分布式系统的设备策略下发方法与设备分级管理系统

技术领域

随着信息化发展与网络设备数量的快速增长，需要对设备进行有效管理。常见的有多种设备布置方式，例如分布式布置的网络系统中，针对大量的网络设备采用分级管理，实践中需要对各个设备进行管理策略的下发，以及获取各设备日志数据进行分析等，而目前的技术条件下，设备节点数量多、覆盖面广、拓扑结构复杂多变，同时设备厂商众多，接口各异、协议繁杂，难以进行统一控制管理。

特别是，由多个安全设备接入的一个分布式网络系统中，各个设备处于不同层级甚至位于不同地区，当需要获取设备状态时或进行策略配置时，难以实现集中与同步，通常是对各个设备逐个操作，效率低下且混乱。为了更好地服务用户和满足用户需求，对分布式部署的网络安全设备进行集中管理，迫切的需要一种提高多级设备策略管理效率的方法。

发明内容

基于上述背景，本发明旨在提出一种适用于分布式系统的设备策略下发方法以及应用该方法的设备管理系统，以解决现有技术中分布式网络设备策略管理混乱、效率不高的技术问题。具体技术内容如下所述。

一方面，提出一种分布式系统的设备策略分级下发方法，包括：

各设备分别维护自身的直接子设备集合，该集合包括当前设备以及与当前设备直接连接的下级设备；

管理设备创建待下发策略的目标设备的策略集合，该集合包括目标设备与策略id的对应关系；管理设备将策略集合向下逐级发送；

设备接收上级设备下发的策略集合，并对策略集合与其直接子设备集合中的设备进行取交集操作，将取交集后的策略集合继续向下发送，直至最后一级设备或策略集合为空；

各级设备根据取交集产生的策略集合中的策略id从管理设备获取策略内容，并分别发送给对应的直接子设备执行。

作为较佳的，各级设备接入网络时，导入由管理设备下发的设备令牌，该设备令牌包括接入系统内的所有设备具有的共有标记与当前设备具有的独有标记；则上述的对策略集合与直接子设备集合中的设备进行取交集操作，包括对当前设备的直接子设备集合与策略集合中的设备令牌取交集。

进一步的，上述的策略下发之前，在管理设备创建包括策略id与其参数配置的策略库；策略集合包括策略id与设备令牌的对应关系。

以及，对策略集合与直接子设备集合进行取交集操作后，各级设备保存取交集操作产生的交集策略集合；各级设备根据集合中的策略id从管理设备的策略库获取策略参数配置，并发送至令牌对应的直接子设备。

较佳的，各级设备定时的向管理设备上报携带设备令牌的心跳信息，管理设备根据设备是否在线，判断是否向该设备下发策略。

进一步的，当系统的下级设备小于三级时，由管理设备直接向所有下级子设备进行策略下发。

作为较佳的，该方法还包括下级子设备根据策略执行结果，向管理设备上报携带设备令牌的告警日志；

管理设备收到告警日志时，识别设备令牌是否具有共有标记，若识别成功则根据设备令牌的私有标记分别保存日志，否则拒绝接收该日志。

第二方面，提出一种设备分级管理系统，包括管理设备与若干个子设备，

管理设备，创建包括策略id与其参数配置的策略库，创建包括设备令牌与策略id对应关系的策略集合，并将策略集合向下逐级发送至各级子设备；

子设备，分别维护一个自身的直接子设备集合，该集合包括当前设备以及与当前设备直接连接的下级设备；接收上级设备下发的策略集合，并对策略集合与其直接子设备集合中的设备进行取交集操作，将取交集后的策略集合继续向下发送，直至最后一级设备或策略集合为空；各级子设备根据取交集产生的策略集合中的策略id从管理设备获取策略内容，并分别向下发送给对应的直接子设备执行。

进一步的，各级子设备接入网络时，导入由管理设备下发的设备令牌，该设备令牌包括接入系统内的所有设备具有的共有标记与当前设备具有的独有标记；各级设备定时的向管理设备上报携带设备令牌的心跳信息，管理设备根据设备是否在线，判断是否向该设备下发策略。

对策略集合与直接子设备集合中的设备进行取交集操作，包括对当前设备的直接子设备集合与策略集合中的设备令牌取交集；各级设备保存取交集操作产生的交集策略集合；各级设备根据集合中的策略id从管理设备的策略库获取策略参数配置，并发送至令牌对应的直接子设备。

下级子设备根据策略执行结果，向管理设备上报携带设备令牌的告警日志；管理设备收到告警日志时，识别设备令牌是否具有共有标记，若识别成功则根据设备令牌的私有标记分别保存日志，否则拒绝接收该日志。

