠程管理終端針對心跳報文發送的回應報文；在網絡處理芯片接收到目標回應報文的情況下，將目標回應報文的目的地址修改為網絡設備的原始帶內網絡管理口地址，并將修改目的地址后的目標回應報文發送至CPU；通過CPU向遠程管理終端發送地址注冊報文，并在接收到遠程管理終端發送的注冊成功的報文的情況下，基于活躍終端的地址與預先配置的協議端口號確定網絡設備的帶內網絡管理口動態地址。