采用上述技术方案的本发明实施例，至少具有以下有益效果：各设备分别具有唯一的设备令牌，接入网络系统前需经过管理设备认证，能保证所有设备均被纳入管理；并且设备令牌共有标记与独有标记，既能保证被系统认证也有利于快速定位到设备；管理设备根据需求配置策略集合，然后逐级下发，而下级各个设备都维护自己的直接子设备集合，通过与收到的上级设备下发的策略集合取交集，确定各设备的直接子设备的策略id，将策略id发送至对应的直接子设备，最后由收到策略id的设备向管理设备获取策略具体配置参数来执行，把策略下发工作分配至各级设备分别进行，能有效减少管理设备的计算量，提高策略管理特别是策略下发的效率。

附图说明

图1为一个只包括一级子设备的网络系统结构示意图；

图2为图2基础上，一个包括三级子设备的网络系统结构示意图；

图3为图2基础上，一个包括四级子设备的网络系统结构示意图；

图4为本发明的分布式系统的设备策略分级下发方法，工作流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图，对本发明实施例中的技术方案进行进一步的描述。

实施例一

如图1所示的由两级设备组成的分布式网络系统，即管理设备下的子设备只有一级即A1与A2，小于三级，则由管理设备直接向所有子设备进行策略下发。

具体过程包括：设备接入网络时，导入由管理设备下发的设备令牌，该设备令牌包括接入系统内的所有设备具有的共有标记与当前设备具有的独有标记。此处需要说明的是，所述设备令牌只是用于识别设备的一种标识，并不限定该标识的其他形式。

各设备定时的向管理设备上报携带设备令牌的心跳信息，管理设备根据设备是否在线，判断是否向该设备下发策略。

管理设备创建包括策略id与其参数配置的策略库。从策略库选择策略，为下级设备创建策略集合，策略集合包括策略id与设备令牌的对应关系，例如（令牌A1-策略01）。

此处需要说明的是，为便于叙述，以下将集合中的“令牌”与“策略”省略，如上述集合（令牌A1-策略01）表示为（A1-01）。

管理设备将“策略01”发送给“令牌A1”对应的下级设备A1，设备A1收到“策略01”后从管理设备的策略库获取策略01对应的配置，执行策略。

作为较佳的实施方式，管理设备对于设备A1的策略配置获取请求，验证其是否具有“令牌A1”以及“令牌A1”否具有共有标记。

实施例二

在实施例一基础上，将管理设备的下级设备增加到如图2所示的三级设备，则如图4所示的设备策略分级下发方法，在本实施例中的具体过程如下：

设备接入网络时，导入由管理设备下发的设备令牌，该设备令牌包括接入系统内的所有设备具有的共有标记与当前设备具有的独有标记。

各设备定时的向管理设备上报携带设备令牌的心跳信息，管理设备根据设备是否在线，判断是否向该设备下发策略。

管理设备创建包括策略id与其参数配置的策略库。

各设备分别维护自身的直接子设备集合，该集合包括当前设备以及当前设备直接连接的下级设备，例如：设备A1维护集合（A1，B1，B2），设备A2维护集合（A2，B3，B4），设备C1维护集合（C1，D1，D2，D3）。

管理设备为目标设备创建策略集合，该集合包括策略id与设备令牌的对应关系，例如创建第一策略总集合（A1-01，B2-02，B3-03，C1-04，C4-05）。

管理设备先将第一策略集合发送给其直接子设备，即图中的第一级子设备A1与A2； A1与A2收到第一策略集合后，对该第一策略集合与自身维护的直接子设备集合取交集，分别得到集合（A1-01，B2-02）与（B3-03），然后将策略01、策略02与策略03分别发送给令牌A1、令牌B2与令牌B3对应的设备。

设备A1将取交集后的第一策略子集（B3-03，C1-04，C4-05）发送给其直接子设备B1与B2，设备A2将取交集后的第二策略子集（A1-01，B2-02，C1-04，C4-05）发送给其直接子设备B3与B4。

设备B1对其直接子设备集合（B1，C1，C2）与第一策略子集取交集为（C1-04）并将策略04发送给设备C1，取交集后得到第三策略子集（B3-03，C4-05）并发送给设备C1与C2；设备B2对其直接子设备集合（B2，C3）与第一策略子集取交集为空，取交集后得到第四策略子集（B3-03，C1-04，C4-05）并发送给设备C3。

设备B3对其直接子设备集合（B3，C4）与第二策略子集取交集为（C4-05），并将策略05发送给设备C4，取交集后得到第五策略子集（A1-01，B2-02，C1-04）并发送给设备C4；设备B4对其直接子设备集合（B4，C5，C6）第二策略子集取交集为空，取交集后得到第六策略子集（A1-01，B2-02，C1-04，C4-05）并发送给设备C5与C6。

由于设备C1至C6为最后一级子设备，分别判断自身令牌是否在收到的策略集合中即可判断是否有对应的策略，即设备C1具有策略04，设备C4具有策略05。

收到策略id的各设备从管理设备的策略库请求获取具体的参数配置，执行策略内容。

作为较佳的实施方式，管理设备对于设备的策略配置获取请求，验证其是否具有令牌以及令牌A1否具有共有标记。

实施例三

将管理设备的下级设备增加为如图3所示的四级设备，如图4所示的设备策略分级下发方法，在本实施例中的具体过程如下：

设备接入网络时，导入由管理设备下发的设备令牌，该设备令牌包括接入系统内的所有设备具有的共有标记与当前设备具有的独有标记。

各设备定时的向管理设备上报携带设备令牌的心跳信息，管理设备根据设备是否在线，判断是否向该设备下发策略。

管理设备创建包括策略id与其参数配置的策略库。

各子设备分别维护自身的下级子设备集合，该集合包括当前设备以及当前设备的所有下级设备。例如设备A1维护集合（A1，B1，B2，C1，C2，D1，D2，D3），设备A2维护集合（A2，B3，B4，C4，C5，C6，D5，D6），设备C1维护集合（C1，D1，D2，D3）。

管理设备为目标设备创建策略集合，该集合包括策略id与设备令牌的对应关系，例如创建第二策略总集合（A1-01，B2-02，B4-03，C2-05，D3-06，D5-07）。

管理设备先将第二策略总集合发送给其直接子设备，即图中的一级子设备A1与A2。

一级子设备A1对收到的所述第二策略总集合与自身的下级子设备集合（A1，B1，B2，C1，C2，D1，D2，D3）取交集得到（A1-01，B2-02，C2-05，D3-06），取出当前设备的策略“A1-01”后将策略子集A1（B2-02，C2-05，D3-06）发送给设备A1的直接子设备B1与B2；一级子设备A2对收到的所述第二策略总集合与自身的下级子设备集合（A2，B3，B4，C4，C5，C6，D5，D6）取交集得到（B4-03，D5-07），该集合中不存在设备A2的策略，则将该集合作为策略子集A2（B4-03，D5-07）发送给设备A2的直接子设备B3与B4。

二级子设备B1对收到的策略子集A1与自身的下级子设备集合（B1，C1，C2，D1，D2，D3）取交集得到（C2-05，D3-06），该集合中不存在设备B1的策略，则将该集合作为策略子集B1（C2-05，D3-06）发送给设备B1的直接子设备C1与C2；二级子设备B2对收到的策略子集A1与自身的下级子设备集合（B2，C3，D4）取交集得到（B2-02），取出该策略保存后策略交集变为空，结束下发；二级子设备B3对收到的策略子集A2与自身的下级子设备集合（C4，D5，D6）取交集得到（D5-07），该集合中不存在设备B3的策略，则将该集合作为策略子集B3（D5-07）发送给设备B3的直接子设备C4；二级子设备B4对收到的策略子集A2与自身的下级子设备集合（B4，C5，C6）取交集得到（B4-03），取出设备B4的策略保存后策略交集变为空，结束下发。

三级子设备C1对收到的策略子集B1与自身的下级子设备集合（C1，D1，D2，D3）取交集得到（D3-06），该集合中不存在设备C1的策略，则将该集合作为策略子集C1（D3-06）发送给设备C1的直接子设备D1、D2与D3；三级子设备C2对收到的策略子集B1与自身的下级子设备集合（C2）取交集得到（C2-05），取出设备C2的策略后策略交集变为空，结束下发；三级子设备C4对收到的策略子集B3与自身的下级子设备集合（D5，D6）取交集得到（D5-07），该集合中不存在设备C4的策略，则将该集合作为策略子集C4（D5-07）发送给设备C4的直接子设备D5与D6。

四级子设备D1、D2、D3、D5与D6为最后一级子设备，不存在下级子设备，则直接与收到的策略子集取交集，分别判断是否存在对应的策略，可知D3与D5存在策略，由于所有策略子集此时均为空，表示策略下发结束。

存在策略的各级子设备，根据对应的策略id从管理设备的策略库请求获取具体的参数配置，执行策略内容。

作为较佳的实施方式，所有设备均定时获取并对其直接子设备维护的设备集合取并集作为自身的子设备集合。最开始时，由各设备向自己的直接父设备上报设备令牌，从而各级设备能得到最初的子设备集合，后续只需要定时更新维护即可。

在上述内容基础上，作为一个较佳的实施方式，下级子设备根据策略执行结果，向管理设备上报携带设备令牌的告警日志；管理设备收到告警日志时，识别设备令牌是否具有共有标记，若识别成功则根据设备令牌的私有标记分别保存日志，否则拒绝接收该日志。

如上所述的本发明实施例的技术方案，管理设备根据需求配置策略集合，然后逐级下发，而下级各个设备都维护自己的直接子设备集合，通过与收到的上级设备下发的策略集合取交集，确定各设备的直接子设备的策略id，将策略id发送至对应的直接子设备，最后由收到策略id的设备向管理设备获取策略具体配置参数来执行，把策略下发工作分配至各级设备分别进行，能有效减少管理设备的计算量，提高策略管理特别是策略下发的效率。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，所述的存储介质，如：ROM/RAM、磁碟、光盘等。

对上述公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和相一致的最宽的范围。